Утверждено Постановлением Совета Министров - Правительства Российской Федерации

от "15" сентября 1993 г. № 912-51

ПОЛОЖЕНИЕ

о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам

I. Общие положения

1. Настоящее Положение является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах (аппаратах, администрациях) представи­тельной, исполнительной и судебной властей Российской Федера­ции, республик в составе Российской Федерации, автономной об­ласти, автономных округов, краев, областей, городов Москва и Санкт-Петербург и в органах местного самоуправления (далее име­нуются - органы государственной власти), на предприятиях и в их объ­единениях, учреждениях и организациях независимо от их организа­ционно-правовой формы и формы собственности (далее именуются - предприятия).

2. Положение определяет структуру государственной системы защиты информации в Российской Федерации, ее задачи и функции, основы организации защиты сведений, отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от ее утечки по техническим каналам (далее именуется - защита информации).

3. Работы по защите информации в органах государственной власти и на предприя­тиях проводятся на основе актов законодательства Российской Федерации.

4. Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, пре­дупреждению преднамеренных программно-технических воз­действий с целью разрушения (уничтожения) или искажения инфор­мации в процессе обработки, передачи и хранения, по противо­действию иностранным техническим разведкам, а также путем про­ведения специальных работ, порядок организации и выполнения которых определяется Советом Министров - Правительством Российской Федерации.

5. Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности и осуществляются во взаимосвязи с другими мерами по обеспече­нию установленного режима секретности проводимых работ.

6. Главными направлениями работ по защите информации являются:

обеспечение эффективного управления системой защиты информации;

определение сведений, охраняемых от технических средств разведки и демаскирующих признаков, раскрывающих эти сведения;

анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного досту­па, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки информации, под­лежащих защите;

разработка организационно-технических мероприятий по защи­те информации и их реализация;

организация и проведение контроля состояния защиты инфор­мации.

7. Основными организационно-техническими мероприятиями по защите информации являются:

лицензирование деятельности предприятий в области защиты информации;

аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведени­ями соответствующей степени секретности;

сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;

категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности государства;

обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;

введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использова­ния технических средств, подлежащих защите;

создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и во­енной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;

разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;

применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.

8. Конкретные методы, приемы и меры защиты информации разрабатываются в зависимости от степени возможного ущерба в случае ее утечки, разрушения (уничтожения).

9. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной или служебной тайне, без принятия необходимых мер по защите информации не допуска­ется.

 

II. Государственная система защиты информации

10. Основные задачи государственной системы защиты инфор­мации:

проведение единой технической политики, организация и ко­ординация работ по защите информации в оборонной, экономи­ческой, политической, научно-технической и других сферах дея­тельности;

исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения ин­формации в процессе ее обработки, передачи и хранения;

принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;

анализ состояния и прогнозирование возможностей технических средств разведки и способов их применения, формирование системы информационного обмена сведениями по осведомленности иностранных разведок;

организация сил, создание средств защиты информации и контроля за ее эффективностью;

контроль состояния защиты информации в органах государственной власти и на предприятиях.

11. Государственную систему защиты информации образуют:

Государственная техническая комиссия при Президенте Российской Федерации и ее центральный аппарат;

Министерство безопасности Российской Федерации, Министер­ство внутренних дел Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Служба внешней разведки Ро­ссийской Федерации, их структурные подразделения по защите информации;

структурные и межотраслевые подразделения по защите информации органов государственной власти;

специальные центры, подчиненные в специальном отношении Государственной технической комиссии при Президенте Российской Федерации;

головная научно-исследовательская организация в Российской Федерации по защите информации;

головные и ведущие научно-исследовательские, научно-тех­нические, проектные и конструкторские организации по защите информации органов государственной власти;

предприятия, проводящие работы по оборонной тематике и другие работы с использованием сведений, отнесенных к государственной или служебной тайне, их подразделения по защите информации;

предприятия, специализирующиеся на проведении работ в области защиты информации;

высшие учебные заведения и институты повышения квалификации по подготовке и переподготовке кадров в области защиты ин­формации.

12. Государственная техническая комиссия при Президенте Российской Федерации является межведомственным коллегиальным органом и возглавляет государственную систему защиты информа­ции.

Права и функции Государственной технической комиссии при Президенте Российской Федерации и ее центрального аппарата определяются Положением о Государственной технической комиссии при Президенте Российской Федерации и настоящим Положением.

13. Права и функции в области защиты информации Ми­нистерства безопасности Российской Федерации, Министерства обороны Рос­сийской Федерации, Министерства внутренних дел Российской Федерации,  Федерального агентства правительственной связи и информации при Президенте Российской Федерации и Службы внешней разведки Российской Федерации определяются положениями об этих органах.

14. Структурные и меж­отраслевые подразделения по защите информации органов государственной власти (в пределах их компетенции):

проводят единую техническую политику, осуществляют коор­динацию и методическое руководство работами по защите информа­ции на подведомственных  органу государственной власти предприятиях;

выполняют функции заказчика по проведению научно-исследо­вательских и опытно-конструкторских работ по проблемам защиты информации, а также заказчика поисковых научно-исследова­тельских работ по этим проблемам;

разрабатывают предложения для федеральных программ по за­щите информации;

организуют аттестование подведомственных органу государственной власти объектов по выполнению требований обеспечения защиты информации при прове­дении работ со сведениями соответствующей степени секретности, сертификацию средств защиты информации и контроля за ее эффек­тивностью, систем и средств информатизации и связи в части за­щищенности информации от утечки по техническим каналам, прове­дение специальных проверок и специальных исследований техни­ческих средств;

готовят рекомендации и указания по лицензированию дея­тельности предприятий в области защиты информации.

Непосредственное руководство работами по защите информа­ции осуществляют руководители органов государственной власти или их заместители.

Указанные функции осуществляются подразделениями (штатными специалистами) по защите информации.

Подразделения по защите информации являются самостоятель­ными структурными подразделениями органа государственной власти или входят в состав одного из главных, технических, на­учно-технических или специальных управлений органа госу­дарственной власти. Назначение на должности и освобождение от должности руководителей этих подразделений производится по согласованию с Государственной технической комиссией при Пре­зиденте Российской Федерации.

Допускается создание при органе государственной власти в соответствии с актами законодательства Российской Федерации самостоятельных предприятий различных организационно-правовых форм и форм собственности, на которые могут быть возложены функции структурных, а также межотраслевых подразделений по защите информации.

15. В целях обеспечения принципа коллегиальности при рас­смотрении важнейших вопросов защиты информации в органах госу­дарственной власти могут создаваться технические комиссии, ме­жотраслевые или отраслевые советы.

16. Специальные центры, подчиненные в специальном отноше­нии Государственной технической комиссии при Президенте Российской Федерации, в пределах своих зон ответственности:

проверяют и оценивают состояние защиты информации и ока­зывают методическую помощь на местах в организации и проведе­нии мероприятий по защите информации;

участвуют в аттестовании объектов по выполнению требова­ний обеспечения защиты информации при проведении работ со све­дениями соответствующей степени секретности;

осуществляют активное противодействие возможному ведению разведки техническими средствами из мест постоянного или вре­менного пребывания иностранных граждан на территории Россий­ской Федерации;

ведут радиоконтроль за соблюдением установленного порядка передачи служебных сообщений по открытым каналам радиосвязи, доступным иностранной радиоразведке.

Границы зон ответственности специальных центров определя­ет председатель Государственной технической комиссией при Президенте Российской Федерации.

17. Головная научно-исследовательская организация в Российской Федерации по защите информации, головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации орга­нов государственной власти в пределах своей специализации раз­рабатывают научные основы и концепции, проекты федеральных программ, нормативно-технических и методических документов по защите информации, обобщают и анализируют информацию о силах и средствах технической разведки, прогнозируют ее возможности, осуществляют разработку (корректировку) модели иностранной технической разведки и методик оценки ее возможностей, прово­дят научные исследования и работы по созданию технических средств защиты информации и контроля за ее эффективностью.

18. Организация работ по защите информации на предприятиях осуществляется их руководителями.

В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации, либо назначаются штатные специалисты по этим вопросам.

Подразделения по защите информации (штатные специалисты) на предприятиях осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне, определяют совместно с заказчиком работ основные направления комплексной защиты информации, участ­вуют в согласовании технических заданий (тактико-технических заданий) на проведение работ, дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесен­ные к государственной или служебной тайне.

Указанные подразделения (штатные специалисты) подчиняются непосредственно руководите­лю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравнива­ются по оплате труда к соответствующим категориям работников основных структурных подразделений.

Для проведения работ по защите информации могут привле­каться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.

19. Предприятия, имеющие намерения заниматься деятель­ностью в области защиты информации, должны получить соот­ветствующую лицензию на определенный вид этой деятельности. Лицен­зии выдаются Государственной технической комиссией при Прези­денте Российской Федерации и Федеральным агентством прави­тельственной связи и информации при Президенте Российской Фе­дерации в соответствии со своей компетенцией по представлению ор­гана государственной власти.

20. Высшие учебные заведения и институты повышения квали­фикации по подготовке и переподготовке кадров в области защиты информации осуществляют:

первичную подготовку специалистов по комплексной защите информации;

переподготовку (повышение   квалификации) специалистов по защите информации органов госу­дарственной власти и предприятий в области защиты информации;

усовершенствование знаний руководителей органов госу­дарственной власти и предприятий в области защиты информации.

Подготовка кадров для государственной системы защиты ин­формации осуществляется при методическом руководстве Госу­дарственной технической комиссии при Президенте Российской Фе­дерации.

 

 

 

III. Организация защиты информации в системах и средствах информатизации

21. Защита информации в системах и средствах информатиза­ции и связи является составной частью работ по их созданию, эксплуата­ции и осуществляется во всех органах государственной власти и на предприятиях, располагающих информацией, содержащей сведе­ния, отнесенные к государственной или служебной тайне.

22. Требования по защите информации в системах и средствах информатизации и связи определяются заказчиками совместно с разработчиками на стадии подготовки и согласования решений Совета Министров - Правительства Российской Федерации, прика­зов и директив, планов и программ работ, технических и такти­ко-технических заданий на проведение исследований, разработку (модернизацию), испытания, производство и эксплуатацию (приме­нение) на основе стандартов, нормативно-технических и методи­ческих документов, утверждаемых Комитетом Российской Федерации по стандартизации, метрологии и сертификации, Государственной технической комиссией при Президенте Российской Федерации и другими органами государственной власти в соответствии с их компетен­цией. Указанные требования согласовываются с подразделениями по защите информации.

23. Организация защиты информации в системах и средствах информатизации и связи возлагается на руководителей органов госу­дарственной власти и предприятий, заказчиков и разработчиков систем и средств информатизации и связи, руководителей подразделений, эксплуатирующих эти системы и средства, а ответственность за обеспечение защиты информации - непосредственно на пользовате­ля (потребителя) информации.

24. В интересах обеспечения защиты информации в системах и средствах информатизации и связи защите подлежат:

информационные ресурсы, содержащие сведения, отнесенные к государственной или служебной тайне, представленные в виде носителей на магнитной и оптической основе, информативных фи­зических полей, информационных массивов и баз данных;

средства и системы информатизации (средства вычислитель­ной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управле­ния, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звуко­усиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации, содержащей сведения, отнесенные к государственной или служебной тайне;

технические средства и системы, не обрабатывающие инфор­мацию, но размещенные в помещениях, где обрабатывается (цирку­лирует) информация,  содержащая  сведения, отнесенные к  госу­дарственной или  служебной  тайне,  а  также  сами помещения, предназначенные для ведения секретных переговоров.

25. Целями защиты информации являются:

предотвращение утечки информации по техническим каналам;

предотвращение несанкционированного уничтожения, искаже­ния, копирования, блокирования информации в системах информа­тизации;

соблюдение правового режима использования массивов, прог­рамм обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки;

сохранение возможности управления процессом обработки и пользования информацией.

26. Защита информации осуществляется путем:

предотвращения перехвата техническими средствами информа­ции, передаваемой по каналам связи;

предотвращения утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, а также электро­акустических преобразований;

исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;

предотвращения специальных программно-технических воз­действий, вызывающих разрушение, уничтожение, искажение инфор­мации или сбои в работе средств информатизации;

выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);

предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

Предотвращение перехвата техническими средствами информации, передаваемой по ка­налам связи, достигается применением криптографических и иных методов и средств защиты, а также проведением организацион­но-технических и режимных мероприятий.

Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также элект­роакустических преобразований достигается применением защищен­ных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мера­ми.

Исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации достигается применением специальных программно-технических средств защиты, использованием криптографических способов защиты, а также ор­ганизационными и режимными мероприятиями.

Предотвращение специальных программно-технических воздействий, вызывающих разру­шение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается применением специальных программных и аппаратных средств защиты (антивирусные про­цессоры, антивирусные программы), организацией системы контро­ля безопасности программного обеспечения.

Выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств) достигается проведением специальных проверок по вы­явлению этих устройств.

Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими орга­низационными и режимными мероприятиями.

Мероприятия по защите информации в системах и средствах информатизации включаются в организационно-распорядительную и техническую (проектную) документацию на эти системы (средства) и осуществляются органами государственной власти и предприятиями.

27. Информация, содержащая сведения, отнесенные к госу­дарственной или служебной тайне, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке.

Соответствие технического средства и его программного обеспечения требованиям защищен­ности подтверждается сертификатом, выдаваемым предприятием, имеющим лицензию на этот вид деятельности, по результатам сертификационных испытаний, или предписанием на эксплуатацию, оформляемым по результатам специальных исследований и специ­альных проверок технических средств и программного обеспече­ния.

Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесенные к госу­дарственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия принимаемых методов, мер и средств защиты требуемому уровню безопасности ин­формации.

28. Защита информации, передаваемой по общегосударствен­ным и ведомственным линиям связи, обеспечивается потребителя­ми, которые по согласованию с подразделениями Государственной технической ко­миссии при Президенте Российской Федерации и Министерства связи Российской Федерации разрабатывают инструкции по обеспе­чению защиты информации и определяют перечень организационных и технических мер, направленных на предотвращение утечки ин­формации по техническим каналам.

Необходимость защиты доступных средствам радиоразведки каналов связи, по которым передаются потоки служебной информа­ции, где отдельно взятые сведения не составляют государствен­ную или служебную тайну, определяется решениями Государствен­ной технической комиссии при Президенте Российской Федерации по согласованию с заинтересованными органами государственной власти.

 

IV. Организация защиты информации о вооружении и военной технике

от технических средств разведки

 

 

V. Организация защиты информации об объектах органов управления, военных и промышленных объектах

39. Защита информации об объектах органов управления, военных и промышленных объектах является составной частью работ по проектированию, строительству (реконструкции), эксплуатации объектов и осуществляется непрерывно на всех этапах их жизненного цикла.

40. Требования по защите информации конкретных объектов определяются заказчиками совместно с исполнителями работ на стадии подготовки и согласования решений Совета Министров - Правительства Российской Федерации, приказов и директив, планов и программ работ, технических и тактико-технических заданий на строительство (реконструкцию), приемку и эксплуатацию объекта на основе стандартов, нормативно-технических и методических документов, утверждаемых Комитетом Российской Федерации по стандартизации, метрологии и сертификации, Государственной технической комиссией при Президенте  Российской Федерации и другими органами государственной власти в пределах их компетенции. Указанные требования согласовываются с подразделениями по защите информации.

Ответственность за определение и реализацию требований по защите объектов несут заказчики и исполнители работ.

41. По требованиям обеспечения защиты информации объекты органов управления, военные и промышленные объекты делятся на 3 категории:

первая – объекты, при строительстве, реконструкции и эксплуатации которых необходимо сокрытие или искажение информации об их местоположении, предназначении или профиле деятельности;

вторая – объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах, а также информации о разрабатываемых (производимых, испытываемых) или эксплуатируемых образцах вооружения и военной техники или о производствах и технологиях, подлежащих защите;

третья - объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах, а также предприятия, проводящие в инициативном порядке и на основе самофинансирования научно-исследовательские и опытно-конструкторские работы, необходимость защиты информации о которых может появиться в ходе проводимых работ.

Категорирование вновь создаваемых или реконструируемых объектов производится их заказчиками при выдаче задания на проектирование.

Категорирование эксплуатируемых объектов осуществляется органами государственной власти по принадлежности объектов и производится при аттестовании указанных объектов по выполнению требований обеспечения защиты информации.

Категорирование объектов Министерства безопасности Российской Федерации, Министерства обороны Российской Федерации, Министерства внутренних дел  Российской Федерации, Федерального агентства правительственной связи и информации Российской Федерации и Службы внешней разведки Российской Федерации производится в порядке,  утверждаемом их руководителями.

Перечни объектов первой и второй категорий согласовываются с Государственной технической комиссией при Президенте Российской Федерации, Генеральным штабом Вооруженных Сил Российской Федерации (в части военных объектов) и утверждаются руководителем органа государственной власти, в ведении которого находится объект.

42. Защита информации объектов первой категории организуется в соответствии с общими маскировочными замыслами, разрабатываемыми заказчиками этих объектов с привлечением при необходимости научно-исследовательских и проектных организаций.

Разработка общего маскировочного замысла заключается в определении основной цели защиты информации об объекте и выборе основных технических и организационных мероприятий по достижению этой цели.

Общий маскировочный замысел для объектов первой категории оформляется в виде отдельного документа, согласовывается с Государственной технической комиссией при Президенте Российской Федерации и Генеральным штабом Вооруженных Сил Российской Федерации (в части военных объектов), утверждается заказчиком объекта и прилагается к техническому (тактико-техническому) заданию на его проектирование.

В целях защиты информации об объектах первой и второй категорий осуществляется:

защита информации о его функциональных взаимосвязях с другими объектами;

защита информации, циркулирующей на объекте;

защита информации о разрабатываемой, производимой, испытываемой или эксплуатируемой на этом объекте продукции, имеющей охраняемые сведения.

Мероприятия по защите информации должны быть согласованы по цели, месту, времени и увязаны с мероприятиями по легендированию и режиму секретности.

43. На объектах третьей категории выполняется комплекс основных организационных и технических мероприятий по защите информации в системах и средствах информатизации и связи.

44. Меры по защите объектов и порядок их выполнения в ходе строительно-монтажных работ, реконструкции объектов и их эксплуатации определяются при проектировании объектов.

Контроль выполнения предусмотренных проектом мероприятий по защите информации в ходе строительства осуществляется при проведении технического и авторского надзора представителями заказчика и проектных организаций.

Обязательным условием приема объекта в эксплуатацию является выполнение полного объема мероприятий по защите информации и проведение аттестования объектов с целью определения эффективности принятых мер защиты и возможности их стабильного выполнения в ходе эксплуатации по прямому назначению.

45. Содержание и порядок осуществления мероприятий по защите информации в ходе эксплуатации определяются в руководстве по защите информации, разрабатываемом на каждом объекте, которое согласовывается с федеральными органами государственной безопасности, заказчиком (представителем заказчика) и утверждается руководителем органа государственной власти, предприятия или командиром воинской части.

46. При организации защиты информации об объектах, где функционируют совместные с иностранными фирмами предприятия и производства, а также в случае проведения на них иностранных инспекций по выполнению международных договоров или при посещении объектов иностранными представителями должна учитываться возможность ведения разведки с помощью технических средств непосредственно с территории объекта. Принимаемые в этих случаях меры защиты должны исключить возможность получения сведений об объектах, проводимых на них работах с вооружением и военной техникой и другой информации, содержащей сведения, отнесенные к государственной или служебной тайне, за исключением сведений, определенных международными договорными обязательствами Российской Федерации.

 

VI. Контроль  состояния защиты информации

47. Контроль состояния  защиты информации (далее именуется - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программ­но-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законо­дательства Российской Федерации по вопросам защиты информации, решений Государственной технической комиссии при Президенте Российской Федерации, а также в оценке обоснованности и эффек­тивности принятых мер защиты для обеспечения выполнения ут­вержденных требований и норм по защите информации.

48. Контроль организуется Государственной технической ко­миссией при Президенте Российской Федерации, Министерством безопасности Российской Федерации, Министерством внутренних дел Российской Федерации, Министерством обороны Российской Фе­дерации, Службой внешней разведки Российской Федерации и Феде­ральным агентством правительственной связи и информации при Президенте Российской Федерации, структурными и межотраслевыми подразделениями органаов государст­венной власти, входящими в государственную систему защиты ин­формации, и предприятиями в соответствии с их компетенцией.

Акты проверок предприятий рассылаются их руководителями в орган, проводивший проверку, и в орган государственной власти по подчиненности предприятия.

49. Государственная техническая комиссия при Президенте Российской Федерации организует контроль силами центрального аппарата и подчиненных ей в специальном отношении специальных центров. Она может привлекать для этих целей подразделения по защите информации органов государственной власти.

Центральный аппарат Государственной технической комиссии при Президенте Российской Федерации осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работа­ми по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию Министерства безопасности Российской Федерации, Министерства внутренних дел Российской Федерации, Министерства обороны Российской Федерации, Службы внешней разведки Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации, Главного управления охраны Российской Федерации).

Использование космических, воздушных, морских и других средств разведки и контроля Министерства обороны Российской Федерации осуществляется в соответствии с планами и с разреше­ния начальника Генерального штаба Вооруженных Сил Российской Федерации.

Специальные центры, подчиненные в специальном отношении Государственной технической комиссии при Президенте Российской Федерации, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, располо­женных в зонах ответственности этих центров.

Контроль в органах государственной власти силами цент­рального аппарата Государственной технической комиссии при Президенте Российской Федерации и специальных центров, подчи­ненных в специальном отношении Государственной технической ко­миссии при Президенте Российской Федерации, осуществляется по согласованию с соответствующими органами государственной власти.

50. Органы государственной власти организуют и осущест­вляют контроль на подчиненных им предприятиях через свои под­разделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

51. Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайне, осуществляется органами государственной власти, Государственной технической комиссией при Президенте Российской Федерации, Министерством безопас­ности Российской Федерации, Федеральным агентством правительс­твенной связи и информации при Президенте Российской Федерации и заказчиком работ в соответствии с их компетенцией.

52. Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Нарушения по степени важности делятся на три категории:

первая - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная воз­можность ее утечки по техническим каналам;

вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

третья - невыполнение других требований по защите информации.

53. При обнаружении нарушений первой категории руководи­тели органов государственной власти и предприятий обязаны:

немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения и принять меры по их устранению;

организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;

сообщить в Государственную техническую комиссию при Президенте Российской Федерации, руководству органа государственной власти, федеральному органу государственной безопасности и заказчику о вскрытых нарушениях и принятых мерах.

Возобновление работ разрешается после устранения наруше­ний и проверки достаточности и эффективности принятых мер, проводимой Государственной технической комиссией при Президенте Российской Федерации или по ее поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий ру­ководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку или за­казчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите инфор­мации этих органов государственной власти и предприятий.

54. Порядок и условия устранения указанных нарушений в высших органах государственной власти Российской Федерации, Министерстве безопасности Российской Федерации, Министерстве обороны Российской Федерации, Министерстве внутренних дел Российской Федерации, Федеральном агентстве правительственной связи и информации при Президенте Российской Федерации, Службе внешней разведки Российской Федерации определяются решениями их руководителей. Ими же осуществляется контроль исполнения принятых решений.

Допуск представителей центрального аппарата Государствен­ной технической комиссии при Президенте Российской Федерации, специальных центров, подчиненных ей в специальном отношении, на объекты для проведения контроля состояния защиты информа­ции, доступ их к работам и документам, необходимым для прове­дения контроля, осуществляется в установленном порядке по предъявлении специального удостоверения представителя Госу­дарственной технической комиссии при Президенте Российской Фе­дерации и предписания на право проведения проверки данного объекта. Допуск на военные объекты осуществляется по разреше­нию начальника Генерального штаба Вооруженных Сил Российской Федерации.

Предписания на право проверки состояния защиты информации выдаются:

для объектов органов государственной власти - председателем Государственной технической комиссии при Президенте Российской Федерации (заместителем председателя);

для предприятий на всей территории Российской Федерации - начальником инспекции Государственной технической ко­миссии при Президенте Российской Федерации;

для предприятий в пределах установленных зон ответственности - начальниками специальных центров, подчиненных в специаль­ном отношении Государственной технической комиссии при Прези­денте Российской Федерации;

для подведомственных предприятий - руководителями органов государственной власти.

 

VII. Финансирование мероприятий по защите информации

55. Финансирование мероприятий по защите информации, со­держащей сведения, отнесенные к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусмат­ривается в сметах расходов на их содержание.

56. Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включаются в стои­мость разработки образца продукции.

Создание технических средств защиты информации, требующее капитальных вложений, осуществляется в пределах средств, выде­ляемых заказчикам на строительство (реконструкцию) сооружений или объектов.