Типовые недостатки в работе
РСО по защите информации.
- не разработаны
положение о режимно-секретном органе и функциональные обязанности сотрудника спецчасти, другие
нормативные документы, отсутствуют планы работы РСО, в результате чего деятельность по защите секретов не носит
целенаправленного характера, (п.14, 15, 23-26 Инструкции 0126-87г.);
- спецчасть структурно
включена в состав отдела кадров, а не подчинена непосредственно руководителю либо одному из его заместителей.
Работа в РСО возложена на сотрудника, не имеющего специальной подготовки
и совмещающего данный участок
деятельности с выполнением функциональных обязанностей по ____________________
, что не позволяет уделять должного внимания вопросам защиты секретов (п.16
Инструкции 0126-87 г.);
- в течение ___ лет не
создаются комиссии и не осуществляются ежегодные проверки наличия секретных
документов с составлением и утверждением руководством соответствующих
актов, в связи с чем созданы
предпосылки к их возможной утрате (п.п.383-390 Инструкции 0126-87 г.);
- при увольнении и
назначении работников РСО передача секретных документов по акту не
производилась, отсутствует на сегодняшний день полная проверка их наличия;
- нет перечня выделенных
режимных помещений, актов их аттестации и обследования (раздел 6 Инструкции
0126-87 г.);
- не разработана внутренняя
инструкция, регламентирующая порядок работы сотрудников предприятия с
секретными, в т.ч. распорядительными
документами. Имеют место факты передачи
на ознакомление сотрудникам и
руководству секретных документов с выносом
их из помещения спецчасти в
необорудованные и неаттестованные помещения,
бесконтрольного хранения данных документов в нережимных помещениях, в
том числе в нерабочее время, в связи с чем создаются реальные предпосылки для
их утраты и возможной утечки
секретной информации (п.п.83 "б","з","и","к","л"; 84"о"; 238, 284, 312-315, 339 и
др. Инструкции 0126-87г.);
- не разработана
номенклатура должностей работников,
подлежащих оформлению на допуск к особой важности, совершенно секретным и секретным сведениям в
__________________ (п.п.3, 13, Инструкции 1050-95 г.);
- отдельные заместители
____________, руководители отделов и др.,
которые по характеру занимаемой ими должности знакомятся с совершенно секретными и секретными
сведениями, не имеют оформленного в установленном порядке допуска к
государственной тайне по 2 и 3 формам, (п.п. 3, 6 Инструкции 1050-95г);
- подготовка материалов на
работников, оформляемых на допуск к совершенно секретным и секретным
сведениям, осуществляется работником
спецчасти, а не отделом кадров, как
это предусмотрено п.16 Инструкции 1050-95 г.;
- отделом кадров не информируется режимно-секретный
орган о предстоящих кадровых изменениях,
приемах и увольнениях сотрудников,
что приводит к
грубому нарушению п.п.46, 66 Инструкции 0126-87 г. В частности, назначены на должность без предварительного
оформления допуска __________________ ), несвоевременно прекращается действие
допусков и производится информирование об
этом органов безопасности. При заполнении анкетных материалов лицами,
оформляемыми на допуск по 2 форме, работниками отдела не осуществляется подробный
инструктаж и глубоко не
анализируется их содержание, что в отдельных случаях приводит к сокрытию
анкетируемыми сведений о
судимости родственников и увеличению сроков оформления допуска;
- не производится переоформление допуска
работникам, вступившим в брак,
Управление ФСБ не информируется об изменении фамилий ( п.п.30,31 Инструкции
1050-95 г.);
- нет отметок
в карточках допуска по второй
форме о датах увольнения сотрудников,
не снижаются формы и
не прекращается действие допусков сотрудников, не соприкасающихся с особой важности, совершенно секретными и секретными работами
и документами более 1 года, в т.ч. не составляются необходимые ежеквартальные
акты и не информируется Управление ФСБ РФ по Томской области, а карточки
ф.ф.3,8 (ранее ф.ф.26,71) о допуске к совершенно секретным и секретным
сведениям по истечении установленных сроков
хранения не уничтожаются (п.14,15,24,30,33 и 34 Инструкции 1050-95г.);
- не заведены с
соответствующей регистрацией и учетом в журнале ф.10 более ____ карточек ф.8 на
лиц, допущенных к секретным сведениям
(п.24 Инструкции 1050-95 г.);
- своевременно не
переоформлены обязательства формы 12 на типовые договоры (контракты) формы 9,
хотя срок выполнения этой работы
истек в феврале 1997 г. (ст.38 Федерального закона от 15.08.96 г. №
114-ФЗ "О порядке выезда из Российской Федерации и въезда в Российскую
Федерацию"; ст.21 Закона РФ от 21.07.93г. от 21.07.93г. № 5485-1 "О государственной
тайне"; п.п.4, 17, 21
"Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной
тайне", утвержденной
Постановлением Правительства РФ от 28.10.95 г. 1050);
- обязательства-контракты о
неразглашении гостайны хранятся
отдельно от карточек-допусков, справки о
допуске работников
предприятия, командируемых в другие
учреждения, уничтожаются за одной подписью,
не указан срок их действия , что противоречит п.п.21, 24,
36, 37 Инструкции "О
порядке допуска..." № 1050 от 28.10.95г.
Секретоносители своевременно не сообщают свои данные в кадровый аппарат, не проставляются даты приказов об увольнении
в карточки;
- не осуществляются
соответствующие инструктажи лиц, допущенных к секретам (п.24 "к"
Инструкции 0126-87г.);
- в нарушение п.302
Инструкции 0126-87 г. нет оформленных в
установленном порядке списков лиц,
допущенных к мобилизационной
работе, документально не регламентирован порядок ознакомления
сотрудников с мобилизационными документами;
- режимно-секретный орган __________
практически не оказывает методической помощи подведомственным органам и не
осуществляет контроль за их деятельностью (в т.ч., не направляет нормативные правительственные и
ведомственные акты Российской
Федерации по обеспечению защиты сведений,
составляющих государственную тайну, а также нормативно-методические
документы по режиму секретности, противодействию техническим разведкам
и защите информации
от утечки по техническим каналам и пр.). Отмечены факты направления секретных документов в _____________
при отсутствии в них соответствующих условий для работы и
хранения. Выявлен случай направления документа с грифом "секретно"
открытой почтой. Вышеизложенные
обстоятельства свидетельствуют о грубейших нарушениях требований
Инструкции 0126-87г., Положения-93
и создают предпосылки для утраты секретных документов и разглашения
закрытых сведений;
- не проводится ознакомление
с основополагающими нормативными
документами (регламентирующими вопросы организационной и технической
защиты секретной, служебной и
конфиденциальной информации) непосредственных исполнителей и технических
работников, соприкасающихся с подобными сведениями. Данные материалы подшиты
в номенклатурные дела, отсутствует система инвентарного учета подобных
документов, что ограничивает
возможности по разработке и реализации организационных
и технических мероприятий по предотвращению утечки охраняемой информации
("Положение-93",
"Типовое положение о подразделении по защите информации от
ИТР и от ее утечки по техническим каналам", "Положение о сертификации
средств защиты информации" и т.д.;
п.п. 432, 434,
436, 444, 513, 523, 526, 528 и др.Инструкции 0126-87г.);
- с 1992 г. не пересматривалась и не перерабатывалась номенклатура особой важности,
совершенно секретных и секретных дел. Не учтены тематический и корреспондентский
признаки формирования дел, грифы секретности которых не соответствуют
находящимся в них документам. В делах не указаны фамилии исполнителей, ответственных за дела, а
также сотрудников, которым разрешено знакомиться с ними. В целом отсутствует
система ограничений, позволяющая
контролировать доведение определенного объема секретной информации до
лиц, которым она необходима по
роду своей производственной
деятельности (п.п.332, 334,
335 Инструкции 0126-87г.);
- не закрыты и не поставлены
на инвентарный учет номенклатурные дела, документы в которые не
поступают в течение 3-5 лет;
- имеет место двойная
регистрация документальных материалов. Так за номером ____ зарегистрировано
семь журналов учета карточек допуска сотрудников ф.3 (бывшая ф.26), в
номенклатуру дел повторно внесены все рабочие журналы.
- не соблюдается
порядок изъятия секретных документов из дел, справки-заместители оформляются неверно (д.№
1, л.241-255, д.№ 14, л.1 и т.д.);
- в нарушение п.247 на ряде
секретных документов, подготовленных в
_______ , отстуствуют данные о количестве экземпляров, фамилии
исполнителя, дате подготовки и пр.;
- грубейшим нарушением
требований нормативных актов является подготовка и исполнение секретных документов на персональных ЭВМ (в том
числе работающих в сети с выходом на международные каналы связи) без соответствующего категорирования данных
средств ЭВТ, определения возможной необходимости их инструментальной проверки
на наличие радиоэлетронных закладок,
применения специальных сертифицированных программных средств защиты
информации. Данные ПЭВМ расположены
в помещениях, не
отвечающих требованиям раздела 6 Инструкции 0126-87 г.. При регистрации подготовленных на них документов игнорируются требования раздела 16
Инструкции 0126-87г. (согласно п.27 "Положения-93" информация, содержащая сведения, отнесенные к
государственной или служебной тайнам, должна обрабатываться с использованием
защищенных систем и средств информатизации или с использованием технических и
программных средств защиты, сертифицированных в установленном порядке);
- не приобщены входящие и
подготовленные секретные документы за 1996-97г.г., своевременно не осуществляется их подшивка в номенклатурные дела,
отсутствуют заверительные надписи в журналах учета входящих и исходящих
документов по окончании календарного года, а также данные о времени
и условиях их отправки в
другие организации (п.п.231, 236, 334, 336, 337 Инструкции 0126-87г.);
- не осуществляется отбор и
уничтожение документов, утративших практическое значение и не имеющих
исторической и иной ценности. Не проводится работа по пересмотру материалов с целью изменения
грифа их секретности в связи с новыми перечнями сведений (п.п.100,
101, 108, 118, 119, 120, 270, 344-346, 367, 370, 373
Инструкции 0126 - 1987 г.);
- имеются факты уничтожения
по акту секретных документов за
подписями двух человек (по п.345
Инструкции 0126-87г. не менее трех);
- акты ежегодной сверки
наличия секретных документов и акты их
уничтожения оформлены неправильно;
- черновики секретных
документов, справки о форме допуска и учтенные листы уничтожаются за одной
подписью;
- исполнителями секретных
документов при оформлении сопроводительных писем не учитываются требования
п.115 Инструкции 0126, что приводит к
завышению их грифов секретности (........);
- своевременно не
осуществляется регистрация отдельных секретных документов, не соблюдается
порядок регистрации законченных производством дел и журналов учета
(раздел 10 Инструкции 0126-87г.).
Отдельные из вышеуказанных
недостатков характерны и для открытого делопроизводства. В частности:
- не разработаны на основе Указа Президента РФ от
6.03.97г. № 188 "Об утверждении перечня сведений конфиденциального
характера" и "Положения о порядке обращения со служебной информацией
ограниченного распространения в федеральных органах исполнительной власти",
утвержденного
постановлением Правительства
Российской Федерации от 3.11.94 г. № 1233 перечни сведений Администрации,
составляющих служебную тайну и конфиденциального характера;
- не создана концепция
информационной защиты, учитывающая ее объекты (помещения, средства
ЭВТ и другой оргтехники, циркулирующие в них сведения и т.п.), каналы возможной
утечки, не проведены необходимые
организационные и технические
мероприятия и т.д.;
- система работы с
документами ограниченного пользования ("ДСП", "конфиденциально" и др.), не отвечает требованиям соответствующих
нормативных актов, в т.ч. не
осуществляются их отдельный журнальный учет и контроль за
местонахождением, сохранностью данных
документов, отсутствуют ограничительные
отметки на делах, в которые они
приобщаются и т.д. Не разработана система персонального допуска к таким
сведениям (нет соответствующего положения, прав и обязанностей лиц и пр.);
- реализованные в
_____________ автоматизированные
информационные системы, технологии и средства их обеспечения не в полной
мере соответствуют положениям ст.ст.2,
3 ч.2, 4, 5 ч.4, 22 Федерального закона "Об информации, информатизации и защите информации".
- не определен порядок
правовой защиты информационных ресурсов как элемента состава имущества и
объекта прав собственности с учетом положений ст.ст. 6, 17 Федерального закона
РФ "Об информации, информатизации
и защите информации". В частности,
документально не оформлены условия распоряжения документами при их
копировании и распространении,
какие информационные ресурсы
могут быть товаром, условия их использования и др.;
- при осуществлении мер по
предотвращению возможных
несанкционированных действий по
уничтожению, модификации, искажению, копированию, блокированию
информации, а также предотвращению других форм незаконного вмешательства в
информационные ресурсы и информационные системы не используются сертифицированные средства защиты. Слабо
организованы мероприятия по резервному копированию информационных
ресурсов;
- несмотря на имеющуюся
необходимость, не проводятся инструментальные проверки помещений руководства ___________ на
возможное наличие радиозакладок, утечки информации по каналам побочных
электромагнитных излучений и наводок, выявления попыток несанкционированной
записи переговоров и бесед со стороны отдельных посетителей.
На основе изложенного,
руководствуясь классификацией предписанных норм и требований по защите
государственной тайны и информации, установленной п.52 "Положения о государственной системе защиты информации
в Российской Федерации от технических разведок и от ее утечки по техническим
каналам", комиссия считает, что в ___________________ допущен ряд
нарушений :
а) первой
категории (невыполнение требований или норм по защите государственной
тайны, в результате чего имеется
реальная возможность ее утечки):
- не приняты меры по защите информации, составляющей государственную тайну, при
проведении работ, связанных с ее использованием (циркуляция в служебных помещениях и технических
средствах);
- не выполнены установленные
требования и нормы по
режиму секретности (доступа) и
эффективности принятых мер защиты информации;
б) второй
категории (невыполнение требований по
защите информации, в результате чего создаются предпосылки к ее
утечке по техническим каналам);
- не разработано
"Руководство по защите информации в ________________ и от ее утечки по техническим каналам", в соответствии с "Положением -
93";
- не проведен анализ
возможных каналов утечки
информации и оценка возможностей
ИТР при проведении всех видов работ,
связанных с использованием сведений,
составляющих государственную тайну;
- не выполнены требования
нормативно-технических документов по
защите информации, обрабатываемой и
циркулирующей в средствах связи, АСУ и ЭВМ, средствах передачи, приема,
обработки, хранения и отображения;
- проводятся работы, подлежащие защите от разведок, в
неаттестованных помещениях и на рабочих местах;
- применяются
несертифицированные технические и
программные средства обработки и защиты информации;
в) третьей категории (невыполнение других
требований по защите информации).
Итоги специальной экспертизы
свидетельствуют об отсутствии должной организации, руководства и контроля за работой по защите сведений,
составляющих государственную тайну,
служебную тайну, и сведений конфиденциального характера.