Организация инженерно-технической безопасности

     Основные  направления в организации защиты информации определяются системой защиты, мероприятиями по защите информации и мероприятиями по контролю за эффективностью защиты информации, где:

• предлагаемая система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами по защите информации;
• мероприятие по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

     Органом защиты информации выступает административный орган, осуществляющий организацию  защиты информации.

     Объектом  защиты является информация, носитель информации, информационный процесс  и соответствующее ЗП, в отношении  которых необходимо обеспечить защиту в соответствии с поставленной целью  защиты информации.

     Технику защиты информации составляют средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные  для обеспечения защиты информации.

     К средствам и системам управления защитой информации можно отнести  технические и программные средства и системы, используемые для организации  и осуществления управления защитой  информации.

     В мероприятия по защите информации входят способы защиты информации, категорирование, лицензирование, сертификация и аттестация.

     Сертификация - это процесс, осуществляемый в отношении  такой категории, как "изделие" (средство). В результате сертификации, после выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, или  подтверждается качество изделия. Сертификация средств защиты информации - деятельность изготовителей и потребителей средств  по установлению (подтверждению) соответствия средств ЗИ требованиям нормативных  документов по защите информации, утвержденных государственными органами по сертификации.

     Лицензирование - мероприятия, связанные с предоставлением  лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действий лицензий, аннулированием действий лицензий и  контролем лицензирующих органов  за соблюдением лицензиатами при  осуществлении лицензируемых видов  деятельности соответствующих лицензионных требований и условий.

     Лицензия - специальное разрешение на осуществление  конкретного вида деятельности при  обязательном соблюдении лицензионных требований и условий, выданное лицензирующим  органом юридическому лицу или индивидуальному  предпринимателю.

     Аттестация  выделенных помещений - первичная проверка выделенных помещений и находящихся  в них технических средств  на соответствие требованиям защиты. Наряду с аттестацией, выделенные помещения  подвергаются периодическим аттестационным проверкам.

     Аттестационная  проверка выделенных помещений - периодическая  проверка в целях регистрации  возможных изменений состава  технических средств, размещенных  в помещениях, выявления возможных  неприятностей, регистрации возможных  изменений характера и степени  конфиденциальности закрытых мероприятий. График периодических аттестационных проверок составляется, исходя из следующих  сроков: для помещений первой и  второй групп - не реже 1 раза в год; для  помещений третьей группы - не реже 1 раза в 1,5 года.

     Под аттестацией объектов информатизации понимается комплекс организационно-технических  мероприятий, в результате которых  посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям  стандартов или иных нормативно-технических  документов по безопасности информации, утвержденных Гостехкомиссией России.

     Обязательной  аттестации подлежат объекты информатизации, предназначенные для обработки  информации, составляющей государственную  тайну, управления экологически опасными объектами, ведения секретных переговоров.

     В остальных случаях аттестация носит  добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца  объекта информатизации.

     Организационный контроль эффективности защиты информации содержит проверку полноты и обоснованности мероприятий по защите информации требованиям  нормативных документов по защите информации, а технический контроль эффективности  защиты информации - контроль эффективности  защиты информации, проводимый с использованием технических средств контроля.

     Организация и проведение работ по защите информации с ограниченным доступом определяется «Положением о государственной  системе защиты информации в РФ от иностранных технических разведок и от её утечки по техническим каналам».