Деятельность органов фсб по защите информации от технической разведки конспект

Обновлено: 05.07.2024

Вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа, проводит сертификацию средств по обеспечению безопасности сведений в информационных системах.

Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00. Также существует добровольная сертификация средств технической защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLP-система СёрчИнформ КИБ и многие другие.

Требования ФСТЭК по защите информации

Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию оборудования, программного обеспечения.

Выполнение требований регулятора по технической защите информации обязательно при:

  • оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
  • проведении работ по обеспечению государственной и банковской тайн;
  • выполнении обязанностей оператора персональных данных (ПНд);
  • передаче информации посредством сети Интернет.

Требования ФСТЭК по технической защите информации распространяются на:

  • программное обеспечения и оборудование;
  • внешние носители;
  • средства связи и шифровки/дешифровки данных;
  • операционные системы;
  • прочие технические средства хранения, обработки, передачи сведений; ;
  • специалистов по обеспечению информационной безопасности.

Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:

  • использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
  • возможность ограничения и управления правами доступа к персональной информации;
  • физическая и программная защита носителей информации;
  • регистрация событий безопасности и ведение их журнала; ;
  • регулярный контроль защищенности ПНд;
  • обнаружение и предотвращение вторжений, несанкционированного доступа;
  • обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
  • соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.

Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.

Требования ФСТЭК к специалистам по защите информации включают в себя понимание:

  • основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
  • в области сертификации средств защиты информации;
  • о государственной системе противодействия иностранным техническим разведкам.

К профессиональным знаниям специалистов относится:

  • подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
  • ориентация в сфере комплексных СЗИ;
  • понимание основ методологии построения СЗИ;
  • умение работать со средствами контроля защищенности баз данных (БД) и т.д.

С полным перечнем требований к профессиональной подготовке специалистов в сфере защиты информации можно ознакомиться здесь.

Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.

Меры по защите информации ФСТЭК

Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.

Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.

Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд нюансов:

  1. К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
  2. Требования по охране данных и информации базируются на ряде ГОСТов.
  3. Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
  4. Модели угроз основываются на документах и баз ФСТЭК.

Организационные мероприятия предотвращают неправомерные:

  • доступ, хищение и распространение закрытых данных;
  • уничтожение/изменение целостности данных;
  • препятствие получению информации, нарушающее права пользователей.
  • Важное значение имеет разработка пакета организационных и распорядительных документов для:
  • регламентации процесса безопасности хранения данных;
  • порядка выявления инцидентов безопасности;
  • регламентации управления конфигурированием информационных систем по защите данных;
  • установления методов мониторинга информсистем.

Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.

Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:

  • идентификации, аутентификации;
  • управления доступом к данным с возможностью контроля;
  • ограничений по использованию программ;
  • защиты всех информационных носителей;
  • ведение регистрационного учета инцидентов в сфере безопасности;
  • отслеживания вторжений извне;
  • обеспечения целостности находящейся на хранении и обрабатываемой информации;
  • защиты в облачной среде.

Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.

Рекомендации ФСТЭК по защите информации

Методические рекомендации ФСТЭК по защите данных предусматривают использование:

  • межсетевых экранов, фильтрующих информацию по установленным критериям;
  • средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
  • антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные действия;
  • доверенной загрузки;
  • контроля за съемными носителями.

ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых сведений.

Методические документы и приказы ФСТЭК по защите информации

Существует огромный перечень подзаконных актов и документов, определяющих порядок организации информационной защиты и позволяющих эффективно применять разработанную систему информационной безопасности.

Так, положения о защите технической информации разрабатываются организациями самостоятельно. Отдельные положения выносятся местными органами власти. ФСТЭК выпускает приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России от 23 марта 2017 г. N 49, от 15 февраля 2017 г. N 27 и т.д. – полный перечень документов ФСТЭК по технической защите информации можно уточнить здесь. Детальнее:

    ; ;
  1. Документы ФСТЭК по защите персональных данных базируются на Федеральном законе о персональных данных;
  2. Одним из основных документов для операторов является положение о лицензировании технической защиты конфиденциальной информации. .

Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения, распространения информации с соответствующим классу защищенности обеспечением ее безопасности на предприятиях. Система документов по технической защите информации строится на основополагающих элементах:

  • федеральное законодательство;
  • распоряжения и указы Президента РФ;
  • постановления правительства РФ;
  • документация ФСБ, ФСТЭК, Роскомнадзора;
  • общероссийские стандарты;
  • документы руководящие, нормативно-методические.

Документы ФСТЭК по технической защите информации ложатся в основу проектирования и исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация размещается по мере обновления на официальном сайте и является обязательной к исполнению.

В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ для сотрудников сферы защиты данных.

Сертифицированные средства защиты ФСТЭК

Функции ФСТЭК в области сертификации средств защиты информации заключаются в:

  • создании системы сертификации средств защиты информации в соответствии с требованиям по обеспечению информационной безопасности;
  • формировании правил проведения сертификации средств защиты данных;
  • аккредитации органов по сертификации и испытательных лабораторий и разработке правил аккредитации;
  • выборе способов подтверждения соответствия СЗИ требования нормативных документов;
  • выдаче сертификатов и лицензий на использование знаков соответствия;
  • ведении государственного реестра участников сертификации и реестра сертифицированных средств защиты информации;
  • осуществлении государственного надзора над соблюдением участниками правил сертификации, инспекционного контроля – над сертифицированными средствами защиты;
  • рассмотрении апелляций по вопросам сертификации;
  • утверждении нормативных документов с требованиями к средствам и системам защиты информации, методических документов по проведению испытаний.

Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты информации (либо может делегировать их другой организации по необходимости). ФСТЭК может приостанавливать или отменять действие сертификатов.

Система сертификации средств защиты информации ФСТЭК включает в себя органы по сертификации (работающие с определенными видом продукции), испытательные лаборатории. В структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации, компании) и центральный орган, в роли которой выступает сама ФСТЭК.

Классы средств защиты информации ФСТЭК

Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по защите средств вычислительной техники и автоматизированных систем формируют градацию классов.

Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень защищенности от кибер-угроз. Выбор оптимального защитного средства зависит напрямую от класса системы. В ситуациях значительного превышения стоимости программного обеспечения нужного класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства защиты.

Госреестр средств защиты информации ФСТЭК России

Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях, сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства информационной защиты в обязательном порядке проходят обязательную регистрацию, с занесением в реестр и выдачей сертификата.

Лицензирование деятельности по технической защите информации ФСТЭК

Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.

Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы, отзывом разрешительных документов и административным наказанием.

Виды лицензий, связанных с деятельностью:

  • по предотвращению утечек по различным каналам, бесконтрольного проникновения, видоизменения информации как в системах, так и помещениях, где они размещаются;
  • на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты информации, проектирования систем информатизации в защищаемых помещениях, монтажа, отладки, проведению испытаний и ремонтных работ;
  • на разработку и производство средств безопасности;
  • на выстраивание мероприятий по сохранности гостайны.

При оформлении лицензии используются только некриптографические методы.

Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается получить только спустя два месяца. Действие лицензии бессрочное.

Статья 7. Защита сведений о федеральной службе безопасности

(в ред. Федерального закона от 25.12.2008 N 280-ФЗ)

(см. текст в предыдущей редакции)

Доступ к информации о деятельности органов федеральной службы безопасности осуществляется в соответствии с законодательством Российской Федерации с учетом особенностей, установленных настоящим Федеральным законом и актами Президента Российской Федерации.

(часть первая введена Федеральным законом от 31.07.2020 N 279-ФЗ)

Сведения о военнослужащих, федеральных государственных гражданских служащих, работниках органов федеральной службы безопасности, лицах, уволенных из органов федеральной службы безопасности, гражданах, поступающих на военную службу по контракту, на федеральную государственную гражданскую службу или на работу в органы федеральной службы безопасности, лицах, оказывающих или оказывавших им содействие на конфиденциальной основе, могут передаваться органами федеральной службы безопасности другим государственным органам, иным организациям и гражданам только в случаях, предусмотренных федеральными законами. В остальных случаях указанные сведения могут передаваться на основании решения руководителя федерального органа исполнительной власти в области обеспечения безопасности или уполномоченного им должностного лица.

(часть в ред. Федерального закона от 18.07.2011 N 241-ФЗ)

(см. текст в предыдущей редакции)

Физические лица допускаются к сведениям об органах федеральной службы безопасности, составляющим государственную и иную охраняемую законом тайну, в порядке, предусмотренном законодательством Российской Федерации о государственной и иной охраняемой законом тайне, если иное не предусмотрено законодательством Российской Федерации.

Физическим лицам может быть отказано в доступе к сведениям об органах федеральной службы безопасности, составляющим государственную и иную охраняемую законом тайну, по основаниям, предусмотренным законодательством Российской Федерации о государственной и иной охраняемой законом тайне, либо по соображениям собственной безопасности органов федеральной службы безопасности.

Физические лица допускаются к участию в контрразведывательной деятельности, борьбе с терроризмом и преступностью, разведывательной деятельности, пограничной деятельности и деятельности по обеспечению информационной безопасности, осуществляемой органами федеральной службы безопасности (далее - оперативно-служебная деятельность), и (или) к материалам, полученным в результате осуществления такой деятельности, в порядке, определяемом руководителем федерального органа исполнительной власти в области обеспечения безопасности.

Военнослужащие, федеральные государственные гражданские служащие, работники органов федеральной службы безопасности, а также лица, уволенные из органов федеральной службы безопасности, обязаны соблюдать конфиденциальность информации о деятельности органов федеральной службы безопасности, составляющей профессиональную тайну.

(часть шестая введена Федеральным законом от 31.07.2020 N 279-ФЗ)

К профессиональной тайне органов федеральной службы безопасности относится информация, не содержащая сведений, составляющих государственную и иную охраняемую законом тайну, разглашение (распространение) которой может создать угрозу собственной безопасности органов федеральной службы безопасности и (или) нанести ущерб их репутации.

(часть седьмая введена Федеральным законом от 31.07.2020 N 279-ФЗ)

(часть восьмая введена Федеральным законом от 31.07.2020 N 279-ФЗ)

Документы и материалы, содержащие сведения о военнослужащих, федеральных государственных гражданских служащих, работниках органов федеральной службы безопасности, лицах, оказывающих или оказывавших им содействие на конфиденциальной основе, а также об организации, о тактике, методах и средствах осуществления органами федеральной службы безопасности оперативно-служебной деятельности, подлежат хранению в органах федеральной службы безопасности.

Материалы архивов федеральной службы безопасности, представляющие историческую, научную ценность и рассекречиваемые в соответствии с законодательством Российской Федерации, передаются на хранение в архивы уполномоченного федерального органа исполнительной власти в сфере архивного дела и делопроизводства в порядке, установленном законодательством Российской Федерации.

Для осуществления своей деятельности органы федеральной службы безопасности могут без лицензирования разрабатывать, создавать и эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации, включая средства криптографической защиты.

ГАРАНТ:

См. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденное приказом ФСБ РФ от 9 февраля 2005 г. N 66

Наличие в информационных системах сведений о физических и юридических лицах не является основанием для принятия органами федеральной службы безопасности мер, ограничивающих права указанных лиц.

Порядок учета и использования информации о совершенных правонарушениях, затрагивающих вопросы обеспечения безопасности Российской Федерации, а также сведений о разведывательной и иной деятельности специальных служб и организаций иностранных государств, отдельных лиц, направленной на нанесение ущерба безопасности Российской Федерации, устанавливается нормативными актами федерального органа исполнительной власти в области обеспечения безопасности.

ГАРАНТ:

Противодействие техническим средствам разведки (ПД ТСР) входит в общую систему мер по защите государственной тайны и конфиденциальной информации и представляет собой совокупность согласованных мероприятий, предназначенных для исключения или существенного затруднения добывания противником охраняемых сведений с помощью технических средств разведки.

Особая роль ПД ТСР обусловлена принципиальной открытостью системы управления конкурентов и противников в части каналов получения информации о наших силах и средствах, т.е. добывание информации о противоборствующей стороне предполагает наличие информационных потоков от физических носителей охраняемых сведений к системе управления противника. Кроме того, искажение или снижение качества получаемой информации непосредственно влияет на принимаемые противником решения и, через его систему управления, на способы и приемы исполнения решения, т.е. непосредственный контакт противоборствующих сторон принципиально необходим на этапах добывания информации и исполнения решения, причем добывание информации должно предшествовать принятию решения и его исполнению. Поэтому ПД ТСР должно носить предупреждающий характер.

Содержание

Обнаружение и анализ демаскирующих признаков

В системе технической разведки реализуется обнаружение и анализ демаскирующих признаков.

Обнаружение демаскирующих признаков заключается в выполнении следующих операций:

  • поиск и обнаружение энергии демаскирующих признаков в пространстве, времени, по спектру и т.д.;
  • выделение демаскирующих признаков из искусственных и естественных помех.


Анализ демаскирующих признаков заключается в выполнении следующих мероприятий:

  • распределение демаскирующих признаков различных объектов;
  • оценка параметров демаскирующих признаков;
  • сокращение избыточности информации;
  • регистрация, накопление и классификация демаскирующих признаков;
  • нахождение местоположения источника демаскирующих признаков;
  • распознавание смыслового содержания демаскирующих признаков;
  • выявление охраняемых сведений.


В соответствии с вышеперечисленным главными направлениями снижения эффективности ТСР являются:

  1. Противодействие обнаружению демаскирующих признаков.
  2. Противодействие анализу демаскирующих признаков.

Главные направления снижения эффективности ТСР

При противодействии обнаружению демаскирующих признаков преследуется цель скрытия демаскирующих признаков от ТСР. Другим основным направлением ПД ТСР является техническая дезинформация, которая объединяет все организационно-технические меры противодействия, направленные на затруднение анализа демаскирующих признаков и навязывания противнику ложной информации. Кроме рассмотренных мер, предполагающих нормальное функционирование всех составных частей системы разведки, возможно проведение активных действий по выявлению и выведению из строя элементов системы разведки. Однако, применение данного метода в мирное время ограничено случаями незаконного применения противником технических средств разведки. Таким образом, существуют три основные направления ПД ТСР.

Tcoibl10 1.jpg

Для проведения ПД ТСР необходима ее четкая организация.

Tcoibl10 2.jpg

Организация противодействие техническим средствам разведки (ПД ТСР)

Организация ПД ТСР включает в себя следующие мероприятия:

  1. организация режима и охраны (цель – исключение возможности тайного проникновения на территорию и в помещения посторонних лиц, обеспечение удобства контроля прохода и перемещения сотрудников и посетителей, создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа, контроль соблюдения временного режима труда и пребывания на территорию персонала фирмы, организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и т.д.);
  2. организация работы с сотрудниками (предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами наказания за нарушение правил защиты информации и т.д.);
  3. организация работы с документами (в том числе организация разработки и использования документов и носителей конфиденциальной информации, их учет, хранение, исполнение, возврат, размножение и уничтожение);
  4. организация работы по анализу внутренних и внешних угроз (в том числе выработка мер по обеспечению ее защиты);
  5. организация использования технических средств (в том числе сбора, обработки, накопления и хранения конфиденциальной информации).

Для каждого конкретного случая настоящие организационные мероприятия носят специфическую форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Настоящие организационные мероприятия должны четко планироваться, направляться и осуществляться специально созданным для этих целей структурным подразделением, укомплектованным специалистами по безопасности и защите информации.

Служба безопасности

Функции службы безопасности

Зачастую таким подразделением является служба безопасности, на которую возлагаются следующие функции:

Служба безопасности является самостоятельной организационной единицей предприятия. Возглавляет службу безопасности начальник службы. Организационно служба безопасности состоит из следующих подразделений:

  • подразделение режима и охраны;
  • специальное подразделение обработки документов конфиденциального характера;
  • инженерно-техническое подразделение;
  • информационно-аналитическое подразделение.

В таком составе служба безопасности способна обеспечить защиту от любых угроз.

Tcoibl10 3.jpg

Задачи службы безопасности

К задачам службы безопасности предприятия относятся:

  • определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера;
  • определение участков сосредоточения конфиденциальных сведений;
  • определение круга сторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера;
  • выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям;
  • выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации;
  • разработка системы защиты документов, содержащих сведения конфиденциального характера;
  • определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанным с ним кооперацией;
  • определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;
  • определение уязвимых мест в технологии производственного цикла, несанкционированное изменение в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию (потеря конкурентоспособности);определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и др.;
  • организация их физической защиты и охраны;
  • определение и обоснование мер правовой, организационной, и инженерно-технической защиты предприятия, персонала, продукции и информации;
  • разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности Предприятия;
  • внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности;
  • организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;
  • изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования;
  • разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности.

Организационные меры являются решающим звеном в формировании и реализации защиты информации и создания системы безопасности.

Аннотация: Рассмотрены концептуальные документы Российской Федерации – Стратегия национальной безопасности РФ до 2020 года и Доктрина информационной безопасности РФ. Приведены основные нормативные документы в области защиты информации.

3.1. Государственные органы в области защиты информации

Система государственного регулирования и контроля в области информационной безопасности построена на деятельности специальных государственных органов, к которым относятся:

Комитет Государственной думы по безопасности - структура в Государственной Думе Федерального собрания России, в ведении которой находятся рассмотрение и подготовка законопроектов по вопросам безопасности государства и граждан.

Совет безопасности России - совещательный орган, осуществляющий подготовку решений Президента Российской Федерации по вопросам обеспечения защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, проведения единой государственной политики по обеспечению национальной безопасности.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России)

Федеральная служба безопасности Российской Федерации (ФСБ России)

Служба внешней разведки Российской Федерации (СВР России) - основной орган внешней разведки Российской Федерации.

Министерство обороны Российской Федерации (Минобороны России) - федеральный орган исполнительной власти (федеральное министерство), проводящий государственную политику и осуществляющий государственное управление в области обороны, а также координирующий деятельность федеральных министерств, иных федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации по вопросам обороны.

Министерство внутренних дел Российской Федерации (МВД России) - федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, а также по выработке государственной политики в сфере миграции.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) - федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных , а также функции по организации деятельности радиочастотной службы.

В области технической защиты информации ключевыми органами является ФСБ России и ФСТЭК России.

ФСБ России является федеральным органом исполнительной власти, в пределах своих полномочий осуществляющим государственное управление в области обеспечения безопасности Российской Федерации, защиты и охраны государственной границы Российской Федерации (далее именуется - государственная граница), охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление [3.2]. Руководит ФСБ Президент. При ФСБ России действует Академия криптографии Российской Федерации. Основные цели, задачи и функции ФСБ описаны в "Положении о Федеральной службе безопасности Российской Федерации и ее структуре". Среди перечисленных в данном документе функций процитируем те, которые связаны непосредственно с ТЗИ:

  1. ФСБ определяет порядок осуществления в пределах своих полномочий контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи, за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам.
  2. ФСБ осуществляет и организует в соответствии с федеральным законодательством сертификацию средств защиты информации , систем и комплексов телекоммуникаций , технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации; определяет основные направления деятельности органов федеральной службы безопасности в этих областях.
  3. осуществляет и организует в соответствии с федеральным законодательством лицензирование отдельных видов деятельности [3.2].

ФСБ России имеет право проводить плановые проверки в следующих случаях:

  • представление по запросу отчета по лицензируемым видам деятельности ;
  • представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, в составе которых эксплуатируются системы криптографической защиты информации (СКЗИ);
  • явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.

Другими словами, ФСБ России отвечает за организацию работы с криптографическими (шифровальными) средствами защиты информации и специальными техническими средствами, предназначенными для противодействия утечке по техническим каналам связи. Следует отметить, что ФСБ должна проводить собственные разработки и исследования криптографических и специальных технических средств защиты информации , а также способствовать аналогичным разработкам других организаций Российской Федерации.

Читайте также: