Гортинский
.pdf
|
|
|
|
|
|
|
a. цели обработки персональных данных и ее правовое основание; |
|
|
||||||||||||||||||||||
|
|
|
|
|
|
|
b. предполагаемых пользователях персональных данных; |
|
|
|
|||||||||||||||||||||
|
|
|
|
2. |
|
|
принимать необходимые организационные и технические меры для |
||||||||||||||||||||||||
|
|
защиты персональных данных от неправомерного или случайного доступа к |
|||||||||||||||||||||||||||||
|
|
ним, уничтожения, изменения, блокирования, |
копирования, распространения |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
персональных данных, а также от иных неправомерных действий. ст. 17 ФЗо"О |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
|
|
|
|
лицензировании отдельных видов деятельности" деятельность по техническойв |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
защите конфиденциальной информации подлежит обязательному лицензироваш |
- |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
нию в порядке и на условиях, определяемых Положением о лицензированиир |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
|
|
|
|
|
|
деятельности по технической защите конфиденциальной .информации, утвер- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
|
|
|
|
|
|
|
|
жденным Постановлением Правительства РФ от 30 апреля 2002 г. N 290. Кон- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
троль за этим осуществляет ФСТЭК; |
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
3. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
по запросу субъекта безвозмездно |
мпредоставить имеющие ПДн о |
||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
нем, и в случае их несоответствия действит льности или не соответствия заяв- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ленной цели накопления, а так же в случае неправомерного их получения изме- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
нить их, блокировать или уничтожить. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
у |
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Контролирующие органы нведут реестр операторов ПДн, проверяют соот- |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ветствие защиты систем хранения и обработки ПДн классу хранимых данных. |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Плановые мероприятиянпо контролю в отношении каждого оператора прово- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
дятся не чаще 1-го разат в 2-а года. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
д |
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ниже в организационных основах защиты ПДн, мы будем рассматривать |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
более подр сбно вопросы издания организационно-распорядительной докумен- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тации |
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
организации защиты информации. Сейчас упомянем только, что в связи |
|||||||||||||||||||||||||||
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
к |
|
|
|
|
требованиями требуется осуществить следующую схему дейст- |
|||||||||||||||||||||||
|
|
с указаннымис |
|||||||||||||||||||||||||||||
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
твий. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ра |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
|
• |
|
|
|
Уведомить уполномоченный орган по защите прав субъектов пер- |
||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
С |
|
сональных данных о своем намерении осуществлять обработку персональных |
|||||||||||||||||||||||||||||
|
|
данных (как правило, это федеральная служба по надзору в сфере связи, ин-
формационных технологий и массовых коммуникаций).
•Разработать документы, регламентирующие обработку персональ-
|
|
|
ных данных в организации (положение по обработке персональных данных, |
||||||||||||||||||||||||||||||
|
|
|
регламенты, положения по защите персональных данных). |
|
|
|
|
|
|
|
|
||||||||||||||||||||||
|
|
|
|
|
|
• |
Создать систему защиты персональных данных, в т.ч. выполненить |
||||||||||||||||||||||||||
|
|
|
требования по инженерно-технической защите помещений. |
|
|
|
|
|
|
|
о |
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
• |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
|
|
|
Аттестовать или декларировать соответствие информационной сисо - |
|||||||||||||||||||||||||||
|
|
|
темы персональных данных требованиям безопасности информации. |
е |
с |
|
|||||||||||||||||||||||||||
|
|
|
в |
|
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
• |
Систематически повышать квалификацию сотрудниковшв области |
||||||||||||||||||||||||||
|
|
|
защиты персональных данных. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
р |
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
) представляют |
||||||
|
|
|
|
|
|
Информационные системы персональных данных (ИСПДн. |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
|
|
|
|
|
|
|
|
|
|
|
|
собой подкласс автоматизированных информационных систем (АИС). Поэтому |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
основные определяющие суть исследования положе ия будем брать не только |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
е |
|
для регулирования отно- |
||||||||||
|
|
|
из нормативных актов, специально предназначенныхм |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
шений в области оборота ПДн, и для АИС или АС (автоматизированных сис- |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тем). |
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Федеральный закон от 27 декабря 2002 г. N 184-ФЗ «О техническом |
|
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
» |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
регулированиин |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Принят с целью регулирования правоотношений, возникающих при раз- |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
е |
н |
|
|
технических средств, применение которых |
||||||||||||||||||||
|
|
|
работке, принятии и эксплуатациин |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
связано с безопаснотью. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
д |
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Вводит такиеа понятия как: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
- официальное признание органом по аккредитации ком- |
||||||||||||||||||||||||
|
|
|
|
|
|
аккредитацияс |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
петентности физического или юридического лица выполнять работы в опреде- |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
области оценки соответствия; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
леннойс |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
безопасность - состояние, при котором отсутствует недопустимый риск, |
||||||||||||||||||||||||||||
|
|
|
т |
|
|||||||||||||||||||||||||||||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
связанный с причинением вреда жизни или здоровью граждан, имуществу фи- |
|||||||||||||||||||||||||||||||
С |
|
|
|||||||||||||||||||||||||||||||
|
|
зических или юридических лиц, государственному или муниципальному иму- |
|||||||||||||||||||||||||||||||
|
|
|
ществу, окружающей среде, жизни или здоровью животных и растений;
декларирование соответствия - форма подтверждения соответствия продукции требованиям технических регламентов;
|
|
|
|
|
сертификация - форма осуществляемого органом по сертификации под- |
|||||||||||||||||||||||||
|
|
|
тверждения соответствия объектов требованиям технических регламентов, по- |
|||||||||||||||||||||||||||
|
|
|
ложениям стандартов или условиям договоров; |
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
Устанавливает требования по которым, технические средства и процессы, |
|||||||||||||||||||||||||
|
|
|
использование которых связано с вопросами безопасности, могут быть произ- |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
|
|
|
|
ведены, воспроизведены или применены. |
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
|
|
|
|
|
|
В статье 7. Содержание и применение технических регламентов, пв.3. ука- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
зывает, что оценка соответствия (средства или процесса) проводитсяшв формах |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
государственного контроля (надзора), аккредитации, испытанияр, регистрации, |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
объекта, строи- |
|||
|
|
|
подтверждения соответствия, приемки и ввода в эксплуатацию. |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
|
|
|
|
|
|
|
|
|
|
тельство которого закончено, и в иной форме. Это означает, что компьютерные |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
средства, которые хранят и обрабатывают персональ ые данные, а так же сред- |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
е |
|
|
пройти в той или иной |
||||||
|
|
|
ства и процедуры обеспечения безопасности, должным |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
форме, установленной законодательно, испытания и быть зарегистрировано. |
|
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Здесь фактически идет речь о сертификации продукции и в ст. 26. указы- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
вается порядок сертификации. |
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
у |
|
|
следующий Закон о лицензировании от- |
||||||||||||||||
|
|
|
|
|
В совокупности с этим Закономн |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
дельных видов деятельности позволяют создать правовую основу системы га- |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
рантирующей, что сист нмы и услуги хранения, обработки, передачи и защиты |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
персональных данныхтнаходятся на должном уровне и обеспечивают соблюде- |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
д |
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ние интересов, как субъектов, так и потребителей персональных данных. |
|
|
|||||||||||||||||||||||||
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
Закон от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных |
|
|||||||||||||||||||||
|
|
|
|
Федеральныйс |
|
|||||||||||||||||||||||||
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
видов деятельности» |
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
к |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
сСлужит для стандартизации в области соответствия требованиям безо- |
|||||||||||||||||||||||||
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тпасности продуктов и услуг в том числе и информационных. |
|
|
|
|
|
||||||||||||||||||||||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
|
|
Определяет основные понятия: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
С |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
"… 1) лицензирование - деятельность лицензирующих органов по пре- |
||||||||||||||||||||||||||
|
|
|
|
|
||||||||||||||||||||||||||
|
|
|
доставлению, переоформлению лицензий, продлению срока действия лицензий |
|||||||||||||||||||||||||||
|
|
|
в случае, если ограничение срока действия лицензий предусмотрено федераль- |
|||||||||||||||||||||||||||
|
|
|
ными законами, осуществлению лицензионного контроля, |
приостановлению, |
|
|
|
возобновлению, прекращению действия и аннулированию лицензий, формиро- |
||||||||||||||||||||||||||||
|
|
|
ванию и ведению реестра лицензий, формированию государственного инфор- |
||||||||||||||||||||||||||||
|
|
|
мационного ресурса, а также по предоставлению в установленном порядке ин- |
||||||||||||||||||||||||||||
|
|
|
формации по вопросам лицензирования; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
2) лицензия - специальное разрешение на право осуществления юридиче- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
ским лицом или индивидуальным предпринимателем конкретного вида одея- |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
|
|
|
|
тельности (выполнения работ, оказания услуг, составляющих лицензируемыйв |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
вид деятельности), которое подтверждается документом, выданн |
мшлицензи- |
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
документа, |
||||
|
|
|
рующим органом на бумажном носителе или в форме электронногор |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
|
о предостав- |
||||
|
|
|
подписанного электронной подписью, в случае, если в заявлении. |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
|
|
|
|
|
|
|
|
|
|
|
лении лицензии указывалось на необходимость выдачи такого документа в |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
форме электронного документа; |
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3) лицензируемый вид деятельности - видм деятельности, на осуществ- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ление которого на территории Российской Ф дерации требуется получение ли- |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
цензии в соответствии с настоящим Федеральным законом, в соответствии с |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
федеральными законами, указанными в части 3 статьи 1 настоящего Федераль- |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
у |
и |
|
|
|
|
|
в соответствующих сферах деятель- |
|||||||||||||
|
|
|
ного закона и регулирующими отношениян |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ности; |
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4) лицензирующиенорганы - уполномоченные федеральные органы ис- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
полнительной вла титили их территориальные органы и в случае передачи осу- |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
д |
р |
Российской Федерации в области лицензирования ор- |
|||||||||||||||||||||
|
|
|
ществления полномочийа |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
о |
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ганам государственной власти субъектов Российской Федерации органы испол- |
||||||||||||||||||||||||||||
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
нительной власти субъектов Российской Федерации, осуществляющие лицен- |
||||||||||||||||||||||||||||
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зированиес ; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
… |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
|
|
|
6) лицензиат - юридическое лицо или индивидуальный предпринима- |
||||||||||||||||||||||||||
С |
|
|
|
|
|
||||||||||||||||||||||||||
|
|
тель, имеющие лицензию;" |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Статья 12. Закона устанавливает перечень видов деятельности, на осуще-
ствление которых требуются лицензии. В контексте нашей тематики нас инте-
ресуют следующие виды:
|
|
|
|
|
1) разработка, производство, распространение шифровальных (крипто- |
||||||||||||||||||||||||||||||
|
|
|
графических) средств, информационных систем и телекоммуникационных сис- |
||||||||||||||||||||||||||||||||
|
|
|
тем, защищенных с использованием шифровальных (криптографических) |
||||||||||||||||||||||||||||||||
|
|
|
средств, выполнение работ, оказание услуг в области шифрования информации, |
||||||||||||||||||||||||||||||||
|
|
|
техническое обслуживание шифровальных (криптографических) средств, ин- |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
|
формационных систем и телекоммуникационных систем, защищенных соис- |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
|
|
|
|
|
пользованием шифровальных (крипто графических) средств (за исключениемв |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
случая, если техническое обслуживание шифровальных (криптографическихш |
) |
|||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
, защищен- |
|||
|
|
|
средств, информационных систем и телекоммуникационных системр |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
|
|
|
|
|
|
|
|
ных с использованием шифровальных (криптографических.) средств, осуществ- |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
|
|
|
|
|
|
|
|
|
|
ляется для обеспечения собственных нужд юридического лица или индивиду- |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
ального предпринимателя); |
|
|
|
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
2) разработка, производство, реализация |
мприобретение в целях продажи |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
специальных технических средств, предназначенных для негласного получения |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
информации; |
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3) деятельность по выявлению электронных устройств, предназначенных |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
у |
и |
|
|
|
(за исключением случая, если указанная |
||||||||||||||||
|
|
|
для негласного получения информациин |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
деятельность осуществляется для обеспечения собственных нужд юридическо- |
||||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
го лица или индивидуального предпринимателя); |
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4) разработка ти производство средств защиты конфиденциальной инфор- |
||||||||||||||||||||||||||||||
|
|
|
мации; |
|
|
д |
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
у |
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
о |
|
|
|
по технической защите конфиденциальной информации; |
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||||||
|
|
|
|
|
5) деятельностьс |
|
|||||||||||||||||||||||||||||
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
36) оказание услуг связи; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с38) деятельность по изготовлению экземпляров аудиовизуальных произ- |
||||||||||||||||||||||||||||||
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тведений, программ для электронных вычислительных машин, баз данных и фо- |
||||||||||||||||||||||||||||||||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
нограмм на любых видах носителей (за исключением случаев, если указанная |
|||||||||||||||||||||||||||||||||
С |
|
|
|||||||||||||||||||||||||||||||||
|
|
деятельность самостоятельно осуществляется лицами, обладающими правами |
|||||||||||||||||||||||||||||||||
|
|
|
на использование данных объектов авторских и смежных прав в силу феде-
рального закона или договора);
|
|
|
|
|
|
Основными лицензирующими органами в области защиты информации |
||||||||||||||||||||||||||||
|
|
|
являются Федеральная |
служба по техническому и |
экспортному |
контролю |
||||||||||||||||||||||||||||
|
|
|
(ФСТЭК) и ФСБ. ФСБ ведает всем, что связано с криптографией, ФСТЭК ли- |
|||||||||||||||||||||||||||||||
|
|
|
цензирует деятельность по защите конфиденциальной информации. Эти же ор- |
|||||||||||||||||||||||||||||||
|
|
|
ганизации возглавляют работы по сертификации средств соответствующей на- |
|||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
|
|
|
|
правленности. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
|
|
|
|
|
|
|
Таким образом, технические и программные средства, использу мыев для |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
||
|
|
|
защиты конфиденциальной информации, в том числе и персональн |
шх данных, |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
|
на это ли- |
||
|
|
|
должны разрабатываться и внедряться организациями, имеющимир |
|||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
|
используют |
|||
|
|
|
цензию ФСТЭК, а если эти средства для защиты информации. |
|||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
Г |
|
|
|
|
|
|
|
|
|
криптографические преобразования, - то лицензию ФСБ.Сами средства долж- |
|||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
ны иметь сертификат соответствия той степени защиты для какой категории |
|||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
е |
|
. Проверку соответствия |
|||||||
|
|
|
конфиденциальности информации они используютсям |
|||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
производят соответствующие аккредитованные предприятия и организации. |
|
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
При аттестации объекта информатизации аттестуемая и аттестующая ор- |
||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ганизации руководствуются следующим документом: |
|
|
|
|
|
|
|
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Тема 3. НОРМАТИВНЫЕ АКТЫ, СЛУЖАЩИЕ ОСНОВАНИЕМ ДЛЯ НОРМА- |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
ДОКУМЕНТАЦИИ ПО ЗАЩИТЕ АВТОМА- |
||||||||||||||||||
|
|
|
|
ТИВНО-РАСПОРЯДИТЕЛЬНОЙн |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
ТИЗИРОВАННЫХ СИСТЕМ |
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
р |
т |
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
д |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Положениеапо аттестации объектов информатизации по требованиям |
|
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
безопаснсти информации (Утверждено председателем Государственной |
|
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
технической комиссии при Президенте Российской Федерации |
|
|
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
к |
|
|
|
|
|
|
25 ноября 1994 г.) |
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
Аттестация проводится органом по аттестации в установленном настоя- |
|||||||||||||||||||||||||||||
|
|
|
т |
|
||||||||||||||||||||||||||||||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
щим Положением порядке в соответствии со схемой, выбираемой этим органом |
||||||||||||||||||||||||||||||||
С |
|
|
||||||||||||||||||||||||||||||||
|
|
на этапе подготовки к аттестации из следующего основного перечня работ: |
|
|||||||||||||||||||||||||||||||
|
|
|
|
-анализ исходных данных по аттестуемому объекту информатизации;
-предварительное ознакомление с аттестуемым объектом информатиза-
ции;
|
|
|
|
- проведение экспертного обследования объекта информатизации и ана- |
|||||||||||||||||||||||||
|
|
|
лиз разработанной документации по защите информации на этом объекте с |
||||||||||||||||||||||||||
|
|
|
точки зрения ее соответствия требованиям нормативной и методической доку- |
||||||||||||||||||||||||||
|
|
|
ментации; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- проведение испытаний отдельных средств и систем защиты информации |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
на аттестуемом объекте информатизации с помощью специальной контрольной |
||||||||||||||||||||||||||
|
|
|
аппаратуры и тестовых средств; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
- проведение испытаний отдельных средств и систем защиты информацииш |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
защиты ин- |
||
|
|
|
в испытательных центрах (лабораториях) по сертификации ср дствр |
||||||||||||||||||||||||||
|
|
|
формации по требованиям безопасности информации; |
|
|
|
Ч |
|
|
|
|
||||||||||||||||||
|
|
|
|
|
. |
|
|
|
|
||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
|
|
|
|
|
|
|
|
|
|
|
- проведение комплексных аттестационных испытаний объекта информа- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
тизации в реальных условиях эксплуатации; |
|
|
н |
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
и комплексных аттеста- |
||||||||
|
|
|
|
- анализ результатов экспертного обследованиям |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ционных испытаний объекта информатизации и утверждение заключения по |
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
результатам аттестации. |
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Только после получения аттестата соответствия организация может на- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
у |
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
чать обработку конфиденциальнойн информации, к которым относятся и персо- |
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
нальные данные. |
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Руководящий документн. «Концепция защиты средств вычислительной техники |
||||||||||||||||||||||||||
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
систем от несанкционированного доступа к |
|
|
|||||||||||||||||
|
|
|
|
и автоматизированныхт |
|
|
|||||||||||||||||||||||
|
|
|
|
|
|
д |
р |
|
решением Государственной технической комиссии |
||||||||||||||||||||
|
|
|
|
информации» (Утвержденаа |
|||||||||||||||||||||||||
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
присПрезиденте Российской Федерации от 30 марта 1992 г.) |
|
|
||||||||||||||||||||||
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
Концепция |
является методологической |
|
базой нормативно- |
||||||||||||||||||||
|
|
|
|
Данная |
|
||||||||||||||||||||||||
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
и методических документов, направленных на решение следую- |
|||||||||||||||||||||||
|
|
|
техническихс |
||||||||||||||||||||||||||
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тщих задач: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
|
- выработка требований по защите средств вычислительной техники |
||||||||||||||||||||||||||
С |
|
|
|
||||||||||||||||||||||||||
|
|
(СВТ) и автоматизированных систем (АС) от несанкционированного доступа |
|||||||||||||||||||||||||||
|
|
|
(НСД) к информации;
-создание защищенных от НСД к информации СВТ и АС;
-сертификация защищенных СВТ и АС (п.1.3.)
Вэтом документе дается определение НСД:
Вп. 2.2. НСД определяется как доступ к информации, нарушающий уста-
|
|
|
новленные правила разграничения доступа, с использованием штатных средств, |
||||||||||||||||||||||||||||||
|
|
|
предоставляемых СВТ или АС. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
Непосредственно о защите в данном документе указывается несколько |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
|
|
|
|
основополагающих моментов: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
|
|
|
|
|
|
- защита АС обеспечивается комплексом программно-техническихв |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
средств и поддерживающих их организационных мер; |
|
|
|
|
н |
ш |
|
|
|
|||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
эта- |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
- ст. 3.4. защита АС должна обеспечиваться на всех технологическихр |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
|
, в том числе |
|||||
|
|
|
пах обработки информации и во всех режимах функционирования. |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
при проведении ремонтных и регламентных работ; |
|
|
Н |
|
|
|
|
|
|
|
|
|
||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- ст. 3.5. программно-технические средства защиты не должны сущест- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
е |
|
|
|
|
АС (надежность, |
|||||||
|
|
|
венно ухудшать основные функциональные характеристиким |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
быстродействие, возможность изменения конфигурации АС); |
|
|
|
|
|
|
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- в ст. 3.6. указывается о необходимости оценки эффективности средств |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
защиты; |
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- в ст. 3.7. указывается, чтоннеобходим постоянный контроль эффективно- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
сти средств защиты от НСД. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
В параграфе 4. Дантся вводится модели нарушителя. В последующих до- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
будет играть важную роль. На ее основе будет стро- |
|||||||||||||||||||||||
|
|
|
кументов данное понятиет |
||||||||||||||||||||||||||||||
|
|
|
|
|
|
|
д |
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
иться модель угроза в свою очередь являющаяся основой для построения систе- |
||||||||||||||||||||||||||||||
|
|
|
|
|
о |
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
мы защиты.с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
В параграфе 6. Указываются основные направления защиты, которые в |
|||||||||||||||||||||||||||||
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
буду детализированы в документах «Основные мероприятия по |
|||||||||||||||||||||||||||
|
|
|
дальнейшемс |
||||||||||||||||||||||||||||||
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
торганизации и техническому обеспечению безопасности персональных данных, |
||||||||||||||||||||||||||||||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
обрабатываемых в информационных системах персональных данных» и «Пока- |
|||||||||||||||||||||||||||||||
С |
|
|
|||||||||||||||||||||||||||||||
|
|
затели защищенности от несанкционированного доступа к информации». |
|
|
|
||||||||||||||||||||||||||||
|
|
|
|
|
|
Таковыми являются:
- разграничение доступа в том числе и к устройства реализации твердых копий,
|
|
|
|
|
|
- изоляция процессов, запущенный субъектом доступа, |
|
|
|
|
|
|
||||||||||||||||||||
|
|
|
|
|
|
- установление разрешительной системы доступа, |
|
|
|
|
|
|
|
|||||||||||||||||||
|
|
|
|
|
|
- идентификация субъекта, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
- регистрация действий субъекта, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
- очистка памяти после завершения работы программ, |
|
|
|
|
|
о |
||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
- учет носителей копий, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
|
|
|
|
|
|
|
|
- использование криптографических методов для защиты информациив . |
|
|
||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
Далее в этом документе указывается, что для разработки требованийш |
|
по |
||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
|
защите АС требуется их классификация, основывающаяся на црнности инфор- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
|
системе. |
|
|
|
|
|
|
мации и вероятности получения доступа к ней в каждой конкретной. |
|
|
|||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
|
|
|
|
|
|
|
|
|
|
|
|
|
Классификация необходима для более детальной, дифференцированной |
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
разработки требований по защите от НСД с учетом специфических особенно- |
|||||||||||||||||||||||||||||
|
|
|
стей этих систем. |
|
|
|
|
|
|
|
|
|
|
|
и |
е |
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
м |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
В основу системы классификации АС должны быть положены следую- |
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
щие характеристики объектов и субъектов защиты, а также способов их взаи- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
модействия: |
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
у |
|
|
|
|
|
ценность информации, |
ее объем и |
||||||||||||||
|
|
|
|
|
|
- информационные, определяющиен |
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
степень (гриф) конфиденциальности, а также возможные последствия непра- |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
вильного функционирования АС из-за искажения (потери) информации; |
|
|
|
||||||||||||||||||||||||||
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
, определяющие полномочия пользователей; |
|
|
|
||||||||||||||||||||
|
|
|
|
|
|
- организационныет |
|
|
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
д |
р |
, определяющие условия обработки информации, на- |
|||||||||||||||||||||||
|
|
|
|
|
|
- технологическиеа |
||||||||||||||||||||||||||
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пример, спсоб обработки (автономный, мультипрограммный и т.д.), время |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
циркуляции (транзит, хранение и т.д.), вид АС (автономная, сеть, стационарная, |
|||||||||||||||||||||||||||||
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
и т.д.) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
подвижнаяс |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
Так же в данном документе указываются основы организация работ по |
|||||||||||||||||||||||||||
|
|
|
т |
|
||||||||||||||||||||||||||||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
защите от НСД. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
С |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Для упорядочивания используемой терминологии в ряде руководящих |
|||||||||||||||||||||||||||
|
|
|
|
|
|
документов был принят специальный документ.
|
|
|
|
|
Руководящий документ «Защита от несанкционированного доступа к |
|
|
|||||||||||||||||||||
|
|
|
|
информации». Термины и определения. (Утверждено решением председателя |
|
|||||||||||||||||||||||
|
|
|
|
|
|
|
Гостехкомиссии России от 30 марта 1992 г.) |
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
Его содержание мы не рассматриваем, поскольку необходимые термины |
|||||||||||||||||||||||
|
|
|
будут пояснены по мере необходимости при рассмотрении других документов. |
|
||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
с |
за- |
|
|
|
|
|
|
Планированием, организацией и защитой информации в организациив |
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
нимаются конкретные люди. Они организованы в структурные и межструктурш |
- |
||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
является ру- |
||||
|
|
|
ные подразделения. Главным ответственным лицом в организациир |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ч |
|
о контроли- |
|||
|
|
|
ководитель этой организации. Наиболее важным организующим. |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н |
|
|
|
|
|
|
|
|
|
|
рующим межструктурным органом является постоянно действующая техниче- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
н |
|
|
|
|
|
|
|
|
|
|
|
|
ская комиссия (ПДТК). В нее входит один из заместителей руководителя и ряд |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
е |
|
|
|
|
|
|
|
|
|
|
|
|
должностных лиц соответствующих отделов, мответственных за обеспечение |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
безопасности, например: отдела кадров, отд ла безопасности, отдела информа- |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тизации. |
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ПДТК отслеживает основные мероприятия по обеспечению информаци- |
|||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
у |
и |
|
|
|
|
|
утверждает ряд организационно- |
||||||||||||
|
|
|
онной безопасности. Ее председательн |
|||||||||||||||||||||||||
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
распорядительных и информационных документов. |
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
е |
н |
|
|
|
|
|
|
органа вводится, поскольку оно будет |
|||||||||||||
|
|
|
|
|
Понятие данного межструктурногон |
|||||||||||||||||||||||
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
использовано в рядетпоследующих документов. |
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
д |
р |
приказом руководителя, ее деятельность регламенти- |
||||||||||||||||||||
|
|
|
|
|
ПДТК объявляетсяа |
|||||||||||||||||||||||
|
|
|
|
|
|
у |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
руется пол сжением, а состав соответствующим распоряжением, которые так же |
|||||||||||||||||||||||||
|
|
|
|
|
|
г |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
утверждает руководитель. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
к |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
сСледующим логическим шагом к построению системы защиты информа- |
|||||||||||||||||||||||
|
|
|
|
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
тции стало принятие нижеследующего документа. |
|
|
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
р |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
С |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|