Comité Estatal de Aduanas dependiente del Presidente de la Federación de Rusia. Reglamento sobre el sistema estatal de protección de la información en la Federación de Rusia contra la inteligencia técnica extranjera y contra su filtración a través de canales técnicos.

Comité Estatal de Aduanas bajo la presidencia de la Federación Rusa. Reglamento sobre el sistema estatal de protección de la información en la Federación de Rusia contra la inteligencia técnica extranjera y contra su filtración a través de canales técnicos.

Aprobado por resolución del Consejo de Ministros &#8212 ;

Gobierno de la Federación de Rusia desde

15 de septiembre de 1993>p>

Comisión Técnica Estatal bajo la presidencia de la Federación de Rusia

REGLAMENTO

& #171;Sobre el sistema estatal para proteger la información en la Federación de Rusia de la inteligencia técnica extranjera y de su filtración a través de canales técnicos»

( Extractos)

I. DISPOSICIONES GENERALES

1. Esta disposición es un documento de implementación obligatoria al realizar trabajos para proteger información que contenga información que constituya secretos de estado o oficiales en los órganos (aparatos, administraciones) de las autoridades representativas, ejecutivas y judiciales de la Federación de Rusia, repúblicas dentro de la Federación de Rusia. , región autónoma, okrugs autónomos, territorios, regiones, ciudades de Moscú y San Petersburgo y en los gobiernos locales (en adelante, — autoridades estatales), en empresas y en sus asociaciones, instituciones y organizaciones, independientemente de su condición jurídica. forma y forma propiedad (en lo sucesivo denominadas — empresas).

2. El Reglamento determina la estructura del sistema estatal de protección de la información en la Federación de Rusia, sus tareas y funciones, la base para organizar la protección de la información clasificada de la manera prescrita como secreto de estado u oficial, de la inteligencia técnica extranjera y de las filtraciones a través de canales técnicos. (en adelante, “protección de la información”).

3. El trabajo sobre la protección de la información en los organismos gubernamentales y las empresas se lleva a cabo sobre la base de las leyes de la Federación de Rusia.

4. La protección de la información se lleva a cabo mediante la implementación de un conjunto de medidas para evitar la fuga de información a través de canales técnicos, el acceso no autorizado a ella, evitar influencias deliberadas de software y hardware con el fin de destruir (destrucción) o distorsión de la información durante el procesamiento, transmisión y almacenamiento. , para contrarrestar la inteligencia técnica extranjera, así como mediante la realización de trabajos especiales, cuyo orden de organización y ejecución será determinado por el Consejo de Ministros — El Gobierno de la Federación de Rusia.

5. Las medidas de protección de la información son parte integral de las actividades de gestión, científicas y productivas y se llevan a cabo en conjunto con otras medidas para asegurar el régimen establecido de secreto del trabajo que se realiza.

6. Las principales direcciones de trabajo en materia de protección de la información son:

garantizar una gestión eficaz del sistema de seguridad de la información;

identificar la información protegida de los medios de inteligencia técnica y desenmascarar los signos que revelen esta información;

análisis y evaluación del peligro real de interceptación de información por medios técnicos de inteligencia, acceso no autorizado, destrucción (destrucción) o distorsión de información a través de influencias deliberadas de software y hardware durante su procesamiento, transmisión y almacenamiento en medios técnicos, identificación de posibles canales técnicos de fuga de información que está sujeta a protección;

desarrollo de medidas organizativas y técnicas para la protección de la información y su implementación;

organización y seguimiento del estado de la protección de la información.

7. Las principales medidas organizativas y técnicas para la protección de la información son:

conceder licencias para las actividades de las empresas en el campo de la protección de la información;

certificación de instalaciones para cumplir con los requisitos para garantizar la protección de la información al realizar trabajos con información del grado apropiado de secreto;

certificación de herramientas de seguridad de la información y control sobre su efectividad, sistemas y medios de informatización y comunicación en condiciones de seguridad de la información contra fugas a través de canales técnicos

categorización de armas y equipos militares, empresas (instalaciones) según el grado de importancia de la protección de la información en las esferas de defensa, económica, política, científica, técnica y otras; de la actividad estatal;

asegurar las condiciones para la protección de la información durante la preparación e implementación de tratados y acuerdos internacionales;

notificación de sobrevuelos de vehículos espaciales y aéreos, barcos y embarcaciones que realicen reconocimiento de objetos (interceptación de información sujeta a protección) ubicados en el territorio de la Federación de Rusia;

introducción de derechos territoriales , frecuencia, energía, restricciones espaciales y temporales en los modos de utilización de los medios técnicos sujetos a protección;

creación y aplicación de sistemas de información y control automatizado en un diseño seguro;

desarrollo e implementación de soluciones técnicas y elementos de seguridad de la información en la creación y operación de armas y equipos militares, en el diseño, construcción (reconstrucción) y operación de instalaciones, sistemas y medios de información y comunicación;

desarrollo de medios para proteger la información y monitorear su efectividad (aplicación especial y general) y su uso;

el uso de métodos especiales, medidas técnicas y medios de protección que excluyen la interceptación de la información transmitida a través de canales de comunicación.

8. Se desarrollan métodos, técnicas y medidas específicas para proteger la información en función del grado de posible daño en caso de su fuga, destrucción (destrucción).

9. No está permitido realizar cualquier actividad y trabajo utilizando información clasificada como secreto de estado o secreto oficial sin tomar las medidas necesarias para proteger la información.

II. SISTEMA ESTATAL DE PROTECCIÓN DE LA INFORMACIÓN

10. Las principales tareas del sistema estatal de protección de la información:

realizar una política técnica unificada, organizar y coordinar el trabajo en materia de información. protección en defensa y campos de actividad económicos, políticos, científicos, técnicos y otros;

exclusión o dificultad significativa para obtener información por medios de inteligencia técnica, así como evitar su filtración a través de canales técnicos, el acceso no autorizado a la misma, evitar influencias deliberadas de software y hardware con el objetivo de destruir (destruir) o distorsionar la información durante su procesamiento, transmisión y almacenamiento;

adoptar dentro de la competencia de los actos jurídicos que regulan las relaciones en el ámbito de la protección de la información;

análisis del estado y previsión de las capacidades de los medios técnicos de inteligencia y los métodos de su uso, formación de un sistema de intercambio de información sobre el conocimiento de los servicios de inteligencia extranjeros;

organización de fuerzas, creación de medios de proteger la información y monitorear su efectividad;

monitorear el estado de la protección de la información en agencias y empresas gubernamentales.

18. del trabajo de protección de la información en las empresas lo llevan a cabo sus directivos.

Dependiendo del alcance del trabajo sobre protección de la información, el director de la empresa crea una unidad estructural para la protección de la información o nombra especialistas a tiempo completo en estos asuntos.

Las unidades de protección de la información (especialistas a tiempo completo) en las empresas llevan a cabo medidas para proteger la información durante el desempeño del trabajo utilizando información clasificada como secretos oficiales o de estado, determinan, junto con el cliente del trabajo, las principales direcciones de protección integral de la información, participan en la coordinación de asignaciones técnicas (tácticas y técnicas) para el trabajo, dar una opinión sobre la posibilidad de realizar trabajos con información que contenga información clasificada como secreto de estado o oficial.

Las unidades especificadas (especialistas de tiempo completo ) reportar directamente al jefe de la empresa o su suplente. Los empleados de estas divisiones (especialistas a tiempo completo) tienen salarios iguales a las categorías correspondientes de empleados de las principales divisiones estructurales.

Para realizar trabajos en seguridad de la información, se pueden contratar mediante contrato empresas especializadas que tengan licencias para el derecho a realizar trabajos en el campo de la seguridad de la información.

19. el campo de la seguridad de la información debe obtener una licencia adecuada para un determinado tipo de actividad. Las licencias las emiten la Comisión Técnica Estatal de Rusia y la Agencia Federal de Comunicaciones e Información Gubernamentales de acuerdo con sus competencias y previa recomendación de una autoridad gubernamental.

20. Las instituciones de educación superior y los institutos de formación avanzada para la formación y reciclaje de personal en el campo de la seguridad de la información realizan:

formación inicial de especialistas en seguridad integral de la información;

reciclaje (formación avanzada) de especialistas en protección de la información de autoridades y empresas públicas;

mejora de los conocimientos de los jefes de autoridades y empresas públicas en el campo de la seguridad de la información.

La formación del personal para el sistema estatal de protección de la información se lleva a cabo bajo la dirección metodológica de la Comisión Técnica Estatal de Rusia.

III. ORGANIZACIÓN DE LA PROTECCIÓN DE LA INFORMACIÓN EN SISTEMAS Y MEDIOS DE INFORMACIÓN Y COMUNICACIÓN

21.La protección de la información en los sistemas y medios de información y comunicación es parte integral del trabajo sobre su creación, operación y se lleva a cabo en todos los órganos y empresas gubernamentales que tienen información que contiene información clasificada como secreto de estado o oficial.

22. Los requisitos para la protección de la información en sistemas y medios de informatización y comunicación los determinan los clientes junto con los desarrolladores en la etapa de preparación y aprobación de las decisiones del Consejo de Ministros-Gobierno de la Federación de Rusia, órdenes y directivas, planes y programas de trabajo. , especificaciones técnicas y tácticas y técnicas para la investigación, desarrollo (modernización), pruebas, producción y operación (aplicación) sobre la base de normas, documentos regulatorios, técnicos y metodológicos aprobados por el Comité de Normalización, Metrología y Certificación de la Federación de Rusia, el Estado. Comisión Técnica dependiente del Presidente de la Federación de Rusia y otros órganos gubernamentales de acuerdo con su competencia. Estos requisitos se coordinan con los departamentos de seguridad de la información.

23. La organización de la protección de la información en los sistemas y medios de informatización y comunicación recae en los jefes de organismos y empresas gubernamentales, clientes y desarrolladores de sistemas y medios de información y comunicación, jefes de departamentos que operan estos sistemas y medios, y la responsabilidad de garantizar la protección de la información — directamente al usuario (consumidor) de la información.

24. Con el fin de garantizar la protección de la información en los sistemas y medios de información y comunicación, ESTÁN SUJETOS A PROTECCIÓN:

recursos de información que contienen información clasificada como secretos oficiales o de estado, presentados en forma de medios magnéticos y ópticos, campos físicos informativos, conjuntos de información y bases de datos;

herramientas y sistemas de tecnología de la información (tecnología informática, complejos, redes y sistemas de información e informática), software (sistemas operativos, sistemas de gestión de bases de datos, otro software de aplicación y de todo el sistema), sistemas de control automatizados, sistemas de comunicación y transmisión de datos, medios tecnicos recepción , transmisión y procesamiento de información (grabación de sonido, amplificación de sonido, reproducción de sonido, dispositivos de intercomunicación y televisión, medios de producción, replicación de documentos y otros medios técnicos de procesamiento de información gráfica, semántica y alfanumérica) utilizados para procesar información que contiene información relacionada con el estado. o secreto oficial;

medios y sistemas técnicos que no procesan información, pero que están ubicados en locales donde se procesa (circula) información que contiene información clasificada como secreto de estado o oficial, así como los propios locales destinados a realizar negociaciones secretas.

25. Los objetivos de la protección de la información son:

prevención de la fuga de información a través de canales técnicos;

prevención de la destrucción no autorizada, distorsión, copia y bloqueo de información en los sistemas de información;

cumplimiento del régimen legal para el uso de matrices, programas de procesamiento de información, asegurando la integridad, integridad y confiabilidad de la información en sus sistemas de procesamiento;

preservando la capacidad de controlar el proceso de procesamiento y uso de la información.

26. La protección de la información se lleva a cabo:

impidiendo la interceptación por medios técnicos de la información transmitida a través de canales de comunicación;

prevenir la fuga de información procesada debido a radiación electromagnética lateral e interferencias creadas por medios técnicos en funcionamiento, así como transformaciones electroacústicas;

evitar el acceso no autorizado a la información que se procesa o almacena en medios técnicos;

prevenir impactos especiales de software y hardware que causen destrucción, destrucción, distorsión de la información o fallas en el funcionamiento de la tecnología de la información;

identificación de dispositivos electrónicos de interceptación de información (dispositivos integrados) posiblemente integrados en objetos y medios técnicos;

impedir la interceptación de información de voz de locales y objetos por medios técnicos.

La prevención de la interceptación por medios técnicos de información transmitida a través de canales de comunicación se logra mediante el uso de métodos y medios de protección criptográficos y de otro tipo, así como la realización de eventos organizativos, técnicos y de régimen.

La prevención de la fuga de información procesada debido a la radiación electromagnética lateral y las interferencias creadas por los medios técnicos en funcionamiento, así como las transformaciones electroacústicas, se logra mediante el uso de medios técnicos protegidos, protección de hardware, contramedidas activas, blindaje de edificios o locales individuales, estableciendo una zona controlada. en torno a medios de información y otras medidas organizativas y técnicas.

La prevención del acceso no autorizado a la información procesada o almacenada en medios técnicos se logra mediante el uso de medios especiales de protección de software y hardware, utilizando métodos de protección criptográficos, así como medidas organizativas y de seguridad.

Prevención de influencias especiales de software y hardware que causan destrucción, destrucción, distorsión de la información o fallas en el funcionamiento de las herramientas de tecnología de la información se logra mediante el uso de herramientas especiales de protección de software y hardware (procesadores antivirus, programas antivirus), organizando un sistema de control de seguridad del software.

La identificación de dispositivos electrónicos de interceptación de información (dispositivos integrados) posiblemente integrados en objetos y medios técnicos se logra mediante la realización de controles especiales para identificar estos dispositivos.

Se logra prevenir la interceptación de información de voz de locales y objetos por medios técnicos mediante el uso de equipos de protección especiales diseñados por soluciones para garantizar la insonorización de los locales, la identificación de dispositivos de escucha especiales y otras medidas organizativas y de seguridad.

27. La información que contenga información clasificada como secreto de Estado o secreto oficial debe procesarse utilizando sistemas y medios de información y comunicación seguros o utilizando herramientas de seguridad de hardware y software certificadas en la forma prescrita.

El cumplimiento de los requisitos de seguridad del hardware y su software se confirma mediante un certificado emitido por una empresa autorizada para este tipo de actividad, basado en los resultados de las pruebas de certificación, o una instrucción de funcionamiento emitida con base en los resultados de estudios y controles especiales. de hardware y software.

Evaluar la preparación de los sistemas y medios de información y comunicación para procesar (transferir) información que contenga información clasificada como secreto oficial o de estado

los sistemas y medios especificados están certificados en condiciones reales de funcionamiento para garantizar que los métodos, medidas y medios de protección adoptados cumplen con el nivel requerido de seguridad de la información.

VI . SEGUIMIENTO DEL ESTADO DE PROTECCIÓN DE LA INFORMACIÓN

47. El seguimiento del estado de seguridad de la información se lleva a cabo con el objetivo de detectar y prevenir oportunamente la fuga de información a través de canales técnicos, el acceso no autorizado a la misma y el software intencional. y el impacto del hardware en la información y la evaluación de su protección frente a servicios de inteligencia técnica extranjeros.

El control consiste en verificar la implementación de las leyes de la Federación de Rusia sobre cuestiones de protección de la información, las decisiones de la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia, así como evaluar la validez y eficacia de las medidas de protección tomadas para garantizar el cumplimiento de los requisitos y estándares aprobados para la protección de la información.

48. El control lo organizan la Comisión Técnica Estatal de Rusia, el Ministerio de Seguridad de la Federación de Rusia, el Ministerio del Interior de la Federación de Rusia, el Ministerio de Defensa de la Federación de Rusia, el Servicio de Inteligencia Exterior de la Federación de Rusia, la Agencia Federal para las Comunicaciones e Información Gubernamentales dependiente del Presidente de la Federación de Rusia, las divisiones estructurales e intersectoriales de los organismos gubernamentales incluidos en el sistema estatal de seguridad de la información y las empresas de acuerdo con su competencia.

Actos de inspecciones de las empresas se envían al organismo que realizó la inspección y al organismo gubernamental según la subordinación de la empresa.

49. La Comisión Técnica Estatal de Rusia organiza el control utilizando el aparato central y los centros especiales subordinados a él de manera especial. Para estos fines, pueden participar divisiones para la protección de la información de las autoridades estatales.

El aparato central de la Comisión Técnica Estatal de Rusia ejerce, dentro de su competencia, el control en las autoridades y empresas estatales, proporciona orientación metodológica para trabajos de control (con excepción de objetos y medios técnicos, cuya protección es competencia del Ministerio de Defensa de la Federación de Rusia, el Ministerio del Interior de la Federación de Rusia, la Compañía Federal de Redes de la Federación de Rusia, el Servicio de Inteligencia Exterior de la Federación Rusa, FAPSI, la Dirección Principal de Seguridad de la Federación Rusa).

Los centros especiales, subordinados en particular a la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia, ejercen, dentro de los límites de su competencia, el control en los organismos gubernamentales y las empresas ubicadas en las áreas de responsabilidad de estos centros.

El control en los órganos gubernamentales por parte del aparato central de la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia y los centros especiales subordinados en especial a la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia se lleva a cabo de acuerdo con los órganos gubernamentales pertinentes.

50. Las autoridades estatales organizan y ejercen el control en las empresas subordinadas a ellas a través de sus unidades de seguridad de la información. El seguimiento diario del estado de la seguridad de la información en las empresas lo llevan a cabo sus departamentos de seguridad de la información.

51. El control en las empresas del sector no estatal cuando se realizan trabajos utilizando información clasificada como secreto oficial o de estado lo llevan a cabo los organismos gubernamentales, la Comisión Técnica Estatal de Rusia, la Compañía Federal de Redes de la Federación de Rusia, FAPSI y el cliente del trabajo. de acuerdo con su competencia.

52 .La protección de la información se considera efectiva si las medidas tomadas cumplen con los requisitos o estándares establecidos.

El incumplimiento de las medidas con los requisitos o estándares establecidos para la protección de la información es una violación.

Las VIOLACIONES se dividen en TRES CATEGORÍAS según el grado de importancia:

PRIMERO — incumplimiento de requisitos o normas de protección de la información, a consecuencia de lo cual hubo o hay una posibilidad real de su filtración a través de canales técnicos;

SEGUNDO — incumplimiento de los requisitos de protección de la información, como resultado de lo cual se crean condiciones previas para su filtración a través de canales técnicos;

TERCERO — incumplimiento de otros requisitos de protección de la información.

53 Si se detectan violaciones de la primera categoría, los jefes de organismos gubernamentales y empresas están obligados a:

.detener inmediatamente el trabajo en el lugar (lugar de trabajo) donde se encuentran violaciones y tomar medidas para eliminarlas;

organizar de la manera prescrita una investigación sobre las causas y condiciones de la ocurrencia de violaciones para prevenirlas en el futuro y llevar a los perpetradores ante la justicia;

informar a la Comisión Técnica Estatal bajo la presidencia de la Federación de Rusia, a la dirección del organismo gubernamental, a la agencia federal de seguridad del estado y al cliente sobre las violaciones descubiertas y las consecuencias. medidas adoptadas.

Se permite la reanudación del trabajo después de eliminar las violaciones y verificar la suficiencia y eficacia de las medidas tomadas, llevadas a cabo por la Comisión Técnica Estatal bajo la presidencia de la Federación de Rusia o, según sus instrucciones, por las unidades de protección de la información de los organismos gubernamentales.

Si se detectan violaciones de la segunda y tercera categoría, los jefes de los organismos gubernamentales y de las empresas inspeccionadas deben tomar medidas para eliminarlas dentro de un plazo acordado con el organismo que realizó la inspección o el cliente (el representante del cliente). El control sobre la eliminación de estas violaciones lo llevan a cabo las unidades de protección de la información de estos organismos y empresas gubernamentales.

54….

Admisión de representantes del aparato central de la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia, centros especiales subordinados a ella de manera especial, a las instalaciones para monitorear el estado de la seguridad de la información, su acceso al trabajo y a los documentos necesarios para el monitoreo. , se lleva a cabo de la manera prescrita previa presentación de un certificado especial del representante de la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia e instrucciones sobre el derecho a realizar una inspección de este objeto. La entrada a las instalaciones militares se realiza con el permiso del Jefe del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia.

Se emiten instrucciones para el derecho a verificar el estado de seguridad de la información: