Общегосударственные документы по обеспечению информационной безопасности «О БЕЗОПАСНОСТИ» Закон РФ от 5 марта 1992 г. № 2446-1 (с изменениями от 25 декабря 1992 г.)

Введен в действие Постановлением ВС РФ от 5 марта 1992 г. № 2446/1-1.

Настоящий Закон закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

Статья 1. Понятие безопасности и ее объекты

Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Жизненно важные интересы — совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

К основным объектам безопасности относятся: личность — ее права и свободы; общество — его материальные и духовные ценности; государство — его конституционный строй, суверенитет и территориальная целостность.

Статья 2. Субъекты обеспечения безопасности

Основным субъектом обеспечения безопасности является государство, осуществляющее функции в этой области через органы законодательной, исполнительной и судебной властей.

Государство в соответствии с действующим законодательством обеспечивает безопасность каждого гражданина на территории Российской Федерации. Гражданам Российской Федерации, находящимся за ее пределами, государством гарантируется защита и покровительство.

Граждане, общественные и иные организации и объединения являются субъектами безопасности, обладают правами и обязанностями по участию в обеспечении безопасности в соответствии с законодательством Российской Федерации, законодательством республик в составе Российской Федерации, нормативными актами органов государственной власти и управления краев, областей, автономной области и автономных округов, принятыми в пределах их компетенции в данной сфере. Государство обеспечивает правовую и социальную защиту гражданам, общественным и иным организациям и объединениям, оказывающим содействие в обеспечении безопасности в соответствии с законом.

Угроза безопасности — совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Реальная и потенциальная угроза объектам безопасности, исходящая от внутренних и внешних источников опасности, определяет содержание деятельности по обеспечению внутренней и внешней безопасности.

Безопасность достигается проведением единой государственной политики в области обеспечения безопасности, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства.

Для создания и поддержания необходимого уровня защищенности объектов безопасности в Российской Федерации разрабатывается система правовых норм, регулирующих тношения в сфере безопасности, определяются основные направления деятельности органов государственной власти и управления в данной области, формируются или преобразуются органы обеспечения безопасности и механизм контроля и надзора за их деятельностью.

Для непосредственного выполнения функций по обеспечению безопасности личности, общества и государства в системе исполнительной власти в соответствии с законом образуются государственные органы обеспечения безопасности.

Статья 5. Принципы обеспечения безопасности

Основными принципами обеспечения безопасности являются:

>· соблюдение баланса жизненно важных интересов личности, общества и государства;

>· взаимная ответственность личности, общества и государства по обеспечению безопасности;

>· интеграция с международными системами безопасности.

Статья 6. Законодательные основы обеспечения безопасности

Законодательные основы обеспечения безопасности составляют Конституция РСФСР, настоящий Закон, законы и другие нормативные акты Российской Федерации, регулирующие отношения в области безопасности;

конституции, законы, иные нормативные акты республик в составе Российской Федерации и нормативные акты органов государственной власти и управления краев, областей, автономной области и автономных округов, принятые в пределах их компетенции в данной сфере; международные договоры и соглашения, заключенные или признанные Российской Федерацией.

Статья 7. Соблюдение прав и свобод граждан при обеспечении безопасности

При обеспечении безопасности не допускается ограничение прав и свобод граждан, за исключением случаев, прямо предусмотренных законом.

Граждане, общественные и иные организации и объединения имеют право получать разъяснения по поводу ограничения их прав и свобод от органов, обеспечивающих безопасность. По их требованию такие разъяснения даются в письменной форме в установленные законодательством сроки.

Должностные лица, превысившие свои полномочия в процессе деятельности по обеспечению безопасности, несут ответственность в соответствии с законодательством.

Раздел II. Система безопасности Российской Федерации

Статья 8. Основные элементы системы безопасности

Систему безопасности образуют органы законодательной, исполнительной и судебной властей, государственные, общественные и иные организации и объединения, граждане, принимающие участие в обеспечении безопасности в соответствии с законом, а также законодательство, регламент" тирующее отношения в сфере безопасности.

Создание органов обеспечения безопасности, не установленных законом Российской Федерации, не допускается.

Статья 9. Основные функции системы безопасности

Основными функциями системы безопасности являются:

>· выявление и прогнозирование внутренних и внешних угроз жизненно важным интересам объектов безопасности, осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;

>• создание и поддержание в готовности сил и средств обеспечения безопасности;

>· управление силами и средствами обеспечения безопасности в повседневных условиях и при чрезвычайных ситуациях;

>• осуществление системы мер по восстановлению нормального функционирования объектов безопасности в регионах, пострадавших в результате возникновения чрезвычайной ситуации;

>· участие в мероприятиях по обеспечению безопасности за пределами Российской Федерации в соответствии с международными договорами и соглашениями, заключенными или признанными Российской Федерацией.

Статья 10. Разграничение полномочий органов власти в системе безопасности

Обеспечение безопасности личности, общества и государства осуществляется на основе разграничения полномочий органов законодательной, исполнительной и судебной властей в данной сфере.

Указом Президента РФ от 24 декабря 1993 г. No 2288 часть вторая статьи 10 настоящего Закона признана недействующей.

>· определяет приоритеты в защите жизненно важных интересов объектов безопасности;

>· разрабатывает систему правового регулирования отношений в сфере безопасности;

>· устанавливает порядок организации и деятельности органов обеспечения безопасности;

>· осуществляет контроль за кадровой политикой государственных органов обеспечения безопасности;

>· не реже одного раза в год заслушивает доклад Президента Российской Федерации об обеспечении безопасности Российской Федерации;

>· определяет бюджетные ассигнования на финансирование органов обеспечения безопасности и федеральных программ в сфере безопасности;

>• ратифицирует и денонсирует международные договоры и соглашения Российской Федерации по вопросам обеспечения безопасности.

>· обеспечивают исполнение законов и иных нормативных актов, регламентирующих отношения в сфере безопасности;

>• организуют разработку и реализацию государственных программ обеспечения безопасности;

>· осуществляют систему мероприятий по обеспечению безопасности личности, общества и государства в пределах своей компетенции;

>· в соответствии с законом формируют, реорганизуют и ликвидируют государственные органы обеспечения безопасности.

>· обеспечивают защиту конституционного строя в Российской Федерации, руководствуясь Конституцией РСФСР и законами Российской Федерации, конституциями и законами республик в составе Российской Федерации;

>· осуществляют правосудие по делам о преступлениях, посягающих на безопасность личности, общества и государства;

>• обеспечивают судебную защиту граждан, общественных и иных организаций и объединений, чьи права были нарушены в связи с деятельностью по обеспечению безопасности.

Статья 11. Руководство государственными органами обеспечения безопасности

Общее руководство государственными органами обеспечения безопасности осуществляет Президент Российской Федерации.

>• возглавляет Совет безопасности Российской Федерации;

(Указом Президента РФ от 24 декабря 1993 г. No 2288 абзацы третий и шестой части второй статьи 11 настоящего Закона признаны недействующими.)

>· совместно с Верховным Советом Российской Федерации определяет стратегию обеспечения внутренней и внешней безопасности;

>· контролирует и координирует деятельность государственных органов обеспечения безопасности;

>• в пределах определенной законом компетенции принимает оперативные решения по обеспечению безопасности;

>· не реже одного раза в год представляет Верховному Совету Российской Федерации доклад об обеспечении безопасности Российской Федерации.

Совет Министров Российской Федерации (Правительство Российской Федерации):

>· в пределах определенной законом компетенции обеспечивает руководство государственными органами обеспечения безопасности Российской Федерации;

>• организует и контролирует разработку и реализацию мероприятий по обеспечению безопасности министерствами и государственными комитетами Российской Федерации, другими подведомственными ему органами Российской Федерации, республик в составе Российской Федерации, краев, областей, автономной области, автономных округов.

Министерства и государственные комитеты Российской Федерации:

>· в пределах своей компетенции, на основе действующего законодательства, в соответствии с решениями Президента Российской Федерации и постановлениями Правительства Российской Федерации обеспечивают реализацию федеральных программ защиты жизненно важных интересов объектов безопасности;

>• на основании настоящего Закона в пределах своей компетенции разрабатывают внутриведомственные инструкции (положения) по обеспечению безопасности и представляют их на рассмотрение Совета безопасности.

Статья 12. Силы и средства обеспечения безопасности

Силы и средства обеспечения безопасности создаются и развиваются в Российской Федерации в соответствии с решениями Верховного Совета Российской Федерации, указами Президента Российской Федерации, краткосрочными и долгосрочными федеральными программами обеспечения безопасности.

Силы обеспечения безопасности включают в себя: Вооруженные Силы, федеральные органы безопасности, органы внутренних дел, внешней разведки, обеспечения безопасности органов законодательной, исполнительной, судебной властей и их высших должностных лиц, налоговой службы;

службы ликвидации последствий чрезвычайных ситуаций, формирования -гражданской обороны; пограничные войска, внутренние войска; органы, обеспечивающие безопасное ведение работ в промышленности, энергетике, на транспорте и в сельском хозяйстве; службы обеспечения безопасности средств связи и информации, таможни, природоохранительные органы, органы охраны здоровья населения и другие государственные органы обеспечения безопасности, действующие на основании законодательства.

Службы Министерства безопасности Российской Федерации, Министерства внутренних дел Российской Федерации, иных органов исполнительной власти, использующие в своей деятельности специальные силы и средства, действуют только в пределах своей компетенции и в соответствии с* законодательством.

Руководители органов обеспечения безопасности в соответствии с законодательством несут ответственность за нарушение установленного порядка их деятельности.

Раздел III. Совет безопасности Российской Федерации

Статья 13. Статус Совета безопасности Российской Федерации

Совет безопасности Российской Федерации является конституционным органом, осуществляющим подготовку решений Президента Российской Федерации в области обеспечения безопасности.

Совет безопасности Российской Федерации рассматривает вопросы внутренней и внешней политики Российской Федерации в области обеспечения безопасности, стратегические проблемы государственной, экономической, общественной, оборонной, информационной, экологической и иных видов безопасности, охраны здоровья населения, прогнозирования, предотвращения чрезвычайных ситуаций и преодоления их последствий, обеспечения стабильности и правопорядка и ответствен перед Верховным Советом Российской Федерации за состояние защищенности жизненно важных интересов личности, общества и государства от внешних и внутренних угроз.

Статья 14. Состав Совета безопасности Российской Федерации и порядок его формирования

Совет безопасности Российской Федерации формируется на основании Конституции РСФСР, Закона РСФСР «О Президенте РСФСР» и настоящего Закона.

Указом Президента РФ от 24 декабря 1993 г. Ns 2288 Закон РСФСР «О Президенте РСФСР» признан недействующим.

В состав Совета безопасности Российской Федерации входят: председатель, секретарь, постоянные члены и члены Совета безопасности.

Председателем Совета безопасности является по должности Президент Российской Федерации.

Состав Совета Безопасности РФ утвержден Указом Президента РФ от 31 июля 1996 г. No 1121.

Указом Президента РФ от 24 декабря 1993 г. Ns 2288 части четвертая — шестая статьи 14 настоящего Закона признаны недействующими

В число постоянных членов Совета безопасности Российской Федерации входят по должности: вице-президент Российской Федерации, Первый заместитель Председателя Верховного Совета Российской Федерации, Председатель Совета Министров Российской Федерации (Председатель Правительства Российской Федерации).

Секретарь Совета безопасности входит в число постоянных членов Совета безопасности, назначается Президентом Российской Федерации и утверждается в должности Верховным Советом Российской Федерации.

Членами Совета безопасности могут являться руководители федеральных министерств и ведомств: экономики и финансов, иностранных дел, юстиции, обороны, безопасности, внутренних дел, экологии и природных ресурсов, здравоохранения, Службы внешней разведки, а также иные должностные лица, назначенные Президентом Российской Федерации с согласия Верховного Совета Российской Федерации.

Законом РФ от 25 декабря 1992 г. No 4235-1 статья 14 настоящего Закона дополнена частью седьмой. Части седьмая и восьмая считаются соответственно частями восьмой и девятой.

В заседаниях Совета безопасности принимает участие Председатель Верховного Совета Российской Федерации или по его поручению заместитель Председателя.

В зависимости от содержания рассматриваемого вопроса Совет безопасности Российской Федерации может привлекать к участию в заседаниях на правах консультантов и других лиц.

При рассмотрении вопросов обеспечения безопасности на территориях республик в составе Российской Федерации, краев, областей, автономной области и автономных округов для участия в работе Совета безопасности привлекаются их полномочные представители, а также председатель Государственного комитета Российской Федерации по национальной политике.

Статья 15. Основные задачи Совета безопасности Российской Федерации

Основными задачами Совета безопасности Российской Федерации являются:

>• определение жизненно важных интересов личности, общества и государства и выявление внутренних и внешних угроз объектам безопасности;

>• разработка основных направлений стратегии обеспечения безопасности Российской Федерации и организация подготовки федеральных программ ее обеспечения;

>· подготовка рекомендаций Президенту Российской Федерации для принятия решений по вопросам внутренней и внешней политики в области обеспечения безопасности личности, общества и государства;

>· подготовка оперативных решений по предотвращению чрезвычайных ситуаций, которые могут повлечь существенные социально-политические, экономические, военные, экологические и иные последствия, и по организации их ликвидации;

>· подготовка предложений Президенту Российской Федерации о введении, продлении или отмене чрезвычайного положения;

>· разработка предложений по координации деятельности органов исполнительной власти в процессе реализации принятых решений в области обеспечения безопасности и оценка их эффективности;

>· совершенствование системы обеспечения безопасности путем разработки предложений по реформированию существующих либо созданию новых органов, обеспечивающих безопасность личности, общества и государства.

Статья 16. Порядок принятия решений Советом безопасности Российской Федерации

Заседания Совета безопасности Российской Федерации проводятся не реже одного раза в месяц. В случае необходимости могут проводиться внеочередные заседания Совета.

Постоянные члены Совета безопасности Российской Федерации обладают равными правами при принятии решений. Члены Совета безопасности принимают участие в его работе с правом совещательного голоса.

Решения Совета безопасности Российской Федерации принимаются на его заседании постоянными членами Совета безопасности простым большинством голосов от их общего количества и вступают в силу после утверждения председателем Совета безопасности.

Решения Совета безопасности по вопросам обеспечения безопасности оформляются указами Президента Российской Федерации.

Статья 17. Межведомственные комиссии Совета безопасности Российской Федерации

Совет безопасности Российской Федерации в соответствии с основными задачами его деятельности образует постоянные межведомственные комиссии, которые могут создаваться на функциональной или региональной основе.

В случае необходимости выработки предложений по предотвращению чрезвычайных ситуаций и ликвидации их последствий, отдельным проблемам обеспечения стабильности и правопорядка в обществе и государстве, защите конституционного строя, суверенитета и территориальной целостности Российской Федерации Советом безопасности Российской Федерации могут создаваться временные межведомственные комиссии.

Порядок формирования постоянных и временных межведомственных комиссий регламентируется Положением о Совете безопасности Российской Федерации, утверждаемым Президентом Российской Федерации по согласованию с Верховным Советом Российской Федерации.

По решению Совета безопасности Российской Федерации постоянные и временные межведомственные комиссии могут возглавляться членами Совета безопасности, а также руководителями соответствующих министерств и ведомств Российской Федерации, их заместителями либо лицами, уполномоченными на то Президентом Российской Федерации.

Статья 18. Аппарат Совета безопасности Российской Федерации

Организационно-техническое и информационное обеспечение деятельности Совета безопасности Российской Федерации осуществляет его аппарат, возглавляемый секретарем Совета безопасности Российской Федерации,

Структура и штатное расписание аппарата Совета безопасности Российской Федерации, а также положения о его подразделениях утверждаются председателем Совета безопасности.

См. Положение об аппарате Совета безопасности Российской Федерации, утвержденное Указом Президента РФ от 1 августа 1996 г. № 1128.

Статья 19. Основные задачи межведомственных комиссий и аппарата Совета безопасности Российской Федерации

На межведомственные комиссии и аппарат Совета безопасности Российской Федерации возлагаются:

>· оценка внутренних и внешних угроз жизненно важным интересам объектов безопасности, выявление источников опасности;

>· подготовка научно обоснованных прогнозов изменения внутренних и внешних условий и факторов, влияющих на состояние безопасности Российской Федерации;

>• разработка и координация федеральных программ по обеспечению безопасности Российской Федерации и оценка их эффективности;

>· накопление, анализ и обработка информации о функционировании системы обеспечения безопасности Российской Федерации, выработка рекомендаций по ее совершенствованию;

>· информирование Совета безопасности Российской Федерации о ходе исполнения его решений;

>• организация научных исследований в области обеспечения безопасности;

>· подготовка проектов решений Совета безопасности Российской Федерации, а также проектов указов Президента Российской Федерации по вопросам безопасности;

>· подготовка материалов для доклада Президента Российской Федерации Верховному Совету Российской Федерации об обеспечении безопасности Российской Федерации.

Раздел IV. Финансирование деятельности по обеспечению безопасности

Статья 20. Финансирование деятельности по обеспечению безопасности

Финансирование деятельности по обеспечению безопасности в зависимости от содержания и масштабов программ, характера чрезвычайных ситуаций и их последствий осуществляется за счет средств республиканского бюджета Российской Федерации, бюджетов республик в составе Российской Федерации, краев и областей, автономной области, автономных округов, городов Москвы и Санкт-Петербурга, а также внебюджетных средств.

Раздел V. Контроль и надзор за деятельностью по обеспечению безопасности

Статья 21. Контроль за деятельностью по обеспечению безопасности

Указом Президента РФ от 24 декабря 1993 г. nq 2288 часть первая статьи 21 настоящего Закона признана недействующей.

Контроль за деятельностью по обеспечению безопасности осуществляет Верховный Совет Российской Федерации через Совет Республики и Совет Национальностей Верховного Совета Российской Федерации, соответствующие постоянные комиссии палат и комитеты Верховного Совета Российской Федерации в соответствии с действующим законодательством.

Органы государственной власти и управления Российской Федерации в пределах своей компетенции осуществляют контроль за деятельностью министерств и ведомств, предприятий, учреждений и организаций по обеспечению безопасности.

Общественные и иные объединения и организации, граждане Российской Федерации имеют право на получение ими в соответствии с действующим законодательством информации о деятельности органов обеспечения безопасности.

Статья 22. Надзор за законностью деятельности органов обеспечения безопасности

Надзор за законностью деятельности органов обеспечения безопасности осуществляет Генеральный прокурор Российской Федерации и подчиненные ему прокуроры.

«ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ»

Федеральный закон от 20 февраля 1995 г. № 24-ФЗ Принят Государственной Думой 25 января 1995 г.

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящий Федеральный закон регулирует отношения, возникающие при:

>· формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;

>· создании и использовании информационных технологий и средств их обеспечения;

>· защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

2. Настоящий Федеральный закон не затрагивает отношений, регулируемых Законом Российской Федерации «Об авторском праве и смежных правах».

Статья 2. Термины, используемые в настоящем Федеральном законе, их определения

В настоящем Федеральном законе используются следующие понятия:

>· информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

>· информатизация — организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;

>· документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

>• информационные процессы — процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

>• информационная система — организационно упорядоченная совокупность документов (массивов документов и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

>• информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

>• информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

>• конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

>• средства обеспечения автоматизированных информационных систем и их технологий — программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы; должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;

>• собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;

>• владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения — субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом;

>• пользователь (потребитель) информации — субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Статья 3. Обязанности государства в сфере формирования информационных ресурсов и информатизации

1. Государственная политика в сфере формирования информационных ресурсов и информатизации направлена на создание условий для эффективного и качественного информационного обеспечения решения стратегических и оперативных задач социального и экономического развития Российской Федерации.

2. Основными направлениями государственной политики в сфере информатизации являются:

(Об основах государственной политики в сфере информатизации см. Указ Президента РФ от 20 января 1994 г. nq 170.)

>• обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

>• формирование и защита государственных информационных ресурсов;

>• создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве Российской Федерации;

>• создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений на основе государственных информационных ресурсов;

>• обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;

>• содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;

>• формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;

>• поддержка проектов и программ информатизации;

>• создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;

>• развитие законодательства в сфере информационных процессов, информатизации и защиты информации.

Статья 4. Основы правового режима информационных ресурсов

1. Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами.

2. Правовой режим информационных ресурсов определяется нормами, устанавливающими:

>• право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;

>• категорию информации по уровню доступа к ней;

1. Документирование информации является обязательным условием включения информации в информационные ресурсы. Документирование информации осуществляется в порядке, устанавливаемом органами государственной власти, ответственными за организацию делопроизводства, стандартизацию документов и их массивов, безопасность Российской Федерации.

формирует информационные ресурсы, находящиеся в совместном владении государства и субъектов, представляющих эту информацию.

5. Информационные ресурсы, являющиеся собственностью организаций, включаются в состав их имущества в соответствии с гражданским законодательством Российской Федерации.

Информационные ресурсы, являющиеся собственностью государства, находятся в ведении органов государственной власти и организаций в соответствии с их компетенцией, подлежат учету и защите в составе государственного имущества.

6. Информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных законодательством Российской Федерации.

См. Положение о порядке учета архивных документов при приватизации государственного и муниципального имущества, утвержденное распоряжением Госкомимущества РФ от 22 октября 1996 г. nq 1131-р, приказом Росархива от 6 ноября 1996 г. No 54.

1. Собственник информационных ресурсов пользуется всеми правами, предусмотренными законодательством Российской Федерации, в том числе он имеет право:

>• назначить лицо, осуществляющее хозяйственное ведение информационными ресурсами или оперативное управление ими;

>• устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним;

•>• определять условия распоряжения документами при их копировании и распространении.

8. Право собственности на средства обработки информации не создает права собственности на информационные ресурсы, принадлежащие другим собственникам. Документы, обрабатываемые в порядке предоставления услуг или при совместном использовании этих средств обработки, принадлежат их владельцу. Принадлежность и режим производной продукции, создаваемой в этом случае, регулируются договором.

Статья 7. Государственные информационные ресурсы

1. Государственные информационные ресурсы Российской Федерации формируются в соответствии со сферами ведения как:

>• федеральные информационные ресурсы;

>• информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации (далее — информационные ресурсы совместного ведения);

>• информационные ресурсы субъектов Российской Федерации.

2. Формирование государственных информационных ресурсов в соответствии с пунктом 1 статьи 8 настоящего Федерального закона осуществляется гражданами, органами государственной власти, органами местного самоуправления, организациями и общественными объединениями.

Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации формируют государственные информационные ресурсы, находящиеся в их ведении, и обеспечивают их использование в соответствии с установленной компетенцией.

3. Деятельность органов государственной власти и организаций по формированию федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации финансируется из федерального бюджета и бюджетов субъектов Российской Федерации по статье расходов «Информатика» («Информационное обеспечение»).

4. Организации, которые специализируются на формировании федеральных информационных ресурсов и (или) информационных ресурсов совместного ведения на основе договора, обязаны получить лицензию на этот вид деятельности в органах государственной власти. Порядок лицензирования определяется законодательством Российской Федерации.

Статья 8. Обязательное представление документированной информации для формирования государственных информационных ресурсов

1. Граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения обязаны представлять документированную информацию органам и организациям, ответственным за формирование и использование государственных информационных ресурсов.

Перечни представляемой в обязательном порядке документированной информации и перечни органов и организаций, ответственных за сбор и обработку федеральных информационных ресурсов, утверждает Правительство Российской Федерации.

2. Порядок и условия обязательного представления документированной информации доводятся до сведения граждан и организаций.

Порядок обязательного представления (получения) информации, отнесенной к государственной тайне, и конфиденциальной информации устанавливается и осуществляется в соответствии с законодательством об этих категориях информации.

3. При регистрации юридических лиц регистрационные органы обеспечивают их перечнями представляемых в обязательном порядке документов и адресами их представления. Перечень представляемой в обязательном порядке документированной информации прилагается к уставу каждого юридического лица (положению о нем).

Необеспечение регистрационными органами регистрируемых юридических лиц перечнем представляемых в обязательном порядке документов с адресами их представления не является основанием для отказа в регистрации. Должностные лица регистрационных органов, виновные в необеспечении регистрируемых юридических лиц перечнями представляемых в обязательном порядке документов с адресами их представления привлекаются к дисциплинарной ответственности вплоть до снятия с должности.

4. Документы, принадлежащие физическим и юридическим лицам, могут включаться по желанию собственника в состав государственных информационных ресурсов по правилам, установленным для включения документов в соответствующие информационные системы.

Статья 9. Отнесение информационных ресурсов к общероссийскому национальному достоянию

1. Отдельные объекты федеральных информационных ресурсов могут быть объявлены общероссийским национальным достоянием.

2. Отнесение конкретных объектов федеральных информационных ресурсов к общероссийскому национальному достоянию и определение их правового режима устанавливаются федеральным законом.

Статья 10. Информационные ресурсы по категориям доступа

1. Государственные информационные ресурсы Российской Федерации являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа.

О степенях секретности сведений см.: Закон РФ от 21 июля 1993 г. Ns 5485-1 «О государственной тайне», постановление Правительства РФ от 4 сентября 1995 г. № 870.

2. Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.

3. Запрещено относить к информации с ограниченным доступом:

>• законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

>• документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;

>• документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением отнесенных к государственной тайне;

>• документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

4. Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации «О государственной тайне».

5. Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации, за исключением случаев, предусмотренных статьей 11 настоящего Федерального закона.

Статья 11. Информация о гражданах (персональные данные)

1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.

Согласно Федеральному закону от 15 ноября 1997 г. No 143-ФЗ сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными.

О сборе, хранении, использовании и распространении информации о частной жизни см. Конституцию РФ от 12 декабря 1993 г.

См. Временный перечень сведений, составляющих конфиденциальную информацию в Пенсионном фонде Российской Федерации, утвержденный постановлением Правления ПФР от 30 августа 1996 г. nq 123.

Перечень сведений конфиденциального характера утвержден Указом Президента РФ от 6 марта 1997 г. No 188.

Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

4. Подлежит обязательному лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных. Порядок лицензирования определяется законодательством Российской Федерации.

5. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 настоящего Федерального закона и законодательства о персональных данных.

Глава 3. Пользование информационными ресурсами

Статья 12. Реализация права на доступ к информации из информационных ресурсов

1. Пользователи — граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения — обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцами этих ресурсов необходимость получения запрашиваемой ими информации. Исключение составляет информация с ограниченным доступом.

Доступ физических и юридических лиц к государственным информационным ресурсам является основой осуществления общественного контроля за деятельностью органов государственной власти, органов местного самоуправления, общественных, политических и иных организаций, а также за состоянием экономики, экологии и других сфер общественной жизни.

2. Владельцы информационных ресурсов обеспечивают пользователей (потребителей) информацией из информационных ресурсов на основе законодательства, уставов указанных органов и организаций, положений о них, а также договоров на услуги по информационному обеспечению.

См. Положение об информационных услугах в области гидрометеорологии и мониторинга загрязнения окружающей природной среды, утвержденное постановлением Правительства РФ от 15 ноября 1997 г. No 1425.

Информация, полученная на законных основаниях из государственных информационных ресурсов гражданами и организациями, может быть использована ими для создания производной информации в целях ее коммерческого распространения с обязательной ссылкой на источник информации.

Источником прибыли в этом случае является результат вложенных труда и средств при создании производной информации, но не исходная информация, полученная из государственных ресурсов.

3. Порядок получения пользователем информации (указание места, времени, ответственных должностных лиц, необходимых процедур) определяет собственник или владелец информационных ресурсов с соблюдением требований, установленных настоящим Федеральным законом.

Перечни информации и услуг по информационному обеспечению, сведения о порядке и условиях доступа к информационным ресурсам владельцы информационных ресурсов и информационных систем предоставляют пользователям бесплатно.

4. Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, обеспечивают условия для оперативного и полного предоставления пользователю документированной информации в соответствии с обязанностями, установленными уставами (положениями) этих органов и организаций.

5. Порядок накопления и обработки документированной информации с ограниченным доступом, правила ее защиты и порядок доступа к ней определяются органами государственной власти, ответственными за определенные вид и массивы информации, в соответствии с их компетенцией либо непосредственно ее собственником в соответствии с законодательством.

Статья 13. Гарантии предоставления информации

1. Органы государственной власти и органы местного самоуправления создают доступные для каждого информационные ресурсы по вопросам деятельности этих органов и подведомственных им организаций, а также в пределах своей компетенции осуществляют массовое информационное обеспечение пользователей по вопросам прав, свобод и обязанностей граждан, их безопасности и другим вопросам, представляющим общественный интерес.

2. Отказ в доступе к информационным ресурсам, предусмотренным в пункте 1 настоящей статьи, может быть обжалован в суд.

3. Комитет при Президенте Российской Федерации по политике информатизации организует регистрацию всех информационных ресурсов, информационных систем и публикацию сведений о них для обеспечения права граждан на доступ к информации.

О государственном учете и регистрации баз и банков данных см. постановление Правительства РФ от 28 февраля 1996 г. No 226.

4. Перечень информационных услуг, предоставляемых пользователям из государственных информационных ресурсов бесплатно или за плату, не возмещающую в полном размере расходы на услуги, устанавливает Правительство Российской Федерации.

Расходы на указанные услуги компенсируются из средств федерального бюджета и бюджетов субъектов Российской Федерации.

Статья 14. Доступ граждан и организаций к информации о них

1. Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.

2. Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации.

3. Субъекты, представляющие информацию о себе для комплектования информационных ресурсов на основании статей 7 и 8 настоящего Федерального закона, имеют право бесплатно пользоваться этой информацией.

4. Отказ владельца информационных ресурсов субъекту в доступе к информации о нем может быть обжалован в судебном порядке.

Статья 15. Обязанности и ответственность владельца информационных ресурсов

1. Владелец информационных ресурсов обязан обеспечить соблюдение режима обработки и правил предоставления информации пользователю, установленных законодательством Российской Федерации или собственником этих информационных ресурсов, в соответствии с законодательством.

2. Владелец информационных ресурсов несет юридическую ответственность за нарушение правил работы с информацией в порядке, предусмотренном законодательством Российской Федерации.

Глава 4. Информатизация, информационные системы, технологии и средства их обеспечения

Статья 16. Разработка и производство информационных систем, технологий и средств их обеспечения

1. Все виды производства информационных систем и сетей, технологий и средств их обеспечения составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.

2. Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство информационных систем, технологий и средств их обеспечения.

3. Государство создает условия для проведения научно-исследовательских и опытно-конструкторских работ в области разработки и производства информационных систем, технологий и средств их обеспечения.

Правительство Российской Федерации определяет приоритетные направления развития информатизации и устанавливает порядок их финансирования.

4. Разработка и эксплуатация федеральных информационных систем финансируются из средств федерального бюджета по статье расходов «Информатика» («Информационное обеспечение»).

5. Органы государственной статистики совместно с Комитетом при Президенте Российской Федерации по политике информатизации устанавливают правила учета и анализа состояния отрасли экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.

Статья 17. Право собственности на информационные системы, технологии и средства их обеспечения

1. Информационные системы, технологии и средства их обеспечения могут быть объектами собственности физических и юридических лиц, государства.

2. Собственником информационной системы, технологии и средств их обеспечения признается физическое или юридическое лицо, на средства которого эти объекты произведены, приобретены или получены в порядке наследования, дарения или иным законным способом.

3. Информационные системы, технологии и средства их обеспечения включаются в состав имущества субъекта, осуществляющего права собственника или владельца этих объектов. Информационные системы, технологии и средства их обеспечения выступают в качестве товара (продукции) при соблюдении исключительных прав их разработчиков.

Собственник информационной системы, технологии и средств их обеспечения определяет условия использования этой продукции.

Статья 18. Право авторства и право собственности на информационные системы, технологии и средства их обеспечения

Право авторства и право собственности на информационные системы, технологии и средства их обеспечения могут принадлежать разным лицам.

О защите авторских и смежных прав см. также Закон РФ от 9 июля 1993 г. No 5351-1 «Об авторских правах».

Собственник информационной системы, технологии и средств их обеспечения обязан защищать права их автора в соответствии с законодательством Российской Федерации.

Статья 19. Сертификация информационных систем, технологий, средств их обеспечения и лицензирование деятельности по формированию и использованию информационных ресурсов

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».

2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.

3. Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.

4. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.

Глава 5. Защита информации и прав субъектов в области информационных процессов и информатизации

Статья 20. Цели защиты

Целями защиты являются:

>• предотвращение утечки, хищения, утраты, искажения, подделки информации;

>• предотвращение угроз безопасности личности, общества, государства;

>• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

>• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

>• сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

>• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Статья 21. Защита информации

1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:

>• в отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

>• в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

>• в отношении персональных данных — Федеральным законом.

2. Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

3. Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

4. Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

5. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

6. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

О защите информации, которой обмениваются Российская Федерация и НАТО, см. постановление Правительства РФ от 3 марта 1997 г. Ц-М 242.

Статья 22. Права и обязанности субъектов в области защиты информации

1. Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с настоящим Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

Статья 23. Защита прав субъектов в сфере информационных процессов и информатизации

1. Защита прав субъектов в сфере формирования информационных ресурсов, пользования информационными ресурсами, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.

3. За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.

Для рассмотрения конфликтных ситуаций и защиты прав участников в сфере формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения могут создаваться временные и постоянные третейские суды.

Третейский суд рассматривает конфликты и споры сторон в порядке, установленном законодательством о третейских судах.

4. Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров, ратифицированных Российской Федерацией.

Статья 24. Защита права на доступ к информации

1. Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке.

Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом.

Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.

2. Суд рассматривает споры о необоснованном отнесении информации к категории информации с ограниченным доступом, иски о возмещении ущерба в случаях необоснованного отказа в предоставлении информации пользователям или в результате других нарушений прав пользователей.

3. Руководители, другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Статья 25. Вступление в силу настоящего Федерального закона

1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

2. Предложить Президенту Российской Федерации привести в соответствие с настоящим Федеральным законом изданные им правовые акты.

3. Поручить Правительству Российской Федерации:

>• привести в соответствие с настоящим Федеральным законом изданные им правовые акты;

>• подготовить и внести в Государственную Думу в трехмесячный срок в установленном порядке предложения о внесении изменений и дополнений в законодательство Российской Федерации в связи с принятием настоящего Федерального закона;

>• принять нормативные правовые акты, обеспечивающие реалиазцию настоящего Федерального закона.

Москва, Кремль

20 февраля 1995 г.

Президент Российской Федерации Б. Ельцин

«О ГОСУДАРСТВЕННОЙ ТАЙНЕ»

Закон РФ от 21 июля 1993 г. № 5485-1 (с изменениями от 6 октября 1997 г.)

Постановление ВС РФ от 21 июля 1993 г. № 5486-1 «О порядке введения в действие Закона Российской Федерации «О государственной тайне».

Федеральным законом от 6 октября 1997 г. № 131-ФЗ в тексте настоящего Закона слова «Министерство безопасности Российской Федерации» заменены словами «Федеральная служба безопасности Российской Федерации» в соответствующих падежах, преамбула Закона после слова «их» дополнена словами «засекречиванием или».

Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

Раздел I. Общие Положения

О соответствии Конституции статьи 1 настоящего Закона см. Постановление Конституционного Суда РФ от 27 марта 1996 г. № 8-П.

Федеральным законом от 6 октября 1997 г. № 131-ФЗ в статье 1 настоящего Закона слово «представительной» заменено словом «законодательной».

Статья 1. Сфера действия настоящего Закона

Положения настоящего Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами законодательной, исполнительной и судебной властей (далее — органы государственной власти), местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно — правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне.

Статья 2. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

>• государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

>• носители сведений, составляющих государственную тайну, — материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

>• система защиты государственной тайны — совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях;

>• допуск к государственной тайне — процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций — на проведение работ с использованием таких сведений;

>• доступ к сведениям, составляющим государственную тайну, — санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;

>• гриф секретности — реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;

>• средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации;

Федеральным законом от б октября 1997 г. № 131-ФЗ статья 2 настоящего Закона дополнена абзацем девятым следующего содержания:

>• перечень сведений, составляющих государственную тайну, — совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.

Статья 3. Законодательство Российской Федерации о государственной тайне

Законодательство Российской Федерации о государственной тайне основывается на Конституции Российской Федерации, Законе Российской Федерации «О безопасности» и включает настоящий Закон, а также положения других актов законодательства, регулирующих отношения, связанные с защитой государственной тайны.

Федеральным законом от 6 октября 1997 г. No 131-ФЗ в статью 4 настоящего Закона внесены изменения, см. текст статьи в предыдущей редакции.

Статья 4. Полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты

1. Палаты Федерального Собрания:

>• осуществляют законодательное регулирование отношений в области государственной тайны;

>• рассматривают статьи федерального бюджета в части средств, направляемых на реализацию государственных программ в области защиты государственной тайны;

>• определяют полномочия должностных лиц в аппаратах палат Федерального Собрания по обеспечению защиты государственной тайны в палатах Федерального Собрания.

2. Президент Российской Федерации:

>• утверждает государственные программы в области защиты государственной тайны;

(Государственная программа обеспечена защиты государственной тайны в Российской Федерации на 1996—1997 гг. утверждена Указом Президента РФ от 9 марта 1996 г. № 346.)

>• утверждает по представлению Правительства Российской Федерации состав, структуру межведомственной комиссии по защите государственной тайны и положение о ней;

(Межведомственная комиссия по защите государственной тайны образована Указом Президента РФ от 8 ноября 1995 г. № 1108.

Положение о Межведомственной комиссии по защите государственной тайны утверждено Указом Президента РФ от 20 января 1996 г. № 71.

Персональный состав Межведомственной комиссии по защите государственной тайны утвержден постановлением Правительства РФ от 28 февраля 1996 г. № 203.)

>• утверждает по представлению Правительства Российской Федерации Перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне, а также Перечень сведений, отнесенных к государственной тайне;

(Перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне, Утвержден распоряжением Президента РФ от 30 мая 1997 г. No 226-рп.)

>• заключает международные договоры Российской Федерации о совместном использовании и защите сведений, составляющих государственную тайну;

>• определяет полномочия должностных лиц по обеспечению защиты государственной тайны в Администрации Президента Российской Федерации;

>• в пределах своих полномочий решает иные вопросы, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и их защитой.

3. Правительство Российской Федерации:

>• организует исполнение Закона Российской Федерации «О государственной тайне»;

>• представляет на утверждение Президенту Российской Федерации состав, структуру межведомственной комиссии по защите государственной тайны и положение о ней;

>• представляет на утверждение Президенту Российской Федерации Перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне;

>• устанавливает порядок разработки Перечня сведений, отнесенных к государственной тайне;

>• организует разработку и выполнение государственных программ в области защиты государственной тайны;

>• определяет полномочия должностных лиц по обеспечению защиты государственной тайны в аппарате Правительства Российской Федерации;

>• устанавливает размеры и порядок предоставления льгот гражданам, допущенным к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны;

(Порядок и условия выплаты процентных надбавок к должностному окладу (тарифной ставке) должностных лиц и граждан, допущенных к государственной тайне утверждены постановлением Правительства РФ от 14 октября 1994 г. Ns 1161.)

>• устанавливает порядок определения размеров ущерба, наступившего в результате несанкционированного распространения сведений, составляющих государственную тайну, а также ущерба, наносимого собственнику информации в результате ее засекречивания;

>• заключает межправительственные соглашения, принимает меры по выполнению международных договоров Российской Федерации о совместном использовании и защите сведений, составляющих государственную тайну, принимает решения о возможности передачи их носителей другим государствам;

4. Органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации и органы местного самоуправления во взаимодействии с органами защиты государственной тайны, расположенными в пределах соответствующих территорий:

>• обеспечивают защиту переданных им другими органами государственной власти, предприятиями, учреждениями и организациями сведений, составляющих государственную тайну, а также сведений, засекречиваемых ими;

>• обеспечивают защиту государственной тайны на подведомственных им предприятиях, в учреждениях и организациях в соответствии с требованиями актов законодательства Российской Федерации;

>• обеспечивают в пределах своей компетенции проведение проверочных мероприятий в отношении граждан, допускаемых к государственной тайне;

>• реализуют предусмотренные законодательством меры по ограничению прав граждан и предоставлению льгот лицам, имеющим либо имевшим доступ к сведениям, составляющим государственную тайну;

>• вносят в полномочные органы государственной власти предложения по совершенствованию системы защиты государственной тайны.

5. Органы судебной власти:

>• рассматривают уголовные и гражданские дела о нарушениях законодательства Российской Федерации о государственной Тайне;

>• обеспечивают судебную защиту граждан, органов государственной ' власти, предприятий, учреждений и организаций в связи с их деятельностью по защите государственной тайны;

>• обеспечивают в ходе рассмотрения указанных дел защиту государственной тайны;

>• определяют полномочия должностных лиц по обеспечению защиты государственной тайны в органах судебной власти.

Федеральным законом от 6 октября 1997 г. № 131-ФЗ название раздела II изложено в новой редакции, см. текст названия в предыдущей редакции.

Раздел П. Перечень сведений, составляющих государственную тайну

Федеральным законом от 6 октября 1997 г. № 131-ФЗ статья 5 настоящего Закона изложена в новой редакции, см. текст статьи в предыдущей редакции.

Статья 5. Перечень сведений, составляющих государственную тайну

Государственную тайну составляют:

1) сведения в военной области: о содержании стратегических и оперативных планов, документов боевого управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию Вооруженных Сил Российской Федерации, других войск, воинских формирований и органов, предусмотренных Федеральным законом «Об обороне», об их боевой и мобилизационной готовности, о создании и об использовании мобилизационных ресурсов; о планах строительства Вооруженных Сил Российской Федерации, других войск Российской Федерации, о направлениях развития вооружения и военной техники, о содержании и результатах выполнения целевых программ, научно-исследовательских и опытно-конструкторских работ по созданию и модернизации образцов вооружения и военной техники; о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов, их составных частей, делящихся ядерных материалов, используемых в ядерных боеприпасах, о технических средствах и (или) методах защиты ядерных боеприпасов от несанкционированного применения, а также о ядерных энергетических и специальных физических установках оборонного значения; о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о свойствах, рецептурах или технологиях производства новых видов ракетного топлива или взрывчатых веществ военного назначения; о дислокации, назначении, степени готовности, защищенности режимных и особо важных объектов, об их проектировании, строительстве и эксплуатации, а также об отводе земель, недр и акваторий для этих объектов; о дислокации, действительных наименованиях, об организационной структуре, о вооружении, численности войск и состояния их боевого обеспечения, а также о военно-политической и (или) оперативной обстановке;

2) сведения в области экономики, науки и техники: о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям, о мобилизационных мощностях промышленности по изготовлению и ремонту вооружения и военной техники, об объемах производства, поставок, о запасах стратегических видов сырья и материалов, а также о размещении, фактических размерах и об использовании государственных материальных резервов; об использовании инфрастуктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства; о силах и средствах гражданской обороны, о дислокации, предназначении и степени защищенности объектов административного управления, о степени обеспечения безопасности населения, о функционировании транспорта и связи в Российской Федерации в целях обеспечения безопасности государства; об объемах, о планах (заданиях) государственного оборонного заказа, о выпуске и поставках (в денежном или натуральном выражении) вооружения, военной техники и другой оборонной продукции, о наличии и наращивании мощностей по их выпуску, о связях предприятий по кооперации, о разработчиках или об изготовителях указанных вооружения, военной техники и другой оборонной продукции;

о достижениях науки и техники, о научно-исследовательских, об опытно-конструкторских, о проектных работах и технологиях, имеющих важное оборонное или экономическое значение, влияющих на безопасность государства; об объемах запасов, добычи, передачи и потребления платины, металлов платиновой группы, природных алмазов, а также об объемах других стратегических видов полезных ископаемых Российской Федерации (по списку, определяемому Правительством Российской Федерации);

3) сведения в области внешней политики и экономики: о внешнеполитической, внешнеэкономической деятельности Российской Федерации, преждевременное распространение которых может нанести ущерб безопасности государства; о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства;

4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности: о силах, средствах, об источниках, о методах, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения; о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно-розыскную деятельность; об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения; о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи, о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средстви средств специальной защиты, об информационно-аналитических системах специального назначения; о методах и средствах защиты секретной информации; об организации и о фактическом состоянии защиты государственной тайны; о защите Государственной границы Российской Федерации, исключительной экономической зоны и континентального шельфа Российской Федерации; о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правоохранительной деятельности в Российской Федерации; о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства.

Федеральным законом от 6 октября 1997 г. № 131-ФЗ название раздела III изложено в новой редакции, см. текст названия в предыдущей редакции.

Раздел III. Отнесение сведений к государственной тайне и их засекречивание

Федеральным законом от 6 октября 1997 г. Ns 131-ФЗ в статью б настоящего Закона внесены изменения, см. текст статьи в предыдущей редакции.

Статья 6. Принципы отнесения сведений к государственной тайне и засекречивания этих сведений

Отнесение сведений к государственной тайне и их засекречивание — введение в предусмотренном настоящим Законом порядке для сведений, составляющих государственную тайну, ограничений на их распространение и на доступ к их носителям.

Отнесение сведений к государственной тайне и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности.

Законность отнесения сведений к государственной тайне и их засекречивание заключается в соответствии засекречиваемых сведений положениям статей 5 и 7 настоящего Закона и законодательству Российской Федерации о государственной тайне.

Обоснованность отнесения сведений к государственной тайне и их засекречивание заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан.

Своевременность отнесения сведений к государственной тайне и их засекречивание заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Федеральным законом от 6 октября 1997 г. nb 131-ФЗ в статью 7 настоящего Закона внесены изменения, см. текст статьи в предыдущей редакции.

Статья 7. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию

Не подлежат отнесению к государственной тайне и засекречиванию сведения:

>• о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;

>• о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

>• о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

>• о фактах нарушения прав и свобод человека и гражданина;

>• о размерах золотого запаса и государственных валютных резервах Российской Федерации;

>• о состоянии здоровья высших должностных лиц Российской Федерации;

>• о фактах нарушения законности органами государственной власти и их должностными лицами.

Должностные лица, принявшие решение о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суд.

О сведениях, не подлежащих засекречиванию, см. также постановление Правительства РФ от 7 августа 1995 г. № 798.

Статья 8. Степени секретности сведений и грифы секретности носителей этих сведений

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.

Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно».

Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации.

Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности утверждены постановлением Правительства РФ от 4 сентября 1995 г. № 870.

Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Федеральным законом от 6 октября 1997 г. № 131-ФЗ в статью 9 настоящего Закона внесены изменения, см. текст статьи в предыдущей редакции.

Статья 9. Порядок отнесения сведений к государственной тайне

Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью, а также в соответствии с настоящим Законом.

Обоснование необходимости отнесения сведений к государственной тайне в соответствии с принципами засекречивания сведений возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны).

Отнесение сведений к государственной тайне осуществляется в соответствии с Перечнем сведений, составляющих государственную тайну, определяемым настоящим Законом, руководителями органов государственной власти в соответствии с Перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым Президентом Российской Федерации. Указанные лица несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне.

Для осуществления единой государственной политики в области засекречивания сведений межведомственная комиссия по защите государственной тайны формирует по предложениям органов государственной власти и в соответствии с Перечнем сведений, составляющих государственную тайну, Перечень сведений, отнесенных к государственной тайне. В этом Перечне указываются органы государственной власти, наделяемые полномочиями по распоряжению данными сведениями. Указанный Перечень утверждается Президентом Российской Федерации, подлежит открытому опубликованию и пересматривается по мере необходимости.

Органами государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, в соответствии с Перечнем сведений, отнесенных к государственной тайне, разрабатываются развернутые перечни сведений, подлежащих засекречиванию. В эти перечни включаются сведения, полномочиями по распоряжению которыми наделены указанные органы, и устанавливается степень их секретности. В рамках целевых программ по разработке и модернизации образцов вооружения и военной техники, опытно-конструкторских и научно-исследовательских работ по решению заказчиков указанных образцов и работ могут разрабатываться отдельные перечни сведений, подлежащих засекречиванию. Эти перечни утверждаются соответствующими руководителями органов государственной власти. Целесообразность засекречивания таких перечней определяется их содержанием.

Статья 10. Ограничение прав собственности предприятий, учреждений организаций и граждан Российской Федерации на информацию в связи с ее засекречиванием

Должностные лица, наделенные в порядке, предусмотренном статьей 9 настоящего Закона, полномочиями по отнесению сведений к государственной тайне, вправе принимать решения о засекречивании информации, находящейся в собственности предприятий, учреждений, организаций и граждан (далее - собственник информации), если эта информация включает сведения, перечисленные в Перечне сведений, отнесенных к государственной тайне. Засекречивание указанной информации осуществляется по представлению собственников информации или соответствующих органов государственной власти.

Материальный ущерб, наносимый собственнику информации в связи с ее засекречиванием, возмещается государством в размерах, определяемых в договоре между органом государственной власти, в распоряжение которого переходит эта информация, и ее собственником. В договоре также предусматриваются обязательства собственника информации по ее нераспространению.

При отказе собственника информации от подписания договора он предупреждается об ответственности за несанкционированное распространение сведений, составляющих государственную тайну в соответствии с действующим законодательством.

Собственник информации вправе обжаловать в суд действия должностных лиц, ущемляющие, по мнению собственника информации, его права. В случае признания судом действий должностных лиц незаконными порядок возмещения ущерба, нанесенного собственнику информации, определяется решением суда в соответствии с действующим законодательством.

Не может быть ограничено право собственности на информацию иностранных организаций и иностранных граждан, если эта информация получена (разработана) ими без нарушения законодательства Российской Федерации.

Статья 11. Порядок засекречивания сведений и их носителей

Основанием для засекречивания сведений, полученных (разработанных) в результате управленческой, производственной, научной и иных видов деятельности органов государственной власти, предприятий, учреждений и организаций, является их соответствие действующим в данных органах, на данных предприятиях, в данных учреждениях и организациях перечням сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности.

При невозможности идентификации полученных (разработанных) сведений со сведениями, содержащимися в действующем перечне, должностные лица органов государственной власти, предприятий, учреждений и организаций обязаны обеспечить предварительное засекречивание полученных (разработанных) сведений в соответствии с предполагаемой степенью секретности и в месячный срок направить в адрес должностного лица, утвердившего указанный перечень, предложения по его дополнению (изменению).

Должностные лица, утвердившие действующий перечень, обязаны в течение трех месяцев организовать экспертную оценку поступивших предложений и принять решение по дополнению (изменению) действующего перечня или снятию предварительно присвоенного сведениям грифа секретности.

Статья 12. Реквизиты носителей сведений, составляющих государственную тайну

На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:

>• о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данных учреждении и организации перечня сведений, подлежащих засекречиванию;

>• об органе государственной власти, о предприятии, об учреждении, организации, осуществивших засекречивание носителя;

>• о регистрационном номере;

>• о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.

При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, эти данные указываются в сопроводительной документации на этот носитель.

Если носитель содержит составные части с различными степенями секретности, каждой из этих составных частей присваивается соответствующий гриф секретности, а носителю в целом присваивается гриф секретности, соответствующий тому грифу секретности, который присваивается его составной части, имеющей высшую для данного носителя степень секретности сведений.

Помимо перечисленных в настоящей статье реквизитов на носителе и (или) в сопроводительной документации к нему могут проставляться дополнительные отметки, определяющие полномочия должностных лиц по ознакомлению с содержащимися в этом носителе сведениями. Вид и порядок проставления дополнительных отметок и других реквизитов определяются нормативными документами, утверждаемыми Правительством Российской Федерации.

Раздел IV. Рассекречивание сведений и их носителей

О порядке рассекречивания архивных документов см. постановление Правительства РФ от 20 февраля 1995 г. № 170.

Статья 13. Порядок рассекречивания сведений

Рассекречивание сведений и их носителей — снятие ранее введенных в предусмотренном настоящим Законом порядке ограничений на распространение сведений, составляющих государственную тайну, и на доступ к их носителям.

Основаниями для рассекречивания сведений являются:

>• взятие на себя Российской Федерацией международных обязательств по открытому обмену сведениями, составляющими в Российской Федерации государственную тайну;

>• изменение объективных обстоятельств, вследствие которого дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной.

Органы государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, обязаны периодически, но не реже чем через каждые 5 лет, пересматривать содержание действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, в части обоснованности засекречивания сведений и их соответствия установленной ранее степени секретности.

Срок засекречивания сведений, составляющих государственную тайну, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению межведомственной комиссии по защите государственной тайны.

Правом изменения действующих в органах государственной власти, на предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, наделяются утвердившие их руководители органов государственной власти, которые несут персональную ответственность за обоснованность принятых ими решений по рассекречиванию сведений. Решения указанных руководителей, связанные с изменением перечня сведений, отнесенных к государственной тайне, подлежат согласованию с межведомственной комиссией по защите государственной тайны, которая вправе приостанавливать и опротестовывать эти решения.

Статья 14. Порядок рассекречивания носителей сведений, составляющих государственную тайну

Носители сведений, составляющих государственную тайну, рассекречиваются не позднее сроков, установленных при их засекречивании. До истечения этих сроков носители подлежат рассекречиванию, если изменены положения действующего в данном органе государственной власти, на предприятии, в учреждении и организации перечня, на основании которых они были засекречены.

В исключительных случаях право продления первоначально установленных сроков засекречивания носителей сведений, составляющих государственную тайну, предоставляется руководителям государственных органов, наделенным полномочиями по отнесению соответствующих сведений к государственной тайне, на основании заключения назначенной ими в установленном порядке экспертной комиссии.

Руководители органов государственной власти, предприятий, учреждений и организаций наделяются полномочиями по рассекречиванию носителей сведений, необоснованно засекреченных подчиненными им должностными лицами.

Руководители государственных архивов Российской Федерации наделяются полномочиями по рассекречиванию носителей сведений, составляющих государственную тайну, находящихся на хранении в закрытых фондах этих архивов, в случае делегирования им таких полномочий организацией — фондообразователем или ее правопреемником. В случае ликвидации организации — фондообразователя и отсутствия ее правопреемника вопрос о порядке рассекречивания носителей сведений, составляющих государственную тайну, рассматривается межведомственной комиссией по защите государственной тайны.

Статья 15. Исполнение запросов граждан, предприятий, учреждений, организаций и органов государственной власти Российской Федерации о рассекречивании сведений

Граждане, предприятия, учреждения, организации и органы государственной власти Российской Федерации вправе обратиться в органы государственной власти, на предприятия, в учреждения, организации в том числе в государственные архивы, с запросом о рассекречивании сведений, отнесенных к государственной тайне.

Органы государственной власти, предприятия, учреждения, организации, в том числе государственные архивы, получившие такой запрос, обязаны в течение трех месяцев рассмотреть его и дать мотивированный ответ по существу запроса. Если они не правомочны решить вопрос о рассекречивании запрашиваемых сведений, то запрос в месячный срок с момента его поступления передается в орган государственной власти, наделенный такими полномочиями либо в межведомственную комиссию по защите государственной тайны о чем уведомляются граждане предприятия, учреждения, организации и органы государственной власти Российской Федерации, подавшие запрос.

Уклонение должностных лиц от рассмотрения запроса по существу влечет за собой административную (дисциплинарную) ответственность в соответствии с действующим законодательством.

Обоснованность отнесения сведений к государственной тайне может быть обжалована в суд. При признании судом необоснованности засекречивания сведений эти сведения подлежат рассекречиванию в установленном настоящим Законом порядке.

Раздел V. Распоряжение сведениями, составляющими государственную тайну

Статья 16. Взаимная передача сведений, составляющих государственную тайну, органами государственной власти, предприятиями, учреждениями и организациями

Взаимная передача сведений, составляющих государственную тайну, осуществляется органами государственной власти, предприятиями, учреждениями и организациями, не состоящими в отношениях подчиненности и не выполняющими совместных работ с санкции органа государственной власти, в распоряжении которого в соответствии со статьей 9 настоящего Закона находятся эти сведения.

Органы государственной власти, предприятия, учреждения и организации, запрашивающие сведения, составляющие государственную тайну, обязаны создать условия, обеспечивающие защиту этих сведений. Их руководители несут персональную ответственность за несоблюдение установленных ограничений по ознакомлению со сведениями, составляющими государственную тайну.

Обязательным условием для передачи сведений, составляющих государственную тайну, органам государственной власти, предприятиям, учреждениям и организациям является выполнение ими требований, предусмотренных в статье 27 настоящего Закона.

Постановлением ВС РФ от 21 июля 1993 г. № 5486-1 установлено, что часть первая статьи 17 настоящего Закона вводится в действие не позднее 1 января 1995 года.

Статья 17. Передача сведений, составляющих государственную тайну, в связи с выполнением совместных и других работ

Передача сведений, составляющих государственную тайну, предприятиям, учреждениям, организациям или гражданам в связи с выполнением совместных и других работ осуществляется заказчиком этих работ с разрешения органа государственной власти, в распоряжении которого в соответствии со статьей 9 настоящего Закона находятся соответствующие сведения, и только в объеме, необходимом для выполнения этих работ. При этом до передачи сведений, составляющих государственную тайну, заказчик обязан убедиться в наличии у предприятия, учреждения или организации лицензии на проведение работ с использованием сведений соответствующей степени секретности, а у граждан — соответствующего допуска.

Предприятия, учреждения или организации, в том числе и негосударственных форм собственности, при проведении совместных и других работ (получении государственных заказов) и возникновении в связи с этим необходимости в использовании сведений, составляющих государственную тайну, могут заключать с государственными предприятиями, учреждениями или организациями договоры об использовании услуг их структурных подразделений по защите государственной тайны, о чем делается соответствующая отметка в лицензиях на проведение работ с использованием сведений, составляющих государственную тайну, обеих договаривающихся сторон.

В договоре на проведение совместных и других работ, заключаемом в установленном законом порядке, предусматриваются взаимные обязательства сторон по обеспечению сохранности сведений, составляющих государственную тайну, как в процессе проведения работ, так и по их завершении, а также условия финансирования работ (услуг) по защите сведений, составляющих государственную тайну.

Организация контроля за эффективностью защиты государственной тайны при проведении совместных и других работ возлагается на заказчика этих работ в соответствии с положениями заключенного сторонами договора.

При нарушении исполнителем в ходе совместных и других работ взятых на себя обязательств по защите государственной тайны заказчик вправе приостановить выполнение заказа до устранения нарушений, а при повторных нарушениях — поставить вопрос об аннулировании заказа и лицензии на проведение работ с использованием сведений, составляющих государственную тайну, и о привлечении виновных лиц к ответственности. При этом материальный ущерб, нанесенный исполнителем государству в лице заказчика, подлежит взысканию в соответствии с действующим законодательством.

Статья 18. Передача сведений, составляющих государственную тайну, другим государствам

Решение о передаче сведений, составляющих государственную тайну, другим государствам принимается Правительством Российской Федерации при наличии экспертного заключения межведомственной комиссии по защите государственной тайны о возможности передачи этих сведений.

См. Положение о подготовке к передаче сведений, составляющих государственную тайну, другим государствам, утвержденное постановлением Правительства РФ от 2 августа 1997 г. № 973.

Обязательства принимающей стороны по защите передаваемых ей сведений предусматриваются заключаемым с ней договором (соглашением).

Статья 19. Защита сведений, составляющих государственную тайну, при изменении функций субъектов правоотношений

Органы государственной власти, предприятия, учреждения и организации, располагающие сведениями, составляющими государственную тайну, в случаях изменения их функций, форм собственности, ликвидации или прекращения работ с использованием сведений, составляющих государственную тайну, обязаны принять меры по обеспечению защиты этих сведений и их носителей. При этом носители сведений, составляющих государственную тайну, в установленном порядке уничтожаются, сдаются на архивное хранение либо передаются:

>• правопреемнику органа государственной власти, предприятия, учреждения или организации, располагающих сведениями, составляющими государственную тайну, если этот правопреемник имеет полномочия по проведению работ с использованием указанных сведений;

>• органу государственной власти, в распоряжении которого в соответствии со статьей 9 настоящего Закона находятся соответствующие сведения;

>• другому органу государственной власти, предприятию, учреждению или организации по указанию межведомственной комиссии по защите государственной тайны.

Раздел VI. Защита государственной тайны

Статья 20. Органы защиты государственной тайны

К органам защиты государственной тайны относятся:

>• межведомственная комиссия по защите государственной тайны;

>• органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах;

>• органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

Межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне. Функции межведомственной комиссии по защите государственной тайны и ее надведомственные полномочия реализуются в соответствии с Положением о межведомственной комиссии по защите государственной тайны, утверждаемым Президентом Российской Федерации.

Указом Президента РФ от 30 марта 1994 г. № 614 функции межведомственной комиссии по защите государственной тайны временно возложены на Государственную техническую комиссию при Президенте Российской Федерации.

Органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерства обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах организуют и обеспечивают защиту государственной тайны в соответствии с функциями, возложенными на них законодательством Российской Федерации.

Органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях в учреждениях и организациях возлагается на их руководителей. В зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми Правительством Российской Федерации, и с учетом специфики проводимых ими работ.

Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.

Постановлением Правительства РФ от 3 марта 1997 г. № 242 на федеральную службу безопасности Российской Федерации возложено выполнение функций органа Российской Федерации, ответственного за осуществление мероприятий и процедур в области защиты информации и обеспечение надзора в целях защиты информации, имеющей гриф секретности, которой обмениваются Российская Федерация и НАТО.

О соответствии Конституции статьи 21 настоящего Закона см. постановление Конституционного Суда РФ от 27 марта 1996 г. № 8-П.

Статья 21. Допуск должностных лиц и граждан к государственной тайне

Допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке.

Допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне осуществляется в порядке, устанавливаемом Правительством Российской Федерации.

Допуск должностных лиц и граждан к государственной тайне предусматривает:

>• принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну;

>• согласие на частичные, временные ограничения их прав в соответствии со статьей 24 настоящего Закона;

>• письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий;

>• определение видов, размеров и порядка предоставления льгот, предусмотренных настоящим Законом;

>• ознакомление с нормами законодательства Российской Федераций О государственной тайне, предусматривающими ответственность за его нарушение;

>• принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну. Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо. Проверочные мероприятия осуществляются в соответствии с законодательством Российской Федерации. Целью проведения проверочных мероприятий является выявление оснований, предусмотренных статьей 22 настоящего Закона.

Для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, устанавливаются следующие льготы:

>• процентные надбавки к заработной плате в зависимости от степени секретности сведений, к которым они имеют доступ;

>• преимущественное право при прочих равных условиях на оставление на работе при проведении органами государственной власти, предприятиями, учреждениями и организациями организационных и (или) штатных мероприятий.

Для сотрудников структурных подразделений по защите государственной тайны дополнительно к льготам, установленным для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, устанавливается процентная надбавка к заработной плате за стаж работы в указанных структурных подразделениях.

Взаимные обязательства администрации и оформляемого лица отражаются в трудовом договоре (контракте). Заключение трудового договора (контракта) до окончания проверки компетентными органами не допускается.

Устанавливается три формы допуска к государственной тайне должностных лиц и граждан, соответствующие трем степеням секретности сведений, составляющих государственную тайну: к сведениям особой важности, совершенно секретным или секретным. Наличие у должностных лиц и граждан допуска к сведениям более высокой степени секретности является основанием для доступа их к сведениям более низкой степени секретности.

Сроки, обстоятельства и порядок переоформления допуска граждан к государственной тайне устанавливаются нормативными документами, утверждаемыми Правительством Российской Федерации.

См. Инструкцию о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденную постановлением Правительства РФ от 28 октября 1995 г. № 1050.

Порядок допуска должностных лиц и граждан к государственной тайне в условиях объявленного чрезвычайного положения может быть изменен Президентом Российской Федерации.

Федеральным законом от 6 октября 1997 г. № 131-ФЗ настоящий Закон дополнен статьей 21(1).

Статья 21(1). Особый порядок допуска к государственной тайне

Члены Совета Федерации, депутаты Государственной Думы, судьи на период исполнения ими своих полномочий, а также адвокаты, участвующие в качестве защитников в уголовном судопроизводстве по делам, связанным со сведениями, составляющими государственную тайну, допускаются к сведениям, составляющим государственную тайну, без проведения проверочных мероприятий, предусмотренных статьей 21 настоящего Закона.

Указанные лица предупреждаются о неразглашении государственной тайны, ставшей им известной в связи с исполнением ими своих полномочий, и о привлечении их к ответственности в случае ее разглашения, о чем у них отбирается соответствующая расписка.

Сохранность государственной тайны в таких случаях гарантируется путем установления ответственности указанных лиц федеральным законом.

Статья 22. Основания для отказа должностному лицу или гражданину в допуске к государственной тайне

Федеральным законом от 6 октября 1997 г. № 131-ФЗ в абзаце втором части первой статьи 22 настоящего Закона слова «особо опасным» исключены.

Основаниями для отказа должностному лицу или гражданину в допуске к государственной тайне могут являться:

>• признание его судом недееспособным, ограниченно дееспособным или особо опасным рецидивистом, нахождение его под судом или следствием за государственные и иные тяжкие преступления, наличие у него неснятой судимости за эти преступления;

>• наличие у него медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, согласно перечню, утверждаемому Министерством здравоохранения Российской Федерации;

>• постоянное проживание его самого и (или) его близких родственников за границей и (или) оформление указанными лицами документов для выезда на постоянное жительство в другие государства;

>• выявление в результате проверочных мероприятий действий оформляемого лица, создающих угрозу безопасности Российской Федерации;

>• уклонение его от проверочных мероприятий и (или) сообщение им заведомо ложных анкетных данных.

Решение об отказе должностному лицу или гражданину в допуске к государственной тайне принимается руководителем органа государственной власти, предприятия, учреждения или организации в индивидуальном порядке с учетом результатов проверочных мероприятий. Гражданин имеет право обжаловать это решение в вышестоящую организацию или в суд.

Статья 23. Условия прекращения допуска должностного лица или гражданина к государственной тайне

Допуск должностного лица или гражданина к государственной тайне может быть прекращен по решению руководителя органа государственной власти, предприятия, учреждения или организации в случаях:

>• расторжения с ним трудового договора (контракта) в связи с проведением организационных и (или) штатных мероприятий;

>• однократного нарушения им взятых на себя предусмотренных трудовым договором (контрактом) обязательств, связанных с защитой государственной тайны;

>• возникновения обстоятельств, являющихся согласно статье 22 настоящего Закона основанием для отказа должностному лицу или гражданину в допуске к государственной тайне.

Прекращение допуска должностного лица или гражданина к государственной тайне является дополнительным основанием для расторжения с ним трудового договора (контракта), если такие условия предусмотрены в трудовом договоре (контракте).

Прекращение допуска к государственной тайне не освобождает должностное лицо или гражданина от взятых ими обязательств по неразглашению сведений, составляющих государственную тайну.

Решение администрации о прекращении допуска должностного лица или гражданина к государственной тайне и расторжении на основании этого с ним трудового договора (контракта) может быть обжаловано в вышестоящую организацию или в суд.

Статья 24. Ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне

Должностное лицо или гражданин, допущенные или ранее допускавшиеся к государственной тайне, могут быть временно ограничены в своих правах. Ограничения могут касаться:

>• права выезда за границу на срок, оговоренный в трудовом договоре (контракте) при оформлении допуска гражданина к государственной тайне;

>• права на распространение сведений, составляющих государственную тайну, и на использование открытий и изобретений, содержащих такие сведения;

>• права на неприкосновенность частной жизни при проведении проверочных мероприятий в период оформления допуска к государственной тайне.

Статья 25. Организация доступа должностного лица или гражданина к сведениям, составляющим государственную тайну

Организация доступа должностного лица или гражданина к сведениям, составляющим государственную тайну, возлагается на руководителя соответствующего органа государственной власти, предприятия, учреждения или организации, а также на их структурные подразделения по защите государственной тайны. Порядок доступа должностного лица или гражданина к сведениям, составляющим государственную тайну, устанавливается нормативными документами, утверждаемыми Правительством Российской Федерации.

Руководители органов государственной власти, предприятий, учреждений и организаций несут персональную ответственность за создание таких условий, при которых должностное лицо или гражданин знакомятся только с теми сведениями, составляющими государственную тайну, и в таких объемах, которые необходимы ему для выполнения его должностных (функциональных) обязанностей.

Статья 26. Ответственность за нарушение законодательства Российской Федерации о государственной тайне

Должностные лица и граждане, виновные в нарушении законодательства Российской Федерации о государственной тайне, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством.

Федеральным законом от 6 октября 1997 г. № 131-ФЗ статья 26 настоящего Закона дополнена новой частью второй, часть вторая считается частью третьей.

Соответствующие органы государственной власти и их должностные лица основываются на подготовленных в установленном порядке экспертных заключениях об отнесении незаконно распространенных сведений к сведениям, составляющим государственную тайну.

Защита прав и законных интересов граждан, органов государственной власти, предприятий, учреждений и организаций в сфере действия настоящего Закона осуществляется в судебном или ином порядке, предусмотренном настоящим Законом.

Постановлением ВС РФ от 21 июля 1993 г. № 5486-1 установлено, что часть первая статьи 27 настоящего Закона вводится в действие не позднее 1 января 1995 г.

Статья 27. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну

Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности.

Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны утверждено постановлением Правительства РФ от 15 апреля 1995 г. № 333.

Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию.

Лицензия на проведение работ с использованием сведений, составляющих государственную тайну, выдается предприятию, учреждению, организации при выполнении ими следующих условий:

>• выполнение требований нормативных документов, утверждаемых Правительством Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;

>• наличие в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;

>• наличие у них сертифицированных средств защиты информации.

Статья 28. Порядок сертификации средств защиты информации

Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств защиты информации возлагается на Государственную техническую комиссию при Президенте Российской Федерации, Федеральная служба безопасности Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Министерство обороны Российской Федерации в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации.

Положение о сертификации средств защиты информации утверждено постановлением Правительства РФ от 26 июня 1995 г. nq 608.

Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.

Раздел VII. Финансирование мероприятий по защите государственной тайны

Статья 29. Финансирование мероприятий по защите государственной тайны

Финансирование деятельности органов государственной власти, бюджетных предприятий, учреждений и организаций и их структурных подразделений по защите государственной тайны осуществляется за счет средств соответствующих бюджетов, а остальных предприятий, учреждений и организаций — за счет средств, получаемых от их основной деятельности при выполнении работ, связанных с использованием сведений, составляющих государственную тайну.

Средства на финансирование государственных программ в области защиты государственной тайны предусматриваются в федеральном бюджете Российской Федерации отдельной строкой.

Контроль за расходованием финансовых средств, выделяемых на проведение мероприятий по защите государственной тайны, осуществляется руководителями органов государственной власти, предприятий, учреждений и организаций, заказчиками работ, а также специально уполномоченными на то представителями Министерства финансов Российской Федерации. Если осуществление этого контроля связано с доступом к сведениям, составляющим государственную, тайну, то перечисленные лица должны иметь допуск к сведениям соответствующей степени секретности.

Раздел VIII. Контроль и надзор за обеспечением защиты государственной тайны

Федеральным законом от 6 октября 1997 г. № 131-ФЗ статья 30 настоящего Закона изложена в новой редакции, см. текст статьи в предыдущей редакции.

Статья 30. Контроль за обеспечением защиты государственной тайны

Контроль за обеспечением защиты государственной тайны осуществляют Президент Российской Федерации, Правительство Российской Федерации в пределах полномочий», определяемых Конституцией Российской Федерации, федеральными конституционными законами и федеральными законами.

Статья 31. Межведомственный и ведомственный контроль

Межведомственный контроль за обеспечением защиты государственной тайны в органах государственной власти, на предприятиях, в учреждениях и организациях осуществляют органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах, на которые эта функция возложена законодательством Российской Федерации.

Органы государственной власти, наделенные в соответствии с настоящим Законом полномочиями по распоряжению сведениями, составляющими государственную тайну, обязаны контролировать эффективность защиты этих сведений во всех подчиненных и подведомственных им органах государственной власти, на предприятиях, в учреждениях и организациях, осуществляющих работу с ними.

Федеральным законом от 6 октября 1997 г. № 131-ФЗ часть третья статьи 31 настоящего Закона изложена в новой редакции, см. текст части третьей в предыдущей редакции.

Контроль за обеспечением защиты государственной тайны в Администрации Президента Российской Федерации, в аппаратах палат Федерального Собрания, Правительства Российской Федерации организуется их руководителями.

Контроль за обеспечением защиты государственной тайны в судебных органах и органах прокуратуры организуется руководителями этих органов.

Статья 32. Прокурорский надзор

Надзор за соблюдением законодательства при обеспечении защиты государственной тайны и законностью принимаемых при этом решений осуществляют Генеральный прокурор Российской Федерации и подчиненные ему прокуроры.

Доступ лиц, осуществляющих прокурорский надзор, к сведениям, составляющим государственную тайну, осуществляется в соответствии со статьей 25 настоящего Закона.

Москва, Дом Советов России

21 июля 1993 г.

Президент Российской Федерации Б. Ельцин

«О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ»

Закон РФ от 19 февраля 1993 г. № 4524-1 (с изменениями от 24 декабря 1993 г.)

Настоящий Закон определяет назначение, правовую основу, принципы организации и основные направления деятельности, систему, обязанности и права, силы и средства федеральных органов правительственной связи и информации, а также виды и порядок контроля и надзора за их деятельностью.

Раздел I. Общие положения

Статья 1. Назначение федеральных органов правительственной связи и информации

Федеральные органы правительственной связи и информации являются составной частью сил обеспечения безопасности Российской Федерации и входят в систему органов федеральной исполнительной власти.

Федеральные органы правительственной связи и информации обеспечивают высшие органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации, центральные органы федеральной исполнительной власти, Совет безопасности Российской Федерации (далее — государственные органы), организации, предприятия, учреждения специальными видами связи и информации, а также организуют деятельность центральных органов федеральной исполнительной власти, организаций, предприятий, учреждений по обеспечению криптографической и инженерно-технической безопасности шифрованной связи в Российской Федерации и ее учреждениях за рубежом, осуществляют государственный контроль за этой деятельностью.

Федеральные органы правительственной связи и информации в пределах своей компетенции участвуют с Главным управлением охраны Российской Федерации в организации и обеспечении президентской связи.

Статья 2. Правовая основа деятельности федеральных органов правительственной связи и информации

Правовую основу деятельности федеральных органов правительственной связи и информации составляют Конституция Российской Федерации, Законы Российской Федерации «О безопасности», «Об обороне», «О внешней разведке», настоящий Закон, другие законы Российской Федерации, а также принимаемые в соответствии с ними нормативные акты Президента Российской Федерации и Правительства Российской Федерации.

Деятельность федеральных органов правительственной связи и информации осуществляется в соответствии с международными договорами и соглашениями, заключенными либо признанными Российской Федерацией.

Федеральные органы правительственной связи и информации издают в соответствии с законодательством Российской Федерации нормативные акты в пределах своей компетенции.

Создание и деятельность политических партий и организаций в федеральных органах правительственной связи и информации не допускаются.

Статья 3. Основные направления деятельности федеральных органов правительственной связи и информации

Основными направлениями деятельности федеральных органов правительственной связи и информации являются:

>• организация и обеспечение эксплуатации, безопасности, развития и совершенствования правительственной связи, иных видов специальной связи и систем специальной информации для государственных органов;

>• обеспечение в пределах своей компетенции сохранности государственных секретов; организация и обеспечение криптографической и инженерно-технической безопасности шифрованной связи в Российской Федерации и ее учреждениях за рубежом;

>• организация и ведение внешней разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи с использованием радиоэлектронных средств и методов;

>• обеспечение высших органов государственной власти Российской Федерации, центральных органов федеральной исполнительной власти, Совета безопасности Российской Федерации достоверной и независимой от других источников специальной информацией (материалы внешней разведывательной деятельности, информация по поддержанию управления народным хозяйством в особый период, военное время и при чрезвычайных ситуациях, экономическая информация мобилизационного назначения, информация социально-экономического мониторинга), необходимой им для принятия решений в области безопасности, обороны, экономики, науки и техники, международных отношений, экологии, а также мобилизационной готовности.

Статья 4. Принципы организации деятельности федеральных органов правительственной связи и информации

1. Деятельность федеральных органов правительственной связи и информации строится на основе принципов:

>• законности;

>• уважения прав и свобод человека и гражданина;

>• сохранности государственных секретов;

>• подконтрольности и подотчетности высшим органам государственной власти Российской Федерации.

2. Федеральные органы правительственной связи и информации действуют на основе:

>• единства системы федеральных органов правительственной связи и информации;

>• централизации управления системой федеральных органов правительственной связи и информации;

>• сочетания линейного, территориального и объектового принципов организации деятельности федеральных органов правительственной связи и информации.

Раздел II. Система федеральных органов правительственной связи и информации

Статья 5. Построение системы федеральных органов правительственной связи и информации

Единую систему федеральных органов правительственной связи и информации составляют:

>• Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (далее — Федеральное агентство);

>• органы правительственной связи и информации (центры правительственной связи, информационно-аналитические органы) в субъектах Российской Федерации;

>• войска;

>• учебные заведения, научно-исследовательские организации, предприятия.

Федеральные органы правительственной связи и информации создают структурные подразделения по финансовому, материально-техническому, инженерно-строительному, медицинскому и иному обеспечению своей деятельности.

При Федеральном агентстве действует Академия криптографии Российской Федерации.

Статья 6. Федеральное агентство правительственной связи и информации при Президенте Российской Федерации

1. Федеральное агентство находится в непосредственном ведении Президента Российской Федерации и является центральным органом федеральной исполнительной власти, ведающим вопросами организации и обеспечения правительственной связи, иных видов специальной связи для государственных органов, организации и обеспечения криптографической и инженерно-технической безопасности шифрованной связи, организации и ведения разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи, специального информационного обеспечения высших органов государственной власти Российской Федерации, центральных органов федеральной исполнительной власти. Возглавляет Федеральное агентство и руководит его деятельностью генеральный директор.

Подразделения и части радиоразведки Федерального агентства, обеспечивающие организацию и ведение разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи, образуют орган внешней разведки Федерального агентства, руководимый генеральным директором и действующий в соответствии с Законом Российской Федерации «О внешней разведке».

2. Федеральное агентство осуществляет государственное регулирование и межотраслевую координацию по вопросам, находящимся в его ведении.

Нормативные акты, предписания Федерального агентства в части организации, обеспечения функционирования и безопасности правительственной, шифрованной и иных видов специальной связи обязательны для исполнения государственными органами, а также организациями, предприятиями, учреждениями независимо от их ведомственной принадлежности и организационно-правовых форм с учетом взаимно согласованных требований ведомственных инструкций по организации и обеспечению безопасности шифрованной связи.

Согласно Указу Президента РФ от 24 декабря 1993 г. № 2288 часть третья статьи б настоящего Указа не подлежит применению органами государственной власти, органами местного самоуправления и их должностными лицами в части согласования положений с комитетом Верховного Совета Российской Федерации и высшими должностными лицами субъектов Российской Федерации.

3. Задачи, функции, организация и структура Федерального агентства определяются Положением о Федеральном агентстве правительственной связи и информации при Президенте Российской Федерации, утверждаемым Президентом Российской Федерации по согласованию с Комитетом Верховного Совета Российской Федерации по вопросам обороны и безопасности.

4. Федеральное агентство организует, руководит и непосредственно проводит работу по направлениям деятельности федеральных органов правительственной связи и информации, издает приказы, указания, положения, инструкции и другие нормативные акты, обязательные для исполнения в системе федеральных органов правительственной связи и информации.

Статья 7. Органы правительственной связи и информации в субъектах Российской Федерации

Органы правительственной связи и информации в субъектах Российской Федерации входят в систему органов государственного управления и осуществляют на соответствующей территории руководство в области организации и обеспечения правительственной связи, иных видов специальной связи и информации, сбора и передачи информации экономического характера в интересах государственных органов; в пределах своей компетенции они непосредственно проводят работу по основным направлениям деятельности федеральных органов правительственной связи и информации, организуют, координируют и контролируют деятельность подчиненных им подразделений и несут ответственность за обеспечение государственных органов специальными видами связи и информации.

Согласно Указу Президента РФ от 24 декабря 1993 г. nb 2288 часть вторая статьи 7 настоящего Указа не подлежит применению органами государственной власти, органами местного самоуправления и их должностными лицами в части согласования положений с комитетом Верховного Совета Российской Федерации и высшими должностными лицами субъектов Российской Федерации.

Организация деятельности органов правительственной связи и информации в субъектах Российской Федерации определяется соответствующими положениями, утверждаемыми генеральным директором Федерального агентства по согласованию с высшими должностными лицами субъектов Российской Федерации.

Статья 8. Войска Федерального агентства правительственной связи и информации при Президенте Российской Федерации

Войска Федерального агентства правительственной связи и информации при Президенте Российской Федерации включают в себя войска правительственной связи, части радиоразведки и инженерно-строительные части, которые создаются, содержатся и используются, в том числе за пределами Российской Федерации, в соответствии с законодательством Российской Федерации.

Командующим войсками Федерального агентства является генеральный директор.

Статья 9. Взаимодействие федеральных органов правительственной связи и информации с иными государственными органами и организациями

Федеральные органы правительственной связи и информации решают поставленные перед ними задачи во взаимодействии с Министерством безопасности Российской Федерации, Министерством обороны Российской Федерации, Министерством иностранных дел Российской Федерации, Министерством внутренних дел Российской Федерации, Министерством связи Российской Федерации, Службой внешней разведки Российской Федерации, Главным управлением охраны Российской Федерации, Государственной технической комиссией при Президенте Российской Федерации, с иными государственными органами и организациями.

Государственные органы обязаны оказывать федеральным органам правительственной связи и информации содействие в их деятельности по обеспечению функционирования правительственной связи, иных видов специальной связи, по сохранности государственных секретов и специальному информационному обеспечению высших органов государственной власти Российской Федерации, центральных органов федеральной исполнительной власти.

Раздел III. Обязанности и права федеральных органов правительственной связи и информации

Статья 10. Обязанности федеральных органов правительственной связи я информации

Федеральные органы правительственной связи и информации обязаны:

а) обеспечивать правительственной связью в местах постоянного или временного пребывания Президента Российской Федерации, Председателя Верховного Совета Российской Федерации, Председателя Правительства Российской Федерации, Председателя Конституционного Суда Российской Федерации, Председателя Верховного Суда Российской Федерации и Председателя Высшего арбитражного суда Российской Федерации;

б) участвовать в пределах своей компетенции с Главным управлением охраны Российской Федерации в организации и обеспечении президентской связи, соблюдая при этом ее единство, надежность, безопасность и оперативность;

в) обеспечивать правительственной связью, иными видами специальной связи государственные органы, высшее военное руководство и командования объединений Вооруженных Сил Российской Федерации, а также организации, предприятия, банки и иные учреждения. Принципы организации и порядок использования правительственной связи определяются Положением о правительственной связи Российской Федерации, утверждаемым Президентом Российской Федерации по согласованию с руководителями высших органов законодательной и судебной власти Российской Федерации;

г) осуществлять разведывательную деятельность в сфере шифрованной, засекреченной и иных видов специальной связи;

д) обеспечивать высшие органы государственной власти Российской Федерации, центральные органы федеральной исполнительной власти, Совет безопасности Российской Федерации специальной информацией, необходимой им для принятия решений в области безопасности, обороны, экономики, науки и техники, международных отношений, экологии, а также мобилизационной готовности;

е) осуществлять координацию деятельности по вопросам безопасности (в том числе на этапах создания, развития и эксплуатации) информационно-аналитических сетей, комплексов технических средств баз данных высших органов государственной власти и Совета безопасности Российской Федерации;

ж) обеспечивать безопасность правительственной связи Российской Федерации;

з) координировать на безвозмездной основе в интересах обеспечения сохранения государственной и иной охраняемой законом тайны деятельность организаций, предприятий, учреждений независимо от их ведомственной принадлежности и форм собственности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи;

и) координировать деятельность центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений по обеспечению криптографической и инженерно-технической безопасности шифрованной связи в Российской Федерации и ее учреждениях за рубежом, снабжать их ключевыми документами;

к) участвовать в обеспечении защиты технических средств обработки, хранения и передачи секретной информации в учреждениях, находящихся за рубежом Российской Федерации, от ее утечки по техническим каналам;

л) обеспечивать совместно с соответствующими службами высших органов государственной власти Российской Федерации защиту особо важных помещений этих органов и находящихся в них технических средств от утечки секретной информации по техническим каналам;

м) организовывать деятельность центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений по выявлению в технических средствах электронных устройств перехвата информации и обеспечивать выявление устройств перехвата информации в особо важных помещениях и технических средствах, предназначенных для использования в органах государственной власти Российской Федерации;

н) проводить разработку и изготовление специализированных технических средств и систем для обеспечения основных направлений своей деятельности;

о) обеспечивать в своей деятельности сохранность государственной и иной специально охраняемой законом тайны;

п) обеспечивать готовность систем правительственной связи и специальной информации для работы в военное время и в чрезвычайных ситуациях; поддерживать в постоянной боевой готовности технические средства оповещения государственных органов;

р) поддерживать и обеспечивать свою мобилизационную готовность.

Статья 11. Права федеральных органов правительственной связи и информации

Федеральные органы правительственной связи и информации имеют право:

а) издавать нормативные акты, предписания в части организации, обеспечения функционирования и безопасности правительственной, шифрованной и иных видов специальной связи, а также безопасности информационно-аналитических сетей, комплексов технических средств баз данных высших органов государственной власти и Совета безопасности Российской Федерации;

б) доступа установленным порядком на объекты связи независимо от их ведомственной принадлежности и форм собственности, в которых проходят линии или размещены средства правительственной связи, а также выполнять на таких объектах работы, связанные с решением задач, возложенных на федеральные органы правительственной связи и информации;

в) получать на приоритетной основе в соответствующих органах, ведающих распределением и назначением радиочастот, полосы радиочастот для исключительного использования их радиосредствами правительственной связи на всей территории Российской Федерации, а также заключать договоры на аренду линий и каналов связи для обеспечения деятельности федеральных органов правительственной связи и информации в пределах выделенных средств;

г) налагать ограничения по согласованию с соответствующими органами, ведающими распределением и назначением радиочастот, на использование радиоэлектронных средств любого назначения, если они работают с нарушением требований нормативных актов и создают радиопомехи работе средств правительственной связи;

д) привлекать силы и средства связи Вооруженных Сил Российской Федерации (по согласованию с Генеральным штабом Вооруженных Сил Российской Федерации), центральных органов федеральной исполнительной власти для обеспечения специальной связью в чрезвычайных ситуациях;

е) взимать плату за пользование правительственной связью, иными видами специальной связи и распределять поступающие средства в соответствии с порядком, устанавливаемым Президентом Российской Федерации, Верховным Советом Российской Федерации и Правительством Российской Федерации; оплата услуг правительственной и иных видов специальной связи осуществляется по тарифам, согласовываемым с Министерством финансов Российской Федерации;

ж) осуществлять разведывательную деятельность в сфере шифрованной, засекреченной и иных видов специальной связи с территории Российской Федерации и за ее пределами с использованием радиоэлектронных средств и методов;

з) предоставлять информационные материалы органа внешней разведки Федерального агентства высшим органам государственной власти и Совету безопасности Российской Федерации в соответствии с порядком, утверждаемым Президентом Российской Федерации и Председателем Верховного Совета Российской Федерации;

и) требовать и получать безвозмездно от центральных органов федеральной исполнительной власти, органов государственного управления субъектов Российской Федерации, государственных организаций, предприятий, учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности информацию в соответствии с утверждаемыми перечнями показателей и регламентом их представления и поручениями Президента Российской Федерации или Председателя Правительства Российской Федерации;

к) определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации; осуществлять в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг;

(О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации см. Указ Президента РФ от 3 апреля 1995 г. № 334.)

л) определять порядок и обеспечивать выдачу лицензий на экспорт и импорт шифровальных средств и нормативно-технической документации на их производство и использование; участвовать в определении порядка и обеспечении выдачи лицензий на экспорт и импорт защищенных технических средств передачи, обработки и хранения секретной информации;

(Согласно постановлению Правительства РФ от 15 апреля 1994 г. nq 331 шифровальные средства включены в Перечень специфических товаров (работ, услуг), экспорт которых осуществляется по лицензиям и в Перечень продукции, поставки которой осуществляются потребителям, имеющим разрешение на ее применение в Российской Федерации.)

м) осуществлять лицензирование и сертификацию систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации, а также закрытых систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, центральных, органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности;

н) осуществлять государственный контроль за состоянием криптографической и инженерно-технической безопасности шифрованной связи в органах государственной власти субъектов Российской Федерации, в центральных органах федеральной исполнительной власти, в организациях, на предприятиях, в банках и иных учреждениях независимо от их ведомственной принадлежности, а также секретно-шифровальной работы в учреждениях, находящихся за рубежом Российской Федерации (кроме секретного делопроизводства в загранаппаратах Службы внешней разведки Российской Федерации);

о) участвовать в определении порядка разработки, производства, реализации и эксплуатации технических средств обработки, хранения и передачи секретной информации, предназначенных для использования в учреждениях, находящихся за рубежом Российской Федерации;

п) участвовать в разработке нормативных актов по реализации и контролю мер защиты технических средств обработки, хранения и передачи секретной информации на местах их эксплуатации в учреждениях, находящихся за рубежом Российской Федерации;

р) определять порядок проведения работ в Российской Федерации по выявлению электронных устройств перехвата информации в технических средствах; осуществлять лицензирование деятельности по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур;

с) осуществлять контроль реализации рекомендаций по устранению возможных технических каналов утечки секретной информации из особо важных помещений высших органов государственной власти Российской Федерации; осуществлять контроль защищенности технических средств и объектов центральных органов федеральной исполнительной власти, защита которых входит в компетенцию Федерального агентства;

т) осуществлять контакты и сотрудничество с соответствующими службами иностранных государств по вопросам обеспечения правительственной международной связи, разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи, защиты информации, организации шифрованной связи и поставок шифровальных средств;

у) проводить научно-исследовательские, опытно-конструкторские, строительные и производственные работы самостоятельно и по договорам с организациями, предприятиями;

ф) выдавать рекомендации в соответствии с законодательством Российской Федерации по заявкам на изобретения, полезные модели и промышленные образцы в области шифровальных средств, разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи, а также в пределах своей компетенции по вопросам защиты помещений и технических средств от утечки информации;

х) разрешать своим сотрудникам, являющимся военнослужащими, хранение и ношение табельного оружия и специальных средств; обеспечивать охрану объектов, зданий и сооружений силами подразделений охраны, а в необходимых случаях — с привлечением подразделений войск Федерального агентства или Вооруженных Сил Российской Федерации (по согласованию с командованием Вооруженных Сил Российской Федерации на местах), с использованием имеющихся технических средств; организацию охраны и сопровождения особо важных и совершенно секретных изделий, грузов и документов; при этом осуществлять применение сотрудниками физической силы, специальных средств, а также табельного оружия в порядке, предусмотренном общевоинскими уставами Вооруженных Сил Российской Федерации;

ц) создавать в порядке, установленном законодательством Российской Федерации, организационные структуры (подразделения и организации), необходимые для решения задач, возложенных на федеральные органы правительственной связи и информации;

ч) арендовать или приобретать необходимые для решения поставленных задач помещения, строения и другую недвижимость на территории Российской Федерации и за ее пределами;

ш) оказывать содействие на договорной основе организациям, предприятиям, учреждениям независимо от форм их собственности в разработке и реализации мер по защите коммерческой тайны с помощью технических средств, если это не противоречит задачам и принципам деятельности федеральных органов правительственной связи и информации.

Раздел IV. Силы и средства федеральных органов правительственной связи и информации

Статья 12. Сотрудники федеральных органов правительственной связи и информации

1. Сотрудниками федеральных органов правительственной связи и информации являются военнослужащие, служащие и рабочие.

Общая численность сотрудников федеральных органов правительственной связи и информации определяется Президентом Российской Федерации.

2. На службу в федеральные органы правительственной связи и информации принимаются граждане Российской Федерации, способные по своим личным, моральным, деловым и профессиональным качествам, образованию и состоянию здоровья выполнять задачи, поставленные перед этими органами.

Комплектование войск военнослужащими осуществляется в добровольном порядке — по контрактам, а также на основе призыва граждан Российской Федерации на военную службу в порядке, установленном законодательством Российской Федерации.

3. Военнослужащие федеральных органов правительственной связи и информации проходят военную службу на основании законодательства Российской Федерации, воинских уставов, других нормативных актов и положений, регламентирующих военную службу. Они и члены их семей пользуются правами и льготами, предоставленными военнослужащим Вооруженных Сил Российской Федерации и членам их семей.

Военнослужащие федеральных органов правительственной связи и информации, уволенные в запас с военной службы, зачисляются в соответствии с законодательством Российской Федерации в запас Министерства безопасности Российской Федерации или Министерства обороны Российской Федерации.

4. Трудовая деятельность служащих и рабочих федеральных органов правительственной связи и информации регламентируется законодательством Российской Федерации о труде и о государственной службе, а также издаваемыми в соответствии с ними нормативными актами Федерального агентства.

5. Обязанности и права конкретных категорий сотрудников федеральных органов правительственной связи и информации определяются настоящим Законом, другими законами Российской Федерации, указами Президента Российской Федерации и нормативными актами Правительства Российской Федерации, а также издаваемыми в соответствии с ними нормативными актами Федерального агентства.

6. Сотрудники федеральных органов правительственной связи и информации могут быть награждены нагрудным знаком «Почетный сотрудник федеральных органов правительственной связи и информации». Основания и порядок представления к награждению указанным нагрудным знаком, определяются генеральным директором Федерального агентства.

Статья 13. Правовое положение сотрудников федеральных органов правительственной связи и информации

1. Сотрудники, федеральных органов правительственной связи и информации при исполнении служебных обязанностей находятся под защитой государства. Никто, кроме должностных лиц, прямо уполномоченных на то законом, не вправе вмешиваться в их служебную деятельность.

Требования сотрудников федеральных органов правительственной связи и информации, предъявляемые в пределах их компетенции при исполнении служебных обязанностей, являются обязательными для исполнения государственными органами, организациями, предприятиями, учреждениями Российской Федерации.

2. Защита от посягательств на жизнь и здоровье, честь и достоинство, а также на имущество сотрудника федерального органа правительственной связи и информации и членов его семьи при исполнении им служебных обязанностей осуществляется в соответствии с законодательством Российской Федерации.

3. Не допускаются привод, административное задержание сотрудника федерального органа правительственной связи и информации, а также личный досмотр и досмотр его вещей, личного и используемого транспорта при исполнении им служебных обязанностей без участия представителя этого органа либо без санкции прокурора.

4. При получении от кого бы то ни было приказа или указания, противоречащего законодательству Российской Федерации, сотрудник федерального органа правительственной связи и информации вне зависимости от его служебного положения обязан выполнять только требования законодательства.

5. Сотрудникам федеральных органов правительственной связи и информации запрещаются организация забастовок и участие в их проведении.

6. Военнослужащие федеральных органов правительственной связи и информации не вправе заниматься внеслужебной оплачиваемой деятельностью, кроме преподавательской, научной и творческой.

7. Служащие и рабочие федеральных органов правительственной связи и информации имеют право на создание профессиональных союзов.

8. Законодательные акты Российской Федерации по вопросам труда, оплаты труда, пенсионного обеспечения, социальной и правовой защиты граждан применяются в отношении служащих и рабочих федеральных органов правительственной связи и информации независимо от объявления об их введении в действие приказами руководства Федерального агентства.

См. Закон РФ от 12 февраля 1993 г. nq 4468-1 «О пенсионном обеспечении лиц, проходивших военную службу, службу в органах внутренних дел, и их семей».

Согласно постановлению СМ РФ от 22 сентября 1993 г. № 941 военная служба в федеральных органах правительственной связи и информации засчитывается в выслугу лет для назначения пенсий после увольнения со службы.

9. Сотрудники федеральных органов правительственной связи и информации, исполняющие обязанности, связанные с требованиями повышенной секретности и особыми условиями службами (работы), пользуются дополнительными льготами по денежному содержанию (заработной плате), исчислению выслуги лет (трудового стажа) и социальному обеспечению, устанавливаемыми высшими органами государственной власти Российской Федерации.

Статья 14. Ответственность сотрудников федеральных органов правительственной связи и информации

1. Сотрудники федеральных органов правительственной связи и информации при осуществлении своих должностных функций действуют в соответствии с обязанностями и правами, установленными законодательством Российской Федерации. Действия сотрудников обжалуются в федеральные органы правительственной связи и информации и в суд.

2. Отключение правительственной и иных видов специальной связи у Президента Российской Федерации, Председателя Верховного Совета Российской Федерации и Председателя Конституционного Суда Российской Федерации без их ведома, неправомерное прекращение предоставления услуг правительственной и иных видов специальной связи другим пользователям без ведома лиц, наделенных правом разрешать предоставление этих услуг, преследуются по закону.

3. За противоправные деяния сотрудники несут предусмотренную законодательством дисциплинарную, административную, уголовную, гражданско-правовую ответственность.

Статья 15. Социальная защита сотрудников федеральных органов правительственной связи и информации

1. Государство гарантирует социальную защиту сотрудников федеральных органов правительственной связи и информации, а также жилищное и пенсионное обеспечение в соответствии с законодательством Российской Федерации.

2. Сотрудники федеральных органов правительственной связи и информации, направляемые в служебные командировки, пользуются правом бронирования и получения вне очереди мест в гостинице и приобретения проездных документов на все виды транспорта в порядке, определяемом Правительством Российской Федерации.

См. Правила предоставления гостиничных услуг в Российской Федерации, утвержденные постановлением Правительства РФ от 25 апреля 1997 г. nq 490.

3. Президент Российской Федерации, Верховный Совет Российской Федерации и Правительство Российской Федерации могут устанавливать или распространять на сотрудников федеральных органов правительственной связи и информации и иные не предусмотренные настоящим Законом льготы и меры социальной защиты.

Статья 16. Специальные технические средства федеральных органов правительственной связи и информации

Федеральные органы правительственной связи и информации в пределах своей компетенции разрабатывают, создают и используют специальные технические средства, а также обеспечивают их сохранность с целью реализации поставленных перед ними задач и возложенных на них обязанностей.

Порядок использования специальных технических средств устанавливается нормативными актами Федерального агентства по согласованию с Верховным Советом Российской Федерации.

О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации см. Указ Президента РФ от 9 января 1996 г. № 21.

Статья 17. Финансовое и материально-техническое обеспечение федеральных органов правительственной связи и информации

1. Финансовое и материально-техническое обеспечение федеральных органов правительственной связи и информации осуществляется за счет средств республиканского бюджета Российской Федерации.

2. Годовой бюджет федеральных органов правительственной связи и информации утверждается Верховным Советом Российской Федерации по представлению Президента Российской Федерации одновременно с республиканским бюджетом Российской Федерации.

Порядок материально-технического обеспечения федеральных органов правительственной связи и информации устанавливается Президентом Российской Федерации по представлению генерального директора Федерального агентства.

3. Правительство Российской Федерации определяет перечень предприятий, учреждений и организаций независимо от их ведомственной принадлежности и организационно-правовых форм, которые на приоритетной основе в рамках государственного заказа осуществляют разработку, производство и поставку вооружения, военной и специальной техники, продукции производственно-технического назначения для федеральных органов правительственной связи и информации.

4. Финансовое, тыловое и техническое обеспечение войск (за исключением средств связи) осуществляется довольствующими органами Министерства обороны Российской Федерации. Расчеты за обеспечение войск всеми видами довольствия в мирное время осуществляются централизованно за счет средств Федерального агентства. В военное время такое обеспечение производится в соответствии с законодательством Российской федерации о военном положении.

5. Земельные участки, предприятия, здания, сооружения, помещения, оборудование и другое имущество, а также иные объекты, находящиеся в ведении или в оперативном управлении федеральных органов правительственной связи и информации, являются исключительно федеральной собственностью.

Распоряжением Госкомимущества РФ от 11 апреля 1997 г. № 257-p ФАПСИ разрешена реализация высвобождаемого имущества через Специализированное государственное хозрасчетное предприятие при Минобороны РФ.

Статья 18. Защита информации федеральных органов правительственной связи и информации

1. Лица, оформляемые на службу (работу) в федеральные органы правительственной связи и информации, которые по роду своей деятельности будут иметь доступ к сведениям, составляющим государственную или иную специально охраняемую законом тайну, проходят процедуру оформления допуска к указанным сведениям и несут ответственность в соответствии с законодательством Российской Федерации за нарушение порядка сохранения этих сведений.

Сотрудникам федеральных органов правительственной связи и информации после прекращения их службы (работы) в этих органах запрещается использовать, разглашать, распространять, передавать ставшие известными им сведения и приобретенные знания о государственных шифрах, методах разведывательной деятельности в сфере шифрованной, засекреченной и иных видов специальной связи, содержащие государственную или иную специально охраняемую законом тайну, без разрешения Федерального агентства.

2. Все лица, получившие доступ к государственным шифрам, а также к сведениям о деятельности федеральных органов правительственной связи и информации, составляющим государственную или иную специально охраняемую законом тайну, несут ответственность за нарушение порядка их сохранения в соответствии с законодательством Российской Федерации.

3. Документальные материалы, касающиеся деятельности федеральных органов правительственной связи и информации, хранятся в архивах этих органов. Материалы архивов федеральных органов правительственной связи и информации, представляющие историческую и научную ценность и рассекреченные в соответствии с законодательством Российской Федерации, передаются в Государственную архивную службу Российской Федерации.

Статья 19. Криптографический резерв Федерального агентства правительственной связи и информации при Президенте Российской Федерации

Для поддержания на должном уровне криптографического потенциала Российской Федерации генеральный директор Федерального агентства имеет право создавать криптографический резерв из числа ушедших в запас или в отставку высококвалифицированных криптографов, а также из числа других специалистов по своему усмотрению. Зачисляемые в криптографический резерв дают согласие на возвращение, в случае необходимости, на работу и выполнение обязанностей, определяемых генеральным директором Федерального агентства.

Генеральный директор Федерального агентства имеет право в пределах выделенных ассигнований создавать специальный фонд и определять порядок его использования для привлечения специалистов в криптографический резерв.

Раздел V. Контроль и надзор за деятельностью федеральных органов правительственной связи и информации

Статья 20. Президентский контроль

Президент Российской Федерации осуществляет контроль за ходом выполнения основных задач, возложенных на Федеральное агентство, утверждает программы развития федеральных органов правительственной связи и информации и санкционирует проведение мероприятий этих органов, затрагивающих жизненно важные интересы Российской Федерации.

Статья 21. Парламентский контроль

Контроль Верховного Совета Российской Федерации за деятельностью федеральных органов правительственной связи и информации осуществляется в форме заслушивания отчетов генерального директора Федерального агентства, а также сообщений должностных лиц федеральных органов правительственной связи и информации в Верховном Совете Российской Федерации.

Контроль Верховного Совета Российской Федерации за деятельностью федеральных органов правительственной связи и информации осуществляет Комитет Верховного Совета Российской Федерации по вопросам обороны и безопасности.

Народные депутаты Российской Федерации могут получать охраняемые законом сведения о деятельности федеральных органов правительственной связи и информации в порядке, определяемом законами Российской Федерации.

Статья 22. Прокурорский надзор

Надзор за исполнением законов Российской Федерации федеральными органами правительственной связи и информации осуществляют Генеральный прокурор Российской Федерации и подчиненные ему прокуроры.

Статья 23. Связь федеральных органов правительственной связи и информации с общественностью

1. Федеральные органы правительственной связи и информации осуществляют информирование общественности о своей деятельности через создаваемые в составе этих органов соответствующие службы.

2. Представляемые средствам массовой информации материалы о деятельности федеральных органов правительственной связи и информации не должны содержать сведений, отнесенных в соответствии с законодательством Российской Федерации к государственной и иной специально охраняемой законом тайне.

3. Сотрудники федеральных органов правительственной связи и информации выступают в средствах массовой информации по вопросам деятельности этих органов только с санкции их руководителей. Материалы о деятельности федеральных органов правительственной связи и информации, подготовленные к опубликованию бывшими сотрудниками этих органов или при их содействии, представляются на рассмотрение в соответствующие федеральные органы правительственной связи и информации для вынесения мотивированного решения о возможности или невозможности их публикации.

Москва, Дом Советов России

19 февраля 1993 г.

Президент Российской Федерация Б. Ельцин

«ОБ ОРГАНАХ ФЕДЕРАЛЬНОЙ СЛУЖБЫ БЕЗОПАСНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ»

Федеральный закон от 3 апреля 1995 г. № 40-ФЗ Принят Государственной Думой 22 февраля 1995 г.

Настоящий Федеральный закон определяет назначение, правовые основы, принципы, направления деятельности, полномочия, силы и средства органов Федеральной службы безопасности, а также порядок контроля и надзора за их деятельностью.

Глава I. Общие положения

Статья 1. Органы Федеральной службы безопасности и их назначение

Органы Федеральной службы безопасности являются составной частью сил обеспечения безопасности Российской Федерации и в пределах предоставленных им полномочий обеспечивают безопасность личности, общества и государства.

Руководство деятельностью органов Федеральной службы безопасности осуществляют Президент Российской Федерации и Правительство Российской Федерации.

Статья 2. Система органов Федеральной службы безопасности

Органы Федеральной службы безопасности представляют собой единую централизованную систему, в которую входят:

>• Федеральная служба безопасности Российской Федерации;

>• управления (отделы) Федеральной службы безопасности Российской Федерации по отдельным регионам и субъектам Российской Федерации (территориальные органы безопасности);

>• управления (отделы) Федеральной службы безопасности Российской Федерации в Вооруженных Силах Российской Федерации, войсках и иных воинских формированиях, а также в их органах управления (органы безопасности в войсках).

Территориальные органы безопасности и органы безопасности в войсках находятся в прямом подчинении Федеральной службе безопасности Российской Федерации.

Органы Федеральной службы безопасности в своем подчинении имеют предприятия, учебные заведения, научно-исследовательские, экспертные и военно-медицинские учреждения и подразделения, военно-строительные подразделения, центры специальной подготовки, а также подразделения специального назначения.

Создание органов Федеральной службы безопасности, не предусмотренных настоящим Федеральным законом, не допускается.

В органах Федеральной службы безопасности запрещаются создание организационных структур и деятельность политических партий, массовых общественных движений, преследующих политические цели а также ведение политической агитации и предвыборных кампаний.

Статья 3. Федеральная служба безопасности Российской Федерации

Федеральная служба безопасности Российской Федерации является Федеральным органом исполнительной власти.

Федеральная служба безопасности Российской Федерации создает территориальные органы безопасности и органы безопасности в войсках, осуществляет руководство ими и организует их деятельность, издает в пределах своих полномочий нормативные акты и непосредственно реализует основные направления деятельности органов Федеральной службы безопасности.

Структура и организация деятельности Федеральной службы безопасности Российской Федерации определяются положением о Федеральной службе безопасности Российской Федерации, утверждаемым Президентом Российской Федерации.

Положение о Федеральной службе безопасности Российской Федерации и ее структура утверждены Указом Президента РФ от 6 июля 1998 г. № 806.

Федеральную службу безопасности Российской Федерации возглавляет Директор Федеральной службы безопасности Российской Федерации на правах Федерального министра. Должности Директора Федеральной службы безопасности Российской Федерации соответствует воинское звание генерал армии.

Статья 4. Правовая основа деятельности органов Федеральной службы безопасности

Правовую основу деятельности органов Федеральной службы безопасности составляют Конституция Российской Федерации, настоящий Федеральный закон, другие федеральные законы и иные нормативные правовые акты федеральных органов государственной власти.

Деятельность органов Федеральной службы безопасности осуществляется также в соответствии с международными договорами Российской Федерации.

Статья 5. Принципы деятельности органов Федеральной службы безопасности

Деятельность органов Федеральной службы безопасности осуществляется на основе принципов:

>• законности;

>• уважения и соблюдения прав и свобод человека и гражданина;

>• гуманизма;

>• единства системы органов Федеральной службы безопасности и централизации управления ими;

>• конспирации, сочетания гласных и негласных методов и средств деятельности.

Статья 6. Соблюдение прав и свобод человека и гражданина в деятельности органов Федеральной службы безопасности

Государство гарантирует соблюдение прав и свобод человека и гражданина при осуществлении органами Федеральной службы безопасности своей деятельности. Не допускается ограничение прав и свобод человека и гражданина, за исключением случаев, предусмотренных федеральными конституционными законами и федеральными законами.

Лицо, полагающее, что органами Федеральной службы безопасности либо их должностными лицами нарушены его права и свободы, вправе обжаловать действия указанных органов и должностных лиц в вышестоящий орган Федеральной службы безопасности, прокуратуру или суд.

Государственные органы, предприятия, учреждения и организации независимо от форм собственности, а также общественные Объединения и граждане имеют право в соответствии с законодательством Российской Федерации получать разъяснения и информацию от органов Федеральной службы безопасности в случае ограничения своих прав и свобод.

Государственные органы, предприятия, учреждения и организации независимо от форм собственности, а также общественные объединения и граждане вправе требовать от органов Федеральной службы безопасности возмещения морального и материального ущерба, причиненного действиями должностных лиц органов Федеральной службы безопасности при исполнении ими служебных обязанностей.

О порядке возмещения ущерба, причиненного гражданину незаконными действиями органов ФСБ при производстве дознания и предварительном следствии, см. Указ Президиума ВС СССР от 18 мая 1981 г. № 4892-Х и инструкцию, утвержденную Минюстом СССР, Прокуратурой СССР и Минфином СССР по согласованию с Верховным Судом СССР, МВД СССР и КГБ СССР 2 марта 1982 г.

Полученные в процессе деятельности органов Федеральной службы безопасности сведения о частной жизни, затрагивающие честь и достоинство гражданина или способные повредить его законным интересам, не могут сообщаться органами Федеральной службы безопасности кому бы то ни было без добровольного согласия гражданина, за исключением случаев, предусмотренных федеральными законами.

В случае нарушения сотрудниками органов Федеральной службы безопасности прав и свобод человека и гражданина руководитель соответствующего органа Федеральной службы безопасности, прокурор или судья обязаны принять меры по восстановлению этих прав и свобод, возмещению причиненного ущерба и привлечению виновных к ответственности, предусмотренной законодательством Российской Федерации.

Должностные лица органов Федеральной службы безопасности, допустившие злоупотребление властью или превышение служебных полномочий, несут ответственность, предусмотренную законодательством Российской Федерации.

Статья 7. Защита сведений об органах Федеральной службы безопасности

Граждане Российской Федерации, принимаемые на военную службу (работу) в органы Федеральной службы безопасности, а также допускаемые к сведениям об органах Федеральной службы безопасности, проходят процедуру оформления допуска к сведениям, составляющим государственную тайну, если иной порядок не предусмотрен законодательством Российской Федерации. Такая процедура включает принятие обязательства о неразглашении этих сведений.

Граждане Российской Федерации, допущенные к сведениям об органах Федеральной службы безопасности, составляющим государственную тайну, несут за их разглашение ответственность, предусмотренную законодательством Российской Федерации.

Документы и материалы, содержащие сведения о кадровом составе органов Федеральной службы безопасности, лицах, оказывающих или оказывавших им содействие на конфиденциальной основе, а также об организации, о тактике, методах и средствах осуществления органами Федеральной службы безопасности контрразведывательной, разведывательной и оперативно-розыскной деятельности, подлежат хранению в архивах органов Федеральной службы безопасности.

Материалы архивов органов Федеральной службы безопасности, представляющие историческую и научную ценность, рассекречиваемые в, соответствии с законодательством Российской Федерации, передаются на хранение в архивы Государственной архивной службы России в порядке, установленном законодательством Российской Федерации.

Глава II. Основные направления деятельности органов Федеральной службы безопасности

Статья 8. Деятельность органов Федеральной службы безопасности

Деятельность органов Федеральной службы безопасности осуществляется по следующим основным направлениям:

>• контрразведывательная деятельность;

>• борьба с преступностью.

Разведывательная деятельность, иные направления деятельности органов Федеральной службы безопасности определяются настоящим Федеральным законом и другими федеральными законами.

Для документирования деятельности органов Федеральной службы безопасности и ее результатов могут использоваться информационные системы, видео- и аудиозапись, кино- и фотосъемка, другие технические и иные средства.

Деятельность органов Федеральной службы безопасности, применяемые ими методы и средства не должны причинять ущерб жизни и здоровью людей и наносить вред окружающей среде.

Статья 9. Контрразведывательная деятельность

Контрразведывательная деятельность — деятельность органов Федеральной службы безопасности в пределах своих полномочий по выявлению, предупреждению, пресечению разведывательной и иной деятельности специальных служб и организаций иностранных государств, а также отдельных лиц, направленной на нанесение ущерба безопасности Российской Федерации.

Основаниями для осуществления органами Федеральной службы безопасности контрразведывательной деятельности являются:

а) наличие данных о признаках разведывательной и иной деятельности специальных служб и организаций иностранных государств, а также отдельных лиц, направленной на нанесение ущерба безопасности Российской Федерации;

б) необходимость обеспечения защиты сведений, составляющих государственную тайну;

в) необходимость изучения (проверки) лиц, оказывающих или оказывавших содействие органам Федеральной службы безопасности на конфиденциальной основе;

г) необходимость обеспечения собственной безопасности. Перечень оснований для осуществления контрразведывательной деятельности является исчерпывающим и может быть изменен или дополнен только федеральными законами. В процессе контрразведывательной деятельности органы Федеральной службы безопасности могут использовать гласные и негласные методы и средства, особый характер которых определяется условиями этой деятельности.

Порядок использования негласных методов и средств при осуществлении контрразведывательной деятельности определяется нормативными актами Федеральной службы безопасности Российской Федерации.

Осуществление контрразведывательной деятельности, затрагивающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан, допускается только на основании судебного решения в порядке, предусмотренном законодательством Российской Федерации.

Осуществление контрразведывательной деятельности, затрагивающей неприкосновенность жилища граждан, допускается только в случаях, установленных федеральным законом, или на основании судебного решения.

Для получения судебного решения на право осуществления контрразведывательной деятельности в случаях, предусмотренных частями шестой и седьмой настоящей статьи, органы Федеральной службы безопасности по требованию суда представляют служебные документы, касающиеся оснований для осуществления контрразведывательной деятельности (за исключением оперативно-служебных документов, содержащих сведения о лицах, оказывающих или оказывавших содействие органам Федеральной службы безопасности на конфиденциальной основе, а также об организации, о тактике, методах и средствах осуществления контрразведывательной деятельности).

Судебное решение на право осуществления контрразведывательной деятельности и материалы, послужившие основанием для его принятия, хранятся в органах Федеральной службы безопасности в порядке, установленном настоящим Федеральным законом.

Постановление органа Федеральной службы безопасности об осуществлении контрразведывательной деятельности и судебное решение по нему, а также материалы оперативных дел представляются в органы прокуратуры только в случаях проведения в порядке надзора проверок по поступившим в прокуратуру материалам, информации, обращениям граждан, свидетельствующим о нарушении органами Федеральной службы безопасности законодательства Российской Федерации.

Сведения об организации, о тактике, методах и средствах осуществления контрразведывательной деятельности составляют государственную тайну.

Статья 10. Борьба с преступностью

Органы Федеральной службы безопасности в соответствии с законодательством Российской Федерации осуществляют оперативно-розыскные мероприятия по выявлению, предупреждению, пресечению и раскрытию шпионажа, террористической деятельности, организованной преступности, коррупции, незаконного оборота оружия и наркотических средств, контрабанды и других преступлений, дознание и предварительное следствие по которым отнесены законом к их ведению, а также по выявлению, предупреждению, пресечению и раскрытию деятельности незаконных вооруженных формирований, преступных групп, отдельных лиц и общественных объединений, ставящих своей целью насильственное изменение конституционного строя Российской Федерации.

На органы Федеральной службы безопасности федеральными законами и иными нормативными правовыми актами федеральных органов государственной власти могут возлагаться и другие задачи в сфере борьбы с преступностью.

Деятельность органов Федеральной службы безопасности в сфере борьбы с преступностью осуществляется в соответствии с Законом Российской Федерации «Об оперативно-розыскной деятельности в Российской Федерации», уголовным и уголовно-процессуальным законодательством Российской Федерации, а также настоящим Федеральным законом.

Статья 11. Разведывательная деятельность

Разведывательная деятельность осуществляется органами Федеральной службы безопасности в пределах своих полномочий и во взаимодействии с органами внешней разведки Российской Федерации в целях получения информации об угрозах безопасности Российской Федерации.

Порядок и условия взаимодействия органов Федеральной службы безопасности и органов внешней разведки Российской Федерации устанавливаются на основании соответствующих соглашений между ними или совместных нормативных актов.

Порядок проведения разведывательных мероприятий, а также порядок использования негласных методов и средств при осуществлении разведывательной деятельности определяются нормативными актами Федеральной службы безопасности Российской Федерации.

Сведения об организации, о тактике, методах и средствах осуществления разведывательной деятельности составляют государственную тайну.

Глава III. Полномочия органов Федеральной службы безопасности

Статья 12. Обязанности органов Федеральной службы безопасности

Органы Федеральной службы безопасности обязаны:

а) информировать Президента Российской Федерации, Председателя Правительства Российской Федерации и по их поручениям федеральные органы государственной власти, а также органы государственной власти субъектов Российской Федерации об угрозах безопасности Российской Федерации;

б) выявлять, предупреждать, пресекать разведывательную и иную деятельность специальных служб и организаций иностранных государств, а также отдельных лиц, направленную на нанесение ущерба безопасности Российской Федерации;

в) добывать разведывательную информацию в интересах обеспечения безопасности Российской Федерации, повышения ее экономического, научно-технического и оборонного потенциала;

г) выявлять, предупреждать и пресекать преступления, дознание и предварительное следствие по которым отнесены законодательством Российской Федерации к ведению органов Федеральной службы безопасности;

осуществлять розыск лиц, совершивших указанные преступления или подозреваемых в их совершении;

д) выявлять, предупреждать и пресекать акты терроризма;

е) разрабатывать и осуществлять во взаимодействии с другими государственными органами меры по борьбе с коррупцией, незаконным оборотом оружия и наркотических средств, контрабандой, деятельностью незаконных вооруженных формирований, преступных групп, отдельных лиц и общественных объединений, ставящих своей целью насильственное изменение конституционного строя Российской Федерации;

ж) обеспечивать в пределах своих полномочий безопасность в Вооруженных Силах Российской Федерации, Пограничных войсках Российской Федерации, внутренних войсках Министерства внутренних дел Российской Федерации, Войсках Федерального агентства правительственной связи и информации при Президенте Российской Федерации, Железнодорожных войсках Российской Федерации, Войсках гражданской обороны Российской Федерации, иных воинских формированиях и в их органах управления, а также в органах внутренних дел, федеральных органах налоговой полиции, Федеральных органах правительственной связи и информации, таможенных органах Российской Федерации;

з) обеспечивать в пределах своих полномочий безопасность объектов оборонного комплекса, атомной энергетики, транспорта и связи, жизнеобеспечения крупных городов и промышленных центров, других стратегических объектов, а также безопасность в сфере космических исследований, приоритетных научных разработок;

и) обеспечивать в пределах своих полномочий безопасность федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации;

к) участвовать в разработке и реализации мер по защите сведений, составляющих государственную тайну; осуществлять контроль за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности; в установленном порядке осуществлять меры, связанные с допуском граждан к сведениям, составляющим государственную тайну;

л) проводить во взаимодействии со Службой внешней разведки Российской Федерации мероприятия по обеспечению безопасности учреждений и граждан Российской Федерации за ее пределами;

м) осуществлять в пределах своих полномочий и во взаимодействии с Пограничными войсками Российской Федерации меры по обеспечению охраны Государственной границы Российской Федерации;

н) обеспечивать во взаимодействии с органами внутренних дел безопасность представительств иностранных государств на территории Российской Федерации;

о) участвовать в пределах своих полномочий совместно с другими государственными органами в обеспечении безопасности проводимых на территории Российской Федерации общественно-политических, религиозных и иных массовых мероприятий;

п) осуществлять регистрацию и централизованный учет радиоданных и радиоизлучений передающих радиоэлектронных средств; выявлять на территории Российской Федерации радиоизлучения передающих радиоэлектронных средств, работа которых представляет угрозу безопасности Российской Федерации, а также радиоизлучения передающих радиоэлектронных средств, используемых в противоправных целях;

р) участвовать в соответствии с законодательством Российской Федерации в решении вопросов, касающихся приема в гражданство Российской Федерации и выхода из него, въезда на территорию Российской Федерации и выезда за ее пределы граждан Российской Федерации, иностранных граждан и лиц без гражданства, а также режима пребывания иностранных граждан и лиц без гражданства на территории Российской Федерации;

с) поддерживать мобилизационную готовность органов Федеральной службы безопасности;

т) осуществлять подготовку кадров для органов Федеральной службы безопасности, их переподготовку и повышение их квалификации.

Об участии органов ФСБ в обеспечении безопасности объектов государственной охраны и защиты охраняемых объектов см. Федеральный закон от 27 мая 1996 г. № 57-ФЗ.

Статья 13. Права органов Федеральной службы безопасности

Органы Федеральной службы безопасности имеют право:

а) устанавливать на конфиденциальной основе отношения сотрудничества с лицами, давшими на то согласие;

б) осуществлять оперативно-розыскные мероприятия по выявлению, предупреждению, пресечению и раскрытию шпионажа, террористической деятельности, организованной преступности, коррупции, незаконного оборота оружия и наркотических средств, контрабанды и других преступлений, дознание и предварительное следствие по которым отнесены законодательством Российской Федерации к ведению органов Федеральной службы безопасности, а также по выявлению, предупреждению, пресечению и раскрытию деятельности незаконных вооруженных формирований, преступных групп, отдельных лиц и общественных объединений, ставящих своей целью насильственное изменение конституционного строя Российской Федерации;

в) осуществлять проникновение в специальные службы и организации иностранных государств, проводящие разведывательную и иную деятельность, направленную на нанесение ущерба безопасности Российской Федерации, а также в преступные группы;

г) осуществлять дознание и предварительное следствие по делам о преступлениях, отнесенных законодательством Российской Федерации к ведению органов Федеральной службы безопасности; иметь и использовать в соответствии с законодательством Российской Федерации следственные изоляторы;

О подследственности уголовных дел органам Федеральной службы безопасности см. Уголовно-процессуальный кодекс РСФСР.

д) осуществлять шифровальные работы в органах Федеральной службы безопасности, а также контроль за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов, предприятий, учреждений и организаций независимо от форм собственности (за исключением учреждений Российской Федерации, находящихся за ее пределами);

е) использовать в служебных целях средства связи, принадлежащие государственным предприятиям, учреждениям и организациям, а в неотложных случаях — негосударственным предприятиям, учреждениям и организациям, а также общественным объединениям и гражданам Российской Федерации;

ж) использовать в случаях, не терпящих отлагательства, транспортные средства, принадлежащие предприятиям, учреждениям и организациям независимо от форм собственности или общественным объединениям (за исключением транспортных средств, которые законодательством Российской Федерации освобождены от такого использования), для предотвращения преступлений, преследования и задержания лиц, совершивших преступления или подозреваемых в их совершении, доставления граждан, нуждающихся в срочной медицинской помощи, в лечебные учреждения, а также для проезда по месту происшествия. По требованию владельцев транспортных средств органы Федеральной службы безопасности в установленном законом порядке возмещают им расходы либо причиненный ущерб;

з) беспрепятственно входить в жилые и иные принадлежащие гражданам помещения, на принадлежащие им земельные участки, на территории и в помещения предприятий, учреждений и организаций независимо от форм собственности в случае, если имеются достаточные данные полагать, что там совершается или совершено преступление, дознание и предварительное следствие по которому отнесены законодательством Российской Федерации к ведению органов Федеральной службы безопасности, а также в случае преследования лиц, подозреваемых в совершении указанных преступлений, если промедление может поставить под угрозу жизнь и здоровье граждан. Обо всех таких случаях вхождения в жилые и иные принадлежащие гражданам помещения органы Федеральной службы безопасности уведомляют прокурора в течение двадцати четырех часов;

и) проверять у граждан и должностных лиц документы, удостоверяющие их личность, если имеются достаточные основания подозревать их в совершении преступления;

к) осуществлять административное задержание лиц, совершивших правонарушения, связанные с попытками проникновения и проникновением на специально охраняемые территории особорежимных объектов, закрытых административно-территориальных образований и иных охраняемых объектов, а также проверять у этих лиц документы, удостоверяющие их личность, получать от них объяснения, осуществлять их личный досмотр, досмотр и изъятие их вещей и документов;

л) вносить в государственные органы, администрации предприятий, учреждений и организаций независимо от форм собственности, а также в общественные объединения обязательные для исполнения представления об устранении причин и условий, способствующих реализации угроз безопасности Российской Федерации, совершению преступлений, дознание и предварительное следствие по которым отнесены законодательством Российской Федерации к ведению органов Федеральной службы безопасности;

м) получать безвозмездно от государственных органов, предприятий, учреждений и организаций независимо от форм собственности информацию, необходимую для выполнения возложенных на органы Федеральной службы безопасности обязанностей, за исключением случаев, когда федеральными законами установлен специальный порядок получения информации;

н) создавать в установленном законодательством Российской Федерации порядке предприятия, учреждения, организации и подразделения, необходимые для выполнения обязанностей, возложенных на органы Федеральной службы безопасности, и обеспечения деятельности указанных органов;

о) создавать подразделения специального назначения для выполнения обязанностей, возложенных на органы Федеральной службы безопасности;

п) проводить криминалистические и другие экспертизы и исследования;

р) осуществлять внешние сношения со специальными службами и правоохранительными органами иностранных государств, обмениваться с ними на взаимной основе оперативной информацией, специальными техническими и иными средствами в пределах полномочий органов Федеральной службы безопасности и порядке, установленном нормативными актами Федеральной службы безопасности Российской Федерации; заключать в установленном порядке и пределах своих полномочий международные договоры Российской Федерации;

с) направлять официальных представителей органов Федеральной службы безопасности в иностранные государства по согласованию со специальными службами или с правоохранительными органами этих государств в целях повышения эффективности борьбы с преступлениями международного характера;

т) осуществлять меры по обеспечению собственной безопасности, в том числе по предотвращению проникновения специальных служб и организаций иностранных государств, преступных групп и отдельных лиц с использованием технических средств к защищаемым органами Федеральной службы безопасности сведениям, составляющим государственную тайну;

у) разрешать сотрудникам органов Федеральной службы безопасности хранение и ношение табельного оружия и специальных средств;

ф) использовать в целях зашифровки личности сотрудников органов Федеральной службы безопасности, ведомственной принадлежности их подразделений, помещений и транспортных средств документы других министерств, ведомств, предприятий, учреждений и организаций;

х) проводить научные исследования проблем безопасности Российской Федерации;

ц) оказывать содействие предприятиям, учреждениям и организациям независимо от форм собственности в разработке мер по защите коммерческой тайны;

ч) осуществлять на компенсационной или безвозмездной основе подготовку кадров для специальных служб иностранных государств, служб безопасности предприятий, учреждений и организаций независимо от форм собственности, если это не противоречит принципам деятельности органов Федеральной службы безопасности.

Использование органами Федеральной службы безопасности предоставленных им прав для выполнения обязанностей, не предусмотренных федеральными законами, не допускается.

Статья 14. Применение оружия, специальных средств и физической силы

Сотрудникам органов Федеральной службы безопасности разрешается хранение и ношение табельного оружия и специальных средств. Они имеют право применять физическую силу, в том числе боевые приемы борьбы, а также оружие и специальные средства в случаях и порядке, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации для сотрудников милиции.

О порядке выдачи, хранения, ношения, применения (использования) сотрудниками-военнослужащими органов Федеральной службы безопасности личного табельного оружия см. Временную инструкцию, утвержденную приказом МБ РФ от 31 августа 1992 г. № 252.

Статья 15. Взаимодействие с российскими и иностранными учреждениями

Органы Федеральной службы безопасности осуществляют свою деятельность во взаимодействии с федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, предприятиями, учреждениями и организациями независимо от форм собственности.

Органы Федеральной службы безопасности могут использовать возможности других сил обеспечения безопасности Российской Федерации в установленном федеральными законами порядке.

Государственные органы, а также предприятия, учреждения и организации обязаны оказывать содействие органам Федеральной службы безопасности в осуществлении ими возложенных на них обязанностей.

Физические и юридические лица в Российской Федерации, предоставляющие услуги почтовой связи, электросвязи всех видов, в том числе систем телекодовой, конфиденциальной, спутниковой связи, обязаны по требованию органов Федеральной службы безопасности включать в состав аппаратных средств дополнительные оборудование и программные средства, а также создавать другие условия, необходимые для проведения оперативно-технических мероприятий органами Федеральной службы безопасности.

В целях решения задач обеспечения безопасности Российской Федерации военнослужащие органов Федеральной службы безопасности могут быть прикомандированы к государственным органам, предприятиям, учреждениям и организациям независимо от форм собственности с согласия их руководителей в порядке, установленном Президентом Российской Федерации, с оставлением их на военной службе.

Взаимодействие органов Федеральной службы безопасности со специальными службами, с правоохранительными органами и иными организациями иностранных государств устанавливается на основании международных договоров Российской Федерации.

Глава IV. Силы и средства органов Федеральной службы безопасности

Статья 16. Сотрудники органов Федеральной службы безопасности

Органы Федеральной службы безопасности комплектуются (в том числе и на конкурсной основе) военнослужащими и гражданским персоналом. Военнослужащие органов Федеральной службы безопасности (за исключением военнослужащих, проходящих военную службу по призыву), а также лица из числа гражданского персонала, назначенные на должности военнослужащих, являются сотрудниками органов Федеральной службы безопасности.

Сотрудником органов Федеральной службы безопасности может быть гражданин Российской Федерации, способный по своим личным и деловым качествам, возрасту, образованию и состоянию здоровья выполнять возложенные на него обязанности.

Военнослужащие органов Федеральной службы безопасности проходят военную службу в соответствии с законодательством Российской Федерации о прохождении военной службы с учетом установленных настоящим Федеральным законом особенностей, обусловленных спецификой выполняемых ими обязанностей.

Численность военнослужащих и гражданского персонала органов Федеральной службы безопасности (без учета численности работников научно-исследовательских, военно-медицинских учреждений и подразделений, персонала по эксплуатации, охране и обслуживанию служебных зданий и помещений органов Федеральной службы безопасности) устанавливается Президентом Российской Федерации. Численность военнослужащих и гражданского персонала научно-исследовательских, военно-медицинских учреждений и подразделений, персонала по эксплуатации, охране и обслуживанию служебных зданий и помещений органов Федеральной службы безопасности устанавливается Директором Федеральной службы безопасности Российской Федерации в пределах бюджетных ассигнований, выделяемых Федеральной службе безопасности Российской Федерации.

Полномочия должностных лиц органов Федеральной службы безопасности на применение поощрений и наложение дисциплинарных взысканий в отношении подчиненных им военнослужащих, а также на присвоение воинских званий, назначение и увольнение военнослужащих (за исключением военнослужащих, замещающих должности высших офицеров) устанавливаются Директором Федеральной службы безопасности Российской Федерации.

С военнослужащими органов Федеральной службы безопасности, являющимися высококвалифицированными специалистами и достигшими предельного возраста пребывания на военной службе, могут, быть заключены контракты о прохождении военной службы на период до достижения ими 65-летнего возраста в порядке, определяемом Директором Федеральной службы безопасности Российской Федерации.

Обязанности, права и льготы гражданского персонала органов Федеральной службы безопасности определяются законодательством Российской Федерации.

Сотрудники органов Федеральной службы безопасности в своей служебной деятельности руководствуются федеральными законами и не могут быть связаны решениями политических партий, общественных движений и общественных организаций.

Сотрудникам и гражданскому персоналу органов Федеральной службы безопасности запрещается заниматься предпринимательской деятельностью, а также оказывать содействие физическим и юридическим лицам в осуществлении такой деятельности. Сотрудники органов Федеральной службы безопасности не вправе совмещать военную службу с иной оплачиваемой деятельностью, кроме занятий научной, преподавательской и иной творческой деятельностью, если она не препятствует исполнению служебных обязанностей (за исключением случаев, когда это вызвано служебной необходимостью).

Статья 17. Правовая защита сотрудников органов Федеральной службы безопасности

Сотрудники органов Федеральной службы безопасности при исполнении служебных обязанностей являются представителями федеральных органов государственной власти и находятся под защитой государства. Никто, кроме государственных органов и должностных лиц, уполномоченных на то федеральными законами, не вправе вмешиваться в их служебную деятельность.

Воспрепятствование исполнению сотрудником органов Федеральной службы безопасности служебных обязанностей, оскорбление, сопротивление, насилие или угроза применения насилия по отношению к нему в связи с исполнением указанным сотрудником служебных обязанностей влекут за собой ответственность, предусмотренную законодательством Российской Федерации.

Защита жизни и здоровья, чести и достоинства, а также имущества сотрудника органов Федеральной службы безопасности и членов его семьи от преступных посягательств в связи с исполнением им служебных обязанностей осуществляется в порядке, предусмотренном законодательством Российской Федерации.

При исполнении сотрудником органов Федеральной службы безопасности служебных обязанностей не допускаются его привод, задержание, личный досмотр и досмотр его вещей, а также досмотр личного и используемого им транспорта без официального представителя органов Федеральной службы безопасности или решения суда.

Сведения о сотрудниках органов Федеральной службы безопасности, выполнявших (выполняющих) специальные задания в специальных службах и организациях иностранных государств, в преступных группах, составляют государственную тайну и могут быть преданы гласности только с письменного согласия указанных сотрудников и в случаях, предусмотренных федеральными законами.

Статья 18. Социальная защита сотрудников органов Федеральной службы безопасности

Военнослужащим органов Федеральной службы безопасности из числа высококвалифицированных специалистов в выслугу лет для назначения пенсии и исчисления процентной надбавки за выслугу лет может засчитываться стаж их трудовой деятельности до зачисления на военную службу в порядке, определяемом Директором Федеральной службы безопасности Российской Федерации.

Время выполнения сотрудниками органов Федеральной службы безопасности специальных заданий в специальных службах и организациях иностранных государств, в преступных группах подлежит зачету в выслугу лет в льготном исчислении для назначения пенсии, присвоения воинского звания и исчисления процентной надбавки за выслугу лет в порядке, определяемом Правительством Российской Федерации.

Военнослужащим и гражданскому персоналу органов Федеральной службы безопасности оклады по воинской должности и должностные оклады (тарифные ставки) устанавливаются с увеличением на 25 процентов за службу (работу) в органах Федеральной службы безопасности.

О надбавках и дополнительных выплатах военнослужащими и гражданскому персоналу органов Федеральной службы безопасности см. Указ Президента РФ от 6 сентября 1995 г. № 901, постановление Правительства РФ от 16 марта 1996 г. № 280.

Военнослужащим органов Федеральной службы безопасности, имеющим право на пенсию за выслугу лет и продолжающим военную службу, выплачивается ежемесячная надбавка к денежному довольствию в размере от 25 до 50 процентов размера пенсии, которая могла быть им начислена. Порядок и условия выплаты указанной надбавки определяются Директором Федеральной службы безопасности Российской Федерации.

Военнослужащие органов Федеральной службы безопасности на всей территории Российской Федерации пользуются правом бесплатного проезда на всех видах общественного транспорта городского, пригородного и местного сообщения (за исключением такси), а в сельской местности — на попутном транспорте (за исключением личного) при предъявлении служебного удостоверения.

Военнослужащие органов Федеральной службы безопасности, обеспечивающие безопасность объектов транспорта, при выполнении служебных обязанностей имеют право бесплатного проезда в поездах, на речных, морских и воздушных судах.

Сотрудникам органов Федеральной службы безопасности, использующим в служебных целях личный транспорт, выплачивается денежная компенсация в порядке и размере, устанавливаемых Правительством Российской Федерации.

Военнослужащим органов Федеральной службы безопасности телефоны по месту жительства устанавливаются в срок, не превышающий одного года со дня подачи заявления.

Оказание медицинской помощи военнослужащим и гражданскому персоналу органов Федеральной службы безопасности, членам семей военнослужащих, проходящих службу по контракту (женам, мужьям, детям в возрасте до 18 лет и лицам, находящимся на иждивении), а также детям гражданского персонала в возрасте до 18 лет в военно-медицинских учреждениях органов Федеральной службы безопасности осуществляется бесплатно.

Оказание медицинской помощи военнослужащим органов Федеральной службы безопасности, в том числе обеспечение военнослужащих лекарственными средствами, изделиями медицинского назначения, изготовление и ремонт зубных протезов (за исключением протезов из драгоценных металлов) в учреждениях здравоохранения других министерств и ведомств, осуществляется за счет средств Федеральной службы безопасности Российской Федерации. При этом средства, направляемые органами Федеральной службы безопасности учреждениям здравоохранения иной ведомственной принадлежности за оказание медицинской помощи военнослужащим, исключаются из сумм, облагаемых налогами.

Время нахождения военнослужащих органов Федеральной службы безопасности на излечении в связи с полученными ими при исполнении служебных обязанностей ранениями, контузиями или увечьями не ограничивается только при наличии неоспоримых данных о возможности восстановления способности к несению военной службы.

Права и льготы военнослужащих органов Федеральной службы безопасности и членов их семей, предусмотренные частями девятой и десятой настоящей статьи, распространяются на граждан, которые уволены с военной службы по достижении предельного возраста пребывания на военной службе, состоянию здоровья или в связи с организационно-штатными мероприятиями и общая продолжительность военной службы которых в льготном исчислении составляет двадцать и более лет, а также на членов их семей.

Статья 19. Лица, содействующие органам Федеральной службы безопасности

Органы Федеральной службы безопасности могут привлекать отдельных лиц с их согласия к содействию в решении возложенных на органы Федеральной службы безопасности обязанностей на гласной и негласной (конфиденциальной) основе, в том числе в качестве внештатных сотрудников. Полномочия внештатного сотрудника органов Федеральной службы безопасности определяются нормативными актами Федеральной службы безопасности Российской Федерации.

Лица, оказывающие содействие органам Федеральной службы безопасности, имеют право:

а) заключать контракт с органами Федеральной службы безопасности о конфиденциальном сотрудничестве;

б) получать от сотрудников органов Федеральной службы безопасности разъяснения своих задач, обязанностей и прав;

в) использовать в целях конспирации документы, зашифровывающие личность;

г) получать вознаграждение;

д) получать компенсацию за ущерб, причиненный их здоровью либо имуществу в процессе оказания содействия органам Федеральной службы безопасности.

Лица, оказывающие содействие органам Федеральной службы безопасности, обязаны:

а) соблюдать условия заключаемого с органами Федеральной службы безопасности контракта или договоренности о сотрудничестве;

б) выполнять поручения органов Федеральной службы безопасности, направленные на осуществление возложенных на них обязанностей;

в) не допускать умышленного предоставления необъективной, неполной, ложной или клеветнической информации;

г) не разглашать сведения, составляющие государственную тайну, и иные сведения, ставшие им известными в процессе оказания содействия органам Федеральной службы безопасности.

Запрещается использовать конфиденциальное содействие на контрактной основе депутатов, судей, прокуроров, адвокатов, несовершеннолетних, священнослужителей и полномочных представителей официально зарегистрированных религиозных организаций.

Сведения о лицах, оказывающих или оказывавших органам Федеральной службы безопасности содействие на конфиденциальной основе, составляют государственную тайну и могут быть преданы гласности только с письменного согласия этих лиц и в случаях, предусмотренных федеральными законами.

Статья 20. Информационное обеспечение органов Федеральной службы безопасности

Для осуществления своей деятельности органы Федеральной службы безопасности могут без лицензирования разрабатывать, создавать и эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации, включая средства криптографической защиты.

Наличие в информационных системах сведений о физических и юридических лицах не является основанием для принятия органами Федеральной службы безопасности мер, ограничивающих права указанных лиц.

Порядок учета и использования информации о совершенных правонарушениях, затрагивающих вопросы обеспечения безопасности Российской Федерации, а также сведений о разведывательной и иной деятельности специальных служб и организаций иностранных государств, отдельных лиц, направленной на нанесение ущерба безопасности Российской Федерации, устанавливается нормативными актами Федеральной службы безопасности Российской Федерации.

Статья 21. Средства вооружения и оснащения органов Федеральной службы безопасности

Органы Федеральной службы безопасности без лицензирования разрабатывают, создают, приобретают и используют средства вооружения и оснащения, включая специальные технические и иные средства, приобретают и используют боевое оружие, принятое на вооружение органов Федеральной службы безопасности решением Правительства Российской Федерации, а также другое служебное и гражданское оружие и боеприпасы к нему.

Продажа, передача, вывоз за пределы Российской Федерации и ввоз на ее территорию средств вооружения и оснащения, включая специальные технические и иные средства, огнестрельного оружия и боеприпасов к нему, которые могут использоваться в деятельности органов Федеральной службы безопасности, осуществляются ими в порядке, устанавливаемом Правительством Российской Федерации.

Статья 22. Финансовое и материально-техническое обеспечение

Финансирование органов Федеральной службы безопасности осуществляется за счет средств федерального бюджета.

Материально-техническое обеспечение органов Федеральной службы безопасности осуществляется за счет централизованных ресурсов Российской Федерации, а также за счет приобретения необходимых материально-технических средств у предприятий, учреждений и организаций независимо от форм собственности.

Земельные участки и имущество органов Федеральной службы безопасности (в том числе здания, сооружения, оборудование), созданное (создаваемое) или приобретенное (приобретаемое) за счет средств федерального бюджета и иных средств, являются федеральной собственностью. Органы Федеральной службы безопасности освобождаются от всех форм платы за землю с занимаемых ими земельных участков.

Органы Федеральной службы безопасности могут иметь служебный жилищный фонд, формируемый в порядке, устанавливаемом Правительством Российской Федерации.

Предприятия, учреждения и организации, созданные или создаваемые для обеспечения деятельности органов Федеральной службы безопасности, осуществляют свою деятельность без лицензирования и приватизации не подлежат.

Глава V. Контроль и надзор за деятельностью органов Федеральной службы безопасности

Статья 23. Контроль за деятельностью органов Федеральной службы безопасности

Контроль за деятельностью органов Федеральной службы безопасности осуществляют Президент Российской Федерации, Федеральное Собрание Российской Федерации, Правительство Российской Федерации и судебные органы в пределах полномочий, определяемых Конституцией Российской Федерации, федеральными конституционными законами и федеральными законами.

Депутаты (члены) Совета Федерации и депутаты Государственной Думы Федерального Собрания Российской Федерации в связи с осуществлением ими депутатской деятельности вправе получать сведения о деятельности органов Федеральной службы безопасности в порядке, определяемом законодательством Российской Федерации.

Статья 24. Прокурорский надзор

Надзор за исполнением органами Федеральной службы безопасности законов Российской Федерации осуществляют Генеральный прокурор Российской Федерации и уполномоченные им прокуроры.

Сведения о лицах, оказывающих или оказывавших органам Федеральной службы безопасности содействие на конфиденциальной основе, а также об организации, о тактике, методах и средствах осуществления деятельности органов Федеральной службы безопасности в предмет прокурорского надзора не входят.

Глава VI. Заключительные положения

Статья 25. О правопреемниках органов Федеральной службы безопасности

Федеральная служба безопасности Российской Федерации и подчиненные ей органы являются правопреемниками Федеральной службы контрразведки Российской Федерации и ее органов.

Военнослужащие и гражданский персонал органов контрразведки Российской Федерации считаются проходящими военную службу (работающими) в органах Федеральной службы безопасности в занимаемых должностях без их переаттестации и переназначения, а также без проведения организационно-штатных мероприятий.

Статья 26. Вступление настоящего Федерального закона в силу

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Признать утратившим силу со дня введения в действие настоящего Федерального закона Закон Российской Федерации «О федеральных органах государственной безопасности» (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1992, № 32, ст. 1871; 1993, № 33, ст. 1308; № 36, ст. 1438).

Предложить Президенту Российской Федерации и поручить Правительству Российской Федерации привести их нормативные правовые акты в соответствие с настоящим Федеральным законом.

Москва, Кремль

3 апреля 1995 г.

Президент Российской Федерации Ельцин Б.

«О СЕРТИФИКАЦИИ ПРОДУКТОВ И УСЛУГ» Закон РФ от 10 июня 1993 г. № 5151-1 (в ред. Федерального закона от 27 декабря 1995 г. № 211-ФЗ)

Настоящий Закон устанавливает правовые основы обязательной и добровольной сертификации продукции, услуг и иных объектов (далее — продукция) в Российской Федерации, а также права, обязанности и ответственность участников сертификации.

Раздел I. Общие положения

Статья 1. Понятие сертификации

Сертификация продукции (далее — сертификация) — это деятельность по подтверждению соответствия продукции установленным требованиям. Сертификация осуществляется в целях:

>• создания условий для деятельности предприятий, учреждений, организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

>• содействия потребителям в компетентном выборе продукции;

>• защиты потребителя от недобросовестности изготовителя (продавца, исполнителя); контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества;

>• подтверждения показателей качества продукции, заявленных изготовителем. Сертификация может иметь обязательный и добровольный характер.

Статья 2. Законодательство Российской Федерации о сертификации

Отношения в области сертификации регулируются настоящим Законом и издаваемыми с ним актами законодательства Российской Федерации.

Статья 3. Международные договоры

Если международным договором Российской Федерации установлены иные правила, чем те, которые содержатся в законодательстве Российской Федерации о сертификации, то применяются правила международного договора.

Статья 4. Полномочия Комитета Российской Федерации по стандартизации, метрологии и сертификации

Комитет Российской Федерации по стандартизации, метрологии и сертификации (далее — Госстандарт России) в соответствии с настоящим Законом:

>• формирует и реализует государственную политику в области сертификации, устанавливает общие правила и рекомендации по проведению сертификации на территории Российской Федерации и опубликовывает официальную информацию о них;

>• проводит государственную регистрацию систем сертификации и знаков соответствия, действующих в Российской Федерации;

>• опубликовывает официальную информацию о действующих в Российской Федерации системах сертификации и знаках соответствия и представляет ее в установленном порядке в международные (региональные) организации по сертификации;

>• готовит в установленном порядке предложения о присоединении к международным (региональным) системам сертификации, а также может в установленном порядке заключать соглашения с международными (региональными) организациями о взаимном признании результатов сертификации;

>• представляет в установленном порядке Российскую Федерацию в международных (региональных) организациях по вопросам сертификации как национальный орган Российской Федерации по сертификации.

Статья 5. Система сертификации

1. Система сертификации создается государственными органами управления, предприятиями, учреждениями и организациями и представляет собой совокупность участников сертификации, осуществляющих сертификацию по правилам, установленным в этой системе в соответствии с настоящим Законом.

В систему сертификации могут входить предприятия, учреждения и организации независимо от форм собственности, а также общественные объединения.

В систему сертификации могут входить несколько систем сертификации однородной продукции.

2. Системы сертификации подлежат государственной регистрации в установленном Госстандартом России порядке.

Статья 6. Сертификат и знак соответствия

1. Сертификат соответствия (далее — сертификат) — документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Обязательной составной частью сертификата соответствия является сертификат пожарной безопасности.

Порядок организации и проведения сертификации продукции и услуг в области пожарной безопасности определяется Государственной противопожарной службой Министерства внутренних дел Российской Федерации по согласованию с федеральным органом исполнительной власти в области стандартизации, метрологии и сертификации (абзацы 2 и 3 введены Федеральным законом от 27.12.95 г. № 211-ФЗ).

2. Знак соответствия — зарегистрированный в установленном порядке знак, которым по правилам, установленным в данной системе сертификации, подтверждается соответствие маркированной им продукции установленным требованиям.

Порядок государственной регистрации знаков соответствия устанавливается Госстандартом России.

3. Правила применения знаков соответствия устанавливаются конкретной системой сертификации в соответствии с правилами, устанавливаемыми Госстандартом России.

Раздел II. Обязательная сертификация

Статья 7. Обязательная сертификация

1. Обязательная сертификация осуществляется в случаях, предусмотренных законодательными актами Российской Федерации.

2. Организация и проведение работ по обязательной сертификации возлагаются на Госстандарт России, а в случаях, предусмотренных законодательными актами Российской Федерации в отношении отдельных видов продукции, могут быть возложены на другие государственные органы управления Российской Федерации.

3. Формы обязательной сертификации продукции устанавливаются Госстандартом России либо другими государственными органами управления Российской Федерации, уполномоченными на то в соответствии с настоящей статьей, с учетом сложившейся международной и зарубежной практики.

4. Запрещается рекламировать продукцию, подлежащую обязательной сертификации, но не имеющую сертификата соответствия.

Статья 8. Участники обязательной сертификации

Участниками обязательной сертификации являются Госстандарт России, иные государственные органы управления Российской Федерации, уполномоченные проводить работы по обязательной сертификации, органы по сертификации, испытательные лаборатории (центры), изготовители (продавцы, исполнители) продукции, а также центральные органы систем сертификации, определяемые в необходимых случаях для организации и координации работ в системах сертификации однородной продукции.

Допускается участие в проведении работ по обязательной сертификации зарегистрированных некоммерческих (бесприбыльных) объединений (союзов), и организаций любых форм собственности при условии их аккредитации соответствующим государственным органом управления.

Статья 9. Правомочия государственных органов управления

Госстандарт России и другие государственные органы управления Российской Федерации, на которые законодательными актами Российской Федерации возлагаются организация и проведение работ по обязательной сертификации, в пределах своей компетенции:

>• создают системы сертификации однородной продукции и устанавливают правила процедуры и управления для проведения сертификации в этих системах;

>• осуществляют выбор способа подтверждения соответствия продукции требованиям нормативных документов (формы сертификации);

>• определяют центральные органы систем сертификации;

>• аккредитуют органы по сертификации и испытательные лаборатории (центры) и выдают им разрешения на право проведения определенных видов работ (лицензии на проведение определенных видов работ);

>• ведут государственный реестр участников и объектов сертификации; устанавливают правила признания зарубежных сертификатов, знаков соответствия и результатов испытаний; устанавливают правила аккредитации и выдачи лицензий на проведение работ по обязательной сертификации;

>• осуществляют государственный контроль и надзор и устанавливают порядок инспекционного контроля за соблюдением правил сертификации за сертифицированной продукцией;

>• рассматривают апелляции по вопросам сертификации;

>• выдают сертификаты и лицензии на применение знака соответствия.

Статья 10. Обязанности центрального органа системы сертификации

Центральный орган системы сертификации:

>• организует, координирует работу и устанавливает правила процедуры и управления в возглавляемой им системе сертификации;

>• рассматривает апелляции заявителей по поводу действий органов по сертификации, испытательных лабораторий (центров).

Статья 11. Обязанности органа по сертификации

Орган по сертификации:

>• сертифицирует продукцию, выдает сертификаты и лицензии на применение знака соответствия;

>• приостанавливает либо отменяет действие выданных им сертификатов;

>• предоставляет заявителю по его требованию необходимую информацию в пределах своей компетенции.

Статья 12. Обязанности испытательной лаборатории (центра)

Испытательные лаборатории (центры), аккредитованные в установленном соответствующей системой сертификации порядке, осуществляют испытания конкретной продукции или конкретные виды испытаний и выдают протоколы испытаний для целей сертификации.

Статья 13. Обязанности изготовителей (продавцов, исполнителей)

Изготовители (продавцы, исполнители) продукции, подлежащей обязательной сертификации и реализуемой на территории Российской Федерации, обязаны:

>• реализовывать эту продукцию только при наличии сертификата, выданного или признанного уполномоченным на то органом;

>• обеспечивать соответствие реализуемой продукции требованиям нормативных документов, на соответствие которым она была сертифицирована, и маркирование ее знаком соответствия в установленном порядке;

>• указывать в сопроводительной технической документации сведения о сертификации и нормативных документах, которым должна соответствовать продукция, и обеспечивать доведение этой информации до потребителя (покупателя, заказчика);

>• приостанавливать или прекращать реализацию сертифицированной продукции, если она не отвечает требованиям нормативных документов, на соответствие которым сертифицирована, по истечении срока действия сертификата или в случае, если действие сертификата приостановлено либо отменено решением органа по сертификации; обеспечивать беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих обязательную сертификацию продукции и контроль за сертифицированной продукцией; извещать орган по сертификации в установленном им порядке об изменениях, внесенных в техническую документацию или в технологический процесс производства сертифицированной продукции.

Статья 14. Условия ввоза импортируемой продукции

1. В условиях контрактов (договоров), заключаемых на поставку в Российскую Федерацию продукции, подлежащей в соответствии с актами законодательства Российской Федерации обязательной сертификации, должно быть предусмотрено наличие сертификата и знака соответствия, подтверждающих ее соответствие установленным требованиям. Указанные сертификаты и знаки соответствия должны быть выданы или признаны уполномоченным на то органом Российской Федерации.

2. Сертификаты или свидетельства об их признании представляются в таможенные органы вместе с грузовой таможенной декларацией и являются необходимыми документами для получения разрешения на ввоз продукции на территорию Российской Федерации.

3. Порядок ввоза на территорию Российской Федерации продукции, подлежащей обязательной сертификации, устанавливается Государственным таможенным комитетом Российской Федерации и Госстандартом России в соответствии с законодательными актами Российской Федерации.

Статья 15. Государственный контроль и надзор за соблюдением правил обязательной сертификации и за сертифицированной продукцией

1. Государственный контроль и надзор за соблюдением изготовителями (продавцами, исполнителями), испытательными лабораториями (центрами), органами по сертификации правил обязательной сертификации и за сертифицированной продукцией осуществляется Госстандартом России, иными специально уполномоченными государственными органами управления Российской Федерации в пределах их компетенции.

2. Непосредственно государственный контроль и надзор за соблюдением правил сертификации и сертифицированной продукцией проводится должностными лицами, осуществляющими государственный контроль и надзор за соблюдением обязательных требований государственных стандартов. Указанные должностные лица осуществляют государственный контроль и надзор за соблюдением правил по сертификации и за сертифицированной продукцией в порядке и на условиях, установленных Законом Российской Федерации «О стандартизации».

Статья 16. Финансирование работ по сертификации и государственному контролю и надзору

1. Обязательному государственному финансированию подлежат:

>• разработка прогнозов развития сертификации, правил и рекомендаций по ее проведению;

>• обеспечение официальной информацией в области сертификации;

>• участие в работе международных (региональных) организаций по сертификации и проведение работ с зарубежными национальными органами по сертификации;

>• разработка и (или) участие в разработке международных (региональных) правил и рекомендаций по сертификации;

>• разработка проектов актов законодательства в области сертификации;

>• проведение научно-исследовательских и иных работ по сертификации, имеющих общегосударственное значение;

>• проведение государственного контроля и надзора за соблюдением правил сертификации и за сертифицированной продукцией;

>• ведение Государственного реестра по сертификации и аккредитации и архивное хранение материалов по государственной регистрации систем сертификации и знаков соответствия;

>• другие работы по обязательной сертификации, определяемые законодательством Российской Федерации.

2. Оплата работ по обязательной сертификации конкретной продукции производится заявителем в порядке, установленном Госстандартом России и государственными органами управления Российской Федерации, на которые законодательными актами Российской Федерации возложены организация и проведение обязательной сертификации, по согласованию с Министерством финансов Российской Федерации. Сумма средств, израсходованных заявителем на проведение обязательной сертификации своей продукции, относится на ее себестоимость.

Раздел III. Добровольная сертификация

Статья 17. Добровольная сертификация

По продукции, не подлежащей в соответствии с законодательными актами Российской Федерации обязательной сертификации, и по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации, по инициативе юридических лиц и граждан может проводиться добровольная сертификация на условиях договора между заявителем и органом по сертификации.

Статья 18. Организация добровольной сертификации

Добровольную сертификацию вправе осуществлять любое юридическое лицо, взявшее на себя функцию органа по добровольной сертификации и зарегистрировавшее систему сертификации и знак соответствия в Госстандарте России в установленном Госстандартом России порядке. Органы по обязательной сертификации также вправе проводить добровольную сертификацию при соблюдении указанных условий.

Орган по добровольной сертификации устанавливает правила проведения работ в системе сертификации, в том числе порядок их оплаты.

Статья 19. Права заявителя

При заключении договора на проведение сертификации заявитель вправе получить от органа по добровольной сертификации необходимую информацию о правилах сертификации продукции, а также определить форму сертификации.

Раздел IV. Ответственность за нарушение положении настоящего Закона

Статья 20. Уголовная, административная либо гражданско-правовая ответственность

Юридические и физические лица, а также органы государственного управления, виновные в нарушении правил обязательной сертификации, несут в соответствии с действующим законодательством уголовную, административную либо гражданско-правовую ответственность.

Президент Российской Федерации Б. Ельцин

«О СТАНДАРТИЗАЦИИ» Закон РФ от 10 июня 1993 г. № 5154-1 (в ред. Федерального закона от 27 декабря 1995 г. № 211-ФЗ)

Настоящий Закон устанавливает правовые основы стандартизации в Российской Федерации, обязательные для всех государственных органов управления, а также предприятий и предпринимателей (далее — субъекты хозяйственной деятельности), общественных объединений, и определяет меры государственной защиты интересов потребителей и государства посредством разработки и применения нормативных документов по стандартизации.

Раздел I. Общие положения

Статья 1. Понятие стандартизации

Стандартизация — это деятельность по установлению норм, правил и характеристик (далее -— требования) в целях обеспечения:

>• безопасности продукции, работ и услуг для окружающей среды, жизни, здоровья и имущества; технической и информационной совместимости, а также взаимозаменяемости продукции;

>• качества продукции, работ и услуг в соответствии с уровнем развития науки, техники и технологии; единства измерений;

>• экономии всех видов ресурсов;

>• безопасности хозяйственных объектов с учетом риска возникновения природных и техногенных катастроф и других чрезвычайных ситуаций;

>• обороноспособности и мобилизационной готовности страны.

Статья 2. Законодательство Российской Федерации о стандартизации

Отношения в области стандартизации регулируются настоящим Законом и издаваемыми в соответствии с ним актами законодательства Российской Федерации.

Настоящий Закон не регулирует отношения, связанные с государственными образовательными стандартами.

Статья 3. Международные договоры

Если международным договором Российской Федерации установлены иные правила, чем те, которые содержатся в законодательстве Российской Федерации о стандартизации, то применяются правила международного договора.

Статья 4. Организация работ по стандартизации

1. Государственное управление стандартизацией в Российской Федерации, включая координацию деятельности государственных органов управления Российской Федерации, взаимодействие с органами власти республик в составе Российской Федерации, краев, областей, автономной области, автономных округов, городов, с общественными объединениями, в том числе с техническими комитетами по стандартизации, с субъектами хозяйственной деятельности, осуществляет Комитет Российской Федерации по стандартизации, метрологии и сертификации (Госстандарт России).

Госстандарт России формирует и реализует государственную политику в области стандартизации, осуществляет государственный контроль и надзор за соблюдением обязательных требований государственных стандартов, участвует в работах по международной (региональной) стандартизации, организует профессиональную подготовку и переподготовку кадров в области стандартизации, а также устанавливает правила применения международных (региональных) стандартов, правил, норм и рекомендаций по стандартизации на территории Российской Федерации, если иное не установлено международными договорами Российской Федерации.

Другие государственные органы управления участвуют в работах по стандартизации в пределах их компетенции.

Субъекты хозяйственной деятельности, включая общественные объединения, организуют и проводят работы по стандартизации в соответствии с настоящим Законом.

2. Госстандарт России в соответствии с настоящим Законом устанавливает в государственных стандартах государственной системы стандартизации общие организационно-технические правила проведения работ по стандартизации, формы и методы взаимодействия субъектов хозяйственной деятельности друг с другом, с государственными органами управления.

Статья 5. Международное сотрудничество в области стандартизации

Госстандарт России вправе представлять Российскую Федерацию в международных (региональных) организациях, осуществляющих деятельность по стандартизации.

Раздел II. Нормативные документы по стандартизации и их применение

Статья 6. Нормативные документы по стандартизации и требования к ним

1. К нормативным документам по стандартизации, действующим на территории Российской Федерации в случаях, порядке и на условиях, установленных настоящим Законом, относятся:

>• государственные стандарты Российской Федерации (далее — государственные стандарты);

>• применяемые в установленном порядке международные (региональные) стандарты, правила, нормы и рекомендации по стандартизации;

>• общероссийские классификаторы технико-экономической информации; стандарты отраслей; стандарты предприятий;

>• стандарты научно-технических, инженерных обществ и других общественных объединений.

Под отраслью в настоящем Законе понимается совокупность субъектов хозяйственной деятельности независимо от их ведомственной принадлежности и форм собственности, разрабатывающих и (или) производящих продукцию (выполняющих работы и оказывающих услуги) определенных видов, которые имеют однородное потребительное или функциональное назначение.

2. Требования, устанавливаемые нормативными документами по стандартизации, должны основываться на современных достижениях науки, техники и технологии, международных (региональных) стандартах, правилах, нормах и рекомендациях по стандартизации, прогрессивных национальных стандартах других государств, учитывать условия использования продукции, выполнения работ и оказания услуг, условия и режимы труда и не должны нарушать положений, установленных актами законодательства Российской Федерации.

3. Нормативные документы по стандартизации на продукцию и услуги, подлежащие в соответствии с законодательством обязательной сертификации, должны содержать требования, по которым осуществляется обязательная сертификация, методы контроля на соответствие этим требованиям, правила маркировки продукции и услуг, требования к информации о сертификации, включаемой в сопроводительную документацию.

Нормативные документы по стандартизации, которые принимаются федеральными органами исполнительной власти и устанавливают или должны устанавливать требования пожарной безопасности, подлежат обязательному согласованию с Государственной противопожарной службой Министерства внутренних дел Российской Федерации (абзац введен Федеральным законом от 27.12.95 г. № 211-ФЗ).

4. Государственные стандарты, стандарты отраслей не являются объектом авторского права.

Статья 7. Государственные стандарты, общероссийские классификаторы технико-экономической информации

1. Государственные стандарты разрабатываются на продукцию, работы и услуги, имеющие межотраслевое значение, и не должны противоречить законодательству Российской Федерации. Государственные стандарты должны содержать:

>• требования к продукции, работам и услугам по их безопасности для окружающей среды, жизни, здоровья и имущества, требования пожарной безопасности, требования техники безопасности и производственной санитарии (в ред. Федерального закона от 27.12.95 г. № 211-ФЗ);

>• требования по технической и информационной совместимости, а также взаимозаменяемости продукции;

>• основные потребительские (эксплуатационные) характеристики продукции, методы их контроля, требования к упаковке, маркировке, транспортированию, хранению, применению и утилизации продукции;

>• правила и нормы, обеспечивающие техническое и информационное единство при разработке, производстве, использовании (эксплуатации) продукции, выполнении работ и оказании услуг, в том числе правила оформления технической документации, допуски и посадки, общие правила обеспечения качества продукции, работ и услуг, сохранения и рационального использования всех видов ресурсов, термины и их определения, условные обозначения, метрологические и другие общетехнические и организационно — технические правила и нормы.

Для обеспечения государственной защиты интересов Российской Федерации и конкурентоспособности отечественной продукции (услуг) в государственных стандартах в обоснованных случаях устанавливаются предварительные

требования на перспективу, опережающие возможности традиционных технологий.

Содержание требований государственных стандартов, области их распространения, сферы их действия и даты их введения определяются государственными органами управления, которые их принимают.

2. Требования, устанавливаемые государственными стандартами для обеспечения безопасности продукции, работ и услуг для окружающей среды, жизни, здоровья и имущества, для обеспечения технической и информационной совместимости, взаимозаменяемости продукции, единства методов их контроля и единства маркировки, а также иные требования, установленные законодательством Российской Федерации, являются обязательными для соблюдения государственными органами управления, субъектами хозяйственной деятельности.

Соответствие продукции и услуг указанным требованиям государственных стандартов определяется в порядке, установленном законодательством Российской Федерации об обязательной сертификации продукции и услуг.

Иные требования государственных стандартов к продукции, работам и услугам подлежат обязательному соблюдению субъектами хозяйственной деятельности в силу договора либо в том случае, если об этом указывается в технической документации изготовителя (поставщика) продукции, исполнителя работ или услуг. При этом соответствие продукции и услуг этим требованиям государственных стандартов может определяться в порядке, установленном законодательством Российской Федерации о добровольной сертификации продукции и услуг.

3. Соответствие продукции и услуг требованиям государственных стандартов может подтверждаться путем маркирования продукции и услуг знаком соответствия государственным стандартам.

Форму знака соответствия государственным стандартам, порядок маркирования этим знаком, а также порядок выдачи субъектам хозяйственной деятельности лицензий на маркирование ими продукции и услуг этим знаком устанавливает Госстандарт России.

Субъекты хозяйственной деятельности, которым выданы лицензии на маркирование продукции и услуг знаком соответствия государственным стандартам, а также сами продукция и услуги, маркированные этим знаком, вносятся в Государственный реестр продукции и услуг, маркированных знаком соответствия государственным стандартам. Порядок ведения указанного реестра и пользования им устанавливает Госстандарт России.

4. В соответствии с настоящим Законом государственные стандарты и общероссийские классификаторы технико-экономической информации принимает Госстандарт России, а в области строительства и промышленности строительных материалов — Государственный комитет Российской Федерации по вопросам архитектуры и строительства (Госстрой России).

Государственные стандарты вводятся в действие после их государственной регистрации в Госстандарте России.

5. Порядок разработки, принятия, введения в действие, применения и ведения общероссийских классификаторов технико-экономической информации устанавливает Госстандарт России.

Статья 8. Стандарты отраслей, стандарты предприятий, стандарты научно-технических, инженерных обществ и других общественных объединений

1. Стандарты отраслей могут разрабатываться и приниматься государственными органами управления в пределах их компетенции в целях обеспечения требований, указанных в статье 1 настоящего Закона применительно к продукции, работам и услугам отраслевого значения.

Стандарты отраслей не должны нарушать обязательные требования государственных стандартов.

Ответственность за соответствие требований стандартов отраслей обязательным требованиям государственных стандартов несут принявшие их государственные органы управления.

Порядок разработки, принятия, учетной регистрации, применения, контроля за соблюдением обязательных требований, изменения и отмены стандартов отраслей устанавливается государственными стандартами Государственной системы стандартизации.

2. Стандарты предприятий могут разрабатываться и утверждаться предприятиями самостоятельно, исходя из необходимости их применения в целях обеспечения требований, указанных в статье 1 настоящего Закона, а также в целях совершенствования организации и управления производством.

Требования стандартов предприятий подлежат обязательному соблюдению другими субъектами хозяйственной деятельности, если в договоре на разработку, производство и поставку продукции, на выполнение работ и оказание услуг сделана ссылка на эти стандарты.

3. Стандарты научно-технических, инженерных обществ и других общественных объединений разрабатываются и принимаются этими общественными объединениями для динамичного распространения и использования полученных в различных областях знаний результатов исследований и разработок. Необходимость применения этих стандартов субъекты хозяйственной деятельности определяют самостоятельно.

4. Порядок разработки, утверждения, учета, изменения и отмены стандартов субъектов хозяйственной деятельности устанавливается ими самостоятельно в соответствии с настоящим Законом.

5. Стандарты субъектов хозяйственной деятельности не должны нарушать обязательные требования государственных стандартов.

Ответственность за соответствие требований стандартов субъектов хозяйственной деятельности обязательным требованиям государственных стандартов несут утвердившие их субъекты хозяйственной деятельности.

6. Информация о принятых стандартах отраслей, стандартах научно-технических, инженерных обществ и других общественных объединений направляется в органы Госстандарта России.

Статья 9. Применение нормативных документов по стандартизации

1. Нормативные документы по стандартизации должны применяться государственными органами управления, субъектами хозяйственной деятельности на стадиях разработки, подготовки продукции к производству, ее изготовления, реализации (поставки, продажи), использования (эксплуатации), хранения, транспортирования и утилизации, при выполнении работ и оказании услуг, при разработке технической документации (конструкторской, технологической, проектной), в том числе технических условий, каталожных листов на поставляемую продукцию (оказываемые услуги).

При этом действующие отраслевые стандарты применяются на территории Российской Федерации в случаях, если их требования не противоречат законодательству Российской Федерации.

2. Заказчик и исполнитель обязаны включать в договор условие о соответствии продукции, выполняемых работ и оказываемых услуг обязательным требованиям государственных стандартов.

3. Необходимость применения нормативных документов по стандартизации в отношении продукции (услуг), производимой (оказываемых) на территории Российской Федерации с целью вывоза с ее территории определяется контрактом (договором), за исключением случаев, установленных законодательством Российской Федерации.

4. Ввоз продукции и услуг на таможенную территорию Российской Федерации, а также подтверждение их соответствия обязательным требованиям государственных стандартов осуществляются в порядке, установленном законодательством Российской Федерации.

Статья 10. Информация о нормативных документах по стандартизации, их издание и реализация

1. Официальная информация о разрабатываемых и принятых государственных стандартах, общероссийских классификаторах технико-экономической информации, а также сами эти государственные стандарты и общероссийские классификаторы должны быть доступны для пользователей, в том числе зарубежных, в той части, в которой они не составляют государственной тайны.

2. Госстандарт России организует публикацию официальной информации о государственных стандартах, общероссийских классификаторах технико-экономической информации, международных (региональных) стандартах, правилах, нормах и рекомендациях по стандартизации, национальных стандартах других государств, а также информации о международных договорах в области стандартизации и правилах их применения; создает и ведет федеральный фонд государственных стандартов и общероссийских классификаторов технико-экономической информации, а также международных (региональных) стандартов, правил, норм и рекомендаций по стандартизации, национальных стандартов зарубежных стран. Порядок создания и правила пользования этим фондом устанавливаются Правительством Российской Федерации.

3. Государственные органы управления, принявшие в пределах своей компетенции нормативные документы по стандартизации, субъекты хозяйственной деятельности, утвердившие нормативные документы по стандартизации, формируют и ведут информационные фонды этих документов, а также обеспечивают пользователей информацией о них и самими документами на договорной основе.

4. Исключительное право официального опубликования в установленном порядке государственных стандартов и общероссийских классификаторов технико-экономической информации принадлежит государственным органам управления, принявшим эти нормативные документы по стандартизации.

Порядок опубликования государственных стандартов и общероссийских классификаторов технико-экономической информации определяется Правительством Российской Федерации.

5. Исключительное право официального опубликования сведений, содержащихся в Общероссийском каталоге продукции и услуг, внесенных в Государственный реестр продукции и услуг, маркированных знаком соответствия государственным стандартам, принадлежит Госстандарту России.

Раздел III. Государственный контроль и надзор за соблюдением требований государственных стандартов

Статья 11. Государственный контроль и надзор

1. Государственный контроль и надзор за соблюдением субъектами хозяйственной деятельности обязательных требований государственных стандартов осуществляется на стадиях разработки, подготовки продукции к производству, ее изготовления, реализации (поставки, продажи), использования (эксплуатации), хранения, транспортирования и утилизации, а также при выполнении работ и оказании услуг.

2. Порядок осуществления государственного контроля и надзора за соблюдением обязательных требований государственных стандартов устанавливает Госстандарт России в соответствии с законодательством Российской Федерации.

3. Должностные лица субъектов хозяйственной деятельности обязаны создавать все условия, необходимые для осуществления государственного контроля и надзора.

Статья 12. Органы государственного контроля и надзора

1. Органами, осуществляющими государственный контроль и надзор за соблюдением обязательных требований государственных стандартов, являются Госстандарт России, иные специально уполномоченные государственные органы управления в пределах их компетенции.

2. Осуществление государственного контроля и надзора за соблюдением обязательных требований государственных стандартов проводится должностными лицами государственных органов управления в пределах их компетенции.

Непосредственное осуществление государственного контроля и надзора за соблюдением обязательных требований государственных стандартов от имени Госстандарта России проводится его должностными лицами — государственными инспекторами:

>• главным государственным инспектором Российской Федерации по надзору за государственными стандартами;

>• главными государственными инспекторами республик в составе Российской Федерации, краев, областей, автономной области, автономных округов, городов по надзору за государственными стандартами;

>• государственными инспекторами по надзору за государственными стандартами.

Статья 13. Государственные инспекторы, их права и ответственность

1. Государственные инспекторы, осуществляющие государственный контроль и надзор за соблюдением обязательных требований государственных стандартов, являются представителями государственных органов управления и находятся под защитой государства. Государственный инспектор имеет право:

>• свободного доступа в служебные и производственные помещения субъекта хозяйственной деятельности; получать от субъекта хозяйственной деятельности документы и сведения, необходимые для проведения государственного контроля и надзора;

>• использовать технические средства и специалистов субъекта хозяйственной деятельности при проведении государственного контроля и надзора;

>• проводить в соответствии с действующими нормативными документами по стандартизации отбор проб и образцов продукции и услуг для контроля их соответствия обязательным требованиям государственных стандартов с отнесением стоимости израсходованных.

«ОБ ОПЕРАТИВНО-РОЗЫСКНОЙ ДЕЯТЕЛЬНОСТИ» Федеральный закон от 12 августа 1995 г. ЛЬ 144-ФЗ (с изменениями от 18 июля 1997 г.) Принят Государственной Думой 5 июля 1995 г.

Настоящий Федеральный закон определяет содержание оперативно-розыскной деятельности, осуществляемой на территории Российской Федерации, и закрепляет систему гарантий законности при проведении оперативно-розыскных мероприятий.

Глава I. Общие положения

Статья 1. Оперативно-розыскная деятельность

Оперативно-розыскная деятельность — вид деятельности, осуществляемой гласно и негласно оперативными подразделениями государственных органов, уполномоченных на то настоящим Федеральным законом (далее — органы, осуществляющие оперативно-розыскную деятельность), в пределах их полномочий посредством проведения оперативно-розыскных мероприятий в целях защиты жизни, здоровья, прав и свобод человека и гражданина, собственности, обеспечения безопасности общества и государства от преступных посягательств.

Статья 2. Задачи оперативно-розыскной деятельности

Задачами оперативно-розыскной деятельности являются:

>• выявление, предупреждение, пресечение и раскрытие преступлений, а также выявление и установление лиц, их подготавливающих, совершающих или совершивших;

>• осуществление розыска лиц, скрывающихся от органов дознания, следствия и суда, уклоняющихся от уголовного наказания, а также розыска без вести пропавших;

>• добывание информации о событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации.

Статья 3. Принципы оперативно-розыскной деятельности

Оперативно-розыскная деятельность основывается на конституционных принципах законности, уважения и соблюдения прав и свобод человека и гражданина, а также на принципах конспирации, сочетания гласных и негласных методов и средств.

Статья 4. Правовая основа оперативно-розыскной деятельности

Правовую основу оперативно-розыскной деятельности составляют Конституция Российской Федерации, настоящий Федеральный закон, другие федеральные законы и принятые в соответствии с ними иные нормативные правовые акты федеральных органов государственной власти.

Органы, осуществляющие оперативно-розыскную деятельность, издают в пределах своих полномочий в соответствии с законодательством Российской Федерации нормативные акты, регламентирующие организацию и тактику проведения оперативно-розыскных мероприятий.

Статья 5. Соблюдение прав и свобод человека и гражданина при осуществлении оперативно-розыскной деятельности

Не допускается осуществление оперативно-розыскной деятельности для достижения целей и решения задач, не предусмотренных настоящим Федеральным законом.

Лицо, полагающее, что действия органов, осуществляющих оперативно-розыскную деятельность, привели к нарушению его прав и свобод, вправе обжаловать, эти действия в вышестоящий орган, осуществляющий оперативно-розыскную деятельность, прокурору или в суд.

Лицо, виновность которого в совершении преступления не доказана в установленном законом порядке, то есть в отношении которого в возбуждении уголовного дела отказано либо уголовное дело прекращено в связи с отсутствием события преступления или в связи с отсутствием в деянии состава преступления, и которое располагает фактами проведения в отношении его оперативно-розыскных мероприятий и полагает, что при этом были нарушены его права, вправе истребовать от органа, осуществляющего оперативно-розыскную деятельность, сведения о полученной о нем информации в пределах, допускаемых требованиями конспирации и исключающих возможность разглашения государственной тайны. В случае, если будет отказано в предоставлении запрошенных сведений или если указанное лицо полагает, что сведения получены не в полном объеме, оно вправе обжаловать это в судебном порядке. В процессе рассмотрения дела в суде обязанность доказывать обоснованность отказа в предоставлении этому лицу сведений, в том числе в полном объеме, возлагается на соответствующий орган, осуществляющий оперативно-розыскную деятельность.

В целях обеспечения полноты и всесторонности рассмотрения дела орган, осуществляющий оперативно-розыскную деятельность, обязан предоставить судье по его требованию оперативно-служебные документы» содержащие информацию о сведениях, в предоставлении которых было отказано заявителю, за исключением сведений о лицах, внедренных в организованные преступные группы, о штатных негласных сотрудниках органов, осуществляющих оперативно-розыскную деятельность, и о лицах, оказывающих им содействие на конфиденциальной основе.

В случае признания необоснованным решения органа, осуществляющего оперативно-розыскную деятельность, об отказе в предоставлении необходимых сведений заявителю судья может обязать указанный орган предоставить заявителю сведения, предусмотренные частью третьей настоящей статьи.

Полученные в результате проведения оперативно-розыскных мероприятий материалы в отношении лиц, виновность которых в совершении преступления не доказана в установленном законом порядке, хранятся один год, а затем уничтожаются, если служебные интересы или правосудие не требуют иного. За три месяца до дня уничтожения материалов, отражающих результаты оперативно-розыскных мероприятий, проведенных на основании судебного решения, об этом уведомляется соответствующий судья.

Органам (должностным лицам), осуществляющим оперативно-розыскную деятельность, запрещается:

>• проводить оперативно-розыскные мероприятия в интересах какой-либо политической партии, общественного и религиозного объединения;

>• принимать негласное участие в работе федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, а также в деятельности зарегистрированных в установленном порядке и незапрещенных политических партий, общественных и религиозных объединений в целях оказания влияния на характер их деятельности;

>• разглашать сведения, которые затрагивают неприкосновенность частной жизни, личную и семейную тайну, честь и доброе имя граждан и которые стали известными в процессе проведения оперативно-розыскных мероприятий, без согласия граждан, за исключением случаев, предусмотренных федеральными законами.

При нарушении органом (должностным лицом), осуществляющим оперативно-розыскную деятельность, прав и законных интересов физических и юридических лиц вышестоящий орган, прокурор либо судья в соответствии с законодательством Российской Федерации обязаны принять меры по восстановлению этих прав и законных интересов, возмещению причиненного вреда.

Нарушения настоящего Федерального закона при осуществлении оперативно-розыскной деятельности влекут ответственность, предусмотренную законодательством Российской Федерации.

Глава II. Проведение оперативно-розыскных мероприятии

Статья 6. Оперативно-розыскные мероприятия

При осуществлении оперативно-розыскной деятельности проводятся следующие оперативно-розыскные мероприятия:

1. Опрос граждан.

2. Наведение справок.

3. Сбор образцов для сравнительного исследования.

4. Проверочная закупка.

5. Исследование предметов и документов.

6. Наблюдение.

7. Отождествление личности.

8. Обследование помещений, зданий, сооружений, участков местности и транспортных средств.

9. Контроль почтовых отправлений, телеграфных и иных сообщений.

10. Прослушивание телефонных переговоров.

11. Снятие информации с технических каналов связи.

12. Оперативное внедрение.

13. Контролируемая поставка.

14. Оперативный эксперимент.

Приведенный перечень оперативно-розыскных мероприятий может быть изменен или дополнен только Федеральным законом.

В ходе проведения оперативно-розыскных мероприятий используются информационные системы, видео- и аудиозапись, кино- и фотосъемка, а также другие технические и иные средства, не наносящие ущерб жизни и здоровью людей и не причиняющие вред окружающей среде.

Оперативно-розыскные мероприятия, связанные с контролем почтовых отправлений, телеграфных и иных сообщений, прослушиванием телефонных переговоров с подключением к станционной аппаратуре предприятий, у учреждений и организаций независимо от форм собственности, физических и юридических лиц, предоставляющих услуги и средства связи, со снятием информации с технических каналов связи, проводятся с использованием оперативно-технических сил и средств органов Федеральной службы безопасности и органов внутренних дел в порядке, определяемом межведомственными нормативными актами или соглашениями между органами, осуществляющими оперативно-розыскную деятельность.

См. Технические требования к системе технических средств по обеспечению функций оперативно-розыскных мероприятий на электронных АТС (СОРМ), утвержденные Минсвязи РФ 19 сентября 1994 г. (приложение к письму Минсвязи РФ от 11 ноября 1994 г. № 252-У).

О взаимодействии предприятий связи с органами, осуществляющими ОРД, см. Федеральный закон от 16 февраля 1995 г. nb 15-ФЗ «О связи».

Должностные лица органов, осуществляющих оперативно-розыскную деятельность, решают ее задачи посредством личного участия в организации и проведении оперативно-розыскных мероприятий, используя помощь должностных лиц и специалистов, обладающих научными, техническими и иными специальными знаниями, а также отдельных граждан с их согласия на гласной и негласной основе.

Запрещается проведение оперативно-розыскных мероприятий и использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то настоящим Федеральным законом физическими и юридическими лицами.

Разработка, производство, реализация, приобретение в целях продажи, ввоз в Российскую Федерацию и вывоз за ее пределы специальных технических средств, предназначенных для негласного получения информации, не уполномоченными на осуществление оперативно-розыскной деятельности физическими и юридическими лицами подлежат лицензированию в порядке, устанавливаемом Правительством Российской Федерации.

О порядке лицензирования указанной деятельности см. постановление Правительства РФ от 1 июля 1996 г. nq 770.

Перечень видов специальных технических средств, предназначенных для негласного получения информации в процессе осуществления оперативно-розыскной деятельности устанавливается Правительством Российской Федерации.

Указанный перечень утвержден постановлением Правительства РФ от 1 июля 1996 г. № 7JO.

Статья 7. Основания для проведения оперативно-розыскных мероприятий

Основаниями для проведения оперативно-розыскных мероприятий являются:

1. Наличие возбужденного уголовного дела.

2. Ставшие известными органам, осуществляющим оперативно-розыскную деятельность, сведения о:

1) признаках подготавливаемого, совершаемого или совершенного противоправного деяния, а также о лицах, его подготавливающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела;

2) событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации;

3) лицах, скрывающихся от органов дознания, следствия и суда или уклоняющихся от уголовного наказания;

4) лицах, без вести пропавших, и об обнаружении неопознанных трупов.

3. Поручения следователя, органа дознания, указания прокурора или определения суда по уголовным делам, находящимся в их производстве.

4. Запросы других органов, осуществляющих оперативно-розыскную деятельность, по основаниям, указанным в настоящей статье.

5. Постановление о применении мер безопасности в отношении защищаемых лиц, осуществляемых уполномоченными на то государственными органами в порядке, предусмотренном законодательством Российской Федерации.

6. Запросы международных правоохранительных организаций и правоохранительных органов иностранных государств в соответствии с международными договорами Российской Федерации.

Органы, осуществляющие оперативно-розыскную деятельность, в пределах своих полномочий вправе также собирать данные, необходимые для принятия решений:

1. О допуске к сведениям, составляющим государственную тайну.

2. О допуске к работам, связанным с эксплуатацией объектов, представляющих повышенную опасность для жизни и здоровья людей, а также для окружающей среды.

3. О допуске к участию в оперативно-розыскной деятельности или о доступе к материалам, полученным в результате ее осуществления.

4. Об установлении или о поддержании с лицом отношений сотрудничества при подготовке и проведении оперативно-розыскных мероприятий.

5. По обеспечению безопасности органов, осуществляющих оперативно-розыскную деятельность.

6. О выдаче разрешений на частную детективную и охранную деятельность.

Статья 8. Условия проведения оперативно-розыскных мероприятий

Гражданство, национальность, пол, место жительства, имущественное, должностное и социальное положение, принадлежность к общественным объединениям, отношение к религии и политические убеждения отдельных лиц не являются препятствием для проведения в отношении их оперативно-розыскных мероприятий на территории Российской Федерации, если иное не предусмотрено федеральным законом.

Проведение оперативно-розыскных мероприятий, которые ограничивают конституционные права граждан на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, а также право на неприкосновенность жилища, допускается на основании судебного решения и при наличии информации:

1. О признаках подготавливаемого, совершаемого или совершенного противоправного деяния, по которому производство предварительного следствия обязательно.

2. О лицах, подготавливающих, совершающих или совершивших противоправное деяние, по которому производство предварительного следствия обязательно.

3. О событиях или действиях, создающих угрозу государственной, военной экономической или экологической безопасности Российской Федерации.

В случаях, которые не терпят отлагательства и могут привести к совершению тяжкого преступления, а также при наличии данных о событиях и действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации, на основании мотивированного постановления одного из руководителей органа, осуществляющего оперативно-розыскную деятельность, допускается проведение оперативно-розыскных мероприятий, предусмотренных частью второй настоящей статьи, с обязательным уведомлением суда (судьи) в течение 24 часов. В течение 48 часов с момента начала проведения оперативно-розыскного мероприятия орган, его осуществляющий, обязан получить судебное решение о проведении такого оперативно-розыскного мероприятия либо прекратить его проведение.

В случае возникновения угрозы жизни, здоровью, собственности отдельных лиц по их заявлению или с их согласия в письменной форме разрешается прослушивание переговоров, ведущихся с их телефонов, на основании постановления, утвержденного руководителем органа, осуществляющего оперативно-розыскную деятельность, с обязательным уведомлением соответствующего суда (судьи) в течение 48 часов.

Проверочная закупка или контролируемая поставка предметов, веществ и продукции, свободная реализация которых запрещена либо оборот которых ограничен, а также оперативный эксперимент или оперативное внедрение должностных лиц органов, осуществляющих оперативно-розыскную деятельность, а равно лиц, оказывающих им содействие, проводятся на основании постановления, утвержденного руководителем органа, осуществляющего оперативно-розыскную деятельность.

Проведение оперативного эксперимента допускается только в целях выявления, предупреждения, пресечения и раскрытия тяжкого преступления, а также в целях выявления и установления лиц, их подготавливающих, совершающих или совершивших.

При проведении оперативно-розыскных мероприятий по основаниям, предусмотренным пунктами 1—4 и 6 части второй статьи 7 настоящего Федерального закона, запрещается осуществление действий, указанных в пунктах 8—11 части первой статьи 6 настоящего Федерального закона.

Оперативно-розыскные мероприятия, обеспечивающие безопасность органов, осуществляющих оперативно-розыскную деятельность, проводятся в соответствии с настоящим Федеральным законом и исключительно в пределах полномочий указанных органов, установленных соответствующими законодательными актами Российской Федерации. По основаниям, предусмотренным пунктом 5 части второй статьи 7 настоящего Федерального закона, разрешается осуществлять действия, указанные в пунктах 8—11 части первой статьи 6, без судебного решения при наличии согласия гражданина в письменной форме.

Статья 9. Основания и порядок судебного рассмотрения материалов об ограничении конституционных прав граждан при проведении оперативно-розыскных мероприятий

Рассмотрение материалов об ограничении конституционных прав граждан на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, на неприкосновенность жилища при проведении оперативно-розыскных мероприятий осуществляется судом, как правило, по месту проведения таких мероприятий или по месту нахождения органа, ходатайствующего об их проведении. Указанные материалы рассматриваются уполномоченным на то судьей единолично и незамедлительно. Судья не вправе отказать в рассмотрении таких материалов в случае их представления.

Основанием для решения судьей вопроса о проведении оперативно-розыскного мероприятия, ограничивающего конституционные права граждан, указанные в части первой настоящей статьи, является мотивированное постановление одного из руководителей органа, осуществляющего оперативно-розыскную деятельность. Перечень категорий таких руководителей устанавливается ведомственными нормативными актами.

По требованию судьи ему могут представляться также иные материалы, касающиеся оснований для проведения оперативно-розыскного мероприятия, за исключением данных о лицах, внедренных в организованные преступные группы, о штатных негласных сотрудниках органов, осуществляющих оперативно-розыскную деятельность, и о лицах, оказывающих им содействие на конфиденциальной основе, об организации и о тактике проведения оперативно-розыскных мероприятий.

По результатам рассмотрения указанных материалов судья разрешает проведение соответствующего оперативно-розыскного мероприятия, которое ограничивает конституционные права граждан, указанные в части первой настоящей статьи, либо отказывает в его проведении, о чем выносит мотивированное постановление. Постановление, заверенное печатью, выдается инициатору проведения оперативно-розыскного мероприятия одновременно с возвращением представленных им материалов.

Срок действия вынесенного судьей постановления исчисляется в сутках со дня его вынесения и не может превышать шести месяцев, если иное не указано в самом постановлении. При этом течение срока не прерывается. При необходимости продления срока действия постановления судья выносит судебное решение на основании вновь представленных материалов.

В случае, если судья отказал в проведении оперативно-розыскного мероприятия, которое ограничивает конституционные права граждан, указанные в части первой настоящей статьи, орган, осуществляющий оперативно-розыскную деятельность, вправе обратиться по этому же вопросу в вышестоящий суд.

Руководители судебных органов создают условия, обеспечивающие защиту сведений, которые содержатся в представляемых судье оперативно-служебных документах.

Статья 10. Информационное обеспечение и документирование оперативно-розыскной деятельности

Органы, осуществляющие оперативно-розыскную деятельность, для решения задач, возложенных на них настоящим Федеральным законом, могут создавать и использовать информационные системы, а также заводить дела оперативного учета.

Дела оперативного учета заводятся при наличии оснований, предусмотренных пунктами 1—6 части первой статьи 7 настоящего Федерального закона, в целях собирания и систематизации сведений, проверки и оценки результатов оперативно-розыскной деятельности, а также принятия на их основе соответствующих решений органами, осуществляющими оперативно-розыскную деятельность.

Факт заведения дела оперативного учета не является основанием для ограничения конституционных прав и свобод, а также законных интересов человека и гражданина.

Дело оперативного учета прекращается в случаях решения конкретных задач оперативно-розыскной деятельности, предусмотренных статьей 2 настоящего Федерального закона, а также установления обстоятельств, свидетельствующих об объективной невозможности решения этих задач.

Перечень дел оперативного учета и порядок их ведения определяются нормативными актами органов, осуществляющих оперативно-розыскную деятельность.

Статья 11. Использование результатов оперативно-розыскной деятельности

Результаты оперативно-розыскной деятельности могут быть использованы для подготовки и осуществления следственных и судебных действий, проведения оперативно-розыскных мероприятий по выявлению, предупреждению, пресечению и раскрытию преступлений, выявлению и установлению лиц, их подготавливающих, совершающих или совершивших, а также для розыска лиц, скрывшихся от органов дознания, следствия и суда, уклоняющихся от исполнения наказания и без вести пропавших.

Результаты оперативно-розыскной деятельности могут служить поводом и основанием для возбуждения уголовного дела, представляться в орган дознания, следователю или в суд, в производстве которого находится уголовное дело, а также использоваться в доказывании по уголовным делам в соответствии с положениями уголовно-процессуального законодательства Российской Федерации, регламентирующими собирание, проверку и оценку доказательств.

Представление результатов оперативно-розыскной деятельности органу дознания, следователю или в суд осуществляется на основании постановления руководителя органа, осуществляющего оперативно-розыскную деятельность, в порядке, предусмотренном ведомственными нормативными актами.

Результаты оперативно-розыскной деятельности в отношении лиц, перечисленных в пунктах 1—4 и 6 части второй статьи 7 настоящего Федерального закона, учитываются при решении вопроса об их допуске к указанным видам деятельности.

Статья 12. Защита сведений об органах, осуществляющих оперативно-розыскную деятельность

Сведения об используемых или использованных при проведении негласных оперативно-розыскных мероприятий силах, средствах, источниках, методах, планах и результатах оперативно-розыскной деятельности, о лицах, внедренных в организованные преступные группы, о штатных негласных сотрудниках органов, осуществляющих оперативно-розыскную деятельность, и о лицах, оказывающих им содействие на конфиденциальной основе, а также об организации и о тактике проведения оперативно-розыскных мероприятий составляют государственную тайну и подлежат рассекречиванию только на основании постановления руководителя органа, осуществляющего оперативно-розыскную деятельность.

Предание гласности сведений о лицах, внедренных в организованные преступные группы, о штатных негласных сотрудниках органов, осуществляющих оперативно-розыскную деятельность, а также о лицах, оказывающих или оказывавших им содействие на конфиденциальной основе, допускается лишь с их согласия в письменной форме и в случаях, предусмотренных федеральными законами.

Судебное решение на право проведения оперативно-розыскного мероприятия и материалы, послужившие основанием для принятия такого решения, хранятся только в органах, осуществляющих оперативно-розыскную деятельность.

Оперативно-служебные документы, отражающие результаты оперативно-розыскной деятельности, могут быть представлены органу дознания, следователю, судье, другим органам, осуществляющим оперативно-розыскную деятельность, в порядке и случаях, установленных настоящим Федеральным законом.

Глава III. Органы, осуществляющие оперативно-розыскную деятельность

Статья 13. Органы, осуществляющие оперативно-розыскную деятельность

На территории Российской Федерации право осуществлять оперативно-розыскную деятельность предоставляется оперативным подразделениям:

1. Органов внутренних дел Российской Федерации.

2. Органов Федеральной службы безопасности.

3. Федеральных органов налоговой полиции.

Федеральным законом от 18 июля 1997 г. № 101-ФЗ в пункт 4 части первой статьи 13 настоящего Федерального закона внесены изменения, см. текст пункта в предыдущей редакции.

4. Федеральных органов государственной охраны.

Указом Президента РФ от 19 июня 1996 г. № 938 Главное управление охраны Российской Федерации переименовано в Федеральную службу охраны Российской Федерации.

5. Органов пограничной службы Российской Федерации.

6. Таможенных органов Российской Федерации.

7. Службы внешней разведки Российской Федерации.

Оперативные подразделения органа внешней разведки Министерства обороны Российской Федерации и органа внешней разведки Федерального агентства правительственной связи и информации при Президенте Российской Федерации проводят оперативно-розыскные мероприятия только в целях обеспечения безопасности указанных органов внешней разведки и в случае, если проведение этих мероприятий не затрагивает полномочий органов, указанных в пунктах 1—7 части первой настоящей статьи.

Перечень органов, осуществляющих оперативно-розыскную деятельность, может быть изменен или дополнен только федеральным законом. Руководители указанных органов определяют перечень оперативных подразделений, правомочных осуществлять оперативно-розыскную деятельность, их полномочия, структуру и организацию работы.

Органы, осуществляющие оперативно-розыскную деятельность, решают определенные настоящим федеральным законом задачи исключительно в пределах своих полномочий, установленных соответствующими законодательными актами Российской Федерации.

Статья 14. Обязанности органов, осуществляющих оперативно-розыскную деятельность

При решении определенных настоящим Федеральным законом задач оперативно-розыскной деятельности органы, уполномоченные ее осуществлять, обязаны:

1. Принимать в пределах своих полномочий все необходимые меры по защите конституционных прав и свобод человека и гражданина, собственности, а также по обеспечению безопасности общества и государства.

2. Исполнять в пределах своих полномочий поручения в письменной форме органа дознания, следователя, указания прокурора и решения суда о проведении оперативно-розыскных мероприятий по уголовным делам, принятым ими к производству.

3. Выполнять на основе и в порядке, предусмотренных международными договорами Российской Федерации, запросы соответствующих международных правоохранительных организаций, правоохранительных органов и специальных служб иностранных государств.

4. Информировать другие органы, осуществляющие оперативно-розыскную деятельность на территории Российской Федерации, о ставших им известными фактах противоправной деятельности, относящихся к компетенции этих органов, и оказывать этим органам необходимую помощь.

О взаимодействии Пограничных войск и органов внутренних дел в оперативно-розыскной деятельности см. Инструкцию, утвержденную приказом ФПС РФ и МВД РФ от 31 января 1995 г. № 57/42.

5. Соблюдать правила конспирации при осуществлении оперативно-розыскной деятельности.

6. Содействовать обеспечению в порядке, установленном законодательством Российской Федерации безопасности и сохранности имущества своих сотрудников, лиц, оказывающих содействие органам, осуществляющим оперативно-розыскную деятельность, участников уголовного судопроизводства, а также членов семей и близких указанных лиц от преступных посягательств.

Статья 15. Права органов, осуществляющих оперативно-розыскную деятельность

При решении задач оперативно-розыскной деятельности органы, уполномоченные ее осуществлять, имеют право:

1. Проводить гласно и негласно оперативно-розыскные мероприятия, перечисленные в статье 6 настоящего Федерального закона, производить при их проведении изъятие, предметов, материалов и сообщений, а также прерывать предоставление услуг связи в случае возникновения непосредственной угрозы жизни и здоровью лица, а также угрозы государственной военной экономической или экологической безопасности Российской Федерации.

2. Устанавливать на безвозмездной либо возмездной основе отношения сотрудничества с лицами, изъявившими согласие оказывать содействие на конфиденциальной основе органам, осуществляющим оперативно-розыскную деятельность.

3. Использовать в ходе проведения оперативно-розыскных мероприятий по договору или устному соглашению служебные помещения, имущество предприятий, учреждений, организаций, воинских частей, а также жилые и нежилые помещения, транспортные средства и иное имущество частных лиц.

4. Использовать в целях конспирации документы, зашифровывающие личность должностных лиц, ведомственную принадлежность предприятий, учреждений, организаций, подразделений, помещений и транспортных средств органов, осуществляющих оперативно-розыскную деятельность, а также личность граждан, оказывающих им содействие на конфиденциальной основе.

5. Создавать в установленном законодательством Российской Федерации порядке предприятия, учреждения, организации и подразделения, необходимые для решения задач, предусмотренных настоящим Федеральным законом.

Законные требования должностных лиц органов, осуществляющих оперативно-розыскную деятельность, обязательны для исполнения физическими и юридическими лицами, к которым такие требования предъявлены.

Неисполнение законных требований должностных лиц органов, осуществляющих оперативно-розыскную деятельность либо воспрепятствование ее законному осуществлению влекут ответственность, предусмотренную законодательством Российской Федерации.

Статья 16. Социальная и правовая защита должностных лиц органов, осуществляющих оперативно-розыскную деятельность

О государственной защите должностных лиц органов, осуществляющих оперативно-розыскную деятельность, см. Федеральный закон от 20 апреля 1995 г. № 45-ФЗ.

На должностных лиц органов, осуществляющих оперативно-розыскную деятельность, распространяются гарантии социальной и правовой защиты сотрудников тех органов, в штаты которых указанные лица входят.

Никто не вправе вмешиваться в законные действия должностных лиц и органов, осуществляющих оперативно-розыскную деятельность, за исключением лиц, прямо уполномоченных на то федеральным законом.

Должностное лицо, уполномоченное на осуществление оперативно-розыскной деятельности, в ходе проведения оперативно-розыскных мероприятий подчиняется только непосредственному и прямому начальнику. При получении приказа или указания, противоречащего закону, указанное должностное лицо обязано руководствоваться законом.

При защите жизни и здоровья граждан, их конституционных прав и законных интересов, а также для обеспечения безопасности общества и государства от преступных посягательств допускается вынужденное причинение вреда правоохраняемым интересам должностным лицом органа, осуществляющего оперативно-розыскную деятельность, либо лцом, оказывающим ему содействие, совершаемое при правомерном выполнении указанным лицом своего служебного или общественного долга.

Время выполнения должностными лицами органов, осуществляющих оперативно-розыскную деятельность специальных заданий в организованных преступных группах, а также время их службы в должностях штатных негласных сотрудников указанных органов подлежит зачету в выслугу лет для назначения пенсии в льготном исчислении в порядке, определяемом Правительством Российской Федерации.

Органы государственной власти субъектов Российской Федерации и органы местного самоуправления вправе устанавливать дополнительные виды социальной защиты для должностных лиц органов, осуществляющих оперативно-розыскную деятельность.

Глава IV. Содействие граждан органам, осуществляющим оперативно-розыскную деятельность

Статья 17. Содействие граждан органам, осуществляющим оперативно-розыскную деятельность

Отдельные лица могут с их согласия привлекаться к подготовке или проведению оперативно-розыскных мероприятий с сохранением по их желанию конфиденциальности содействия органам, осуществляющим оперативно-розыскную деятельность, в том числе по контракту. Эти лица обязаны сохранять в тайне сведения, ставшие им известными в ходе подготовки или проведения оперативно-розыскных мероприятий, и не вправе предоставлять заведомо ложную информацию указанным органам.

Органы, осуществляющие оперативно-розыскную деятельность, могут заключать контракты с совершеннолетними дееспособными лицами независимо от их гражданства, национальности, пола, имущественного, должностного и социального положения, образования, принадлежности к общественным объединениям, отношения к религии и политических убеждений.

Органам, осуществляющим оперативно-розыскную деятельность, запрещается использовать конфиденциальное содействие по контракту депутатов, судей, прокуроров, адвокатов, священнослужителей и полномочных представителей официально зарегистрированных религиозных объединений.

Статья 18. Социальная и правовая защита граждан, содействующих органам, осуществляющим оперативно-розыскную деятельность

Лица, содействующие органам, осуществляющим оперативно-розыскную деятельность, находятся под защитой государства.

Государство гарантирует лицам, изъявившим согласие содействовать по контракту органам, осуществляющим оперативно-розыскную деятельность, выполнение своих обязательств, предусмотренных контрактом, в том числе гарантирует правовую защиту, связанную с правомерным выполнением указанными лицами общественного долга или возложенных на них обязанностей.

При возникновении реальной угрозы противоправного посягательства на жизнь, здоровье или имущество отдельных лиц в связи с их содействием органам, осуществляющим оперативно-розыскную деятельность, а равно членов их семей и близких, эти органы обязаны принять необходимые меры по предотвращению противоправных действий, установлению виновных и привлечению их к ответственности, предусмотренной законодательством Российской Федерации.

Лицо из числа членов преступной группы, совершившее противоправное деяние, не повлекшее тяжких последствий, и привлеченное к сотрудничеству с органом, осуществляющим оперативно-розыскную деятельность, активно способствовавшее раскрытию преступлений, возместившее нанесенный ущерб или иным образом загладившее причиненный вред, освобождается от уголовной ответственности в соответствии с законодательством Российской Федерации.

Лица, сотрудничающие с органами, осуществляющими оперативно-розыскную деятельность, либо оказавшие им помощь в раскрытии преступления или установлении лиц, их совершивших, могут получать вознаграждения и другие выплаты. Полученные указанными лицами суммы вознаграждений и другие выплаты налогами не облагаются и в декларациях о доходах не указываются.

Период сотрудничества граждан по контракту с органами, осуществляющими оперативно-розыскную деятельность в качестве основного рода занятий, включается в трудовой стаж граждан. Указанные лица имеют право на пенсионное обеспечение в соответствии с законодательством Российской Федерации.

В целях обеспечения безопасности лиц, сотрудничающих с органами, осуществляющими оперативно-розыскную деятельность, и членов их семей допускается проведение специальных мероприятий по их защите в порядке, определяемом законодательными и иными нормативными правовыми актами Российской Федерации.

В случае гибели лица, сотрудничающего по контракту с органами, осуществляющими оперативно-розыскную деятельность, в связи с его участием в проведении оперативно-розыскных мероприятий семье пострадавшего и лицам, находящимся на его иждивении, из средств соответствующего бюджета выплачивается единовременное пособие в размере десятилетнего денежного содержания погибшего и в установленном законом порядке назначается пенсия по случаю потери кормильца.

При получении лицом, сотрудничающим по контракту с органами осуществляющими оперативно-розыскную деятельность, травмы, ранения, контузии, увечья, наступивших в связи с его участием в проведении оперативно-розыскных мероприятий и исключающих для него возможность дальнейшего сотрудничества с органами, осуществляющими оперативно-розыскную деятельность, указанному лицу из средств соответствующего бюджета выплачивается единовременное пособие в размере пятилетнего денежного содержания и в установленном законом порядке назначается пенсия по инвалидности.

Глава V. Финансовое обеспечение оперативно-розыскной деятельности

Статья 19. Финансовое обеспечение оперативно-розыскной деятельности

Государственным органам, оперативные подразделения которых уполномочены осуществлять оперативно-розыскную деятельность, выделяются из федерального бюджета финансовые средства, которые расходуются в порядке, устанавливаемом руководителями этих органов.

Законодательные и исполнительные органы государственной власти субъектов Российской Федерации вправе самостоятельно за счет собственных бюджетов и внебюджетных целевых фондов увеличивать размер средств, выделяемых органам, осуществляющим оперативно-розыскную деятельность на территории соответствующих субъектов Российской Федерации.

Контроль за расходованием финансовых средств, выделенных на оперативно-розыскную деятельность, осуществляется руководителями государственных органов, в состав которых входят оперативные подразделения, осуществляющие оперативно-розыскную деятельность, а также специально уполномоченными на то представителями Министерства финансов Российской Федерации.

Глава VI. Контроль и надзор за оперативно-розыскной деятельностью

Статья 20. Контроль за оперативно-розыскной деятельностью

Контроль за оперативно-розыскной деятельностью осуществляют Президент Российской Федерации, Федеральное Собрание Российской Федерации, Правительство Российской Федерации в пределах полномочий, определяемых Конституцией Российской Федерации, федеральными конституционными законами и федеральными законами.

Статья 21. Прокурорский надзор за оперативно-розыскной деятельностью

Надзор за исполнением законов Российской Федерации органами, осуществляющими оперативно-розыскную деятельность, осуществляют Генеральный прокурор Российской Федерации и уполномоченные им прокуроры.

По запросу уполномоченного прокурора в связи с поступившими в прокуратуру материалами, информацией и обращениями граждан о нарушении законов при проведении оперативно-розыскных мероприятий, а также при проверке установленного порядка проведения оперативно-розыскных мероприятий и законности принимаемых при этом решений руководители органа, осуществляющего оперативно-розыскную деятельность, представляют указанному прокурору оперативно-служебные документы, послужившие основанием для проведения этих мероприятий.

О порядке предоставления органами внутренних дел материалов для осуществления прокурорского надзора за исполнением настоящего Закона см. указание Генеральной прокуратуры РФ и МВД РФ от 29 июля 1996 г. № 44/15, 25 июля 1996 г. № 1/12812.

Сведения о лицах, внедренных в организованные преступные группы, и о штатных негласных сотрудниках органов, осуществляющих оперативно-розыскную деятельность, а также о лицах, оказывающих или оказывавших содействие этим органам на конфиденциальной основе, представляются прокурору только с письменного согласия указанных лиц, за исключением случаев, требующих их привлечения к уголовной ответственности. Сведения об организации, о тактике, методах и средствах осуществления оперативно-розыскной деятельности в предмет прокурорского надзора не входят.

Руководители органов прокуратуры создают условия, обеспечивающие защиту сведений, содержащихся в представляемых прокурору оперативно-служебных документах.

Об организации прокурорского надзора за оперативно-розыскной деятельностью см. также Федеральный закон от 17 ноября 1995 г. № 168-ФЗ и приказ Генерального прокурора РФ от 20 мая 1993 г. № 15.

Статья 22. Ведомственный контроль

Руководители органов, осуществляющих оперативно-розыскную деятельность, несут персональную ответственность за соблюдение законности при организации и проведении оперативно-розыскных мероприятий.

Статья 23. Вступление в силу настоящего Федерального закона

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Признать утратившим силу со дня введения в действие настоящего Федерального закона Закон Российской Федерации «Об оперативно-розыскной деятельности в Российской Федерации» (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1992, № 17, ст. 892; № 33, ст. 1912).

Москва, Кремль

12 августа 1995 г.

Президент Российской Федерации Б. Ельцин

«О МЕРАХ ПО РЕАЛИЗАЦИИ ПРАВОВОЙ ИНФОРМАТИЗАЦИИ» Указ Президента РФ от 28 июня 1993 г. № 963

В целях ускорения работ по правовой информатизации России ПОСТАНОВЛЯЮ:

1. Возложить на научно-технический центр правовой информации «Система» Федерального агентства правительственной связи и информации при Президенте Российской Федерации функции головной организации по реализации правовой информатизации России.

2. Для осуществления задач по организации и ведению эталонного банка данных правовой информации, необходимого для формирования правовой политики, реализации программ законопроектных работ и правового обеспечения проводимых в Российской Федерации реформ, а также осуществления координации деятельности предприятий, организаций и учреждений, участвующих в реализации концепции правовой информатизации России, ввести должность генерального конструктора правовой информатизации России.

3. Утвердить генеральным конструктором правовой информатизации России Киселева Бориса Валентиновича.

4. Установить, что генеральный конструктор правовой информатизации России по должности входит в состав коллегии Федерального агентства правительственной связи и информации при Президенте Российской Федерации. Государственно-правовому управлению Президента Российской Федерации как генеральному заказчику по созданию систем правовой информатизации в двухнедельный срок определить круг полномочий и порядок деятельности генерального конструктора правовой информатизации России.

Установить должностной оклад, а также условия материально-бытового обеспечения генерального конструктора правовой информатизации России на уровне первого заместителя Генерального директора Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

5. Федеральному агентству правительственной связи и информации при Президенте Российской Федерации осуществлять организационно-техническое обеспечение деятельности генерального конструктора правовой информатизации России.

28 июня 1993 г.

Президент Российской Федерации Б. Ельцин

«ОБ ОБРАЗОВАНИИ ФЕДЕРАЛЬНОЙ КОМИССИИ ПО ПРАВОВОЙ ИНФОРМАТИЗАЦИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ» Указ Президента РФ от 28 января 1994 г. № 223

В целях активизации процесса создания государственной системы правовой информатизации России и обеспечения реализации Указа Президента Российской Федерации от 28 июня 1993 г. № 966 «О Концепции правовой информатизации России»

ПОСТАНОВЛЯЮ:

1. Образовать Федеральную, комиссию по правовой информатизации при Президенте Российской Федерации (далее именуется — Комиссия).

2. Утвердить председателем Комиссии начальника Государственно-правового управления Президента Российской Федерации Орехова Руслана Геннадьевича.

3. Включить в состав Комиссии:

Маслова Александра Васильевича — начальника отдела Государственно-правового управления Президента Российской Федерации (заместитель председателя Комиссии);

Антипова Владимира Серафимовича — начальника отдела Главного управления охраны Российской Федерации;

Караваева Николая Алексеевича — начальника управления Генеральной прокуратуры Российской Федерации (по согласованию);

Киселева Бориса Валентиновича — генерального конструктора правовой информатизации Российской Федерации;

Кузьмина Владимира Максимовича — первого заместителя Министра юстиции Российской Федерации;

Левченко Владимира Александровича — первого заместителя начальника Управления информационных ресурсов Администрации Президента Российской Федерации;

Некрасова Владимира Ивановича — консультанта Государственно-правового управления Президента Российской Федерации (ответственный секретарь Комиссии);

Окунькова Льва Андреевича — директора Института законодательства и сравнительного правоведения при Правительстве Российской Федерации;

Радченко Владимира Ивановича — первого заместителя Председателя Верховного Суда Российской Федерации (по согласованию);

Старовойтова Александра Владимировича — генерального директора Федерального агентства правительственной связи и информации при Президенте Российской Федерации;

Топорнина Бориса Николаевича — директора Института государства и права Российской академии наук;

Цыганенке Игоря Григорьевича — заведующего юридическим отделом Аппарата Правительства Российской Федерации;

Юкова Михаила Кузьмича — первого заместителя Председателя Высшего Арбитражного Суда Российской Федерации (по согласованию).

4. Утвердить Положение о Федеральной комиссии по правовой информатизации при Президенте Российской Федерации (прилагается).

Москва, Кремль

28 января 1994 г.

Президент Российской Федерации Б. Ельцин

ПОЛОЖЕНИЕ

О Федеральной комиссии по правовой информатизации при Президенте Российской Федерации

I. Общие положения

1. Федеральная комиссия по правовой информатизации при Президенте Российской Федерации (далее именуется — Комиссия) является постоянно действующим совещательным и консультативным органом при Президенте Российской Федерации, обеспечивающим разработку комплекса мер по созданию и функционированию государственной системы правовой информатизации, формированию единого информационно-правового пространства России, обеспечивающего правовую информированность государственных органов, общественных и других организаций, граждан. В своей деятельности Комиссия подотчетна Президенту Российской Федерации.

Комиссия осуществляет свои полномочия во взаимодействии с органами государственной власти Российской Федерации, органами исполнительной власти республик в составе Российской Федерации, краев, областей, автономной области, автономных округов, городов Москвы и Санкт-Петербурга.

2. Комиссия в своей деятельности руководствуется Конституцией Российской Федерации, законами и иными нормативными актами Российской Федерации, указами и распоряжениями Президента Российской Федерации, постановлениями Правительства Российской Федерации, а также настоящим Положением.

II. Задачи Комиссии

3. Основными задачами Комиссии являются:

>• разработка предложений по формированию стратегии государственной политики в области правовой информатизации России;

>• подготовка федеральной программы правовой информатизации России;

>• подготовка и представление Президенту Российской Федерации и Правительству Российской Федерации проектов нормативных актов по вопросам правовой информатизации и правового обеспечения информационных процессов и информатизации;

>• выработка предложений по координации работ в области разработки;

>• внедрения и развития государственной системы правовой информатизации России, систематизации законодательства, подготовке Свода законов Российской Федерации и Свода актов Президента и Правительства Российской Федерации;

>• взаимодействие с компетентными органами Содружества Независимых Государств и международными организациями по вопросам создания и функционирования межгосударственной системы правовой информатизации.

III. Полномочия Комиссии

4. Комиссия для решения стоящих перед ней задач:

>• готовит заключения по поступающим на подпись Президенту Российской Федерации законам по вопросам правовой информации, информатизации и защиты информации;

>• рассматривает проекты указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации по вопросам правовой информатизации и правового обеспечения информационных процессов и информатизации и готовит по ним заключения;

>• дает рекомендации по реализации решений Президента Российской Федерации (по его поручениям) по вопросам правовой информатизации;

>• осуществляет оценку состояния дел по информационно-правовому обеспечению деятельности органов исполнительной власти Российской Федерации, а также организует проверки выполнения указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, касающихся вопросов правовой информатизации;

>• в соответствии со своей компетенцией запрашивает у органов государственной власти и управления необходимые для осуществления деятельности Комиссии информацию, документы и материалы;

>• привлекает к своей работе представителей министерств, ведомств, правоохранительных органов, специалистов научно-исследовательских организаций.

5. Решения Комиссии по вопросам правовой информатизации реализуются указами и распоряжениями Президента Российской Федерации, постановлениями и распоряжениями Правительства Российской Федерации.

IV. Организация деятельности Комиссии

6. Состав Комиссии, включая ее председателя, утверждается Президентом Российской Федерации.

Работа членов Комиссии осуществляется на безвозмездной основе.

7. Заседания Комиссии проводятся по мере необходимости, но не реже одного раза в месяц в соответствии с планом работы Комиссии.

Решения на заседаниях принимаются большинством голосов присутствующих членов комиссии.

8. Для проработки вопросов подготовки заседаний, проведения экспертных работ Комиссия может создавать рабочие группы.

V. Обеспечение деятельности Комиссии

9. Организационно-техническое обеспечение деятельности Комиссии осуществляется соответствующими структурными подразделениями Администрации Президента Российской Федерации.

10. Информационно-правовое обеспечение деятельности Комиссии осуществляется Государственно-правовым управлением Президента Российской Федерации, являющимся рабочим аппаратом Комиссии.

«О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ»

Указ Президента РФ от 3 апреля 1995 г. № 334

В целях обеспечения безусловного исполнения Закона Российской Федерации «О федеральных органах правительственной связи и информации, а также усиления борьбы с организованной преступностью и повышения защищенности информационно-телекоммуникационных систем органов государственной власти, российских кредитно-финансовых структур, предприятий и организаций ПОСТАНОВЛЯЮ:

1. Придать Программе создания и развития информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти статус президентской программы. Центру президентских программ Администрации Президента Российской Федерации совместно с Федеральным агентством правительственной связи и информации при Президенте Российской Федерации обеспечить ее доработку и реализацию.

2. Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

3. Предложить Центральному банку Российской Федерации и Федеральному агентству правительственной связи и информации при Президенте Российской Федерации принять необходимые меры в отношении коммерческих банков Российской Федерации, уклоняющихся от обязательного использования, имеющих сертификат Федерального агентства правительственной связи и информации при Президенте Российской Федерации защищенных технических средств хранения, обработки и передачи информации при их информационном взаимодействии с подразделениями Центрального банка Российской Федерации.

4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации».

5. Государственному таможенному комитету Российской Федерации принять меры к недопущению ввоза на территорию Российской Федерации шифровальных средств иностранного производства без лицензии Министерства внешних экономических связей Российской Федерации, выданной по согласованию с Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.

6. Федеральной службе контрразведки Российской Федерации и Министерству внутренних дел Российской Федерации совместно с Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Государственной налоговой службой Российской Федерации и Департаментом налоговой полиции Российской Федерации осуществлять выявление юридических и физических лиц, нарушающих требования настоящего Указа.

7. Предложить Генеральной прокуратуре Российской Федерации усилить прокурорский надзор за соблюдением Закона Российской Федерации «О федеральных органах правительственной связи и информации» в части разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации, подлежащих лицензированию и сертификации Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.

8. Создать Федеральный центр защиты экономической информации при Федеральном агентстве правительственной связи и информации при Президенте Российской Федерации (в пределах штатной численности этого Агентства), возложив на него разработку и реализацию комплексных программ обеспечения безопасности экономической информации российских кредитно-финансовых и других экономически значимых структур страны.

9. Генеральному директору Федерального агентства правительственной связи и информации при Президенте Российской Федерации в 2-месячный срок утвердить положение об указанном центре.

10. Настоящий Указ вступает в силу со дня его опубликования.

Москва, Кремль

3 апреля 1995 г.

Президент Российской Федерации Б. Ельцин

«ПОЛОЖЕНИЕ

О ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ КОМИССИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ»

Указ Президента РФ от 19 февраля 1999 г. № 212

Выписка

В соответствии со статьей 32 Федерального конституционного закона «О Правительстве Российской Федерации» постановляю:

1. Утвердить прилагаемое Положение о Государственной технической комиссии при Президенте Российской Федерации.

2. Утвердить перечень руководящих работников федеральных органов исполнительной власти, государственных органов и организаций Российской Федерации, которые входят в состав коллегии Государственной технической комиссии при Президенте Российской Федерации по должности, согласно приложению № 1.

3. Для служебного пользования.

4. Правительству Российской Федерации в месячный срок утвердить состав коллегии Государственной технической комиссии при Президенте Российской Федерации (далее именуется — Гостехкомиссия России).

См. состав коллегии Государственной технической комиссии при Президенте Российской Федерации, утвержденный распоряжением Правительства РФ от 10 апреля 1999 г. nq 565-р.

5. Утвердить предельную штатную численность центрального аппарата Гостехкомиссии России в количестве 163 единиц (без персонала по охране и обслуживанию зданий).

Установить фонд оплаты труда работников центрального аппарата Гостехкомиссии России в размере 5117,2 тыс. рублей.

Разрешить прикомандирование к Гостехкомиссии России в пределах установленной штатной численности до 136 военнослужащих.

6. Создать при Гостехкомиссии России в соответствии с федеральными законами «Об обороне» и «О воинской обязанности и военной службе» инженерно-технические воинские формирования, включив в их состав головную научную организацию по проблемам защиты информации от технических разведок и от ее утечки по техническим каналам и региональные центры, образованные на базе специальных центров Министерства обороны Российской Федерации и головной научной организации, подчиненных Гостехкомиссии России в специальном отношении, исключив их из состава Вооруженных Сил Российской Федерации.

7. Для служебного пользования.

8. Разрешить иметь в Гостехкомиссии России четырех заместителей председателя Государственной технической комиссии при Президенте Российской Федерации, в том числе двух первых заместителей председателя Государственной технической комиссии при Президенте Российской Федерации и одного статс-секретаря — заместителя председателя Государственной технической комиссии при Президенте Российской Федерации.

9. Сохранить существующие порядок размещения и обеспечения деятельности центрального аппарата Гостехкомиссии России и инженерно-технических воинских формирований при Гостехкомиссии России, порядок материального, продовольственного, вещевого и пенсионного обеспечения, бытового, медицинского и санаторно-курортного обслуживания военнослужащих, обеспечения их жильем, а также льготы и компенсации военнослужащим и членам их семей.

10. Осуществлять финансирование расходов на содержание центрального аппарата Гостехкомиссии России и инженерно-технических воинских формирований при Гостехкомиссии России за счет средств федерального бюджета, в том числе расходов на содержание центрального аппарата Гостехкомиссии России — за счет средств федерального бюджета, предусмотренных на государственное управление.

11. Признать утратившими силу:

>• Указ Президента Российской Федерации от 5 января 1992 г. № 9 «О создании Государственной технической комиссии при Президенте Российской Федерации» (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1992, № 3, ст. 109);

>• Указ Президента Российской Федерации от 6 июня 1996 г. № 815 «О численности работников центрального аппарата Государственной технической комиссии при Президенте Российской Федерации» (Собрание законодательства Российской Федерации, 1996, № 24, ст. 2873);

>• распоряжение Президента Российской Федерации от 28 декабря 1992 г. № 829-рпс;

>• распоряжение Президента Российской Федерации от 5 июля 1993 г. № 483-рпс.

12. Настоящий Указ вступает в силу со дня его официального опубликования.

Москва, Кремль

19 февраля 1999 г.

Президент Российской Федерации Б. Ельцин

ПОЛОЖЕНИЕ

О Государственной технической комиссии при Президенте Российской Федерации Утверждено Указом Президента РФ от 19 февраля 1999 г. № 212

I. Общие положения

1. Государственная техническая комиссия при Президенте Российской Федерации (далее именуется — Гостехкомиссия России) является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования и по противодействию техническим средствам разведки на территории Российской Федерации (далее именуется — техническая защита информации), а также единую государственную научно-техническую политику в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств.

Гостехкомиссия России организует деятельность государственной системы защиты информации в Российской Федерации от технических разведок и от ее утечки по техническим каналам.

Гостехкомиссия России и региональные центры входят в состав государственных органов обеспечения безопасности Российской Федерации.

2. Гостехкомиссия России в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, указами и распоряжениями Президента Российской Федерации, постановлениями и распоряжениями Правительства Российской Федерации, международными договорами Российской Федерации, а также настоящим Положением.

3. Президент Российской Федерации в соответствии с Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами руководит деятельностью Гостехкомиссии России.

4. Правительство Российской Федерации в соответствии с Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами координирует деятельность Гостехкомиссии России.

5. Приказы, распоряжения и указания Гостехкомиссии России, изданные в пределах ее компетенции, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления, предприятиями, учреждениями и организациями.

6. Гостехкомиссия России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, государственными органами, предприятиями, учреждениями и организациями.

7. Членами коллегии Гостехкомиссии России по должности являются руководящие работники федеральных органов исполнительной власти, государственных органов и организаций Российской Федерации в соответствии с перечнем, утверждаемым Президентом Российской Федерации.

Состав коллегии Гостехкомиссии России утверждается Правительством Российской Федерации.

8. На заседания (совещания) коллегии Гостехкомиссии России выносятся наиболее важные вопросы, имеющие межведомственный характер.

9. Деятельность Гостехкомиссии России обеспечивают ее центральный аппарат, инженерно-технические воинские формирования при Гостехкомиссии России, в состав которых входят головная научная организация по проблемам защиты информации от технических разведок и от ее утечки по техническим каналам (далее именуется — головная научная организация) и региональные центры.

10. По решению Президента Российской Федерации при Гостехкомиссии России могут создаваться подведомственные организации.

11. Гостехкомиссия России является в пределах своих полномочий государственным заказчиком по проведению общесистемных научных исследований в области технической защиты информации, а также по разработке и производству технических средств защиты информации общего применения и средств контроля эффективности этой защиты.

Средства на финансирование указанных работ выделяются Гостехкомиссии России из федерального бюджета.

12. Гостехкомиссия России, инженерно-технические воинские формирования при Гостехкомиссии России являются юридическими лицами, имеют действительные и условные наименования, печати с изображением Государственного герба Российской Федерации и со своими наименованиями, расчетные и иные счета, включая валютные, в банках и других кредитных организациях.

II. Основные задачи Гостехкомиссии России

13. Основными задачами Гостехкомиссии России являются:

>• проведение единой государственной политики в области технической защиты информации;

>• осуществление единой государственной научно-технической политики в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

>• осуществление межотраслевой координации и функционального регулирования деятельности по обеспечению технической защиты информации в аппаратах органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях;

>• прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;

>• противодействие добыванию информации техническими средствами разведки, предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования;

>• контроль в пределах своих полномочий деятельности по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях;

>• осуществление организационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны центральным аппаратом Гостехкомиссии России.

III. Функции и полномочия Гостехкомиссии России

14. Гостехкомиссия России осуществляет следующие функции:

>• формирует общую стратегию и определяет приоритетные направления технической защиты информации;

>• осуществляет на плановой основе межотраслевую координацию деятельности по обеспечению технической защиты информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях;

>• организует и финансирует изучение излучений различной физической природы, возникающих при использовании неинформационных излучающих комплексов, систем и устройств;

>• определяет основные направления научных исследований в области технической защиты информации;

>• утверждает нормативно-методические документы по технической защите информации (концепции, положения, требования, нормы, модели, методики, рекомендации и другие) и организует их издание за счет средств, выделяемых Гостехкомиссии России на эти цели;

>• координирует деятельность федеральных органов исполнительной власти по организации системы технической защиты информации от утечки при использовании неинформационных излучающих комплексов, систем и устройств; организует изучение влияния неинформационных излучающих комплексов, систем и устройств на организм человека и окружающую среду;

>• осуществляет лицензирование деятельности по разработке, производству, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств, а также их сертификацию;

>• выполняет в установленном порядке специальные работы по технической защите информации;

>• осуществляет методическое руководство в области технической защиты информации в отношении аппаратов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, предприятий, учреждений и организаций;

>• участвует в разработке и проведении мероприятий по технической защите информации в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;

>• участвует в согласовании проектов решений по составу экспортных комплектаций оборудования и документации при поставках на экспорт продукции военного назначения;

>• принимает участие в решении вопросов организации технической защиты информации в процессе осуществления военно-технического сотрудничества Российской Федерации с иностранными государствами;

>• разрабатывает предложения по развитию научной, экспериментальной и производственной базы для технической защиты информации, руководит головной научной организацией, организует проведение научно-исследовательских и опытно-конструкторских работ в области технической защиты информации;

>• разрабатывает и согласовывает программу стандартизации и проекты государственных стандартов в области технической защиты информации;

>• разрабатывает и согласовывает в установленном порядке федеральные целевые программы по обеспечению технической защиты информации;

>• рассматривает по поручениям Президента Российской Федерации и Правительства Российской Федерации проекты нормативных правовых актов в области технической защиты информации;

>• участвует в согласовании вопросов размещения на территории Российской Федерации дипломатических и консульских учреждений иностранных государств;

>• разрабатывает и представляет в Правительство Российской Федерации согласованные с заинтересованными федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации предложения о внесении изменений в перечень территорий Российской Федерации с регламентированным посещением для иностранных граждан;

>• проводит работу по прогнозированию развития сил, средств и возможностей технических разведок, по оценке их осведомленности о сведениях, составляющих государственную тайну, и формирует банк данных по этим вопросам, а также определяет порядок доступа к указанным данным заинтересованных федеральных органов исполнительной власти;

>• осуществляет лицензирование деятельности, связанной с оказанием услуг в области технической защиты информации, созданием средств технической защиты информации, а также средств технического контроля эффективности защиты информации;

>• участвует совместно с Федеральной службой безопасности Российской Федерации в проведении на договорной основе специальных экспертиз по допуску предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, а также в государственной аттестации руководителей предприятий, учреждений и организаций, ответственных за защиту сведений, составляющих государственную тайну;

>• осуществляет работы по сертификации средств технической защиты информации;

>• рассматривает (разрабатывает) предложения к переговорным позициям государственных делегаций Российской Федерации с целью обеспечения условий по технической защите информации;

>• осуществляет методическое обеспечение работ по технической защите информации в ходе подготовки и реализации международных договоров (соглашений) по укреплению мер доверия, сокращению (ограничению) вооруженных сил и вооружений, при функционировании на территории Российской Федерации предприятий с иностранными инвестициями, а также при введении режимов открытости;

>• осуществляет методическое руководство деятельностью органов исполнительной власти субъектов Российской Федерации по созданию региональных систем технической защиты информации;

>• осуществляет методическое руководство подготовкой, профессиональной переподготовкой и повышением квалификации специалистов в области технической защиты информации;

>• осуществляет в пределах своих полномочий контроль за состоянием работ по технической защите информации в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях;

>• организует проведение радиоконтроля за соблюдением установленного порядка передачи служебных сообщений должностными лицами предприятий, учреждений и организаций, выполняющими работы, связанные со сведениями, составляющими государственную или служебную тайну, при использовании открытых каналов радио- и радиорелейных, тропосферных и спутниковых линий связи, доступных для радиоразведки;

>• осуществляет международное сотрудничество в пределах своих полномочий.

15. Гостехкомиссия России имеет право:

>• представлять Президенту Российской Федерации, в Правительство Российской Федерации и Совет Безопасности Российской Федерации предложения по нормативному правовому регулированию в области технической защиты информации;

>• вносить в Правительство Российской Федерации согласованные с заинтересованными федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации предложения о внесении изменений в перечень территорий Российской Федерации с регламентированным посещением для иностранных граждан;

>• вносить в государственные органы представления о применении установленных законодательством Российской Федерации мер ответственности за нарушения в области технической защиты информации;

>• проводить работы с использованием активных средств противодействия техническим разведкам;

>• осуществлять контроль за соблюдением федерального законодательства о технической защите информации и требований руководящих и нормативно-методических документов Гостехкомиссии России предприятиями, учреждениями и организациями, имеющими лицензии Гостехкомиссии России;

>• осуществлять контроль деятельности по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях (в Министерстве обороны Российской Федерации, Службе внешней разведки Российской Федерации, Федеральной службе безопасности Российской Федерации, Федеральной службе охраны Российской Федерации, Федеральной пограничной службе Российской Федерации, Федеральном агентстве правительственной связи и информации при Президенте Российской Федерации и Главном управлении специальных программ Президента Российской Федерации — по согласованию с руководителями указанных органов);

>• контролировать с применением технических средств эффективность защиты государственных и промышленных объектов, образцов вооружения и военной техники при их разработке, производстве и полигонных испытаниях (по согласованию с Генеральным штабом Вооруженных Сил Российской Федерации), информационных систем, средств и систем связи и управления (в отношении технических средств и систем Министерства обороны Российской Федерации, Службы внешней разведки Российской Федерации, Федеральной службы безопасности Российской Федерации, Федеральной службы охраны Российской Федерации, Федеральной пограничной службы Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации и Главного управления специальных программ Президента Российской Федерации, а также объектов и технических средств органов государственной власти Российской Федерации, защита которых входит в их компетенцию, — по согласованию с соответствующими руководителями);

,>• выдавать предписания на приостановление работ на объектах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, предприятий, учреждений и организаций в случае выявления в ходе проведения контроля нарушений норм и требований, касающихся технической защиты информации;

>• заслушивать на заседаниях коллегии Гостехкомиссии России должностных лиц, ответственных за организацию технической защиты информации в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях;

>• утверждать квалификационные требования к специалистам в области технической защиты информации и согласовывать учебные программы подготовки, профессиональной переподготовки и повышения квалификации специалистов в области технической защиты информации;

>• организовывать и проводить семинары, конференции и симпозиумы, в том числе международные, по вопросам технической защиты информации.

IV. Руководство Гостехкомиссии России

16. Гостехкомиссию России возглавляет председатель Государственной технической комиссии при Президенте Российской Федерации, назначаемый на должность и освобождаемый от должности Президентом Российской Федерации.

Председатель Гостехкомиссии России в ходе осуществления межотраслевой координации деятельности по технической защите информации пользуется правами федерального министра.

17. Председатель Гостехкомиссии России имеет четырех заместителей, в том числе двух первых заместителей и одного статс-секретаря — заместителя председателя Гостехкомиссии России, назначаемых на должность и освобождаемых от должности Президентом Российской Федерации по представлению председателя Гостехкомиссии России.

18. Председатель Гостехкомиссии России:

>• организует работу Гостехкомиссии России, осуществляет руководство инженерно-техническими воинскими формированиями при Гостехкомиссии России;

>• несет персональную ответственность за выполнение возложенных на Гостехкомиссию России задач;

>• распределяет обязанности между своими заместителями, определяет полномочия и задачи других должностных лиц;

>• издает приказы и распоряжения в пределах своих полномочий;

>• утверждает положения о подразделениях Гостехкомиссии России, входящих в ее структуру;

>• заключает, возобновляет, изменяет, расторгает трудовые договоры (контракты) с сотрудниками Гостехкомиссии России в соответствии с федеральным законодательством;

>• представляет Гостехкомиссию России во взаимоотношениях с федеральными органами государственной власти, иными государственными органами и организациями;

>• издает в установленном порядке нормативные правовые акты по вопросам технической защиты информации;

>• вносит в установленном порядке на рассмотрение Президента Российской Федерации и в Правительство Российской Федерации проекты нормативных правовых актов и предложения о совершенствовании федерального законодательства, касающиеся технической защиты информации;

>• издает в установленном порядке нормативные правовые акты, регулирующие деятельность Гостехкомиссии России и инженерно-технических воинских формирований при Гостехкомиссии России, обеспечивает их исполнение;

>• утверждает в пределах установленных численности и фонда оплаты труда работников штатное расписание Гостехкомиссии России, а также смету на ее содержание в пределах средств, выделенных из федерального бюджета на соответствующий год;

>• утверждает положение о региональных центрах, а также устав головной научной организации;

>• утверждает в пределах установленной численности структуру и штатное расписание инженерно-технических воинских формирований при Гостехкомиссии России;

>• зачисляет в установленном порядке граждан Российской Федерации на военную службу в инженерно-технические воинские формирования при Гостехкомиссии России;

>• пользуется в отношении военнослужащих инженерно-технических воинских формирований при Гостехкомиссии России правами, предусмотренными Дисциплинарным уставом Вооруженных Сил Российской Федерации, в полном объеме;

>• утверждает в установленном порядке смету внебюджетных средств;

>• вносит в установленном порядке предложения об изменении штатной численности Гостехкомиссии России и инженерно-технических воинских формирований при Гостехкомиссии России, а также о структуре Гостехкомиссии России;

>• представляет на утверждение Президента Российской Федерации общее количество воинских должностей в инженерно-технических воинских формированиях при Гостехкомиссии России, подлежащих замещению полковниками (капитанами 1 ранга);

>• присваивает военнослужащим инженерно-технических воинских формирований при Гостехкомиссии России воинские звания до полковника (капитана 1 ранга) включительно;

>• осуществляет в пределах своей компетенции назначение на должность и освобождение от должности лиц командного состава инженерно-технических воинских формирований при Гостехкомиссии России; в пределах своей компетенции увольняет военнослужащих инженерно-технических воинских формирований при Гостехкомиссии России с военной службы в запас либо в отставку, а также приостанавливает их военную службу в установленном федеральным законодательством порядке;

>• определяет порядок зачета военнослужащим инженерно-технических воинских формирований при Гостехкомиссии России стажа их трудовой деятельности до зачисления на военную службу в выслугу лет для назначения пенсии;

>• принимает в соответствии с федеральными законами и иными нормативными правовыми актами Российской Федерации решения о продлении срока военной службы отдельным военнослужащим инженерно-технических воинских формирований при Гостехкомиссии России из числа квалифицированных специалистов, достигшим предельного возраста пребывания на военной службе;

>• определяет порядок обеспечения денежным довольствием военнослужащих инженерно-технических воинских формирований при Гостехкомиссии России, а также условия и систему оплаты труда гражданского персонала в соответствии с федеральным законодательством;

>• определяет порядок и условия выплаты сотрудникам Гостехкомиссии России, военнослужащим и гражданскому персоналу инженерно-технических воинских формирований при Гостехкомиссии России доплат, надбавок, премий и других вознаграждений, предусмотренных законодательством Российской Федерации;

>• вносит на рассмотрение Президента Российской Федерации представления о награждении государственными наградами Российской Федерации сотрудников Гостехкомиссии России, военнослужащих и гражданского персонала инженерно-технических воинских формирований при Гостехкомиссии России, а также других лиц, оказывающих содействие в решении возложенных на Гостехкомиссию России задач, и о присвоении им почетных званий;

>• учреждает ведомственные награды (медали и нагрудные знаки) для награждения сотрудников Гостехкомиссии России, военнослужащих и гражданского персонала инженерно-технических воинских формирований при Гостехкомиссии России, а также других лиц, оказывающих содействие в решении возложенных на Гостехкомиссию России задач;

>• имеет наградной и подарочный фонды, в том числе огнестрельного и холодного оружия, для награждения сотрудников Гостехкомиссии России, военнослужащих и гражданского персонала инженерно-технических воинских формирований при Гостехкомиссии России, а также других лиц, оказывающих содействие в решении возложенных на Гостехкомиссию России задач;

>• награждает именным огнестрельным и холодным оружием в порядке, установленном федеральным законодательством, а также ведомственными наградами, ценными подарками или деньгами;

>• заключает с командирами инженерно-технических воинских формирований при Гостехкомиссии России контракты о прохождении военной службы в соответствии с федеральным законодательством;

>• представляет руководителям федеральных органов исполнительной власти предложения о прикомандировании военнослужащих к центральному аппарату Гостехкомиссии России;

>• возбуждает ходатайства о продлении сроков военной службы отдельным военнослужащим, прикомандированным к Гостехкомиссии России, по достижении ими предельного возраста пребывания на военной службе;

>• представляет в Правительство Российской Федерации проект бюджетной заявки на выделение Гостехкомиссии России средств из федерального бюджета;

>• утверждает смету расходов на содержание центрального аппарата Гостехкомиссии России и инженерно-технических воинских формирований при Гостехкомиссии России в пределах средств, выделяемых из федерального бюджета на соответствующий год;

>• распоряжается финансовыми средствами Гостехкомиссии России, является распорядителем кредитов в пределах средств, выделяемых из федерального бюджета на содержание Гостехкомиссии России, включая валютные средства;

>• заключает на конкурсной основе договоры с научными организациями на выполнение научно-исследовательских и опытно-конструкторских работ в области технической защиты информации;

>• вносит в установленном порядке представления о применении мер ответственности за нарушения требований федерального законодательства о технической защите информации;

>• запрашивает и получает от федеральных органов исполнительной власти, иных государственных органов, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, предприятий, учреждений и организаций, должностных лиц необходимые для осуществления деятельности Гостехкомиссии России информацию, документы и материалы, в том числе добытые по специальным каналам;

>• принимает решения о проведении внеочередных заседаний (совещаний) коллегии Гостехкомиссии России;

>• создает межведомственные рабочие и экспертные группы, привлекает ведущих специалистов различного профиля, в том числе на договорной основе, к осуществлению аналитических и экспертных работ по технической защите информации;

>• подписывает в установленном порядке международные договоры Российской Федерации;

>• решает в установленном порядке вопросы, связанные с приемом в Гостехкомиссии России иностранных делегаций (представителей) и командированием делегаций (сотрудников) Гостехкомиссии России;

в иностранные государства;

>• принимает в соответствии с федеральным законодательством решения о выезде за пределы Российской Федерации сотрудников Гостехкомиссии России, военнослужащих и гражданского персонала инженерно-технических воинских формирований при Гостехкомиссии России.

V. Порядок работы коллегии Гостехкомиссии России

19. Заседания (совещания) коллегии Гостехкомиссии России проводятся не реже одного раза в квартал. В случае необходимости по инициативе председателя Гостехкомиссии России могут проводться ее внеочередные заседания (совещания).

Присутствие на заседании (совещании) коллегии Гостехкомиссии России ее членов обязательно. Они не вправе делегировать свои полномочия иным лицам. В случае отсутствия члена коллегии Гостехкомиссии России на заседании (совещании) он вправе изложить свое мнение по рассматриваемым вопросам в письменном виде.

20. Члены коллегии Гостехкомиссии России обладают равными правами при обсуждении рассматриваемых на ее заседании (совещании) вопросов.

Решения коллегии Гостехкомиссии России принимаются большинством голосов присутствующих на заседании (совещании) членов коллегии Гостехкомиссии России-Решения коллегии Гостехкомиссии России при необходимости оформляются приказом Гостехкомиссии России, подписываемым ее председателем.

Протоколы заседаний (совещаний) коллегии Гостехкомиссии России подписываются председательствующим на заседании (совещании).

В случае несогласия с принятым решением члены коллегии Гостехкомиссии России вправе изложить в письменном виде свое мнение, которое подлежит приобщению к протоколу заседания (совещания). В этом случае председатель докладывает о возникших разногласиях Президенту Российской Федерации. Члены коллегии также могут сообщить свое мнение Президенту Российской Федерации.

21. Подготовка материалов к заседанию (совещанию) коллегии Гостехкомиссии России осуществляется ее центральным аппаратом и представителями тех федеральных органов исполнительной власти, к ведению которых относятся вопросы повестки дня.

22. В случае необходимости для участия в заседаниях (совещаниях) коллегии Гостехкомиссии России могут приглашаться представители федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, руководители предприятий, учреждений и организаций.

Приложение № 1 к Указу Президента РФ от 19 февраля 1999 г. № 212

ПЕРЕЧЕНЬ руководящих работников федеральных органов исполнительной власти, государственных органов и организаций Российской Федерации, которые входят в состав коллегии Государственной технической комиссии при Президенте Российской Федерации, по должности

Первый заместитель Министра Российской Федерации по атомной энергии

Первый заместитель Министра внутренних дел Российской Федерации

Первый заместитель Министра Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий

Заместитель Министра иностранных дел Российской Федерации

Первый заместитель Министра науки и технологий Российской Федерации

Заместитель Министра экономики Российской Федерации

Заместитель Министра юстиции Российской Федерации

Заместитель председателя Госкомэкологии России

Первый заместитель председателя Госкомсвязи России

Первый заместитель директора ФСБ России

Заместитель руководителя ФСО России

Заместитель директора СВР России

Первый заместитель генерального директора ФАПСИ

Начальник вооружения Вооруженных Сил Российской Федерации

Начальник Главного оперативного управления Генерального штаба Вооруженных Сил Российской Федерации — первый заместитель начальника Генерального штаба Вооруженных Сил Российской Федерации

Первый заместитель начальника ГУСПа

Заместитель Председателя Банка России Вице-президент Российской академии наук

«О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ» Постановление Правительства РФ от 11 апреля 2000 г. № 326

Правительство Российской Федерации ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемый перечень федеральных органов исполнительной власти, осуществляющих лицензирование.

2. Установить, что полномочия федеральных органов исполнительной власти по лицензированию конкретных видов деятельности определяются в постановлениях Правительства Российской Федерации, утверждающих положения о лицензировании этих видов деятельности, если иное не установлено соответствующими федеральными законами, вступающими в силу со дня вступления в силу Федерального закона «О лицензировании отдельных видов деятельности», и указами Президента Российской Федерации.

3. Федеральным органам исполнительной власти по перечню, указанному в пункте 1 настоящего постановления, представить в установленном порядке во II квартале 2000 г. в Правительство Российской Федерации проекты положений о лицензировании соответствующих видов деятельности с учетом пункта 2 настоящего постановления и пункта 3 статьи 19 Федерального закона «О лицензировании отдельных видов деятельности».

4. Утвердить прилагаемый перечень видов деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности.

5. Федеральным органам исполнительной власти по перечню, указанному в пункте 4 настоящего постановления, разработать с участием органов государственной власти субъектов Российской Федерации и представить в установленном порядке во II квартале 2000 г. в Правительство Российской Федерации проекты положений о лицензировании соответствующих видов деятельности, осуществляемом органами исполнительной власти субъектов Российской Федерации.

6. Возложить на Министерство экономики Российской Федерации методическое руководство разработкой федеральными органами исполнительной власти проектов положений о лицензировании конкретных видов деятельности.

7. Федеральным органам исполнительной власти, включенным в перечни, утвержденные настоящим постановлением, при внесении в Правительство Российской Федерации проектов положений о лицензировании конкретных видов деятельности представлять при необходимости в установленном порядке и предложения о признании утратившими силу или приведении в соответствие с Федеральным законом закона «О лицензировании отдельных видов деятельности» принятых ранее нормативных правовых актов.

8. Признать утратившим силу постановление Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности», кроме предпоследнего абзаца пункта 5 и абзацев первого и второго пункта 8 Порядка ведения лицензионной деятельности, утвержденного указанным постановлением (Собрание законодательства Российской Федерации, 1995, № 1, ст. 69; № 24, ст. 2280; № 33, ст. 3394; № 43, ст. 4062; 1997, № 17, ст. 2011; № 49, ст. 5601).

Председатель Правительства Российской Федерации В. Путин

ПЕРЕЧЕНЬ

федеральных органов исполнительной власти, осуществляющих лицензирование

МВД России

Деятельность в области пожарной безопасности.

Изготовление, установка и эксплуатация технических средств и систем регулирования дорожного движения.

Торговля оружием, его приобретение, коллекционирование или экспонирование (за исключением приобретения оружия государственными военизированными организациями).

Деятельность по охране драгоценных металлов и драгоценных камней при проведении операций с указанными ценностями.

Осуществление частной охранной деятельности.

Осуществление частной сыскной деятельности.

Создание объединений частных детективных предприятий.

Использование объектов и помещений, где осуществляется деятельность, связанная с оборотом наркотических средств и психотропных веществ.

<• • •>

Госстандарт России и иные федеральные органы исполнительной власти, на которые законодательными актами Российской Федерации возлагаются организация и проведение работ по обязательной сертификации.

Деятельность центров обязательной сертификации.

Деятельность испытательных лабораторий (экспертных центров) в области обязательной сертификации.

<• • •>

ФСБ России

Разработка и производство специальных технических средств, предназначенных для негласного получения информации.

Реализация специальных технических средств, предназначенных для Приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации.

ФСБ России, СВР России

Деятельность предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну.

ФСБ России, ФАПСИ, Гостехкомиссия России, СВР России

Проведение работ, связанных с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны.

ФСБ России, ФАПСИ, СВР России

Деятельность по использованию технических средств, предназначенных для выявления электронных устройств, служащих для негласного получения информации.

<• • •>

ФАПСИ

Деятельность по распространению шифровальных средств. Деятельность по техническому обслуживанию шифровальных средств Предоставление услуг в области шифрования информации. Формирование федеральных информационных ресурсов и (или) информационных ресурсов совместного ведения на основе договора.

Осуществление права удостоверения идентичности электронной цифровой подписи.

<• • •>

Гостехкомиссия России, ФАПСИ, Минфин России

Деятельность по производству специальных защитных знаков, предназначенных для маркирования товаров, сопроводительной документации к товарам и подтверждения подлинности документов и ценных бумаг.

Деятельность по распространению специальных защитных знаков, предназначенных для маркирования товаров, сопроводительной документации к товарам и подтверждения подлинности документов и пенных бумаг.

Гостехкомиссия России, ФАПСИ, Минобороны России, СВР России

Проведение работ, связанных с созданием средств защиты информации, составляющие государственную тайну.

Гостехкомиссия России, ФАПСИ

Проектирование средств защиты информации и обработки персональных данных.

Производство средств защиты информации и обработки персональных данных.

<• • •>

«О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ» Постановление Правительства РФ от 24 декабря 1994 г. № 1418 (с изменениями, внесенными Постановлением Правительства РФ от 11 апреля 2000 г. № 326 г.)

В целях проведения единой государственной политики в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства Правительство Российской Федерации

ПОСТАНОВЛЯЕТ:

<• • •>

5. Федеральные органы исполнительной власти, иные специально уполномоченные на ведение лицензионной деятельности органы, указанные в приложений 1 к настоящему постановлению, органы исполнительной власти субъектов Российской Федерации осуществляют лицензионную деятельность на основании положений о лицензировании отдельных видов деятельности, утверждаемых Правительством Российской Федерации. В положениях о лицензировании отдельных видов деятельности федеральным органам исполнительной власти и иным специально уполномоченным на ведение лицензионной деятельности органам, указанным в приложении 1 к настоящему постановлению, может быть предоставлено право передачи полномочий по лицензированию соответствующих видов деятельности органам исполнительной власти субъектов Российской Федерации.

<• • •>

Председатель Правительства Российской Федерации В. Черномырдин

Порядок ведения лицензионной деятельности <• • •>

8. Деятельность на основании лицензии, выданной органами исполнительной власти субъектов Российской Федерации, на территории иных субъектов Российской Федерации может осуществляться после регистрации таких лицензий органами исполнительной власти соответствующих субъектов Российской Федерации. Регистрация проводится в течение 30 дней по предъявлении оригинала лицензии с проверкой, при необходимости, указанных в лицензии данных, условий осуществления соответствующего вида деятельности и условий безопасности. О проведенной регистрации в лицензии делается отметка о занесении в реестр выданных, зарегистрированных, приостановленных и аннулированных лицензий.

<• • •>

«О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПРЕДПРИЯТИЙ, УЧРЕЖДЕНИЙ И ОРГАНИЗАЦИЙ ПО ПРОВЕДЕНИЮ РАБОТ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, А ТАКЖЕ С ОСУЩЕСТВЛЕНИЕМ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕМ УСЛУГ ПО ЗАЩИТЕ ГОСУДАРСТВЕННОЙ ТАЙНЫ»

Постановление Правительства РФ от 15 апреля 1995 г. № 333 (с изменениями от 23 апреля 1996 г., 30 апреля 1997 г., 29 июля 1998 г.)

В соответствии с Законом Российской Федерации «О государственной тайне» и в целях установления порядка допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Правительство Российской Федерации

ПОСТАНОВЛЯЕТ:

1. Утвердить Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны (прилагается).

2. Установить, что размер платы за рассмотрение заявлений о выдаче лицензий на проведение работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, составляет 10 минимальных размеров оплаты труда. Суммы, полученные от рассмотрения заявления и выдачи лицензии, поступают в федеральный бюджет, за счет средств которого содержится орган, уполномоченный на ведение лицензионной деятельности.

3. Федеральной службе безопасности Российской Федерации, Государственной технической комиссии при Президенте Российской Федерации, федеральному агентству правительственной связи и информации при Президенте Российской Федерации, Службе внешней разведки Российской Федерации совместно с заинтересованными министерствами и ведомствами Российской Федерации в 3-месячный срок разработать комплекс мер организационного, материально-технического и иного характера, необходимых для осуществления лицензирования деятельности предприятий, организаций и учреждений по проведению работ, связанных с использованием сведений, составляющих государственную тайну.

4. Установить, что предприятия, учреждения и организации, допущенные к моменту принятия настоящего постановления к работам, связанным с использованием сведений, составляющих государственную тайну, могут осуществлять эти работы в течение 1995 года.

Председатель Правительства Российской Федерации В. Черномырдин

ПОЛОЖЕНИЕ

О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны Утверждено постановлением Правительства РФ от 15 апреля 1995 г. № 333 с изменениями от 23 апреля 1996 г., 30 апреля 1997 г., 29 июля 1998 г.

1. Настоящее Положение устанавливает порядок лицензирования деятельности предприятий, учреждений и организаций независимо от их организационно-правовых форм (далее именуются — предприятия) по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока. Лицензия действительна на всей территории Российской Федерации, а также в учреждениях Российской Федерации, находящихся за границей.

2. Органами, уполномоченными на ведение лицензионной деятельности, являются:

>• по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, — Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом);

(Постановлением Правительства РФ от 29 июля 1998 г. № 854 в абзац третий пункта 2 настоящего Положения были внесены изменения, см. текст абзаца в предыдущей редакции.)

>• на право проведения работ, связанных с созданием средств защиты информации, — Государственная техническая комиссия при Президенте Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, Федеральная служба безопасности Российской Федерации (в пределах их компетенции);

>» на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны — Федеральная служба безопасности Российской Федерации и ее территориальные органы, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации, Служба внешней разведки Российской Федерации (в пределах их компетенции).

Лицензирование деятельности предприятий Федеральной службы безопасности Российской Федерации, Министерства обороны Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации, Федеральной пограничной службы Российской Федерации, Службы внешней разведки Российской Федерации, Государственной технической комиссии при Президенте Российской Федерации по допуску к проведению работ, связанных с использованием сведений, составляющих государственную тайну, осуществляется руководителями министерств и ведомств Российской Федерации, которым подчинены указанные предприятия.

3. На орган, уполномоченный на ведение лицензионной деятельности, возлагается:

>• организация лицензирования деятельности предприятий;

>• организация и проведение специальных экспертиз предприятий;

>• рассмотрение заявлений предприятий о выдаче лицензий;

>• принятие решений о выдаче или об отказе в выдаче лицензий;

>• выдача лицензий;

>• принятие решений о приостановлении действия лицензии или о ее аннулировании;

>• разработка нормативно-методических документов по вопросам лицензирования;

>• привлечение в случае необходимости представителей министерств и ведомств Российской Федерации для проведения специальных экспертиз;

>• ведение реестра выданных, приостановленных и аннулированных лицензий.

4. Работа органов, уполномоченных на ведение лицензионной деятельности, координируется Межведомственной комиссией по защите государственной тайны (далее именуется — Межведомственная комиссия)(СМ.Сноску 1).

5. Для получения лицензии заявитель представляет в соответствующий орган, уполномоченный на ведение лицензионной деятельности:

а) заявление о выдаче лицензии с указанием:

>• наименования и организационно-правовой формы, юридического адреса предприятия, номера его расчетного счета в банке;

>• вида деятельности, на осуществление которого должна быть выдана лицензия;

>• срока действия лицензии;

б) копии учредительных документов (с предъявлением оригиналов, в случае если копии не заверены нотариусом);

в) копию свидетельства о государственной регистрации предприятия;

г) копии документов, подтверждающих право собственности, право полного хозяйственного ведения и (или) договора аренды на имущество, необходимое для ведения заявленного вида деятельности;

д) справку о постановке на учет в налоговом органе;

е) документ, подтверждающий оплату рассмотрения заявления. Заявитель несет ответственность за достоверность представляемых им сведений. Все документы, представленные для получения лицензии, регистрируются органом, уполномоченным на ведение лицензионной деятельности.

6. Орган, уполномоченный на ведение лицензионной деятельности, принимает решение о выдаче или об отказе в выдаче лицензии в течение 30 дней со дня получения заявления со всеми необходимыми документами.

В случае необходимости проведения дополнительной экспертизы предприятия решение принимается в 15-дневный срок после получения заключения экспертизы, но не позднее чем через 60 дней со дня подачи заявления о выдаче лицензии и необходимых для этого документов.

___

Сноска 1. Функции Межведомственной комиссии в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г. № 614 временно возложены на Государственную техническую комиссию при Президенте Российской Федерации. Указ Президента РФ от 30 марта 1994 г. № 614 утратил силу. Указом Президента РФ от 20 января 1996 г. № 71 утверждены состав и структура Межведомственной комиссии по защите государственной тайны.

В зависимости от сложности и объема подлежащих специальной экспертизе материалов руководитель органа, уполномоченного на ведение лицензионной деятельности, может продлить срок принятия решения о выдаче или об отказе в выдаче лицензии до 30 дней.

7. Лицензии выдаются на основании результатов специальных экспертиз предприятий и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну (далее именуются — руководители предприятий), и при выполнении следующих условий:

>• соблюдение требований законодательных и иных нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений; наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны;

>• наличие на предприятии средств защиты информации, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

8. В лицензии указываются:

>• наименование органа, ее выдавшего;

>• наименование и юридический адрес предприятия, ее получившего;

>• вид деятельности, на осуществление которого выдана лицензия;

>• условия осуществления данного вида деятельности;

>• срок действия лицензии;

>• ее регистрационный номер и дата выдачи.

Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет.

По просьбе заявителя лицензии могут выдаваться на срок менее трех лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия. В случае если лицензируемый вид деятельности осуществляется на нескольких территориально обособленных объектах, лицензиату одновременно с лицензией выдаются заверенные копии с указанием местоположения каждого объекта. Копии лицензий регистрируются органом, уполномоченным на ведение лицензионной деятельности. Предприятие может иметь лицензии на несколько видов деятельности. Лицензии оформляются на бланках, имеющих степень защиты, соответствующую степени защиты ценной бумаги на предъявителя. Бланки лицензий являются документами строгой отчетности, имеют учетную серию и номер. Приобретение, учет и хранение бланков лицензий возлагается на органы, уполномоченные на ведение лицензионной деятельности. Лицензия выдается после представления заявителем документа, подтверждающего ее оплату, размер которой равен стоимости бланка лицензии.

Лицензия подписывается руководителем (заместителем руководителя) органа, уполномоченного на ведение лицензионной деятельности, и заверяется печатью этого органа. Копия лицензии хранится в органе, уполномоченном на ведение лицензионной деятельности. Передача лицензии другому юридическому лицу запрещена. В случае реорганизации предприятия, получившего лицензию, изменения его местонахождения или наименования, утраты им лицензии оно обязано в 15-дневный срок подать заявление о переоформлении лицензии.

Переоформление лицензии производится в порядке, установленном для ее получения.

До переоформления лицензии лицензиат осуществляет деятельность на основании ранее выданной лицензии или временного разрешения, выдаваемого органом, уполномоченным на ведение лицензионной деятельности, в случае утраты лицензии.

9. Орган, уполномоченный на ведение лицензионной деятельности, вправе отказать в выдаче лицензии. Письменное уведомление об отказе в выдаче лицензии с указанием причин отказа направляется заявителю в 3-дневный срок после принятия соответствующего решения.

Основанием для отказа в выдаче лицензии является:

>• наличие в документах, представленных заявителем, недостоверной или искаженной информации;

>• отрицательное заключение экспертизы, установившей несоответствие необходимым для осуществления заявленного вида деятельности условиям, указанным в пункте 7 настоящего Положения;

>• отрицательное заключение по результатам государственной аттестации руководителя предприятия.

10. Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических документов по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам, а также соблюдения других условий, необходимых для получения лицензии.

Постановлением Правительства РФ от 30 апреля 1997 г. № 513 абзац второй пункта 10 настоящего Положения после слов: «Служба внешней разведки Российской Федерации» дополнен словами: «Министерство обороны Российской Федерации».

Государственными органами, ответственными за организацию и проведение специальных экспертиз предприятий, являются Федеральная служба безопасности Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации, Служба внешней разведки Российской Федерации, другие министерства и ведомства Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий.

Организация и порядок проведения специальных экспертиз предприятий определяются инструкциями, которые разрабатываются указанными государственными органами и согласовываются с Межведомственной комиссией.

Для проведения специальных экспертиз эти государственные органы могут создавать аттестационные центры, которые получают лицензии в соответствии с требованиями настоящего Положения.

Постановлением Правительства РФ от 30 апреля 1997 г. № 513 абзац пятый пункта 10 настоящего Положения после слов: «Служба внешней разведки Российской Федерации» дополнен словами: «Министерство обороны Российской Федерации».

Специальные экспертизы аттестационных центров проводят Федеральная служба безопасности Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации, Служба внешней разведки Российской Федерации и их органы на местах (в пределах их компетенции).

Специальные экспертизы проводятся на основе договора между предприятием и органом, проводящим специальную экспертизу. Расходы по проведению специальных экспертиз относятся на счет предприятия.

11. Государственная аттестация руководителей предприятий организуется органами, уполномоченными на ведение лицензионной деятельности, а также министерствами и ведомствами Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий. Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий разрабатываются Межведомственной комиссией. Расходы по государственной аттестации руководителей предприятий относятся на счет предприятий. От государственной аттестации освобождаются руководители предприятий, имеющие свидетельство об окончании учебных заведений, уполномоченных осуществлять подготовку специалистов по вопросам защиты информации, составляющей государственную тайну. Перечень указанных учебных заведений утверждается Межведомственной комиссией по представлению органов, уполномоченных на ведение лицензионной деятельности.

12. Органы, уполномоченные на ведение лицензионной деятельности, приостанавливают действие лицензии или аннулируют ее в случае:

>• предоставления лицензиатом соответствующего заявления;

>• обнаружения недостоверных данных в документах, представленных для получения лицензии;

>• нарушения лицензиатом условий действия лицензии;

>• невыполнения лицензиатом предписаний или распоряжений государственных органов "или приостановления этими государственными органами деятельности предприятия в соответствии с законодательством Российской Федерации;

>• ликвидации предприятия.

Решение о приостановлении, возобновлении и аннулировании лицензии принимается органом, выдавшим лицензию.

Орган, уполномоченный на ведение лицензионной деятельности, в 3-дневный срок со дня принятия решения о приостановлении действия лицензии или о ее аннулировании в письменной форме уведомляет об этом лицензиата и органы Государственной налоговой службы Российской Федерации. Действие лицензии приостанавливается со дня получения лицензиатом указанного уведомления.

После уведомления владельца лицензии о ее аннулировании, она подлежит возврату в 10-дневяый срок в орган, ее выдавший.

В случае изменения обстоятельств, повлекших приостановление действия лицензии, действие лицензии может быть возобновлено.

Лицензия считается возобновленной после принятия органом, уполномоченным на ведение лицензионной деятельности, соответствующего решения, о котором не позднее чем в 3-дневный срок с момента принятия он оповещает лицензиата и органы Государственной налоговой службы Российской Федерации.

13. Органы, уполномоченные на ведение лицензионной деятельности, ежеквартально представляют в Межведомственную комиссию сведения о выданных и аннулированных лицензиях.

14. Контроль за соблюдением лицензионных условий лицензиатами, выполняющими работы, связанные с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляют органы, уполномоченные на ведение лицензионной деятельности.

15. Руководители и должностные лица органов, уполномоченных на ведение лицензионной деятельности, несут ответственность за нарушение или ненадлежащее исполнение настоящего Положения в соответствии с законодательством Российской Федерации.

16. Решения и действия органов, уполномоченных на ведение лицензионной деятельности, могут быть обжалованы в установленном порядке.

«О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ» Постановление Правительства РФ от 26 июня 1995 г. № 608 (в ред. Постановления Правительства РФ от 23 апреля 1996 г. № 509)

В соответствии с Законами Российской Федерации «О государственной тайне» и «О сертификации продукции и услуг» Правительство Российской Федерации

ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемое Положение о сертификации средств защиты информации.

2. Государственной технической комиссии при Президенте Российской Федерации, Федеральному агентству правительственной связи и информации при Президенте Российской Федерации, Федеральной службе безопасности Российской Федерации и Министерству обороны Российской Федерации в пределах определенной законодательством Российской Федерации компетенции в 3-месячный срок разработать и ввести в действие соответствующие положения о системах сертификации, перечни средств защиты информации, подлежащих сертификации в конкретной системе сертификации, а также по согласованию с Министерством финансов Российской Федерации порядок оплаты работ по сертификации средств защиты информации.

Председатель Правительства Российской Федерации В. Черномырдин

ПОЛОЖЕНИЕ

О сертификации средств защиты информации (в ред. Постановления Правительства РФ от 23 апреля 1996 г. № 509)

1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации.

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется — система сертификации).

Системы сертификации создаются Государственной технической комиссией при Президенте Российской Федерации, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются — федеральные органы по сертификации). (В ред. Постановления Правительства РФ от 23 апреля 1996 г. № 509.)

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.

Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется — Межведомственная комиссия)(СМ.сноску 1).

В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

2. Участниками сертификации средств защиты информации являются:

>• федеральный орган по сертификации;

>• центральный орган системы сертификации (создаваемый при необходимости) — орган, возглавляющий систему сертификации однородной продукции;

>• органы по сертификации средств защиты информации — органы, проводящие сертификацию определенной продукции;

>• испытательные лаборатории — лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

>• изготовители — продавцы, исполнители продукции.

Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проводят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения

___

Сноска 1. Функции Межведомственной комиссии по защите государственной тайны в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г. № 614 временно возложены на Государственную техническую комиссию при Президенте Российской Федерации.

___

указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

3. Федеральный орган по сертификации в пределах своей компетенции:

>• создает системы сертификации;

>• осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;

>• устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;

>• определяет центральный орган для каждой системы сертификации;

>• выдает сертификаты и лицензии на применение знака соответствия;

>• осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;

>• рассматривает апелляции по вопросам сертификации;

>• представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;

>• устанавливает порядок признания зарубежных сертификатов;

>• приостанавливает или отменяет действие выданных сертификатов.

4. Центральный орган системы сертификации:

>• организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;

>• ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;

>• обеспечивает участников сертификации информацией о деятельности системы сертификации.

При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.

5. Органы по сертификации средств защиты информации:

>• сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;

>• приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;

>• принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;

>• формируют фонд нормативных документов, необходимых для сертификации;

>• представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.

6. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям.

Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.

7. Изготовители:

>• производят (реализуют) средства защиты информации только при наличии сертификата;

>• извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированный средств защиты информации;

>• маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;

>• указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;

>• применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации;

>• обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;

>• обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации;

>• прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

Изготовители должны иметь лицензию на соответствующий вид деятельности.

8. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.

Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости — решение о проведении и сроках предварительной проверки производства средств защиты информации.

Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

Основными схемами проведения сертификации средств защиты информации являются:

>• для единичных образцов средств защиты информации — проведение испытаний этих образцов на соответствие требованиям по защите информации;

>• для серийного производства средств защиты информации — проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе. Срок действия сертификата не может превышать пяти лет. 9. Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику).

В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. При этом орган по сертификации средств защиты информации определяет условия, необходимые для обеспечения объективности результатов испытаний.

В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов.

Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.

Изготовителю должна быть предоставлена возможность ознакомиться с условиями испытаний и хранения образцов средств защиты информации в испытательной лаборатории.

При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.

10. Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:

>• изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;

>• изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;

>• отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.

11. Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.

12. Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.

13. При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.

14. Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей.

ГОСТ Р 51275-99 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации.

Объект информации. Факторы, воздействующие на информацию

Общие положения

Дата введения: 2000-01-01

1. Область применения

Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизации.

Настоящий стандарт распространяется на требования по организации защиты информации при создании и эксплуатации объектов информатизации, используемых в различных областях деятельности (обороны, экономики, науки и других областях).

Положения настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

2. Определения и сокращения

2.1. В настоящем стандарте применяют следующие термины с соответствующими определениями:

информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

фактор, воздействующий на защищаемую информацию, — явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней;

объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;

информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов);

информационная технология — приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации;

обработка информации — совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации;

система обработки информации — совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации;

средства обеспечения объекта информатизации — технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации;

побочное электромагнитное излучение — электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;

паразитное электромагнитное излучение — электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;

наводки — токи и напряжения в токопроводящих элементах, вызванные электромагнитными излучением, емкостными и индуктивными связями;

закладочное устройство — элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации);

программная закладка — внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций программного обеспечения, позволяющих осуществлять несанкционированные воздействия на информацию;

программный вирус — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойством несанкционированного распространения и самовоспроизведения (репликации). В процессе распространения вирусные субъекты могут себя модифицировать. Некоторые программные вирусы могут изменять, копировать или удалять программы или данные.

2.2. В настоящем стандарте приняты следующие сокращения:

ОИ — объект информатизации;

ПЭМИ — побочные электромагнитные излучения;

ТС — техническое средство.

3. Основные положения

3.1. Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на защиту информации на ОИ.

3.2. Полнота и достоверность выявления факторов, воздействующих на защищаемую информацию, должны быть достигнуты путем рассмотрения полного множества факторов, воздействующих на все элементы ОИ (технические и программные средства обработки информации, средства обеспечения ОИ и т. д.) и на всех этапах обработки информации.

3.3. Выявление факторов, воздействующих на защищаемую информацию, должно быть осуществлено с учетом следующих требований:

>• достаточности уровней классификации факторов, воздействующих на защищаемую информацию, позволяющей формировать их полное множество;

>• гибкости классификации, позволяющей расширять множества классифицируемых факторов, группировок и признаков, а также вносить изменения без нарушения структуры классификации.

3.4. Основными методами классификации факторов, воздействующих на защищаемую информацию, являются иерархический и фасетный методы.

4. Классификация факторов, воздействующих на защищаемую информацию

4.1. Факторы, воздействующие на защищаемую информацию и подлежащие учету при организации защиты информации, по признаку отношения к природе возникновения делят па классы:

>• субъективные;

>• объективные.

4.2. По отношению к ОИ факторы, воздействующие на защищаемую информацию, подразделяют на внутренние и внешние.

4.3. Принцип классификации факторов, воздействующих на защищаемую информацию, следующий:

>• подкласс;

>• группа;

>• подгруппа;

>• подвид.

4.3.1. Перечень объективных факторов, воздействующих на защищаемую информацию, в соответствии с установленным принципом их классификации (4.3.)

4.3.1.1. Внутренние факторы

4.3.1.1.1. Передача сигналов по проводным линиям связи

4.3.1.1.2. Передача сигналов по оптико-волоконным линиям связи

4.3.1.1.3. Излучения сигналов, функционально присущих ОИ

4.3.1.1.3.1. Излучения акустических сигналов

4.3.1.1.3.1.1. Излучения неречевых сигналов

4.3.1.1.3.1.2. Излучения речевых сигналов

4.3.1.1.3.2. Электромагнитные излучения и поля

4.3.1.1.3.2.1. Излучения в радиодиапазоне

4.3.1.1.3.2.2. Излучения в оптическом диапазоне

4.3.1.1.4. ПЭМИ

4.3.1.1.4.1. ПЭМИ сигналов (видеоимпульсов) от информационных цепей

4.3.1.1.4.2. ПЭМИ сигналов (радиоимпульсов) от всех электрических цепей ТС ОИ

4.3.1.1.4.2.1. Модуляция ПЭМИ электромагнитным сигналам от информационных цепей

4.3.1.1.4.2.2. Модуляция ПЭМИ акустическим сигналам

4.3.1.1.5. Паразитное электромагнитное излучение

4.3.1.1.5.1. Модуляция паразитного электромагнитного излучения информационными сигналами

4.3.1.1.5.2. Модуляция паразитного электромагнитного излучения акустическими сигналами

4.3.1.1.6. Наводки

4.3.1.1.6.1. Наводки в электрических цепях ТС, имеющих выход за пределы ОИ

4.3.1.1.6.1.1. Наводки в линиях связи

4.3.1.1.6.1.1.1. Наводки, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию

4.3.1.1.6.1.1.2. Наводки, вызванные внутренними емкостными и (или) индуктивными связями

4.3.1.1.6.1.2. Наводки в цепях электропитания

4.3.1.1.6.1.2.1. Наводки, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию

4.3.1.1.6.1.2.2. Наводки, вызванные внутренними емкостными и (или) индуктивными связями

4.3.1.1.6.1.2.3. Наводки через блоки питания ТС ОИ

4.3.1.1.6.1.3. Наводки в цепях заземления

4.3.1.1.6.1.3.1. Наводки, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию

4.3.1.1.6.1.3.2. Наводки, вызванные внутренними емкостными и (или) индуктивными связями

4.3.1.1.6.1.3.3. Наводки, обусловленные гальванической связью схемной (рабочей) «земли» узлов и блоков ТС ОИ

4.3.1.1.6.2. Наводки на ТС, провода, кабели и иные токопроводящие коммуникации и конструкции, гальванически на связанные с ТС ОИ, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию

4.3.1.1.7. Акустоэлектрические преобразования в элементах ТС ОИ

4.3.1.1.8. Дефекты, сбои, отказы, аварии ТС и систем ОИ

4.3.1.1.9. Дефекты, сбои и отказы программного обеспечения ОИ

4.3.1.2. Внешние факторы 4.3.1.2.1. Явления техногенного характера 4.3.1.2.1.1. Непреднамеренные электромагнитные облучения ОИ

4.3.1.2.1.2. Радиационные облучения ОИ

4.3.1.2.1.3. Сбои, отказы и аварии систем обеспечения ОИ

4.3.1.2.2. Природные явления, стихийные бедствия

4.3.1.2.2.1. Термические факторы (пожары и т. д.)

4.3.1.2.2.2. Климатические факторы (наводнения и т. д.)

4.3.1.2.2.3. Механические факторы (землетрясения и т. д.)

4.3.1.2.2.4. Электромагнитные факторы (грозовые разряды и т. д.)

4.3.1.2.2.5. Биологические факторы (микробы, грызуны и т. д.)

4.3.2. Перечень субъективных факторов, воздействующих на защищаемую информацию, в соответствии с установленным принципом их классификации (4.3.)

4.3.2.1. Внутренние факторы

4.3.2.1.1. Разглашение защищаемой информации лицами, имеющими к ней право доступа

4.3.2.1.1.1. Разглашение информации лицам, не имеющим права доступа к защищаемой информации

4.3.2.1.1.2. Передача информации по открытьм линиям связи

4.3.2.1.1.3. Обработка информации на незащищенных ТС обработки информации

4.3.2.1.1.4. Опубликование информации в открытой печати и других средствах массовой информации

4.3.2.1.1.5. Копирование информации на незарегистрированный носитель информации

4.3.2.1.1.6. Передача носителя информации лицу, не имеющему права доступа к ней

4.3.2.1.1.7. Утрата носителя с информацией 4.3.2.1.2. Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации

4.3.2.1.2.1. Несанкционированное изменение информации

4.3.2.1.2.2. Несанкционированное копирование информации

4.3.2.1.3. Несанкционированный доступ к защищаемой информации

4.3.2.1.3.1. Подключение к техническим средствам и системам ОИ

4.3.2.1.3.2. Использование закладочных устройств

4.3.2.1.3.3. Использование программного обеспечения технических средств ОИ

4.3.2.1.3.3.1. Маскировка под зарегистрированного пользователя

4.3.2.1.3.3.2. Использование дефектов программного обеспечения ОИ

4.3.2.1.3.3.3. Использование программных закладок

4.3.2.1.3.3.4. Применение программных вирусов

4.3.2.1.3.4. Хищение носителя защищаемой информации

4.3.2.1.3.5. Нарушение функционирования ТС обработки информации

4.3.2.1.4. Неправильное организационное обеспечение защиты информации

4.3.2.1.4.1. Неправильное задание требований по защите информации

4.3.2.1.4.2. Несоблюдение требований по защите информации

4.3.2.1.4.3. Неправильная организация контроля эффективности защиты информации

4.3.2.1.5. ошибки обслуживающего персонала ОИ

4.3.2.1.5.1. Ошибки при эксплуатации ТС

4.3.2.1.5.2. Ошибки при эксплуатации программных средств

4.3.2.1.5.3. Ошибки при эксплуатации средств и систем защиты информации

4.3.2.2. Внешние факторы

4.3.2.2.1. Доступ к защищаемой информации с применением технических средств

4.3.2.2.1.1. Доступ к защищаемой информации с применением технических средств разведки

4.3.2.2.1.1.1. Доступ к защищаемой информации с применением средств радиоэлектронной разведки

4.3.2.2.1.1.2. Доступ к защищаемой информации с применением средств оптико-электронной разведки

4.3.2.2.1.1.3. Доступ к защищаемой информации с применением средств фотографической разведки

4.3.2.2.1.1.4. Доступ к защищаемой информации с применением средств визуально-оптической разведки

4.3.2.2.1.1.5. Доступ к защищаемой информации с применением средств акустической разведки

4.3.2.2.1.1.6. Доступ к защищаемой информации с применением средств гидроакустической разведки

4.3.2.2.1.1.7. Доступ к защищаемой информации с применением средств компьютерной разведки

4.3.2.2.1.2. Доступ к защищаемой информации с использованием эффекта «высокочастотного навязывания»

4.3.2.2.1.2.1. Доступ к защищаемой информации с применением генератора высокочастотных колебаний

4.3.2.2.1.2.2. Доступ к защищаемой информации с применением генератора высокочастотного электромагнитного поля

4.3.2.2.2. Несанкционированный доступ к защищаемой информации

4.3.2.2.2.1. Подключение к техническим средствам и системам ОИ

4.3.2.2.2.2. Использование закладочных устройств

4.3.2.2.2.3. Использование программного обеспечения технических средств ОИ

4.3.2.2.2.3.1. Маскировка под зарегистрированного пользователя

4.3.2.2.2.3.2. Использование дефектов программного обеспечения ОИ

4.3.2.2.2.3.3. Использование программных закладок

4.3.2.2.2.3.4. Применение программных вирусов

4.3.2.2.2.4. Несанкционированный физический доступ на ОИ

4.3.2.2.2.5. Хищение носителя с защищаемой информацией

4.3.2.2.3. Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку

4.3.2.2.4. Действия криминальных групп и отдельных преступных субъектов

4.3.2.2.4.1. Диверсия в отношении ОИ.

«ВРЕМЕННОЕ ПОЛОЖЕНИЕ ПО ОРГАНИЗАЦИИ РАЗРАБОТКИ, ИЗГОТОВЛЕНИЯ И ЭКСПЛУАТАЦИИ ПРОГРАММНЫХ И ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ И СРЕДСТВАХ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ» Руководящий документ Гостехкомиссии РФ

Принятые сокращения

AC — автоматизированная система

ВД — временный документ

ЗАС — засекречивающая аппаратура связи

КСЗ — комплекс средств защиты

НСД — несанкционированный доступ

НТД — нормативно-техническая документация

ОС — операционная система

ППП — пакет прикладных программ

ПРД — правила разграничения доступа

РД — руководящий документ

СВТ — средства вычислительной техники

СЗИ — система защиты информации

СЗИ НСД — система защиты информации от несанкционированного доступа

СЗСИ — система защиты секретной информации СНТП — специальное научно-техническое подразделение

СРД — система разграничения доступа СУБД — система управления базами данных

ТЗ — техническое задание ЭВМ — электронно-вычислительная машина ЭВТ — электронно-вычислительная техника

1. Общие положения

1.1. Настоящее Положение устанавливает единый на территории Российской Федерации порядок исследований и разработок в области:

>• защиты информации, обрабатываемой автоматизированными системами различного уровня и назначения, от несанкционированного доступа;

>• создания средств вычислительной техники общего и специального назначения, защищенных от утечки, искажения или уничтожения информации за счет НСД, в том числе программных и технических средств защиты информации от НСД;

>• создания программных и технических средств защиты информации от НСД в составе систем защиты секретной информации в создаваемых АС.

1.2. Положение определяет следующие основные вопросы:

>• организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне;

>• систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;

>• порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;

>• порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.

1.3. Положение разработано в развитие Инструкции № 0126-87 в части требований к программным и техническим средствам и системам защиты информации от НСД и базируется на Концепции защиты СВТ и АС от НСД к информации.

Организационные мероприятия по предупреждению утечки и защите информации, являющиеся составной частью решения проблемы защиты информации от НСД, базируются на требованиях указанной инструкции, дополняют программные и технические средства и системы и в этой части являются предметом рассмотрения настоящего Временного положения.

1.4. Временное положение обязательно для выполнения всеми органами государственного управления, государственными предприятиями, воинскими частями, другими учреждениями, организациями и предприятиями (независимо от форм собственности), обладающими государственными секретами, и предназначено для заказчиков, разработчиков и пользователей защищенных СВТ, автоматизированных систем, функционирующих с использованием информации различной степени секретности.

1.5. Разрабатываемые и эксплуатируемые программные и технические средства и системы защиты информации от НСД должны являться неотъемлемой составной частью защищенных СВТ, автоматизированных систем, обрабатывающих информацию различной степени секретности.

1.6. При разработке средств и систем защиты в АС и СВТ необходимо руководствоваться требованиями следующих руководящих документов:

>• концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;

>• настоящее Временное положение;

>• защита от несанкционированного доступа к информации. Термины и определения;

>• средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

>• автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

2. Организационная структура, порядок проведения работ по защите информации от НСД и взаимодействия на государственном уровне

2.1. Заказчиком защищенных СВТ является заказчик соответствующей АС, проектируемой на базе этих СВТ.

Заказчик защищенных СВТ финансирует их разработку или принимает долевое участие в финансировании разработок СВТ общего назначения в части реализации своих требований.

2.2. Заказчиком программных и технических средств защиты информации от НСД может являться государственное учреждение или коллективное предприятие независимо от формы собственности.

2.3. Постановку задач по комплексной защите информации, обрабатываемой автоматизированными системами, а также контроль за состоянием и развитием этого направления работ осуществляет Гостехкомиссия России.

2.4. Разработчиками защищенных СВТ общего и специального назначения, в том числе их общесистемного программного обеспечения, являются государственные предприятия — производители СВТ, а также другие организации, имеющие лицензию на проведение деятельности в области защиты информации.

2.5. Разработчиками программных и технических средств и систем защиты информации от НСД могут быть предприятия, имеющие лицензию на проведение указанной деятельности.

2.6. Проведение научно-исследовательских и опытно-конструкторских работ в области защиты секретной информации от НСД, создание защищенных СВТ общего назначения осуществляется по государственному заказу по представлению заинтересованных ведомств, согласованному с Гостехкомиссией России.

2.7. Организация и функционирование государственных и отраслевых сертификационных центров определяются Положением об этих центрах. На них возлагается проведение сертификационных испытаний программных и технических средств защиты информации от НСД. Перечень сертификационных центров утверждает Гостехкомиссия России.

3. Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД

3.1. Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД базируется на законах, определяющих вопросы защиты государственных секретов и информационного компьютерного права.

3.2. Система указанных документов определяет работу в двух направлениях:

>• первое — разработка СВТ общего и специального назначения, защищенных от утечки, искажения или уничтожения информации, программных и технических (в том числе криптографических) средств и систем защиты информации от НСД;

>• второе — разработка, внедрение и эксплуатация систем защиты АС различного уровня и назначения как на базе защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, так и на базе средств и систем собственной разработки.

3.3. К системе документации первого направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:

>• различные уровни оснащенности СВТ средствами защиты информации от НСД и способы оценки этих уровней (критерии защищенности);

>• порядок разработки защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях заказа и разработки защищенных СВТ;

>• порядок приемки и сертификации защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях приемки и сертификации защищенных СВТ;

>• разработку эксплуатационных документов и сертификатов.

3.4. К системе документации второго направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:

>• порядок организации и проведения разработки системы защиты секретной информации, взаимодействие, права и обязанности заказчика и разработчика АС в целом и СЗСИ в частности;

>• порядок разработки и заимствования программных и технических средств и систем защиты информации от НСД в процессе разработки СЗСИ;

>• порядок настройки защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД на конкретные условия функционирования АС;

>• порядок ввода в действие и приемки программных и технических средств и систем защиты информации от НСД в составе принимаемой АС;

>• порядок использования защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, в соответствии с классами и требованиями по защите в конкретных системах;

>• порядок эксплуатации указанных средств и систем;

>• разработку эксплуатационных документов и сертификатов;

>• порядок контроля защищенности АС;

>• ответственность должностных лиц и различных категорий исполнителей (пользователей) за выполнение установленного порядка разработки и эксплуатации АС в целом и СЗСИ в частности.

3.5. Состав документации, определяющей работу в этих направлениях, устанавливают Госстандарт Российской Федерации и Гостехкомиссия России.

3.6. Обязательным требованием к ТЗ на разработку СВТ и АС должно быть наличие раздела требований по защите от НСД, а в составе документации, сопровождающей выпуск СВТ и АС, должен обязательно присутствовать документ (сертификат), содержащий результаты анализа их защищенности от НСД.

4. Порядок разработки и изготовления защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД

4.1. При разработке и изготовлении защищенных СВТ, в том числе программных и технических средств и систем защиты необходимо руководствоваться существующей системой разработки и постановки продукции на производство, определенной ГОСТ 21552-84 и ВД к нему, ГОСТ 16325-88 и ВД к нему, ГОСТ 15.001-88, ГОСТ 23773-88, ГОСТ 34.201-89, ГОСТ 34.602-89, РД 50-601-10-89, РД 50-601-11-89, РД 50-601-12-89 и другими документами.

4.2. Разработку защищенных СВТ общего назначения, в том числе их общесистемного программного обеспечения, осуществляют предприятия-производители СВТ по государственному заказу в соответствии с ТЗ, согласованным с Гостехкомиссией России (в случае встроенных криптографических средств и систем с Главным шифрорганом страны и предприятием-разработчиком этих средств и систем).

4.3. Разработку защищенных СВТ специального назначения, в том числе их программного обеспечения (общесистемного и прикладного), осуществляют предприятия-производители СВТ по государственному заказу в соответствии с ТЗ, согласованным с Гостехкомиссией России (в случае встроенных криптографических средств и систем — Главным шифрорганом страны и предприятием-разработчиком этих средств и систем) и утвержденным заказчиком СВТ специального назначения.

4.4. Порядок разработки защищенных программных средств на базе общесистемного программного обеспечения, находящегося в эксплуатации.

4.4.1. Разработка защищенных программных средств на базе общесистемного программного обеспечения (ОС, СУБД, сетевые программные средства), находящегося в эксплуатации или поставляемого вместе с незащищенными СВТ предприятиями-изготовителями этих СВТ или Государственным фондом алгоритмов и программ (ГосФАП), может осуществляться по заказу для государственных нужд в соответствии с ТЗ, согласованным с разработчиком соответствующих общесистемных программных средств, с Гостехкомиссией России в пределах ее компетенции и утвержденным заказчиком этих программных средств.

4.4.2. Предприятие-разработчик общесистемного программного средства обязано в этом случае предоставить предприятию-разработчику защищенного программного средства всю необходимую документацию и оказывать консультации при разработке.

4.4.3. При необходимости, определяемой заказчиком работ, предприятие-разработчик общесистемного программного средства может быть соисполнителем разработки защищенного программного средства.

4.4.4. Разработку защищенных программных средств могут осуществлять также предприятия заинтересованных ведомств по отраслевому заказу. В этом случае ТЗ, отвечающее тем же требованиям, согласовывается головной организацией этой отрасли с Гостехкомиссией России в пределах ее компетенции и утверждается заказчиком защищенных программных средств.

4.5. Порядок разработки защищенных программных средств на базе импортных общесистемных программных прототипов.

4.5.1. Разработку (адаптацию) защищенных программных средств на базе импортных общесистемных программных прототипов осуществляют по государственному или отраслевому заказу предприятия-разработчики соответствующих типов СВТ, специализированные организации и предприятия заинтересованных ведомств по согласованию с приобретающим ведомством и в соответствии с ТЗ, согласованным с Гостехкомиссией России в пределах ее компетенции и утвержденным заказчиком этих защищенных средств в зависимости от уровня заказа.

4.5.2. Предварительным этапом разработки защищенных программных средств на базе импортных общесистемных программных прототипов является снятие защиты от копирования и вскрытия механизма работы прототипа, а также проведение анализа защитных средств прототипа на предмет их соответствия требованиям ТЗ в целях использования задействованных средств защиты, их дополнения и модификации.

Проведение работ предварительного этапа может осуществляться по отдельному ТЗ.

4.6. Порядок разработки программных средств контроля защищенности разработанных защищенных СВТ, программных средств и систем защиты.

4.6.1. Все предприятия, осуществляющие разработку защищенных СВТ, в том числе программных средств и систем защиты, обязаны разрабатывать тестовые программные средства для контроля защищенности в процессе приемки и эксплуатации защищенных СВТ и программных средств.

4.6.2. Для создания программных средств контроля могут привлекаться в качестве соисполнителей специализированные организации, имеющие на то лицензию Гостехкомиссии России, функциональной направленностью которых является «вскрытие» механизмов защиты общесистемных программных средств.

4.6.3. Создание программных средств контроля может осуществляться как по общему с разработкой защищенных средств ТЗ, так и по частному ТЗ, порядок согласования и утверждения которого аналогичен изложенному в п. 4.5.1.

4.7. Порядок разработки технических средств защиты информации от НСД.

4.7.1. Разработка технических средств защиты информации от НСД для использования в государственных структурах может производиться по государственному или отраслевому заказу.

4.7.2. Разработка технических средств защиты информации от НСД производится совместно с программными средствами, обеспечивающими их работоспособность в составе защищенных СВТ.

Кроме того, технические средства могут поддерживать защищенность общесистемных программных средств в целях безопасности информации.

4.7.3. Разработку технических средств защиты информации от НСД осуществляют как предприятия-разработчики защищенных СВТ, так и компетентные предприятия заинтересованных ведомств по ТЗ, порядок согласования и утверждения которого аналогичен изложенному в п. 4.5.1.

5. Порядок приемки и сертификации защищенных СВТ общего и специального назначения, в том числе программных и технических средств и систем защиты информации от НСД

5.1. Исследования (проверки, испытания) и приемка защищенных СВТ общего и специального назначения, в том числе программных и технических средств и систем защиты информации от НСД производится установленным порядком в соответствии с ГОСТ В15.307-77, ГОСТ В15.210-78, ГОСТ 23773-88 и НТД по безопасности информации.

5.2. Сертификационные испытания защищенных СВТ общего и специального назначения, в том числе программных и технических средств и систем защиты информации от НСД проводят государственные и отраслевые сертификационные центры.

5.3. Право на проведение сертификационных испытаний защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД предоставляется Гостехкомиссией России по согласованию с Госстандартом России и в случае использования криптографических средств и систем защиты с Главным шифрорганом страны, предприятиям-разработчикам защищенных СВТ, специализированным организациям ведомств, разрабатывающих защищенные СВТ, в том числе программные и технические средства и системы защиты информации от НСД.

5.4. В соответствии с Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации по результатам сертификационных испытаний оформляется акт, а разработчику выдается сертификат, заверенный Гостехкомиссией России и дающий право на использование и распространение этих средств как защищенных.

5.5. Средства, получившие сертификат, включаются в номенклатуру защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД.

Обработка секретной информации разрешается только с использованием сертифицированных средств и систем защиты.

5.6. Разработанные программные средства после их приемки представляются для регистрации в специализированный фонд Государственного фонда алгоритмов и программ.

6. Порядок разработки, сертификации, внедрения и эксплуатации средств криптографической защиты информации от несанкционированного доступа

6.1. Данный раздел определяет взаимодействие сторон и порядок проведения работ при создании, сертификации и эксплуатации средств криптографической защиты информации (СКЗИ) от несанкционированного доступа на государственных предприятиях, в ведомствах.

Действие данного раздела распространяется на программные, технические и программно-технические средства в составе СВТ и АС, применяемые для криптографической защиты от НСД к информации, обрабатываемой, хранимой, накапливаемой и передаваемой в вычислительных системах, построенных на базе отдельных ЭВМ, комплексов ЭВМ и локальных вычислительных сетей, расположенных в пределах одной контролируемой зоны.

Разрешается применение положений данного раздела также в случае нескольких контролируемых зон при условии, что для связи между ними используются защищенные с помощью аппаратуры ЗАС или СКЗИ каналы, по которым в соответствии с действующими нормативными документами разрешена передача секретной информации соответствующего грифа (см. п. 6.15 данного раздела).

В дальнейшем: Положение о сертификации.

6.2. Организационно-методическое руководство работами по созданию и эксплуатации СКЗИ, сертификацию СКЗИ, а также контроль за состоянием и развитием этого направления работ осуществляют Гостехкомиссия России и Главный шифрорган страны при посредстве ряда уполномоченных ими специализированных организаций.

6.3. С помощью СКЗИ может осуществляться защита от несанкционированного доступа к несекретной и служебной информации, а также к информации, имеющей грифы «Секретно», «Совершенно секретно» и «Особой важности».

6.4. При выполнении разработки СКЗИ (или изделия СВТ, содержащего в своем составе СКЗИ), предназначаемого для защиты секретной информации любых грифов, а также для защиты ценной и особо ценной информации, техническое задание на СКЗИ должно быть согласовано с Гостехкомиссией России и Главным шифрорганом страны.

Вместе с техническим заданием должны быть направлены схема конфигурации защищаемых СВТ или АС, описание структуры подлежащих защите информационных объектов (с указанием максимального грифа секретности), а также данные о характеристиках допуска и предполагаемых административных структурах пользователей.

6.5. По результатам рассмотрения исходных данных вышеупомянутые органы представляют разработчику СКЗИ рекомендации по использованию одного из аттестованных алгоритмов шифрования, а также (при необходимости) описание его криптосхемы, криптографические константы, тестовые примеры для проверки правильности реализации алгоритма, рекомендации по построению ключевой системы СКЗИ и ряд других документов.

6.6. На основе полученных документов разработчик реализует СКЗИ в виде программного или технического изделия и с привлечением специализированных организаций готовит необходимые материалы для сертификации СКЗИ в соответствии с Положением о сертификации.

Приемку полученных в результате разработки опытных образцов осуществляет комиссия, создаваемая Заказчиком СКЗИ. В состав комиссии должны быть включены представители Гостехкомиссии России и Главного шифроргана страны.

6.7. Сертификация СКЗИ осуществляется на хозрасчетных началах. Положительная сертификация СКЗИ завершается выдачей сертификационного удостоверения.

6.8. Применение СКЗИ, не прошедших в установленном порядке сертификацию для защиты от НСД к секретной информации любых грифов, а также ценной и особо ценной информации запрещается.

6.9. При внедрении АС, содержащей в своем составе сертифицированное СКЗИ и при условии, что данная АС предназначается для обработки секретной информации с грифом не выше «Совершенно секретно» или для обработки ценной информации, дополнительного разрешения на эксплуатацию сертифицированного СКЗИ не требуется (кроме случаев, специально оговоренных в сертификационном удостоверении на СКЗИ).

Для АС, предназначенных для обработки информации с грифом «Особой важности» или для обработки особо ценной информации, должно быть получено письменное разрешение Гостехкомиссии России и Главного шифроргана страны на эксплуатацию СКЗИ в составе конкретной АС.

6.10. Эксплуатация СКЗИ, применяемых для защиты секретной или ценной информации, должна осуществляться в соответствии с требованиями разрабатываемых Инструкции по обеспечению безопасности эксплуатации СКЗИ в составе АС и Инструкции о порядке использования действующих сменных ключей.

В организации, осуществляющей эксплуатацию АС, должна быть создана служба (орган) безопасности информации, на которую возлагаются ответственность за реализацию мероприятий, предусмотренных вышеназванными инструкциями.

6.11. Гриф секретности действующих сменных ключей и соответствующих ключевых документов при защите информации от НСД с помощью СКЗИ, должен соответствовать максимальному грифу секретности информации, шифруемой с использованием этих ключей.

Носители с записанной на них ключевой документацией СКЗИ учитываются, хранятся и уничтожаются как обычные документы соответствующего грифа секретности согласно Инструкции по обеспечению режима секретности № 0126-87.

6.12. СКЗИ без введенных криптографических констант и действующих сменных ключей имеют гриф секретности, соответствующий грифу описания криптосхемы. СКЗИ с загруженными криптографическими константами имеет гриф секретности, соответствующий грифу криптографических констант. Гриф секретности СКЗИ с загруженными криптографическими константами и введенными ключами определяется максимальным грифом содержащихся в СКЗИ ключей и криптографических констант.

6.13. Шифртекст, полученный путем зашифрования с помощью СКЗИ открытой секретной информации любых грифов, является несекретным.

Внешние носители данных (магнитные ленты, диски, кассеты, дискеты и т. п.) с зашифрованной информацией могут пересылаться, храниться и учитываться как несекретные, если они не содержат и ранее не содержали открытой секретной информации.

6.14. Для передачи за пределы контролируемой зоны шифртекста, полученного путем зашифрования с помощью СКЗИ несекретной информации, могут использоваться незащищенные каналы связи.

Если гриф исходной информации (до зашифрования) был «Для служебного пользования», то допускается применение только сертифицированного СКЗИ.

6.15. Для передачи за пределы контролируемой зоны шифртекста, полученного путем зашифрования с помощью СКЗИ информации с грифами «Секретно» и выше, должны использоваться каналы связи, защищенные с помощью связной шифраппаратуры, для которых в соответствии с действующими нормативными документами получено разрешение на передачу секретной информации. Специальное разрешение на эксплуатацию СКЗИ в этом случае не требуется.

Порядок создания шифраппаратуры, т. е. криптографических средств различных видов (технических и программно-технических), предназначенных для защиты информации, передаваемой за пределы контролируемой зоны по незащищенным каналам связи, регламентируется Положением о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, государственных и ведомственных систем связи и управления и комплексов вооружения, использующих шифровальную технику (Положение ПШ-89), утвержденным Постановлением Совета Министров СССР от 30.04.90 г. № 439-67.

6.16. Ответственность за надлежащее исполнение правил эксплуатации СКЗИ (в том числе в период проведения приемочных испытаний), возлагается на руководство предприятий, эксплуатирующих данные СКЗИ.

6.17. Контроль за выполнением требований инструкций по эксплуатации СКЗИ возлагается на службы защиты информации предприятий, эксплуатирующих данные СКЗИ.

7. Порядок организации и проведения разработок системы защиты секретной информации в ведомствах и на отдельных предприятиях

7.1. Для решения научно-технических, методических и принципиальных практических вопросов по проблеме защиты информации от НСД в АС в системе ведомств может проводиться комплекс научно-исследовательских и опытно-конструкторских работ по отраслевым планам.

7.2. В целях организации проблемных исследований, централизации разработок средств и систем защиты информации от НСД, осуществления научно-методического руководства проведением работ по этой проблеме в системе ведомств при головных организациях по АС могут создаваться специализированные отраслевые подразделения, осуществляющие взаимодействие с аналогичными подразделениями других министерств и ведомств.

7.3. Научное руководство работами по защите информации от НСД осуществляет главный конструктор интегрированных АС страны.

7.4. Общее руководство работами по защите информации от НСД, осуществление единой технической политики, организационно-методическое руководство и координацию работ, финансирование НИОКР по отраслевым заказам, взаимодействие с Гостехкомиссией России, другими ведомствами, а также контроль за организацией и проведением работ по защите информации от НСД в центральных аппаратах ведомств осуществляют научно-технические и режимные подразделения или назначаются кураторы этого направления работ.

7.5. На предприятии научно-техническое руководство и непосредственную организацию работ по созданию СЗСИ интегрированной АС осуществляет главный конструктор этой системы, а по типам AC — главные конструкторы этих систем, научные руководители тем, начальники объектов ЭВТ или другие должностные лица, обеспечивающие научно-техническое руководство всей разработкой соответствующей АС.

7.6. При разработке системы защиты в АС следует руководствоваться классификацией автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требованиями по защите информации в автоматизированных системах различных классов.

Система защиты секретной информации реализуется в виде подсистемы АС и включает комплекс организационных, программных, технических (в том числе криптографических) средств, систем и мероприятий по защите информации от НСД. СЗСИ состоит из системной и функциональной частей. Системная часть является общей и применяется при разработке, внедрении и эксплуатации всех или большинства задач АС, функциональная часть обеспечивает защиту информации при решении конкретных задач.

7.7. Разработку СЗСИ АС осуществляют подразделение, разрабатывающее на предприятии АС, группа или отдельные специалисты по разработке средств и мер защиты и (или) специализированные научно-исследовательские, конструкторские и проектные предприятия (в том числе других министерств и ведомств) по договорам, заключаемым заказчиком АС.

В структуре крупных подразделений с большим объемом работ по режимному обеспечению выделяются также службы безопасности или секретные органы.

7.8. На подразделение разработки средств и мер защиты информации возлагаются разработка и внедрение системного режимного обеспечения (адаптация и настройка программных и технических средств и систем централизованной разработки), а также разработка требований к функциональному режимному обеспечению.

К разработке и внедрению системного режимного обеспечения привлекаются специалисты — разработчики обеспечивающих и функциональных подсистем АС, служб безопасности или секретных органов.

Разработка и внедрение режимного обеспечения АС осуществляется при взаимодействии со специальными научно-техническими подразделениями — службами защиты информации и подразделениями режимно-секретной службы предприятия.

7.9. Методическое руководство и участие в разработке требований по защите информации от НСД, аналитического обоснования необходимости создания режимного обеспечения АС, согласование выбора СВТ (в том числе общесистемного программного обеспечения), программных и технических средств и систем защиты, организацию работ по выявлению возможностей и предупреждению утечки секретной информации при ее автоматизированной обработке осуществляет СНТП предприятия.

В выработке требований по защите информации от НСД СНТП участвует совместно с заказчиком соответствующей АС, отраслевым органом обеспечения безопасности и военным представительством Министерства обороны в части вопросов, относящихся к его компетенции.

7.10. Общее руководство работами по обеспечению режима секретности при разработке АС осуществляет заместитель руководителя предприятия-разработчика по режиму.

Общее руководство работами по обеспечению режима секретности при эксплуатации АС осуществляет заместитель руководителя предприятия (организации), отвечающий за обеспечение режима секретности.

Организацию контроля эффективности средств и мер защиты информации разрабатывает предприятие и осуществляет руководитель, отвечающий на предприятии за организацию работ по защите информации.

7.11. При разработке СЗСИ необходимо максимально использовать имеющиеся или разрабатываемые типовые общесистемные компоненты, заимствуя программные и технические средства и системы защиты информации от НСД централизованной разработки, используя защищенные СВТ.

7.12. В рамках существующих стадий и этапов создания АС (ГОСТ 34.601-90) выполняются необходимые этапы работ по созданию СЗСИ.

7.13. В комплексе работ по созданию АС должны предусматриваться опережающая разработка и внедрение системной части СЗСИ.

7.14. На предпроектной стадии по обследованию объекта автоматизации группой обследования, назначенной приказом заказчика АС:

>• устанавливается наличие или отсутствие секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы;

>• определяются режим обработки секретной информации, класс АС, комплекс основных технических СВТ, общесистемные программные

средства, предполагаемые к использованию в разрабатываемой АС;

>• оценивается возможность использования типовых или разрабатываемых централизованно и выпускаемых серийно средств защиты информации;

>• определяются степень участия персонала ВЦ, функциональных и производственных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и с подразделениями режимно-секретной службы;

>• определяются мероприятия по обеспечению режима секретности на стадии разработки секретных задач.

7.15. На основании результатов предпроектного обследования разрабатываются аналитическое обоснование создания СЗСИ и раздел ТЗ на ее отработку.

7.16. На стадии разработки проектов СЗСИ заказчик контролирует ее разработку.

7.17. На стадиях технического и рабочего проектирования разработчик системной части СЗСИ обязан:

>• уточнить состав средств защиты в применяемых версиях ОС и ППП, описать порядок их настройки и эксплуатации, сформулировать требования к разработке функциональных задач и баз данных АС;

>• разработать или адаптировать программные и технические средства защиты, разработать организационные мероприятия по системной части СЗСИ;

>• разработать организационно-распорядительную и проектную документацию СЗСИ и рабочую документацию по эксплуатации средств и мер защиты;

>• осуществлять методическую помощь разработчикам функциональной части СЗСИ.

7.18. На стадиях технического и рабочего проектирования разработчик функциональной части СЗСИ обязан:

>• представить разработчику системной части СЗСИ необходимые исходные данные для проектирования;

>• при методической помощи разработчиков системной части СЗСИ предусмотреть при решении функциональных задач АС использование средств и мер защиты;

>• разработать проектную документацию по режимному обеспечению задачи АС и рабочие инструкции для эксплуатации функциональных задач АС, определяющие порядок работы персонала ВЦ и пользователей при обработке секретной информации с учетом функционирования СЗСИ;

>• обосновать количество лиц (и их квалификацию), необходимых для непосредственной эксплуатации (применения) разработанных средств (системы) защиты секретной информации;

>• определить порядок и условия использования стандартных штатных средств защиты обрабатываемой информации, включенных разработчиком в ОС, ППП и т.п.;

>• выполнить генерацию пакета прикладных программ в комплексе с выбранными стандартными средствами защиты.

7.19. Разработка, внедрение и эксплуатация СЗСИ АС осуществляется в отрасли или на отдельном предприятии в соответствии с требованиями следующей организационно-распорядительной и проектной документацией, учитывающей конкретные условия функционирования АС различного уровня и назначения:

>• Положение о порядке организации и проведения в отрасли (на предприятии) работ по защите секретной информации в АС;

>• Инструкция по защите секретной информации, обрабатываемой в АС отрасли (на предприятии или в подразделениях предприятия);

>• раздел Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии, определяющий особенности системы допуска в процессе разработки и функционирования АС;

приказы, указания, решения:

>• о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий;

>• о начале обработки на объекте ЭВТ информации определенной степени секретности;

>• о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных СЗСИ;

>• о назначении уполномоченных службы безопасности и т.д.;

>• проектная документация различных стадий создания СЗСИ.

7.20. Разработка, внедрение и эксплуатация СЗСИ в АС производится установленным порядком в соответствии с требованиями ГОСТ 34.201-89, ГОСТ 34.602-89, ГОСТ 34.601-90, РД 50-680—88, РД 50-682-89, РД 50-34.698-90 и других документов.

21. Модернизация АС должна рассматриваться как самостоятельная разработка самой АС и СЗСИ для нее. Организация работ при этом должна соответствовать содержанию настоящего раздела.

8. Порядок приемки СЗСИ перед сдачей в эксплуатацию в составе АС

8.1. На стадии ввода в действие КСЗ осуществляются:

>• предварительные испытания средств защиты;

>• опытная эксплуатация средств защиты и функциональных задач АС в условиях их работы;

>• приемочные испытания средств защиты;

>• приемочные испытания СЗСИ в составе автоматизированной системы комиссией соответствующего ранга.

8.2. Предварительные испытания средств защиты проводит разработчик этих средств совместно с заказчиком и с привлечением специалистов отраслевых органов безопасности информации в целях проверки отдельных средств по ГОСТ 21552-84, ГОСТ 16325-88 и ГОСТ 23773-88, соответствия технической документации требованиям ТЗ, выработки рекомендаций по их доработке и определения порядка и сроков проведения опытной эксплуатации.

8.3. Допускается проведение опытной эксплуатации средств защиты до эксплуатации функциональных задач АС или параллельно с ней. Опытную эксплуатацию осуществляет заказчик с участием разработчика в соответствии с программой в целях проверки работоспособности средств защиты на реальных данных и отработки технологического процесса. На этапе опытной эксплуатации допускается обработка информации, имеющей гриф «Секретно» и «Совершенно секретно».

Для информации, имеющей гриф «Особой важности», возможность обработки на этапе опытной эксплуатации определяют совместно заказчик, разработчик и отраслевой орган безопасности информации.

Опытная эксплуатация функциональных задач АС должна включать проверку их функционирования в условиях работы средств защиты.

8.4. При положительных результатах опытной эксплуатации все программные, технические средства, организационная документация сдаются заказчику по акту.

Приемка технических средств защиты в эксплуатацию заключается в проверке их характеристик и функционирования в конкретных условиях, а программных средств защиты — в решении контрольного примера (теста), наиболее приближенного к конкретным условиям функционирования АС, с запланированными попытками обхода систем защиты. Контрольный пример готовят разработчики совместно с заказчиком.

8.5. Приемочные испытания СЗСИ проводятся в составе автоматизированной системы, предъявляемой комиссии заказчика.

Ответственность за организацию работ при вводе в действие СЗСИ, за функционирование средств защиты после приемочных испытаний несет заказчик.

8.6. Отчетные материалы по результатам приемочных испытаний СЗСИ оформляются в соответствии с ГОСТ 34.201-89 и РД 50-34.698-90 и направляются в орган по сертификации для оформления сертификата.

Виды документов на программные средства защиты определены ГОСТ 19.101-77, на технические средства — ГОСТ 2.102-68, а на эксплуатационные документы — ГОСТ 2.601-68.

9. Порядок эксплуатации программных и технических средств и систем защиты секретной информации от НСД

9.1. Обработка информации в АС должна производиться в соответствии с технологическим процессом обработки секретной информации, разработанным и утвержденным в порядке, установленном на предприятии для проектирования и эксплуатации АС.

9.2. Для эксплуатации СЗСИ — комплекса программно-технических средств и организационных мероприятий по их сопровождению, направленного на исключение несанкционированного доступа к обрабатываемой в АС информации, приказом руководителя предприятия (структурного подразделения) назначаются лица, осуществляющие:

>• сопровождение СЗСИ, включая вопросы организации работы и контроля за использованием СЗСИ в АС;

>• оперативный контроль за функционированием СЗСИ;

>• контроль соответствия общесистемной программной среды эталону;

>• разработку инструкции, регламентирующей права и обязанности операторов (пользователей) при работе с секретной информацией.

10. Порядок контроля эффективности защиты секретной информации в АС

10.1. Контроль эффективности защиты информации в АС проводится в целях проверки сертификатов на средства защиты и соответствия СЗИ требованиям стандартов и нормативных документов Гостехкомиссии России по защите информации от НСД на следующих уровнях:

>• государственном, осуществляемом Инспекцией Гостехкомиссии России по оборонным работам и работам, в которых используются сведения, составляющие государственную тайну;

>• отраслевом, осуществляемом ведомственными органами контроля (главными научно-техническими и режимными управлениями, головными организациями по защите информации в АС);

>• на уровне предприятия (отдельной организации), осуществляемом военными представительствами Вооруженных Сил (по оборонным работам), специальными научно-техническими подразделениями и режимно-секретными службами (органами, службами безопасности).

10.2. Инициатива проведения проверок принадлежит организациям, чья информация обрабатывается в АС, Гостехкомиссии России и ведомственным (отраслевым) органам контроля.

10.3. Проверка функционирующих средств и систем защиты информации от НСД осуществляется с помощью программных (программно-технических) средств на предмет соответствия требованиям ТЗ с учетом классификации АС и степени секретности обрабатываемой информации.

10.4. По результатам проверки оформляется акт, который доводится до сведения руководителя предприятия, пользователя и других организаций и должностных лиц в соответствии с уровнем контроля.

10.5. В зависимости от характера нарушений, связанных с функционированием средств и систем защиты информации от НСД, действующей АС в соответствии с положением о Гостехкомиссии России могут быть предъявлены претензии вплоть до приостановки обработки информации, выявления и устранения причин нарушений.

Возобновление работ производится после принятия мер по устранению нарушений и проверки эффективности защиты органами контроля и только с разрешения органа, санкционировавшего проверку.

В случае прекращения работ по результатам проверки Инспекцией Гостехкомиссии России они могут быть возобновлены только с разрешения Гостехкомиссии России, а в отношении должностных лиц, виновных в этих нарушениях, решается вопрос о привлечении их к ответственности в соответствии с требованиями Инструкции № 0126-87 и действующим законодательством.

11. Порядок обучения, переподготовки и повышения квалификации специалистов в области защиты информации от НСД

11.1. Подготовка молодых специалистов и переподготовка кадров в области защиты информации, обрабатываемой в АС, от НСД осуществляется в системе Госкомитета Российской Федерации по делам науки и высшей школы и Вооруженных Сил кафедрами вычислительной техники и автоматизированных систем высших учебных заведений по договорам с министерствами, ведомствами и отдельными предприятиями.

11.2. Подготовка осуществляется по учебным программам, согласованным с Гостехкомиссией России.

11.3. Повышение квалификации специалистов, работающих в этой области, осуществляют межотраслевые и отраслевыми институты повышения квалификации и вышеуказанные кафедры вузов по программам, согласованным с Гостехкомиссией России и отраслевыми органами контроля.

«ПОЛОЖЕНИЕ

О ГОСУДАРСТВЕННОМ ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ» Совместное решение Гостехкомиссии России и ФАПСИ № 10 от 27 апреля 1994 г.

1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы государственного лицензирования деятельности предприятий, организаций и учреждений (далее — предприятий) независимо от их ведомственной принадлежности и форм собственности в области защиты информации, обрабатываемой (передаваемой) техническими средствами, а также порядок лицензирования и контроля за деятельностью предприятий, получивших лицензии.

1.2. Система Государственного лицензирования предприятий в области защиты информации является составной частью Государственной системы защиты информации.

Деятельность системы Государственного лицензирования организуют Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России), Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) и другие министерства и ведомства в пределах компетенции, установленной законодательством Российской Федераций.

1.3. Государственному лицензированию подлежат следующие виды деятельности по защите информации.

1.3.1. Гостехкомиссией России:

а) сертификация защищенных средств обработки информации, средств защиты и контроля защищенности информации, программных средств по требованиям безопасности информации;

б) аттестование объектов информатики(СМ.Сноску 1) на соответствие требованиям по безопасности информации;

в) специсследования на побочные электромагнитные излучения и наводки технических средств обработки информации (ТСОИ) на соответствие требованиям по безопасности информации;

г) экспертиза программных средств защиты информации и защищенных программных средств обработки информации на соответствие требованиям по предотвращению несанкционированного доступа к информации;

д) создание, монтаж, наладка, установка, ремонт, сервисное обслуживание технических средств защиты информации, защищенных ТСОИ, технических средств контроля эффективности мер защиты информации, программных средств защиты информации, защищенных программных Средств обработки информации, программных средств контроля защищенности информации;

е) проектирование объектов информатики в защищенном исполнении;

ж) контроль защищенности, информации в ТСОИ и на объектах информатики.

1.3.2. ФАПСИ:

а) разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации;

б) разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации;

1.4. Государственная лицензия на право деятельности по защите информации выдается подавшему заявку на получение такой лицензии предприятию, располагающему необходимой испытательной базой, нормативной и

___

Сноска 1. Под объектами информатики понимаются автоматизированные системы, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также помещения, предназначенные для ведения конфиденциальных переговоров.

___

методической документацией, научным и инженерно-техническим персоналом, обладающим современным уровнем знаний в соответствующей области деятельности на основании результатов экспертизы деятельности предприятия по заявленному направлению работ.

1.5. Лицензии на реализацию и эксплуатацию шифровальных средств, закрытых систем и комплексов телекоммуникаций, а также на предоставление услуг в области шифрования информации выдаются предприятиям только при наличии сертификатов ФАПСИ на указанные средства, системы и комплексы.

1.6. Лицензиат, предоставляющий услуги по шифрованию информации, обязан обеспечить тайну переписки, телефонных переговоров, документальных и иных сообщений лиц, пользующихся этими услугами, а в необходимых случаях обеспечить возможность проведения оперативно-розыскных и следственных мероприятий в соответствии с действующим законодательством Российской Федерации.

1.7. Лицензии на использование шифровальных средств, закрытых систем и комплексов телекоммуникаций для криптографической защиты информации при передаче ее по каналам взаимоувязанной сети связи (ВСС) выдаются только при наличии соответствующих сертификатов и лицензий Министерства связи Российской Федерации.

1.9. Государственная лицензия выдается заявителю на конкретный вид деятельности на срок до 3-х лет, по истечению которых лицензия продлевается на очередные три года, установленным в п. 3.1.4. порядком.

1.10. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.

1.11. Юридические и физические лица, осуществляющие деятельность, виды которой указаны в п. 1.3. настоящего Положения, без лицензии или нарушившие установленные правила лицензирования деятельности несут ответственность, предусмотренную законодательством Российской Федерации.

2.1. Организационную структуру государственной системы лицензирования деятельности предприятий в области защиты информации образуют:

>• государственные органы по лицензированию;

>• отраслевые (ведомственные, региональные) лицензионные центры (далее — лицензионные центры);

>• предприятия-заявители (лицензируемые предприятия, лицензиаты);

>• предприятия и организации, в том числе заказывающие управления (заказчики), размещающие работы по защите информации (далее — предприятия-потребители).

2.2. Государственными органами по лицензированию являются Гостехкомиссия России, ФАПСИ, которые в пределах своей компетенции осуществляют следующие функции:

>• организуют обязательное государственное лицензирование деятельности предприятий;

>• выдают государственные лицензии предприятиям-заявителям по представлению лицензионных центров;

>• осуществляют научно-методическое руководство лицензионной деятельностью;

>• осуществляют контроль и надзор за соблюдением правил лицензирования, полнотой и качеством проводимых лицензиатами работ на объектах информатики;

>• обеспечивают публикацию необходимых сведений о ходе и порядке лицензирования;

>• рассматривают спорные вопросы, возникающие в ходе лицензирования. 2.3. Лицензионные центры осуществляют следующие функции:

>• формируют экспертные комиссии и представляют их состав на утверждение в соответствующие государственные органы по лицензированию;

>• планируют и проводят работы по экспертизе заявителей;

>• готовят по результатам экспертизы представления в соответствующие государственные органы по лицензированию;

>• контролируют полноту и качество выполненных лицензиатами работ;

>• систематизируют отчеты лицензиатов и представляют сводный отчет в соответствующие государственные органы по лицензированию ежегодно;

>• принимают участие в работе соответствующих государственных органов по лицензированию при рассмотрении спорных вопросов, возникающих в процессе лицензирования, и фактов некачественной работы лицензиатов.

Лицензионные центры назначаются совместными приказами руководства соответствующих государственных органов по лицензированию и отраслей промышленности, ведомств, органов регионального управления.

2.3.1. Для всестороннего обследования предприятий-заявителей с целью оценки их возможностей проводить работы в избранном направлении защиты информации и вынесения по материалам обследования заключения о возможности предоставления им права на эти работы при лицензионных центрах создаются экспертные комиссии.

Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, Вооруженных Сил, органов государственного управления, других организаций и учреждений.

2.4. Лицензиаты имеют право пользоваться нормативно-методическими документами соответствующих государственных органов по лицензированию, обращаться к ним за необходимыми консультациями и содействием, а также ссылаться в официальных документах и рекламных материалах на полученную лицензию.

2.5. Предприятия-потребители имеют право обращаться с рекламациями на некачественно выполненные лицензиатами работы по защите информации в соответствующий лицензионный центр либо непосредственно в государственный орган по лицензированию.

3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ на объектах информатики осуществляется:

>• в ходе проверок Гостехкомиссией России, ФАПСИ и отраслевыми органами контроля состояния защиты на предприятиях-потребителях, воспользовавшихся услугами лицензиатов;

>• при контроле Гостехкомиссией России, ФАПСИ, лицензионными центрами качества выполненных лицензиатами работ по рекламациям предприятий-потребителей.

В зависимости от характера выявленных нарушений к лицензиатам могут быть применены следующие санкции:

>• поручение устранить за свой счет выявленные недостатки;

>• лишение лицензии.

Возмещение понесенных предприятием-потребителем затрат (ущерба) в случаях выявления нарушений состояния защиты производится в судебном порядке через хозяйственный суд (арбитраж).

Основные требования к предприятиям-заявителям на право получения лицензий в области защиты информации

К предприятиям-заявителям на право получения лицензий предъявляются требования по:

>• уровню квалификации специалистов;

>• наличию и качеству измерительной базы;

>• наличию и качеству производственных помещений;

>• наличию режимного органа и обеспечению охраны материальных ценностей и секретов заказчика.

1.1. Специалисты предприятий-заявителей на право получения лицензий должны ЗНАТЬ (в пределах своих функциональных обязанностей):

>• основные руководящие документы по обеспечению защиты информации и контролю ее эффективности;

>• нормативно-методические документы по защите и контролю защищенности информации, циркулирующей в технических средствах ее передачи и обработки и в помещениях, предназначенных для ведения служебных (секретных) переговоров;

>• необходимое программно-аппаратное оснащение подразделений защиты информации и контроля ее защищенности;

>• устройство, технические характеристики, принципы работы технических средств (по направлениям деятельности). Принципы формирования информативных сигналов в системах (технических средствах) обработки, передачи информации и пути циркуляции этих сигналов. Схемно-конструктивные решения основных типов технических средств информатики;

>• физические основы возникновения каналов утечки информации при ее обработке в средствах информатики и ведении служебных переговоров в выделенных помещениях. Временные, частотные, амплитудные и спектральные характеристики аналоговых и дискретных сигналов, циркулирующих в средствах информатики, и выделенных помещениях. Отличительные особенности информативных сигналов каждого вида технических средств передачи и обработки информации. Теоретические основы распространения электромагнитных полей в ближней и дальней зонах;

>• возможные каналы утечки секретной информации при ее обработке, передаче, хранении и отображении в средствах информатики и акустической информации, циркулирующей в выделенных помещениях. Причины возникновения паразитной генерации, электроакустических преобразований, побочных электромагнитных излучений, неравномерности потребления тока в сети электропитания и наводок на токопроводящие цепи, вспомогательные коммуникации и другие металлоконструкции при работе технических средств информатики;

>• структуру и функции программных средств управления вычислительным процессом (операционные системы, сетевые пакеты, системы управления базами данных). Принципы системного и прикладного алгоритмирования и программирования. Языки программирования. Принципы организации мультиплексных, многопользовательских и монопольных режимов работы средств информатики;

>• возможности технических средств разведки по добыванию информации или нарушению ее целостности;

>• основные программные, технические, организационные и режимные меры защиты информации от разрушения, искажения, копирования и утечки за счет несанкционированных действий как пользователей, так и лиц, недопущенных к обрабатываемой информации. Методы обеспечения разграничения и контроля доступа. Рекомендованные аппаратные и программные средства шифрования и криптографии, защиты от программ «вирусов» и закрытия физических каналов утечки информации, порядок и способы их применения;

>• возможности и технические характеристики программных и аппаратных средств защиты информационных технологий и информации, циркулирующей в выделенных помещениях, и комплексного контроля эффективности систем защиты информации;

>• требования к тест-программам, применяемым при измерении уровня побочных электромагнитных излучений средств информатики. Основные тест-программы, принципы их работы, возможность использования (применимость) для проверки конкретных типов технических, средств информатики и выделенных помещений;

5^ требования к тест-программам по проверке систем защиты от несанкционированного доступа. Основные тест- программы, принципы их работы, возможность использования (применимость) для проверки на конкретных типах технических средств вычислительной техники и порядок их использования при проверке;

>• метрологические требования к техническим средствам и условиям проведения измерений;

>• организацию работ и предприятия, обеспечивающие техническое обслуживание, ремонт и метрологическую поверку аппаратуры контроля;

>• принципы работы применяемой контрольно-измерительной аппаратуры, ее тактико-технические характеристики и возможности.

1.2. Специалисты предприятий-заявителей на право получения лицензий должны УМЕТЬ:

>• планировать и организовывать мероприятия по проведению специсследований технических средств информатики, аттестации и комплексного технического контроля эффективности систем защиты информации, циркулирующей в средствах информатики и выделенных помещениях на проверяемых объектах. Анализировать полученные результаты;

>• готовить отчетные документы по результатам проведенной работы;

>• определять характеристики и параметры контролируемого средства или выделенного помещения и проводить их анализ;

>• определять состав и структуру системы защиты информации, ее организационное и программно-аппаратное обеспечение. Проверять полноту соответствия технической документации требованиям нормативно-методических документов. Выявлять возможные каналы утечки или несанкционированного доступа к информации;

>• применять средства криптографической защиты;

>• организовать работу и применять средства защиты от специального программного воздействия (программ-"вирусов");

>• выявлять нарушения в технологии обработки информации. С применением программных, аппаратных и аналитических методов проверять правильность функционирования систем разграничения доступа и защиты от несанкционированных действий. Проверять наличие, качество и анализировать достаточность оперативных средств самоконтроля системы защиты информации;

>• разработать тест-программу, организовать ее запуск и функционирование во время проведения специальных исследований;

>• инструментально-расчетным методом с использованием различной аппаратуры контроля определять источник и параметры опасного сигнала, выполнение в местах возможного размещения средств разведки норм защиты информации, обрабатываемой средствами информатики, и речевой информации, циркулирующей в выделенных помещениях, разведопасные направления для перехвата информации, влияние условий размещения средств информатики, прокладки их линий связи и других коммуникаций на объекте, окружающих предметов (металлоконструкций), а также расположения выделенных помещений на возможности перехвата информации в реальных условиях;

>• проверять возможность утечки информации по различным каналам, образующимся при обработке информации средствами информатики, и речевой информации, циркулирующей в выделенных помещениях, за счет неравномерностей потребления тока в цепях питания, электромагнитных наводок во вспомогательных коммуникациях, цепях заземления, других токопроводящих коммуникациях и металлоконструкциях, возникновения паразитных электроакустических преобразований и генерации в средствах информатики, распространения звуковых волн в различных средах;

>• эксплуатировать, готовить, проверять основные технические параметры штатной аппаратуры контроля, характеризующие ее готовность к работе. Калибровать аппаратуру контроля;

>• работать на персональных ЭВМ. С помощью специального программного обеспечения выполнять необходимые расчеты при обработке результатов контроля, работать с базами данных, готовить выходные (отчетные) документы;

>• организовать ремонт, техническое обслуживание и поверку применяемой контрольно-измерительной аппаратуры, вычислительной и специальной техники.

1.3. Специалисты предприятий-заявителей должны ИМЕТЬ опыт практической работы по обеспечению защиты информации, обрабатываемой средствами информатики и циркулирующей в выделенных помещениях, и проверке эффективности мер защиты информации на объектах контроля.

2.1. Каждый определенный в заявке вид работ по защите информации должен быть обеспечен средствами измерений и контроля в объеме и по качеству достаточном для проведения, в соответствии с действующими на момент заявления методиками, измерений параметров технических средств, типы которых определены в заявлении. Допускается использование средств измерений на условиях аренды.

2.2. Измерительная база должна ОБЕСПЕЧИВАТЬ:

>• возможность проведения измерений полей в диапазоне частот, установленном в действующей методике (требования по диапазону частот);

>• возможность измерения уровней полей технических средств (требования по чувствительности);

>• возможность измерения опасных сигналов на фоне стационарных полей посторонних радиоэлектронных средств (требования по избирательности);

>• достоверность полученных значений полей (требования по точности, требования по динамическому диапазону);

>• возможность идентификации опасных излучений конкретному образцу, физической цепи (требования по идентификации).

Каждый тип средства измерений и контроля должен быть предназначен для проведения конкретных видов измерений (требования по назначению).

Средства измерений и контроля должны быть метрологически проверены (требования по метрологическому обеспечению).

При измерениях в цепях (средах), опасных для здоровья, должны быть предусмотрены пробники, съемники, датчики и средства защиты, обеспечивающие безопасность проведения работ.

3.1. Требования к помещениям, предназначенным для проведения измерений при предварительных и лабораторных специсследованиях (сертификации продукции), и их технической и технологической оснащенности рассматриваются как совокупность требований к разработанной технологии проведения измерений, измерительной аппаратуре, помещениям, стендам, антенным камерам, а также к организации их содержания, обслуживания и поверки, выполнение которых позволяет организации, претендующей на проведение работ, указанных в заявке, получить лицензию на право их проведения. Кроме того, на предприятии, претендующем на получение лицензии, должны быть выделены помещения, обеспечивающие сохранность исследуемых технических средств заказчика и документов.

4.1. В целях обеспечения сохранности материальных ценностей заказчика и его коммерческих и других секретов, а также обеспечения заявителя секретной нормативно-методической документацией у него должен быть предусмотрен режимно-секретный орган (орган обеспечения безопасности информации) и обеспечена надежная охрана. Допускается отсутствие у заявителя собственных указанных служб при условии обеспечения его услугами таких служб предприятием, у которого арендуются помещения.

«КОНЦЕПЦИЯ ЗАЩИТЫ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ»

Руководящий документ Гостехкомиссии РФ

Принятые сокращения

AC — автоматизированная система

КСЗ — комплекс средств защиты НСД — несанкционированный доступ

ОС — операционная система

ППП — пакет прикладных программ

ПРД — правила разграничения доступа

РД — руководящий документ

СВТ — средства вычислительной техники

СЗИ — система защита информации СЗИ

НСД — система защиты информации от несанкционированного доступа

СЗСИ — система защиты секретной информации

СНТП — специальное научно-техническое подразделение

СРД — система разграничения доступа

СУБД — система управления базами данных

ТЗ — техническое задание ЭВМ — электронно-вычислительная машина

ЭВТ — электронно-вычислительная техника

1. Общие положения

1.1. Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД, являющейся частью общей проблемы безопасности информации.

1.2. Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации.

1.3. Концепция является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:

>• выработка требований по защите СВТ и АС от НСД к информации;

>• создание защищенных от НСД к информации СВТ и АС;

>• сертификация защищенных СВТ и АС.

1.4. Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.

Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.

Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.

В связи с этим, если понятия защищенность (защита) информации от НСД в АС и защищенность (защита) АС от НСД к информации эквивалентны, то в случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой оно предназначено.

При этом защищенность СВТ есть потенциальная защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС.

2. Определение НСД

2.1. При анализе общей проблемы безопасности информации выделяются те направления, в которых преднамеренная или непреднамеренная деятельность человека, а также неисправности технических средств, ошибки программного обеспечения или стихийные бедствия могут привести к утечке, модификации или уничтожению информации.

Известны такие направления исследования проблемы безопасности информации, как радиотехническое, побочные электромагнитные излучения и наводки, акустическое, НСД и др.

2.2. НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.

Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

3. Основные принципы защиты от НСД

3.1. Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.

3.2. Защита СВТ обеспечивается комплексом программно-технических средств.

3.3. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

3.4. Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

3.5. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).

3.6. Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.

3.7. Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.

4. Модель нарушителя в АС

4.1. В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т. е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

4.2. Первый уровень определяет самый низкий уровень возможностей ведения диалога в AC — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, т. е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

4.3. В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.

5. Основные способы НСД

К основным способам НСД относятся:

>• непосредственное обращение к объектам доступа;

>• создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

>• модификация средств защиты, позволяющая осуществить НСД;

>• внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

6. Основные направления обеспечения защиты от НСД

6.1. Обеспечение защиты СВТ и АС осуществляется:

СРД субъектов к объектам доступа;

обеспечивающими средствами для СРД.

6.2. Основными функциями СРД являются:

>• реализация ПРД субъектов и их процессов к данным;

>• реализация ПРД субъектов и их процессов к устройствам создания

твердых копий;

>• изоляция программ процесса, выполняемого в интересах субъекта,

от других субъектов;

>• управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;

>• реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.

6.3. Обеспечивающие средства для СРД выполняют следующие функции:

>• идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;

>• регистрацию действий субъекта и его процесса;

>• предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;

>• реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;

>• тестирование;

>• очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;

>• учет выходных печатных и графических форм и твердых копий в АС;

>• контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.

6.4. Ресурсы, связанные как с СРД, так и с обеспечивающими ее средствами, включаются в объекты доступа.

6.5. Способы реализации СРД зависят от конкретных особенностей СВТ и АС. Возможно применение следующих способов защиты и любых их сочетаний:

>• распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);

>• СРД в рамках операционной системы, СУБД или прикладных программ;

>• СРД в средствах реализации сетевых взаимодействий или на уровне приложений;

>• использование криптографических преобразований или методов непосредственного контроля доступа;

>• программная и (или) техническая реализация СРД.

7. Основные характеристики технических средств защиты от НСД

7.1. Основными характеристиками технических средств защиты являются:

>• степень полноты и качество охвата ПРД реализованной СРД;

>• состав и качество обеспечивающих средств для СРД;

>• гарантии правильности функционирования СРД и обеспечивающих ее средств.

7.2. Полнота и качество охвата ПРД оценивается по наличию четких непротиворечивых заложенных в СРД правил доступа к объектам доступа и мерам их надежной идентификации. Учитываются также возможности контроля разнообразных дисциплин доступа к данным.

7.3. При оценке состава и качества обеспечивающих средств для СРД учитываются средства идентификации и опознания субъектов и порядок их использования, полнота учета действий субъектов и способы поддержания привязки субъекта к его процессу.

7.4. Гарантии правильности функционирования оцениваются по способам проектирования и реализации СРД и обеспечивающих ее средств (формальная и неформальная верификация) и по составу и качеству препятствующих обходу СРД средств (поддержание целостности СРД и обеспечивающих средств, восстановление после сбоев, отказов и попыток НСД, контроль дистрибуций, возможность тестирования на этапе эксплуатации).

7.5. Оцениваемые АС или СВТ должны быть тщательно документированы. В состав документации включаются Руководство пользователя по использованию защитных механизмов и Руководство по управлению средствами защиты. Для АС и СВТ, претендующих на высокий уровень защищенности, оценка осуществляется при наличии проектной документации (эскизный, технический и рабочий проекты), а также описаний процедур тестирования и их результатов.

8. Классификация АС

8.1. Классификация необходима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем.

8.2. В основу системы классификации АС должны быть положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:

>• информационные, определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС и>•за искажения (потери) информации;

>• организационные, определяющие полномочия пользователей;

>• технологические, определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т. д.), время циркуляции (транзит, хранение и т. д.), вид АС (автономная, сеть, стационарная, подвижная и т. д.).

9. Организация работ по защите от НСД

9.1. Организация работ по защите СВТ и АС от НСД к информации должна быть частью общей организации работ по безопасности информации.

9.2. Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формулируемых заказчиком и согласуемых с разработчиком.

Эти требования задаются либо в виде желаемого уровня защищенности СВТ или АС, либо в виде определенного, соответствующего этому уровню перечня требований.

Требования по защите обеспечиваются разработчиком в виде комплекса средств защиты. Организационные мероприятия для АС реализуются заказчиком.

Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.

9.3. Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных и др.).

По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право разработчику на использование и (или) распространение их как защищенных.

9.4. Разработка мероприятий по защите должна проводиться одновременно с разработкой СВТ и АС и выполняться за счет финансовых и материально-технических средств (ресурсов), выделенных на разработку СВТ и АС.

«АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ»

Руководящий документ Гостехкомиссии РФ

Настоящий руководящий документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

Руководящий документ разработан в дополнение ГОСТ 34.003-90, ГОСТ 34.601-90, РД 50-680-88, РД 50-34.680-90 и других документов.

Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формулировании и реализации требований по защите.

Принятые сокращения

AC — автоматизированные системы НСД — несанкционированный доступ

РД — руководящий документ СЗИ — система защиты информации

СЗИ НСД — система защиты информации от несанкционированного доступа

1. Классификация АС

1.1. Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

1.2. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.

1.3. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

1.4. Основными этапами классификации АС являются:

>• разработка и анализ исходных данных;

>• выявление основных признаков АС, необходимых для классификации;

>• сравнение выявленных признаков АС с классифицируемыми;

>• присвоение АС соответствующего класса защиты информации от НСД.

1.5. Необходимыми исходными данными для проведения классификации конкретной АС являются:

>• перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;

>• перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

>• матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

>• режим обработки данных в АС.

1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

>• наличие в АС информации различного уровня конфиденциальности;

>• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

>• режим обработки данных в AC — коллективный или индивидуальный.

1.8. Устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — ЗБ и ЗА.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.

2. Требования по защите информации от НСД для АС

2.1. Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

2.2. В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

>• управления доступом;

>• регистрации и учета;

>• криптографической;

>• обеспечения целостности.

2.3. В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с пп. 2.4, 2.7 и 2.10. Подробно эти требования сформулированы в пп. 2.5, 2.6, 2.8, 2.9 и 2.11—2.15.

2.4. Требования к АС третьей группы.

Подсистемы и требования /Классы

/ЗБ /ЗА

1. Подсистема управления доступом / /

1.1. Идентификация, проверка подлинности и контроль доступа субъектов: / /

>• в систему /+ /+

>• к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ /- /-

>• к программам /— /—

>• к томам, каталогам, файлам, записям, полям записей /— /—

1.2. Управление потоками информации /— /—

2. Подсистема регистрации и учета / /

2.1. Регистрация и учет: / /

Окончание табл.

Подсистемы и требования /Классы

/ЗБ/ЗА

>• входа (выхода) субъектов доступа в (из) системы (узел сети) /+ /+

>•выдачи печатных (графических) выходных документов /- /+

>• запуска (завершения) программ и процессов (заданий, задач) /- /-

>• доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи /^—— /-

>•доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей/ /

>• изменения полномочий субъектов доступа /- /-

>• создаваемых защищаемых объектов доступа /— /—

2.2. Учет носителей информации /+ /+

2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей /— /+

2.4. Сигнализация попыток нарушения защиты /— /—

3. Криптографическая подсистема / /

3.1. Шифрование конфиденциальной информации /- /-

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах /— /-

3.3. Использование аттестованных (сертифицированных) криптографических средств /— /—

4. Подсистема обеспечения целостности / /

4.1. Обеспечение целостности программных средств и обрабатываемой информации /+ /+

4.2. Физическая охрана средств вычислительной техники и носителей информации /+ /+

4.3. Наличие администратора (службы) защиты информации в АС, /- /-

4.4. Периодическое тестирование СЗИ НСД /+ /+

4.5. Наличие средств восстановления СЗИ НСД /+ /+

4.6. Использование сертифицированных средств защиты /- /+

Обозначения:

«-» — нет требований к данному классу;

«+» — есть требования к данному классу.

2.5. Требования к классу защищенности ЗБ:

Подсистема управления доступом:

>• должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов.

Подсистема регистрации и учета:

>• должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку). Подсистема обеспечения целостности:

>• должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом:

• целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;

• целостность программной среды обеспечивается отсутствием в АС. средств разработки и отладки программ;

>• должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

>• должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;

>• должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

2.6. Требования к классу защищенности ЗА:

Подсистема управления доступом:

>• должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Подсистема регистрации и учета:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешная или неуспешная (при НСД);

• дата и время выдачи (обращения к подсистеме вывода);

• краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности;

• спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

>• должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

>• должно проводиться несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации;

>• должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

Подсистема обеспечения целостности:

• целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;

• целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;

>• должны осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;

>• должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновлением контроль работоспособности;

>• должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД. 2.7. Требования к АС второй группы.

Подсистемы и требования /Классы

/2Б /2А

1. Подсистема управления доступом / /

1.1. Идентификация, проверка подлинности и контроль доступа / /

>•субъектов: /+ /+

>• систему /— /+

>• терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ /- /+

>• к программам /— /+

>• томам, каталогам, файлам, записям, полям записей /- /+

1.2. Управление потоками информации /+ /+

2. Подсистема регистрации и учета / /

2.1. Регистрация и учет: / /

>• входа (выхода) субъектов доступа в (из) систему (узел сети) /— /+

>• выдачи печатных (графических) выходных документов /— /+

>• запуска (завершения) программ и процессов (заданий, задач) /— /+

>• доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи /- /+

>• доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей /- /-

>• изменения полномочий субъектов доступа создаваемых защищаемых объектов доступа /- /+

2.2. Учет носителей информации /+ /+

2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей /- /+

2.4. Сигнализация попыток нарушения защиты /— /—

3. Криптографическая подсистема / /

3.1. Шифрование конфиденциальной информации /— /+

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах /- /——

3.3. Использование аттестованных (сертифицированных) криптографических средств / /+

4. Подсистема обеспечения целостности / /

4.1. Обеспечение целостности программных средств и обрабатываемой информации /+ /+

4.2. Физическая охрана средств вычислительной техники и носителей информации /+ /+

4.3. Наличие администратора (службы) защиты информации в АС/— /+

Окончание табл.

Подсистемы и требования /Классы

/2Б /2А

4.4. Периодическое тестирование СЗИ НСД /+ /+

4.5. Наличие средств восстановления СЗИ НСД /+ /+

4.6. Использование сертифицированных средств защиты /— /+

Обозначения:

«-» — нет требований к данному классу;

«+» —есть требования к данному классу.

2.8. Требования к классу защищенности 2Б:

Подсистема управления доступом:

>• должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Подсистема регистрации и учета:

>• должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешная или неуспешная (при НСД);

>• должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (карточку). Подсистема обеспечения целостности:

>• должна быть обеспечена целостность программных средств СЗИ НСД,

обрабатываемой информации, а также неизменность программной

среды. При этом:

• целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;

• целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;

2.9. Требования к классу защищенности 2А.

Подсистема управления доступом:

>• должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (номерам);

>• должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

>• должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на них информации.

Подсистема регистрации и учета:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешная или неуспешная (при НСД);

• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

• дата и время выдачи (обращения к подсистеме вывода);

• спецификация устройства выдачи [логическое имя (номер) внешнего устройства], краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

• идентификатор субъекта доступа, запросившего документ;

>• должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:

• дата и время запуска;

• имя (идентификатор) программы (процесса, задания);

• идентификатор субъекта доступа, запросившего программу (процесс, задание);

• результат запуска (успешный, неуспешный — несанкционированный);

>• должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:

• дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная — несанкционированная,

• идентификатор субъекта доступа;

• спецификация защищаемого файла;

>• должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:

• дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная — несанкционированная;

• идентификатор субъекта доступа;

• спецификация защищаемого объекта [логическое имя (номер)];

>• должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

>• учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

>• должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;

Криптографическая подсистема:

>• должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные носители данных (дискеты, микрокассеты и т. п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должны выполняться автоматическое освобождение и очистка областей внешней памяти, содержавших ранее незашифрованную информацию;

>• доступ субъектов к операциям шифрования и криптографическим ключам должен дополнительно контролироваться подсистемой управления доступом;

>• должны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты.

Подсистема обеспечения целостности:

• целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;

• целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;

>• должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД;

2.10. Требования к АС первой группы.

Подсистемы и требования /Классы

/1Д /1Г /1В /1Б /1А

1. Подсистема управления доступом /— /— /+ /+ /+

1.1. Идентификация, проверка подлинности и контроль доступа субъектов: / / / / /

>• в систему / / / / /

>• к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ / / / / /

>• к программам / / / / /

>• к томам, каталогам, файлам, записям, полям записей / / / / /

1.2. Управление потоками информации / / / / /

2. Подсистема регистрации и учета / / / / /

2.1. Регистрация и учет / / / / /

>• входа (выхода) субъектов доступа в (из) систему (узел сети) / / / / /

>• выдачи печатных (графических) выходных документов / / / / /

>• запуска (завершения) программ и процессов (заданий, задач) / / / / /

>• доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи / / / / /

>• доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей / / / / /

>• изменения полномочий субъектов доступа создаваемых защищаемых объектов доступа / / / / /

2.2. Учет носителей информации / / / / /

2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей / / / / /

2.4. Сигнализация попыток нарушения защиты / / / / /

3. Криптографическая подсистема / / / / /

3.1. Шифрование конфиденциальной информации / / / / /

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах / / / / /

3.3. Использование аттестованных (сертифицированных) криптографических средств / / / / /

4. Подсистема обеспечения целостности / / / / /

4.1. Обеспечение целостности программных средств и обрабатываемой информации/ / / / /

Окончание табл.

Подсистемы и требования /Классы

/1Д /1Г /1В /1Б /1А

4.2. Физическая охрана средств вычислительной техники и носителей информации /- /- /+ /+ /+

4.3. Наличие администратора (службы защиты информации в АС / / / / /

4.4. Периодическое тестирование СЗИ НСД / / / / /

4.5. Наличие средств восстановления СЗИ НСД / / / / /

4.6. Использование сертифицированных средств защиты / / / / /

Обозначения:

« — » — нет требований к данному классу;

« + » — есть требования к данному классу.

2.11. Требования к классу защищенности 1Д:

Подсистема управления доступом:

>• должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Подсистема регистрации и учета:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешная или неуспешная — несанкционированная;

• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

>• должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнал (учетную карточку);

>• учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).

Подсистема обеспечения целостности:

• целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

2.12. Требования к классу защищенности 1Г:

Подсистема управления доступом:

>• должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

>• должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

>• должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

>• должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Подсистема регистрации и учета:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешная или неуспешная — несанкционированная;

• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

• код или пароль, предъявленный при неуспешной попытке;

>• должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. В параметрах регистрации указываются:

• дата и время выдачи (обращения к подсистеме вывода);

• спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

• краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

• идентификатор субъекта доступа, запросившего документ;

• дата и время запуска;

• имя (идентификатор) программы (процесса, задания);

• идентификатор субъекта доступа, запросившего программу (процесс, задание);

• результат запуска (успешный, неуспешный — несанкционированный);

• дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная — несанкционированная;

• идентификатор субъекта доступа;

• спецификация защищаемого файла;

• идентификатор субъекта доступа;

• спецификация защищаемого объекта [логическое имя (номер)];

>• учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

>• должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов);

Подсистема обеспечения целостности:

>• должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом:

• целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

• целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

Подсистема управления доступом:

>• должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и (или) адресам;

>• должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

>• должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешная или неуспешная — несанкционированная;

• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

• код или пароль, предъявленный при неуспешной попытке;

• дата и время выдачи (обращение к подсистеме вывода);

• спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

• краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

• идентификатор субъекта доступа, запросившего документ;

• объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи: успешный (весь объем), неуспешный;

• дата и время запуска;

• имя (идентификатор) программы (процесса, задания);

• идентификатор субъекта доступа, запросившего программу (процесс, задание);

• результат запуска (успешный, неуспешный — несанкционированный);

• идентификатор субъекта доступа;

• спецификация защищаемого файла;

• имя программы (процесса, задания, задачи), осуществляющей доступ к файлу;

• вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т. п.);

• идентификатор субъекта доступа;

• спецификация защищаемого объекта [логическое имя (номер)];

• имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту;

• вид запрашиваемой операции (чтение, запись, монтирование, захват и т. п.);

>• должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа. В параметрах регистрации указываются:

• дата и время изменения полномочий;

• идентификатор субъекта доступа (администратора), осуществившего изменения;

>• должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и занесением учетных данных в журнал (учетную карточку);

>• учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

>• должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;

>• должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации;

>• должна осуществляться сигнализация попыток нарушения защиты.

Подсистема обеспечения целостности:

• целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

• целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;

• должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;

>• должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;

>• должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год;

2.14. Требования к классу защищенности 1Б:

Подсистема управления доступом:

>• должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю временного действия длиной не менее восьми буквенно-цифровых символов;

>• должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по физическим адресам (номерам);

>• должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

Подсистема регистрации и учета:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешный или неуспешный — несанкционированный;

• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

• код или пароль, предъявленный при неуспешной попытке;

>• должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). Вместе с выдачей документа должна автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания (наименования, вида, шифра, кода) и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа (при неполной выдаче документа — фактически выданного количества листов в графе «Брак»). В параметрах регистрации указываются:

• дата и время выдачи (обращения к подсистеме вывода);

спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

• краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

• идентификатор субъекта доступа, запросившего документ;

• объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи успешный (весь объем), неуспешный;

>• должна осуществляться регистрация запуска (завершения) всех программ и процессов (заданий, задач) в АС. В параметрах регистрации указываются:

• дата и время запуска;

• имя (идентификатор) программы (процесса, задания);

• идентификатор субъекта доступа, запросившего программу (процесс, задание);

• результат запуска (успешный, неуспешный — несанкционированный);

• идентификатор субъекта доступа;

• спецификация защищаемого файла;

• имя программы (процесса, задания, задачи), осуществляющей доступ к файлу;

• вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т. п.);

• идентификатор субъекта доступа;

• спецификация защищаемого объекта [логическое имя (номер)];

• имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту;

• вид запрашиваемой операции (чтение, запись, монтирование, захват и т. п.);

• дата и время изменения полномочий;

• идентификатор субъекта доступа (администратора), осуществившего изменения;

• идентификатор субъекта, у которого проведено изменение полномочий и вид изменения (пароль, код, профиль и т. п.);

• спецификация объекта, у которого проведено изменение статуса защиты и вид изменения (код защиты, уровень конфиденциальности);

>• должен осуществляться автоматический учет создаваемых защищаемых файлов, инициируемых защищаемых томов, каталогов, областей оперативной памяти ЭВМ, выделяемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ, узлов сети ЭВМ, фрагментов сети с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

>• должен проводиться учет всех защищаемых носителей информации с помощью их маркировки;

>• учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

>• должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;

>• должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации;

>• должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя.

Криптографическая подсистема:

>• должна осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные портативные носители данных (дискеты, микрокассеты и т. п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выполняться принудительная очистка областей внешней памяти, содержавших ранее незашифрованную информацию;

>• доступ субъектов к операциям шифрования и к соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом;

Подсистема обеспечения целостности:

>• целостность СЗИ НСД проверяется по контрольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС;

>• целостность программной среды обеспечивается качеством приемки программных средств в АС, предназначенных для обработки защищенных файлов;

>• должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;

>• должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в квартал;

2.15. Требования к классу защищенности 1А:

Подсистема управления доступом:

>• должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов;

>• должна осуществляться аппаратурная идентификация и проверка подлинности терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по уникальным встроенным устройствам;

>• должна осуществляться идентификация и проверка подлинности программ, томов, каталогов, файлов, записей, полей записей по именам и контрольным суммам (паролям, ключам);

Подсистема регистрации и учета:

>• должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешная или неуспешная — несанкционированная;

• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

• код или пароль, предъявленный при неуспешной попытке;

• дата и время выдачи (обращения к подсистеме вывода);

• спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

• краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

• идентификатор субъекта доступа, запросившего документ;

• дата и время запуска;

• имя (идентификатор) программы (процесса, задания);

• идентификатор субъекта доступа, запросившего программу (процесс, задание);

• результат запуска (успешный, неуспешный — несанкционированный);

• полная спецификация соответствующего файла «образа» программы (процесса, задания) — устройство (том, каталог), имя файла (расширение);

• идентификатор субъекта доступа;

• спецификация защищаемого файла;

• имя программы (процесса, задания, задачи), осуществляющей доступ к файлу, вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т. п.);

• идентификатор субъекта доступа;

• спецификация защищаемого объекта [логическое имя (номер)];

• имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту;

• вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.);

• дата и время изменения полномочий и статуса;

• идентификатор субъекта доступа (администратора), осуществившего изменения;

• идентификатор субъекта доступа, у которого изменены полномочия и вид изменений (пароль, код, профиль и т.п.);

• спецификация объекта, у которого изменен статус защиты, и вид изменения (код защиты, уровень конфиденциальности);

>• учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

>• должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;

>• должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, в которой содержалась защищаемая информация;

>• должна осуществляться надежная сигнализация попыток нарушения защиты на терминал администратора и нарушителя.

Криптографическая подсистема:

>• должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на любые съемные носители данных (дискеты, микрокассеты и т. п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выполняться автоматическая очистка областей внешней памяти, содержавших ранее незашифрованную информацию;

>• должны использоваться разные криптографические ключи для шифрования информации, принадлежащей различным субъектам доступа (группам субъектов);

Подсистема обеспечения целостности:

• целостность СЗИ НСД проверяется по имитовставкам алгоритма ГОСТ 28147-89 или по контрольным суммам другого аттестованного алгоритма всех компонент СЗИ как в процессе загрузки, так и динамически в процессе функционирования АС;

• целостность программной среды обеспечивается качеством приемки любых программных средств в АС;

2.16. Организационные мероприятия в рамках СЗИ НСД в АС, обрабатывающих или хранящих информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны отвечать государственным требованиям по обеспечению режима секретности проводимых работ.

2.17. При обработке или хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД государственным, коллективным, частным и совместным предприятиям, а также частным лицам рекомендуются следующие организационные мероприятия:

>• выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите;

>• определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;

>• установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;

>• ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;

>• получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;

>• обеспечение охраны объекта, на котором расположена защищаемая АС, (территория, здания, помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи;

>• выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности;

>• организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т. д.;

>• разработка СЗИ НСД, включая соответствующую организационно-распорядительную и эксплуатационную документацию;

>• осуществление приемки СЗИ НСД в составе АС.

2.18. При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» на классы защищенности АС не ниже (по группам) ЗА, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:

>• не ниже 4-го класса — для класса защищенности AC 1B;

>• не ниже 3-го класса — для класса защищенности АС 1Б;

>• не ниже 2-го класса — для класса защищенности AC 1A.

«СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. ЗАЩИТА ОТ НСД К ИНФОРМАЦИИ.

ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТ НСД К ИНФОРМАЦИИ» Руководящий документ Гостехкомиссии РФ

Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Принятые сокращения

AC — автоматизированная система

КД — конструкторская документация

КСЗ — комплекс средств защиты

НСД — несанкционированный доступ

ПРД — правила разграничения доступа

СВТ — средства вычислительной техники

1. Общие положения

1.1. Данные показатели содержат требования защищенности СВТ от НСД к информации.

1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).

Конкретные перечни показателей определяют классы защищенности СВТ. Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается.

Каждый показатель описывается совокупностью требований. Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо.

1.3. Требования к показателям реализуются с помощью программно-технических средств.

Совокупность всех средств защиты составляет комплекс средств защиты. Документация КСЗ должна быть неотъемлемой частью конструкторской документации на СВТ.

1.4. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

>• первая группа содержит только один седьмой класс;

>• вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

>• третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

>• четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

1.5. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

1.6. Применение в комплекте СВТ средств криптографической защиты информации по ГОСТ 28147-89 может быть использовано для повышения гарантий качества защиты.

2. Требования к показателям защищенности

2.1. Показатели защищенности

2.1.1. Перечень показателей по классам защищенности СВТ приведен в таблице.

Показатель защищенности /Класс защищенности

/6 /5 /4 /3 /2 /1

Дискреционный принцип контроля доступа /+ /+ /+ /= /+ /=

Мандатный принцип контроля доступа /— /— /+ /= /= /=

Очистка памяти /— /+ /+ /+ /= /=

Изоляция модулей /— /— /+ /= /+ /=

Маркировка документов /— /— /+ /= /= /=

Защита ввода и вывода на отчуждаемый физический носитель информации /~ / /+ /— /=/=

Сопоставление пользователя с устройством /- /— /+ /= /= /=

Идентификация и аутентификация /+ /= /+ /= /= /=

Гарантии проектирования /- /+ /+ /+ /+ /+

Регистрация /— /+ /+ /+ /= /=

Взаимодействие пользователя с СЗ /— /— /— /+ /= /=

Надежное восстановление /— /— /— /+ /= /=

Целостность СЗ /— /+ /+ /+ /= /=

Окончание табл.

Показатель защищенности /Класс защищенности

/6 /5 /4 /3 /2 /1

Контроль модификации /- /- /- /— /+ /=

Контроль дистрибуции /— /— /— /- /+ /=

Гарантии архитектуры /— /— /— /— /- /+

Тестирование /+ /+ /+ /+ /+ /=

Руководство для пользователя /+ /= /= /= /= /=

Руководство по СЗ /+ /+ /= /+ /+ /=

Тестовая документация /+ /+ /+ /+ /+ /=

Конструкторская (проектная) документация /+ /+ /+ /+ /+ /+

Обозначения:

«-» — нет требований к данному классу;

«+» — новые или дополнительные требования,

«=» — требования совпадают с требованиями к СВТ предыдущего класса.

2.1.2. Приведенные в данном разделе наборы требований к показателям каждого класса являются минимально необходимыми.

2.1.3. Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.

2.2. Требования к показателям защищенности шестого класса.

2.2.1. Дискреционный принцип контроля доступа.

КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т. д.).

Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), т. е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т. д.).

2.2.2. Идентификация и аутентификация, КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ. КСЗ должен подвергать проверке подлинность идентификации — осуществлять аутентификацию. КОЗ должен располагать необходимыми данными для идентификации и аутентификации. КСЗ должен препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась. 2.2.3. Тестирование. В СВТ шестого класса должны тестироваться:

>• реализация дискреционных ПРД (перехват явных и скрытых запросов, правильное распознавание санкционированных и несанкционированных запросов на доступ, средства защиты механизма разграничения доступа, санкционированные изменения ПРД);

>• успешное осуществление идентификации и аутентификации, а также их средств защиты.

2.2.4. Руководство для пользователя.

Документация на СВТ должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ и его интерфейса с пользователем.

2.2.5. Руководство по КСЗ.

Данный документ адресован администратору защиты и должен содержать:

>• описание контролируемых функций;

>• руководство по генерации КСЗ;

5- описание старта СВТ и процедур проверки правильности старта.

2.2.6. Тестовая документация.

Должно быть предоставлено описание тестов и испытаний, которым подвергалось СВТ (в соответствии с п. 2.2.3.) и результатов тестирования.

2.2.7. Конструкторская (проектная) документация.

Должна содержать общее описание принципов работы СВТ, общую схему КСЗ, описание интерфейсов КСЗ с пользователем и интерфейсов частей КСЗ между собой, описание механизмов идентификации и аутентификации.

2.3. Требования к показателям пятого класса защищенности.

2.3.1. Дискреционный принцип контроля доступа.

Данные требования включает в себя аналогичные требование шестого класса (п. 2.2.1).

Дополнительно должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.

2.3.2. Очистка памяти.

При первоначальном назначении или при перераспределении внешней памяти КСЗ должен предотвращать доступ субъекту к остаточной информации.

2.3.3. Идентификация и аутентификация. Данные требования полностью совпадают с аналогичными требованиями шестого класса (п. 2.2.2).

2.3.4. Гарантии проектирования.

На начальном этапе проектирования СВТ должна быть построена модель защиты. Модель должна включать в себя ПРД к объектам и непротиворечивые правила изменения ПРД.

2.3.5. Регистрация.

КСЗ должен быть в состоянии осуществлять регистрацию следующих событий:

>• использование идентификационного и аутентификационного механизма;

>• запрос на доступ к Защищаемому ресурсу (открытие файла, запуск программы и т. д.);

>• создание и уничтожение объекта;

>• действия по изменению ПРД.

Для каждого из этих событий должна регистрироваться следующая информация:

>• дата и время;

>• субъект, осуществляющий регистрируемое действие;

>• тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);

>• успешно ли осуществилось событие (обслужен запрос на доступ или нет).

КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.

2.3.6. Целостность КСЗ.

В СВТ пятого класса защищенности должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ.

2.3.7. Тестирование.

В СВТ пятого класса защищенности должны тестироваться:

>• реализация ПРД (перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов, средства защиты механизма разграничения доступа, санкционированные изменения ПРД);

>• успешное осуществление идентификации и аутентификации, а также их средства защиты;

>• очистка памяти в соответствии с п. 2.3.2;

>• регистрация событий в соответствии с п. 2.3.5, средства защиты регистрационной информации и возможность санкционированного ознакомления с ней;

>• работа механизма, осуществляющего контроль за целостностью КСЗ.

2.3.8. Руководство пользователя.

Данное требование совпадает с аналогичным требованием шестого класса (п. 2.2.4).

2.3.9. Руководство по КСЗ.

Данный документ адресован администратору защиты и должен содержать:

>• описание контролируемых функций;

>• руководство по генерации КСЗ;

>• описания старта СВТ, процедур проверки правильности старта, процедур работы со средствами регистрации.

2.3.10. Тестовая документация.

Должно быть предоставлено описание тестов и испытаний, которым подвергалось СВТ (в соответствии с требованиями п. 2.3.7), и результатов тестирования.

2.3.11. Конструкторская и проектная документация. Должна содержать:

>• описание принципов работы СВТ;

>• общую схему КСЗ;

>• описание интерфейсов КСЗ с пользователем и интерфейсов модулей КСЗ;

>• модель защиты;

>• описание механизмов контроля целостности КСЗ, очистки памяти,

идентификации и аутентификации.

2.4. Требования к показателям четвертого класса защищенности.

2.4.1. Дискреционный принцип контроля доступа.

Данные требования включают аналогичные требования пятого класса (п. 2.3.1).

Дополнительно КСЗ должен содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т. е. от доступа, не допустимого с точки зрения заданного ПРД). Под «явными» здесь подразумеваются действия, осуществляемые с использованием системных средств — системных макрокоманд, инструкций языков высокого уровня и т. д., а под «скрытыми» — иные действия, в том числе с использованием собственных программ работы с устройствами.

Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.

2.4.2. Мандатный принцип контроля доступа.

Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

>• субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;

>• субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, т. е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

2.4.3. Очистка памяти.

При первоначальном назначении или при перераспределении внешней памяти КСЗ должен затруднять субъекту доступ к остаточной информации. При перераспределении оперативной памяти КСЗ должен осуществлять ее очистку.

2.4.4. Изоляция модулей.

При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) — т. е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

2.4.5. Маркировка документов.

При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).

2.4.6. Защита ввода и вывода на отчуждаемый физический носитель информации.

КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные («помеченные»). При вводе с «помеченного» устройства (вывода на «помеченное» устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с «помеченным» каналом связи.

Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.

2.4.7. Сопоставление пользователя с устройством.

КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).

Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству.

2.4.8. Идентификация и аутентификация.

КСЗ должен требовать от пользователей идентифицировать, себя при запросах на доступ, должен проверять подлинность идентификатора субъекта — осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации и препятствовать входу в СВТ неидентифицированного пользователя или пользователя, чья подлинность при аутентификации не подтвердилась.

КСЗ должен обладать способностью надежно связывать полученную идентификацию со всеми действиями данного пользователя.

2.4.9. Гарантии проектирования.

Проектирование КСЗ должно начинаться с построения модели защиты, содержащей:

>• непротиворечивые ПРД;

>• непротиворечивые правила изменения ПРД;

>• правила работы с устройствами ввода и вывода информации и каналами связи.

2.4.10. Регистрация.

Данные требования включают аналогичные требования пятого класса защищенности (п. 2.3.5). Дополнительно должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных пользователей (администраторов защиты и т. п.).

2.4.11. Целостность КСЗ.

В СВТ четвертого класса защищенности должен осуществляться периодический контроль за целостностью КСЗ.

Программы КСЗ должны выполняться в отдельной части оперативной памяти.

2.4.12. Тестирование.

В четвертом классе защищенности должны тестироваться:

>• реализация ПРД (перехват запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов в соответствии с дискреционными и мандатными правилами, верное сопоставление меток субъектов и объектов, запрос меток вновь вводимой информации, средства защиты механизма разграничения доступа, санкционированное изменение ПРД);

>• невозможность присвоения субъектом себе новых прав;

>• очистка оперативной и внешней памяти;

>• работа механизма изоляции процессов в оперативной памяти;

>• маркировка документов;

>• защита вода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;

>• идентификация и аутентификация, а также их средства защиты;

>• запрет на доступ несанкционированного пользователя;

>• работа механизма, осуществляющего контроль за целостностью СВТ;

>• регистрация событий, описанных в п. 2.4.10, средства защиты регистрационной информации и возможность санкционированного ознакомления с этой информацией.

2.4.13. Руководство для пользователя.

Данное требование совпадает с аналогичным требованием шестого (п. 2.2.4) и пятого (п. 2.3.8) классов.

2.4.14. Руководство по КСЗ.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 2.3.9).

2.4.15. Тестовая документация.

Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ (в соответствии с п. 2.4.12) и результатов тестирования.

2.4.16. Конструкторская (проектная) документация.

Должна содержать:

>• общее описание принципов работы СВТ;

>• общую схему КСЗ;

>• описание внешних интерфейсов КСЗ и интерфейсов модулей КСЗ;

>• описание модели защиты;

>• описание диспетчера доступа;

>• описание механизма контроля целостности КСЗ;

>• описание механизма очистки памяти;

>• описание механизма изоляции программ в оперативной памяти;

>• описание средств защиты ввода и вывода на отчуждаемый физический носитель информации и сопоставления пользователя с устройством;

>• описание механизма идентификации и аутентификации;

>• описание средств регистрации.

2.5. Требования к показателям третьего класса защищенности.

2.5.1. Дискреционный принцип контроля доступа. Данные требования полностью совпадают с требованиями пятого (п. 2.3.1) и четвертого классов (п. 2.4.1) классов.

2.5.2. Мандатный принцип контроля доступа. Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.4.2).

2.5.3. Очистка памяти.

Для СВТ третьего класса защищенности КСЗ должен осуществлять очистку оперативной и внешней памяти. Очистка должна производиться путем записи маскирующей информации в память при ее освобождении (перераспределении).

2.5.4. Изоляция модулей.

Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.4.4).

2.5.5. Маркировка документов.

Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.4.5).

2.5.6. Защита ввода и вывода на отчуждаемый физический носитель информации.

Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.4.6).

2.5.7. Сопоставление пользователя с устройством. Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.4.7).

2.5.8. Идентификация и аутентификация. Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.4.8).

2.5.9. Гарантии проектирования.

На начальном этапе проектирования КСЗ должна строиться модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:

>• непротиворечивые правила изменения ПРД;

>• правила работы с устройствами ввода и вывода;

>• формальную модель механизма управления доступом. Должна предлагаться высокоуровневая спецификация части КСЗ, реализующего механизм управления доступом и его интерфейсов. Эта спецификация должна быть верифицирована на соответствие заданных принципов разграничения доступа.

2.5.10. Регистрация.

Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.4.10).

2.5.11. Взаимодействие пользователя с КСЗ.

Для обеспечения возможности изучения, анализа, верификации и модификации КСЗ должен быть хорошо структурирован, его структура должна быть модульной и четко определенной. Интерфейс пользователя и КСЗ должен быть определен (вход в систему, запросы пользователей и КСЗ и т. п.). Должна быть обеспечена надежность такого интерфейса. Каждый интерфейс пользователя и КСЗ должен быть логически изолирован от других таких же интерфейсов.

2.5.12. Надежное восстановление

Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств КСЗ.

2.5.13. Целостность КСЗ.

Необходимо осуществлять периодический контроль за целостностью КСЗ. Программы должны выполняться в отдельной части оперативной памяти. Это требование должно подвергаться верификации.

2.5.14. Тестирование.

СВТ должны подвергаться такому же тестированию, что и СВТ четвертого класса (п. 2.4.12).

Дополнительно должны тестироваться:

>• очистка памяти (п. 2.5.3);

>• работа механизма надежного восстановления.

2.5.15. Руководство для пользователя.

Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.4.13).

2.5.16. Руководство по КСЗ.

Документ адресован администратору защиты и должен содержать:

>• описание контролируемых функций;

>• руководство по генерации КСЗ;

>• описание старта СВТ, процедур проверки правильности старта, процедур работы со средствами регистрации;

>• руководство по средствам надежного восстановления.

2.5.17. Тестовая документация

В документации должно быть представлено описание тестов и испытаний, которым подвергалось СВТ (п. 2.5.14), а также результатов тестирования.

2.5.18. Конструкторская (проектная) документация.

Требуется такая же документация, что и для СВТ четвертого класса (п. 2.4.16). Дополнительно необходимы:

>• высокоуровневая спецификация КСЗ и его интерфейсов;

>• верификация соответствия высокоуровневой спецификации КСЗ модели защиты,

2.6. Требования к показателям второго класса защищенности.

2.6.1. Дискреционный принцип контроля доступа.

Данные требования включают аналогичные требования третьего класса (п. 2.5.1).

Дополнительно требуется, чтобы дискреционные правила разграничения доступа были эквивалентны мандатным правилам (т. е. всякий запрос на доступ должен быть одновременно санкционированным или несанкционированным одновременно и по дискреционным правилам, и по мандатным ПРД).

2.6.2. Мандатный принцип контроля доступа. Данные требования полностью совпадают с аналогичным требованием третьего класса (п. 2.5.2).

2.6.3. Очистка памяти.

Данные требования полностью совпадают с аналогичным требованием третьего класса (п. 2.5.3).

2.6.4. Изоляция модулей.

2.6.5. Маркировка документов.

Данные требования полностью совпадают с аналогичным требованием четвертого класса (п. 2.5.5). -

2.6.6. Защита ввода и вывода на отчуждаемый физический носитель информации.

Данные требования полностью совпадают с аналогичным требованием третьего класса (п. 2.5.6).

2.6.7. Сопоставление пользователя с устройством. Данные требования полностью совпадают с аналогичным требованием четвертого (п. 2.4.7) и. третьего (п. 2.5.7) классов.

2.6.8. Идентификация и аутентификация. Требование полностью совпадает с аналогичным требованием четвертого (п. 2.4.8) и третьего (п. 2.5.8) классов.

2.6.9. Гарантии проектирования.

Данные требования включают аналогичные требования третьего класса (п. 2.5.9).

Дополнительно требуется, чтобы высокоуровневые спецификации КСЗ были отображены последовательно в спецификации одного или нескольких нижних уровней, вплоть до реализации высокоуровневой спецификации КСЗ на языке программирования высокого уровня. При этом методами верификации должно осуществляться доказательство соответствия каждого такого отображения спецификациям высокого (верхнего для данного отображения) уровня. Этот процесс может включать в себя как одно отображение (высокоуровневая спецификация — язык программирования), так и последовательность отображений в промежуточные спецификации с понижением уровня, вплоть до языка программирования. В результате верификации соответствия каждого уровня предыдущему должно достигаться соответствие реализации высокоуровневой спецификации КСЗ модели защиты, изображенной на чертеже (см. рис. Схема модели защиты).

2.6.10. Регистрация.

Данные требования полностью совпадают с аналогичным требованием четвертого (п. 2.4.10) и третьего (п. 2.5.10) классов.

2.6.11. Взаимодействие пользователя с КСЗ. Данные требования полностью совпадают с аналогичным требованием третьего класса (п. 2.5.11).

2.6.12. Надежное восстановление.

Данные требования полностью совпадают с аналогичным требованием третьего класса (п. 2.5.12).

2.6.13. Целостность КСЗ.

Данные требования полностью совпадают с аналогичным требованием третьего класса (п. 2.5.13).

2.6.14. Контроль модификации.

При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, т. е. контроль изменений в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде. Должно обеспечиваться соответствие между документацией и текстами программ. Должна осуществляться сравниваемость генерируемых версий. Оригиналы программ должны быть защищены.

2.6.15. Контроль дистрибуции.

Должен осуществляться контроль точности копирования в СВТ при изготовлении копий с образца. Изготовляемая копия должна гарантированно повторять образец.

2.6.16. Тестирование.

СВТ второго класса должны тестироваться так же, как и СВТ третьего класса (п. 2.5.14).

Дополнительно должен тестироваться контроль дистрибуции.

2.6.17. Руководство для пользователя.

Данные требования полностью совпадают с аналогичным требованием четвертого (п. 2.4.13) и третьего (п. 2.5.15) классов.

2.6.18. Руководство по КСЗ.

Данные требования включают аналогичные требования третьего класса (п. 2.5.16).

Дополнительно должны быть представлены руководства по надежному восстановлению, по работе со средствами контроля модификации и дистрибуции.

2.6.19. Тестовая документация.

Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ (п. 2.6.16), а также результатов тестирования.

2.6.20. Конструкторская (проектная) документация.

Требуется такая же документация, что и для СВТ третьего класса (п. 2.5.18).

Дополнительно должны быть описаны гарантии процесса проектирования и эквивалентность дискреционных (п. 2.6.1) и мандатных (п. 2.6.2) ПРД.

2.7. Требования к показателям первого класса защищенности.

2.7.1. Дискреционный принцип контроля доступа. Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.1).

2.7.2. Мандатный принцип контроля доступа. Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.2).

2.7.3. Очистка памяти.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.3).

2.7.4. Изоляция модулей.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.4).

2.7.5. Маркировка документов.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.5).

2.7.6. Защита ввода и вывода на отчуждаемый физический носитель информации.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.6).

2.7.7. Сопоставление пользователя с устройством. Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.7).

2.7.8. Идентификация и аутентификация. Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.8).

2.7.9. Гарантии проектирования.

Данные требования включают с аналогичные требования второго класса (п. 2.6.9).

Дополнительно требуется верификация соответствия объектного кода тексту КСЗ на языке высокого уровня.

2.7.10. Регистрация.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.10).

2.7.11. Взаимодействие пользователя с КСЗ. Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.11).

2.7.12. Надежное восстановление.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.12).

2.7.13. Целостность КСЗ.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.13).

2.7.14. Контроль модификации.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.14).

2.7.15. Контроль дистрибуции.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.15).

2.7.16. Гарантии архитектуры.

КСЗ должен обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам.

2.7.17: Тестирование.

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.16).

2.7.18. Руководство пользователя.

Данные требования полностью совпадают с аналогичным требованием второго класса (п:2.6.17).

2.7.19. Руководство по КСЗ

Данные требования полностью совпадают с аналогичным требованием второго класса (п. 2.6.18).

2.7.20. Тестовая документация

Данные требования полностью совпадают с аналогичным требованиями второго класса (п. 2.6.19).

2.7.21. Конструкторская (проектная) документация

Требуется такая же документация, что и для СВТ второго класса (п. 2.6.20).

Дополнительно разрабатывается описание гарантий процесса проектирования (п. 2.7.9).

3. Оценка класса защищенности СВТ (сертификация СВТ)

Оценка класса защищенности СВТ проводится в соответствии с Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации, Временным положением по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники и другими документами.

«СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. МЕЖСЕТЕВЫЕ ЭКРАНЫ. ЗАЩИТА ОТ НСД К ИНФОРМАЦИИ. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТ НСД К ИНФОРМАЦИИ» Руководящий документ Гостехкомиссии РФ

Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Под сетями ЭВМ, распределенными автоматизированными системами (АС) в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.

МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

Документ предназначен для заказчиков и разработчиков МЭ, а также сетей ЭВМ, распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их защите от НСД к информации.

1. Общие положения

1.1. Данные показатели содержат требования к средствам защиты, обеспечивающим безопасное взаимодействие сетей ЭВМ, АС посредством управления межсетевыми потоками информации, и реализованных в виде МЭ.

1.2. Показатели защищенности применяются к МЭ для определения уровня защищенности, который они обеспечивают при межсетевом взаимодействии. Конкретные перечни показателей определяют классы защищенности МЭ.

1.3. Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ, АС.

1.4. Дифференциация подхода к выбору функций защиты в МЭ определяется АС, для защиты которой применяется данный экран.

1.5. Устанавливается пять классов защищенности МЭ.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

Самый низкий класс защищенности — пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый — для 1Г, третий — 1В, второй — 1Б, самый высокий — первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

1.6. Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и АС в соответствии с руководящими документами Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.

Для АС класса ЗБ, 2Б должны применяться МЭ не ниже 5-го класса.

Для АС класса ЗА, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:

>• при обработке информации с грифом «секретно» — не ниже 3-го класса;

>• при обработке информации с грифом «совершенно секретно» — не ниже 2-го класса;

>• при обработке информации с грифом «особой важности» — не ниже 1-го класса.

2. Требования к межсетевым экранам

2.1. Показатели защищенности

2.1.1. Перечень показателей по классам защищенности МЭ.

Показатель защищенности /Класс защищенности

/5 /4 /3 /2 /1

Управление доступом (фильтрация данных и трансляция адресов) /+ /+ /+ /+ /=

Идентификация и аутентификация /— /— /+ /= /+

Регистрация /— /+ /+ /+ /=

Администрирование: идентификация и аутентификация /+ /= /+ /+ /+

Администрирование: регистрация /+ /+ /+ /= /=

Администрирование: простота использования /— /— /+ /= /+

Целостность /+ /= /+ /+ /+

Восстановление /+ /= /= /+ /=

Тестирование /+ /+ /+ /+ /- +

Руководство администратора защиты /+ /= /= /= /=

Тестовая документация /+ /+ /+ /+ /+

Конструкторская (проектная) документация /+ /= /+ /= /+

Обозначения:

«-» — нет требований к данному классу;

«+» — новые или дополнительные требования;

«=» — требования совпадают с требованиями к МЭ предыдущего класса.

2.2. Требования к пятому классу защищенности МЭ.

2.2.1. Управление доступом.

МЭ должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.

2.2.2. Администрирование: идентификация и аутентификация. МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.

2.2.3. Администрирование: регистрация.

МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ.

В параметрах регистрации указываются:

>• дата, время и код регистрируемого события;

>• результат попытки осуществления регистрируемого события — успешная или неуспешная;

>• идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события.

2.2.4. Целостность.

МЭ должен содержать средства контроля за целостностью своей программной и информационной части.

2.2.5. Восстановление.

МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.

2.2.6. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования:

>• реализации правил фильтрации (см. п. 2.2.1);

>• процесса идентификации и аутентификации администратора МЭ (см. п. 2.2.2);

>• процесса регистрации действий администратора МЭ (см. п. 2.2.3.);

>• процесса контроля за целостностью программной и информационной части МЭ (см. п. 2.2.4);

>• процедуры восстановления (см. п. 2.2.5.).

2.2.7. Руководство администратора МЭ. Документ содержит:

>• описание контролируемых функций МЭ;

>• руководство по настройке и конфигурированию МЭ;

>• описание старта МЭ и процедур проверки правильности старта;

>• руководство по процедуре восстановления.

2.2.8. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.2.6), и результаты тестирования.

2.2.9. Конструкторская (проектная) документация. Должна содержать:

>• общую схему МЭ;

>• общее описание принципов работы МЭ;

>• описание правил фильтрации;

>• описание средств и процесса идентификации и аутентификации;

>• описание средств и процесса регистрации;

>• описание средств и процесса контроля за целостностью программной и информационной части МЭ;

>• описание процедуры восстановления свойств МЭ. 2.3. Требования к четвертому классу защищенности МЭ.

2.3.1. Управление доступом.

Данные требования полностью включают аналогичные требования пятого класса (п. 2.2.1).

Дополнительно МЭ должен обеспечивать:

>• фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

>• фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

>• фильтрацию с учетом любых значимых полей сетевых пакетов.

2.3.2. Регистрация.

МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.

2.3.3. Администрирование: идентификация и аутентификация. Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 2.2.2).

2.3.4. Администрирование: регистрация. Данные требования включают аналогичные требования пятого класса (п. 2.2.3). Дополнительно МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).

2.3.5. Целостность.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 2.2.4).

2.3.6. Восстановление.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 2.2.5).

2.3.7. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования:

>• реализации правил фильтрации (см. п. 2.3.1);

>• процесса регистрации (см. п. 2.3.2);

>• процесса идентификации и аутентификации администратора МЭ (см. п. 2.3.3);

>• процесса регистрации действий администратора МЭ (см. п. 2.3.4);

>• процесса контроля за целостностью программной и информационной части МЭ (см. п. 2.3.5);

>• процедуры восстановления (см. п. 2.3.6).

2.3.8. Руководство администратора МЭ. Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 2.2.7).

2.3.9. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.3.7), и результаты тестирования.

2.3.10. Конструкторская (проектная) документация.

Данные требования полностью совпадают с аналогичным» требованиями пятого класса (п. 2.2.9) по составу документации.

2.4. Требования к третьему классу защищенности МЭ.

2.4.1. Управление доступом.

Данные требования полностью включают аналогичные требования четвертого класса (п. 2.3.1).

Дополнительно МЭ должен обеспечивать:

>• фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;

>• фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя; фильтрацию с учетом даты/времени.

2.4.2. Идентификация и аутентификация.

МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.

2.4.3. Регистрация.

Данные требования включают аналогичные требования четвертого класса (п.2.3.2).

Дополнительно МЭ должен обеспечивать:

>• регистрацию и учет запросов на установление виртуальных соединений;

>• локальную сигнализацию попыток нарушения правил фильтрации.

2.4.4. Администрирование: идентификация и аутентификация. Данные требования включают аналогичные требования пятого класса (п.2.2.2). Дополнительно МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.

При удаленных запросах администратора МЭ на доступ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

2.4.5. Администрирование: регистрация.

Данные требования полностью включают аналогичные требования четвертого класса (п. 2.3.4).

Дополнительно МЭ должен обеспечивать регистрацию действия администратора МЭ по изменению правил фильтрации.

2.4.6. Администрирование: простота использования.

Многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.

2.4.7. Целостность.

Данные требования полностью включают аналогичные требования пятого класса (п. 2.2.4).

Дополнительно должен обеспечиваться контроль целостности программной и информационной части МЭ по контрольным суммам.

2.4.8. Восстановление.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 2.2.5).

2.4.9. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования:

>• реализации правил фильтрации (см. п. 2.4.1);

>• процесса регистрации (см. п. 2.4.3);

>• процесса идентификации и аутентификации запросов (см. п. 2.4.2);

>• процесса идентификации и аутентификации администратора МЭ (см. п. 2.4.4);

>• процесса регистрации действий администратора МЭ (см. п. 2.4.5);

>• процесса контроля за целостностью программной и информационной части МЭ (см. п. 2.4.7);

>• процедуры восстановления (см. п. 2.4.8.).

2.4.10. Руководство администратора МЭ. Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 2.2.7).

2.4.11. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.4.9), и результаты тестирования.

2.4.12. Конструкторская (проектная) документация.

Данные требования полностью включают аналогичные требования пятого класса (п. 2.2.9) по составу документации.

Дополнительно документация должна содержать описание средств и процесса централизованного управления компонентами МЭ.

2.5. Требования ко второму классу защищенности МЭ.

2.5.1. Управление доступом.

Данные требования включают аналогичные требования третьего класса (п. 2.4.1).

Дополнительно МЭ должен обеспечивать:

>• возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;

>• возможность трансляции сетевых адресов.

2.5.2. Идентификация и аутентификация. Данные требования полностью совпадают с аналогичными требованиями третьего класса (п. 2.4.2).

2.5.3. Регистрация.

Данные требования включают аналогичные требования третьего класса (п. 2.4.3).

Дополнительно МЭ должен обеспечивать:

>• дистанционную сигнализацию попыток нарушения правил фильтрации;

>• регистрацию и учет запрашиваемых сервисов прикладного уровня;

>• программируемую реакцию на события в МЭ.

2.5.4. Администрирование: идентификация и аутентификация. МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю временного действия. МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.

При удаленных запросах на доступ администратора МЭ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

2.5.5. Администрирование: регистрация. Данные требования полностью совпадают с аналогичными требованиями третьего класса (п. 2.4.5).

2.5.6. Администрирование: простота использования. Данные требования полностью совпадают с аналогичными требованиями третьего класса (п. 2.4.6).

2.5.7. Целостность.

МЭ должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам как в процессе загрузки, так и динамически.

2.5.8. Восстановление.

МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать оперативное восстановление свойств МЭ.

2.5.9. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования:

>• реализации правил фильтрации (см. п. 2.5.1);

>• процесса идентификации и аутентификации (см. п. 2.5.2);

>• процесса регистрации (см. п. 2.5.3);

>• процесса идентификации и аутентификации администратора МЭ (см. п. 2.5.4);

>• процесса регистрации действий администратора МЭ (см. п. 2.5.5);

>• процесса контроля за целостностью программной и информационной части МЭ (см. п. 2.5.7);

>• процедуры восстановления (см. п. 2.5.8).

2.5.10. Руководство администратора МЭ. Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 2.2.7).

2.5.11. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.5.9), и результаты тестирования.

2.5.12. Конструкторская (проектная) документация. Данные требования полностью совпадают с аналогичными требованиями третьего класса (п. 2.4.12) по составу документации. 2.6. Требования к первому классу защищенности МЭ.

2.6.1. Управление доступом.

Данные требования полностью совпадают с аналогичными требованиями второго класса (п. 2.5.1).

2.6.2. Идентификация и аутентификация.

Данные требования полностью включают аналогичные требования второго класса (п. 2.5.2).

Дополнительно МЭ должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного уровня.

2.6.3. Регистрация.

Данные требования полностью совпадают с аналогичными требованиями второго класса (п. 2.5.3).

2.6.4. Администрирование: идентификация и аутентификация. МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия. МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.

2.6.5. Администрирование: регистрация. Данные требования полностью совпадают с аналогичными требованиями третьего класса (п. 2.4.5).

2.6.6. Администрирование: простота использования.

Многокомпонентный МЭ должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.

Должен быть предусмотрен графический интерфейс для управления МЭ.

2.6.7. Целостность.

МЭ должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически.

2.6.8. Восстановление.

Данные требования полностью совпадают с аналогичными требованиями второго класса (п. 2.5.8).

2.6.9. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования:

>• реализации правил фильтрации (см. п. 2.6.1);

>• процесса идентификации и аутентификации (см. п. 2.6.2);

>• процесса регистрации (см. п. 2.6.3);

>• процесса идентификации и аутентификации администратора МЭ (см. п. 2.6.4);

>• процесса регистрации действий администратора МЭ (см. п. 2.6.5);

>• процесса централизованного управления компонентами МЭ и графический интерфейс для управления МЭ (см. п. 2.6.6);

>• процесса контроля за целостностью программной и информационной части МЭ (см. п. 2.6.7);

>• процедуры восстановления (см. п. 2.6.8).

2.6.10. Руководство администратора МЭ. Данные требования полностью совпадают с аналогичными требованиями пятого класса (п.2.2.7).

2.6.11. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.6.9), и результаты тестирования.

2.6.12. Конструкторская (проектная) документация. Данные требования полностью включают аналогичные требования третьего класса (п. 2.4.12) по составу документации.

Дополнительно документация должна содержать описание графического интерфейса для управления МЭ.

3. Термины и определения

Администратор МЭ — лицо, ответственное за сопровождение МЭ.

Дистанционное управление компонентами МЭ — выполнение функций по сопровождению МЭ (компоненты) администратором МЭ с узла (рабочей станции) сети, на котором не функционирует МЭ (компонента) с использованием сетевых протоколов.

Критерии фильтрации — параметры, атрибуты, характеристики, на основе которых осуществляется разрешение или запрещение дальнейшей передачи пакета (данных) в соответствии с заданными правилами разграничения доступа (правилами фильтрации). В качестве таких параметров могут использоваться служебные поля пакетов (данных), содержащие сетевые адреса, идентификаторы, адреса интерфейсов, портов и другие значимые данные, а также внешние характеристики, например, временные, частотные характеристики, объем данных и т. п.

Локальное (местное) управление компонентами МЭ — выполнение функций по сопровождению МЭ (компоненты) администратором МЭ на том же узле (платформе), на котором функционирует МЭ (компонента) с использованием интерфейса МЭ.

Межсетевой экран (МЭ) — это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

Правила фильтрации — перечень условий по которым с использованием заданных критериев фильтрации осуществляется разрешение или запрещение дальнейшей передачи пакетов (данных) и перечень действий, производимых МЭ по регистрации и/или осуществлению дополнительных защитных функций.

Межсетевой экран может строиться с помощью экранирующих агентов, которые обеспечивают установление соединения между субъектом и объектом, а затем пересылают информацию, осуществляя контроль и/или регистрацию. Использование экранирующих агентов позволяет предоставить дополнительную защитную функцию — сокрытие от субъекта истинного объекта. В то же время, субъекту кажется, что он непосредственно взаимодействует с объектом. Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от неконтролируемой и потенциально враждебной внешней.

Сетевые адреса —адресные данные, идентифицирующие субъекты и объекты и используемые протоколом сетевого уровня модели международной организации по стандартизации взаимодействия открытых систем (ISO OSI). Сетевой протокол выполняет управление коммуникационными ресурсами, маршрутизацию пакетов, их компоновку для передачи в сети. В этих протоколах решается возможность доступа к подсети, определяется маршрут передачи и осуществляется трансляция сообщения. Управление доступом на сетевом уровне позволяет отклонять нежелательные вызовы и дает возможность различным подсетям управлять использованием ресурсов сетевого уровня. Поэтому в данных протоколах возможно выполнение требований по защите в части проверки подлинности сетевых ресурсов, источника и приемника данных, принимаемых сообщений, проведения контроля доступа к ресурсам сети.

Трансляция адреса — функция МЭ, скрывающая внутренние адреса объектов (субъектов) от внешних субъектов.

Транспортные адреса — адресные данные, идентифицирующие субъекты и объекты и используемые протоколом транспортного уровня модели ISO OSI. Протоколы транспортного уровня обеспечивают создание и функционирование логических каналов между программами (процессами, пользователями) в различных узлах сети, управляют потоками информации между портами, осуществляют компоновку пакетов о запросах и ответах.

Централизованное управление компонентами МЭ — выполнение с одного рабочего места (рабочей станции, узла) всех функций по сопровождению МЭ (его компонент), только со стороны санкционированного администратора, включая инициализацию, останов, восстановление, тестирование, установку и модификацию правил фильтрации данных, параметров регистрации, дополнительных защитных функций и анализ зарегистрированных событий.

Экранирование — функция МЭ, позволяющая поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области. В результате экранирования уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может и должна быть устроена более простым и, следовательно, более безопасным образом, на ней должны присутствовать только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование дает также возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа экраны осуществляют регистрацию информационных обменов.

«ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ» Руководящий документ Гостехкомиссии РФ

Часть 1. Программное обеспечение средств защиты информации

КЛАССИФИКАЦИЯ ПО УРОВНЮ КОНТРОЛЯ ОТСУТСТВИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ

Введен в действие Приказом Председателя Гостехкомиссии России № 114 от 4 июня 1999 г.

Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей.

Действие документа не распространяется на программное обеспечение средств криптографической защиты информации.

Уровень контроля определяется выполнением заданного настоящим РД набора требований, предъявляемого:

>• к составу и содержанию документации, представляемой заявителем для проведения испытаний ПО СЗИ;

>• к содержанию испытаний.

Руководящий документ разработан в дополнение РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (М., Военное издательство, 1992), РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (М., 1992), и РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (М., 1997).

Документ предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков ПО СЗИ при его контроле в части отсутствия недекларированных возможностей.

1. Общие положения

1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.

1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований.

1.3. Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего.

1.4. Самый высокий уровень контроля — первый, достаточен для ПО, используемого при защите информации с грифом «0В».

Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «СС».

Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «С».

1.5 Самый низкий уровень контроля — четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.

2. Термины и определения

2.1. Недекларированные возможности — функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Реализацией недекларированных возможностей, в частности, являются программные закладки.

2.2. Программные закладки — преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

2.3. Функциональный объект — элемент программы, осуществляющий выполнение действий по реализации законченного фрагмента алгоритма программы.

В качестве функциональных объектов могут выступать процедуры, функции, ветви, операторы и т. п.

2.4. Информационный объект — элемент программы, содержащий фрагменты информации, циркулирующей в программе. В зависимости от языка программирования в качестве информационных объектов могут выступать переменные, массивы, записи, таблицы, файлы, фрагменты оперативной памяти и т.п.

2.5. Маршрут выполнения функциональных объектов — определенная алгоритмом последовательность выполняемых функциональных объектов.

2.6. Фактический маршрут выполнения функциональных объектов — последовательность фактически выполняемых функциональных объектов при определ1нных условиях (входных данных).

2.7. Критический маршрут выполнения функциональных объектов — такой маршрут, при выполнении которого существует возможность неконтролируемого нарушения установленных правил обработки информационных объектов.

2.8. Статический анализ исходных текстов программ — совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на структурном анализе и декомпозиции исходных текстов программ.

2.9. Динамический анализ исходных текстов программ — совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на идентификации фактических маршрутов выполнения функциональных объектов с последующим сопоставлением маршрутам, построенным в процессе проведения статического анализа.

3. Требования к уровню контроля

3.1. Перечень требований

Требование /Уровень контроля

/4 /3 /2 /1

Требования к документации

I. Контроль состава и содержания документации / / / /

1.1. Спецификация (ГОСТ 19.202-78) /4- /= /= /=

1.2. Описание программы (ГОСТ 19.402-78) /+/= /= /=

1.3. Описание применения (ГОСТ 19.502-78) /+ /= /= /=

1.4. Пояснительная записка (ГОСТ 19.404-79) /- /+ /= /=

1.5. Тексты программ, входящих в состав по (ГОСТ 19.401-78) /+ /= /= /=

Требования к содержанию испытаний

2. Контроль исходного состояния ПО /+ /= /= /=

3. Статический анализ исходных текстов программ / / / /

3.1. Контроль полноты и отсутствия избыточности исходных текстов /+ /+ /+ /=

3.2. Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду /+ /= /= /+

3.3. Контроль связей функциональных объектов по управлению /— /+ /=/=

3.4. Контроль связей функциональных объектов по информации /- /+ /= /=

Окончание табл.

Требование /Уровень контроля

/4 /3 /2 /1

Требования к содержанию испытаний

3.5. Контроль информационных объектов /- /+ /= /=

3.6. Контроль наличия заданных конструкций в исходных текстах /- /- /+ /+

3.7. Формирование перечня маршрутов выполнения функциональных объектов /- /+ /+ /=

3.8. Анализ критических маршрутов выполнения функциональных объектов /- /- /+ /=

3.9. Анализ алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т.п., построенных по исходным текстам контролируемого ПО / / /+ /

4. Динамический анализ исходных текстов программ / / / /

4.1. Контроль выполнения функциональных объектов /- /+ /+ /=

4.2. Сопоставление фактических маршрутов выполнения функциональных объектов и маршрутов, построенных в процессе проведения статического анализа /- /+ /+ /=

5.Отчетность /+ /+ /+ /+

Обозначения:

«-» — нет требований к данному уровню;

«+» — новые или дополнительные требования;

«=» — требования совпадают с требованиями предыдущего уровня.

3.2. Требования к четвертому уровню контроля.

3.2.1. Контроль состава и содержания документации.

В состав документации, представляемой заявителем, должны входить:

>• спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него;

>• описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;

>• описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы;

>• исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО.

Для ПО импортного производства состав докуметации может отличаться от требуемого, однако содержание должно соответствовать требованиям указанных ГОСТ.

3.2.2. Контроль исходного состояния ПО.

Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.

Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.

Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.

3.2.3. Статический анализ исходных текстов программ.

Статический анализ исходных текстов программ должен включать следующие технологические операции:

>• контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;

>• контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.2.4. Отчетность.

По окончании испытаний оформляется отчет (протокол), содержащий результаты:

>• контроля исходного состояния ПО;

>• контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;

>• контроля соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.3. Требования к третьему уровню контроля.

3.3.1. Контроль состава и содержания документации. Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т. п.

3.3.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

3.3.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно предъявляются следующие требования:

>• контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);

>• контроль связей функциональных объектов (модулей, процедур, функций) по управлению;

>• контроль связей функциональных объектов (модулей, процедур, функций) по информации;

>• контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);

>• формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

3.3.4. Динамический анализ исходных текстов программ. Динамический анализ исходных текстов программ должен включать следующие технологические операции:

>• контроль выполнения функциональных объектов (процедур, функций);

>• сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.3.5. Отчетность.

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

>• контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);

>• контроля связей функциональных объектов (модулей, процедур, функций) по управлению;

>• контроля связей функциональных объектов (модулей, процедур, функций) по информации;

>• контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);

>• формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);

>• контроля выполнения функциональных объектов (процедур, функций);

>• сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.4. Требования ко второму уровню контроля.

3.4.1. Контроль состава и содержания документации. Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

>• контроль полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);

>• синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций;

>• формирование перечня маршрутов выполнения функциональных объектов (ветвей);

>• анализ критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;

>• построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т. п. и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке».

3.4.4. Динамический анализ исходных текстов программ.

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

>• контроль выполнения функциональных объектов (ветвей);

>• сопоставление фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.4.5 Отчетность.

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

>• контроля полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);

>• синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций;

>• формирования перечня маршрутов выполнения функциональных объектов (ветвей);

>• анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;

>• построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т. п., и последующего сравнительного анализа алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке»;

>• контроля выполнения функциональных объектов (ветвей);

>• сопоставления фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.5. Требования к первому уровню контроля.

3.5.1. Контроль состава и содержания документации. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно предъявляются следующие требования:

>• контроль соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;

>• семантический контроль наличия заданных конструкций в исходных - текстах ПО из списка (базы) потенциально опасных конструкций.

3.5.4. Динамический анализ исходных текстов программ. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.5. Отчетность.

Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

>• контроля соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;

>• семантического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.

«ЗАЩИТА ИНФОРМАЦИИ. СПЕЦИАЛЬНЫЕ ЗАЩИТНЫЕ ЗНАКИ. КЛАССИФИКАЦИЯ И ОБЩИЕ ТРЕБОВАНИЯ»

Руководящий документ Гостехкомиссии РФ

1. Общие положения

1.1. Настоящий руководящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки.

1.2. Основными объектами защиты, для которых могут применяться специальные защитные знаки, являются:

>• документированная информация на материальном носителе;

>• специальные почтовые отправления;

>• специальные изделия, технические средства и приборы (в том числе регулируемые и критичные к установке), товары народного потребления, подлежащие опечатыванию и контролю;

>• продукция специального назначения, контейнеры, вагоны, емкости при их перевозке и хранении;

>• помещения, сейфы, запасные выходы, аварийные устройства.

1.3. Документами, защищаемыми с помощью специальных защитных знаков, являются документы, удостоверяющие личность, пропуска сотрудников организаций и учреждений, лицензии, патенты, кредитные карточки, ценные бумаги и т. п.

1.4. Специальные защитные знаки реализуются в виде рисунка, метки, материала, вещества, обложки, ламината, самоклеящейся ленты, отдельных наклеек, самоклеющихся пломб или другого продукта, созданного на основе физико-химических технологий для контроля доступа к объектам защиты, а также для защиты документов от подделки.

1.5. Настоящий документ определяет требования к специальным защитным знакам при их сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации (РООС RU 0001.01БИОО).

1.6. Настоящий документ является руководящим документом для заказчиков специальных защитных знаков и испытательных лабораторий, проводящих сертификационные испытания в Системе сертификации средств защиты информации по требованиям безопасности информации.

2. Термины и определения

Специальный защитный знак (СЗЗ) — сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции «СЗЗ — подложка» по критериям соответствия характерным признакам визуальными, инструментальными и другими методами.

Несанкционированный доступ (НСД) — нарушение регламентированного доступа к объекту защиты.

Способ изготовления СЗЗ — технологические процессы (приемы и операции, характеризуемые, главным образом, технологическими признаками — последовательностью действий и приемов, их характером, применяемыми режимами, параметрами, инструментами и др.) и материалы (со" ставы и композиции, пасты, пластмассы, лаки, краски и т. д., в том числе полученные химическим путем), используемые для изготовления и производства СЗЗ.

Ноу-хау-технология — совокупность различных технических, коммерческих и других сведений, оформленных в виде технической документации, а также навыков и производственного опыта, необходимых для освоения технологий и методов создания СЗЗ, применяемых в деятельности предприятия или в профессиональной деятельности, доступных определенному кругу лиц. Распространение сведений о ноу-хау-технологиях производства СЗЗ должно быть ограничено соблюдением соответствующих режимных мер.

Идентификация СЗЗ — определение подлинности и целостности СЗЗ по его характерным признакам, а также отсутствия изменений в расположении СЗЗ на объекте защиты или документе путем визуального осмотра или с помощью технических средств общего применения, специализированных технических средств с использованием или без использования специальных методик.

Стойкость защитных свойств СЗЗ — способность к образованию комплекса устойчивых признаков, сигнализирующих о фактах воздействия на СЗЗ или попытке доступа к объекту защиты, а также способность сохранять весь комплекс характерных признаков подлинности и целостности СЗЗ при его регламентированном использовании.

Подлинность СЗЗ — соответствие внешнего вида и наличие в СЗЗ совокупности характерных признаков, предусмотренных техническими условиями.

Целостность СЗЗ — неизменность внешнего вида СЗЗ и совокупности характерных признаков, предусмотренных техническими условиями.

3. Классификация специальных защитных знаков и общие требования

3.1. Все СЗЗ делятся на 18 классов. Классификация СЗЗ осуществляется на основе оценки их основных параметров: возможности подделки, идентифицируемости и стойкости защитных свойств.

Класс СЗЗ защищенности /Возможность подделки /Идентифицируемость /Стойкость защитных свойств

1 /Al /Bl /Cl

2 /Al /B2 /Cl

3 /Al /B3 /Cl

4 /Al /Bl /C2

5 /Al /B2 /C2

6 /Al /B3 /C2

7 /A2 /Bl /Cl

8 /A2 /B2 /Cl

9 /A2 /B3 /Cl

10 /A2 /Bl /C2

11 /A2 /B2 /C2

12 /A2 /B3 /C2

13 /A3 /Bl /Cl

14 /A3 /B2 /Cl

15 /A3 /B3 /Cl

16 /A3 /Bl /C2

17 /A3 /B2 /C2

18 /A3 /B3 /C2

3.2. Возможность подделки определяется технологией изготовления СЗЗ:

>• Al — СЗЗ изготовлен с использованием отечественных ноу-хау-технологий;

>• А2 — СЗЗ изготовлен с использованием зарубежных ноу-хау-технологий;

>• A3 — СЗЗ изготовлен без использования ноу-хау-технологий.

3.3. Идентифицируемость определяется уровнем сложности сигнальной информации в знаке:

Bl — целостность и подлинность СЗЗ могут быть однозначно определены с применением специальных технических средств контроля или с помощью приборов или устройств с дополнительной (оптической, компьютерной и т. п.) обработкой сигнала по специальной методике, основанной на технологии изготовления СЗЗ;

82 — целостность и подлинность СЗЗ могут быть однозначно определены на основании специальных методик контроля без применения технических средств контроля или с использованием серийно выпускаемых технических средств;

83 — целостность и подлинность СЗЗ могут быть однозначно определены визуально без применения технических средств и специальных методик контроля.

3.4. По стойкости защитных свойств СЗЗ подразделяются на две группы:

>• Cl — в технических условиях на СЗЗ задано изменение его внешнего вида и хотя бы одного характерного признака при несанкционированных воздействиях на СЗЗ или нарушении условий его эксплуатации;

>• С2 — в технических условиях на СЗЗ задано изменение только его внешнего вида при несанкционированных воздействиях на СЗЗ или нарушении условий его эксплуатации.

3.5. Для защиты информации, отнесенной к государственной тайне, и защиты технических средств категорированных объектов используются только СЗЗ, сертифицированные по классу не ниже 6:

>• по классам 1 и 2 — для защиты объектов 1-й категории и информации соответствующей степени секретности;

>• по классам 3 и 4 — для защиты объектов 2-й категории и информации соответствующей степени секретности;

>• по классам 5 и 6 — для защиты объектов 3-й категории и информации

соответствующей степени секретности.

Использование СЗЗ, сертифицированных по классам 7—12, допускается только для защиты объектов 3-й категории и информации соответствующего уровня секретности при обеспечении дополнительных организационно-технических мер защиты, согласованных с Гостехкомиссией России.

3.6. При нарушении режима сохранения информации о применяемой ноу-хау-технологии, изменении условий производства и т. п. использование СЗЗ запрещается, ранее выданный сертификат аннулируется.

2.1.2. Общегосударственные документы по обеспечению информационной безопасности «О БЕЗОПАСНОСТИ» Закон РФ от 5 марта 1992 г. № 2446-1 (с изменениями от 25 декабря 1992 г.)