Сколько основных задач надо решать для обеспечения заданного уровня безопасности

Обновлено: 02.07.2024

Основными этапами программы обеспечения безопасности являются следующие:

- определение ценности технологических и информационных активов организации;

- оценка рисков этих активов (сначала путем идентификации тех угроз, для которых каждый актив является целевым объектом, а затем оценкой вероят­ности того, что эти угрозы будут реализованы на практике);

- установление уровня безопасности, определяющего защиту каждого актива, то есть мер безопасности, которые можно считать рентабельными для применения;

- формирование на базе предыдущих этапов политики безопасности организации;

- привлечение необходимых финансовых ресурсов для реализации политики безопасности, приобретение и установка требуемых средств безопасности;

- проведение разъяснительных мероприятий и обучения персонала для поддержки сотрудниками и руководством требуемых мер безопасности;

- регулярный контроль пошаговой реализации плана безопасности с целью выявления текущих проблем, учета изменения внешнего окружения и вне­сение необходимых изменений в состав персонала.

Опыт показал, что в целом организации получают существенную выгоду от реализации хорошо разработанной методологии решения указанных выше задач. К политикам безопасности предъявляются следующие основные требования:

1. политики безопасности должны:

- указывать цели и причины, по которым нужна политика;

- описывать, что именно охватывается этими политиками;

- определить роли, обязанности и контакты;

- определить, как будут обрабатываться нарушения безопасности;

2. политики безопасности должны быть:

- реальными и осуществимыми;

- краткими и доступными для понимания;

- сбалансированными по защите и производительности [22].

Первыми шагами по разработке политики безопасности являются следующие:

- создание команды по разработке политики;

- принятие решения об области действия и целях политики;

- принятие решения об особенностях разрабатываемой политики;

- определение лица или органа для работы в качестве официального интерпретатора политики.

Ко всем разрабатываемым политикам безопасности целесообразно применять уни­фицированный процесс проектирования с единообразными требованиями к политикам.

Одним из первых шагов является создание команды по разработке политики безопасности организации. Иногда эту команду называют группой, комиссией или комитетом. Команда создается руководством организации, которое должно осознавать важность информационной безопасности и полностью реализовать свою позитивную роль в успешной разработке, принятии и внедрении этой политики.

В состав команды следует включать квалифицированных специалистов, хорошо разбирающихся в требованиях бизнеса, информационных технологиях и безопасности, юриста и члена руководства, который сможет проводить в жизнь эту политику безопасности. К работе этой команды должны быть также привлечены администраторы безопасности и системные администраторы, представитель от сообщества пользователей.

Размер команды по разработке политики зависит от масштаба и области действия политики. Крупномасштабные политики могут потребовать команды из 5-10 человек, в то время как для политик небольшого масштаба достаточно только одного или двух человек.

Как только создана такая команда, ее первым шагом является анализ требований бизнеса. Члены команды с различными позициями и точками зрения должны проанализировать требования бизнеса к использованию компьютерных и сетевых сервисов. Когда мнения некоторых членов этой команды не совпадают, столкновения их интересов и пересечения разных отраслей знания при обсуждении требований бизнеса позволяют получить более полную и объективную картину, чем при обычном опро­се людей, работающих в области маркетинга, продаж или разработки [22].

После анализа и систематизации требований бизнеса команда по разработке политики безопасности переходит к анализу и оценке рисков. Использование информационных систем и сетей связано с определенной совокупностью рисков. Анализ рисков является важнейшим этапом формирования политики безопасности (рисунок 3.2). Иногда этот этап называют также анализом уязвимостей или оценкой угроз. Хотя эти термины имеют несколько различающиеся толкования, конечные результаты сходны.

Рисунок 3.2 – Схема разработки политики безопасности

На этапе анализа рисков осуществляются следующие действия:

– идентификация и оценка стоимости технологических и информационных активов;

– анализ тех угроз, для которых данный актив является целевым объектом;

– оценка вероятности того, что угроза будет реализована на практике;

– оценка рисков этих активов [23].

Оценка риска выявляет как наиболее ценные, так и наиболее уязвимые активы, она позволяет точно установить, на какие проблемы нужно обратить особое внимание. Отчет об оценке рисков является ценным инструментом при формировании политики сетевой безопасности.

После оценки рисков активов можно переходить к установлению уровня безо­пасности, определяющего защиту каждого актива, то есть мер безопасности, кото­рые можно считать рентабельными для применения.

В принципе, стоимость защиты конкретного актива не должна превышать сто­имости самого актива. Необходимо составить подробный перечень всех активов, который включает такие материальные объекты, как серверы и рабочие станции, и такие нематериальные объекты, как данные и программное обеспечение. Должны быть идентифицированы директории, которые содержат конфиденциальные файлы или файлы целевого назначения. После идентификации этих активов должно быть проведено определение стоимости замены каждого актива с целью назначения приоритетов в перечне активов.

Для контроля эффективности деятельности в области безопасности и для учета изменений обстановки необходима регулярная переоценка рисков.

После проведения описанной выше работы можно переходить к непосредственному составлению политики безопасности. В политике безопасности организации должны быть определены используемые стандарты, правила и процессы безопасности.

Стандарты указывают, каким критериям должно следовать управление безо­пасностью. Правила подробно описывают принципы и способы управления безопасностью. Процессы должны осуществлять точную реализацию правил в соответствии с принятыми стандартами.

Кроме того, политика безопасности должна определить значимые для безопасности роли и указать ответственности этих ролей. Роли устанавливаются во время формулирования процессов [22].

Обычно процесс состоит из одного или более действий, где каждое действие включает четыре компонента (рисунок 3.3):

2. Механизм, реализующий данное действие и указывающий средства или роли, с помощью которых это действие выполняется. Другими словами, механизм определяет, какие роли вовлечены в это конкретное действие. В нашем примере такими ролями являются пользователь, запрашивающий новый пароль, и администратор безопасности.

3. Управление, описывающее алгоритм или условия, которые управляют этим действием. Например, стандарт может задать следующее условие: при запросе нового пароля инициатор запроса должен успешно пройти аутентификацию.

Связывая вместе все действия, входящие в процесс, мы получаем точное пред­ставление результирующего процесса и ролей, необходимых для исполнения этого процесса. В данном примере процесс состоит из одного действия - обновления пароля пользователя; роли идентифицируются как Пользователь и Администратор безопасности. Стандарты, правила и процессы должны быть документирова­ны в рамках политики для целей аудита.

Главной целью системы безопасности является обеспечение устойчивого функционирования предприятия и предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.

Задачами системы безопасности являются:

· прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам предприятия; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развитию;

· отнесение информации к категории ограниченного доступа (государственной, служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению;

· создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании предприятия;

· эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;

· создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей предприятия.

3. ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ
БЕЗОПАСНОСТИ

Организация и функционирование системы безопасности должны соответствовать следующим принципам:

· обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;

· обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;

· способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования предприятия.

· обеспечением соответствующего режима и охраны предприятия;

· организацией конфиденциального делопроизводства с ориентацией на защиту коммерческих секретов;

· мероприятиями по подбору и расстановке кадров;

· широким использованием технических средств безопасности и защиты информации;

· развернутой информационно-аналитической деятельностью.

1. Комплексность реализуется совокупностью правовых, организационных и инженерно-технических мероприятий.

2. Своевременность - упреждающий характер мер обеспечения безопасности. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирование обстановки, угроз безопасности предприятия, а также разработку эффективных мер предупреждения посягательств на законные интересы.

3. Непрерывность – постоянное обеспечение безопасности предприятия.

4. Активность - защита интересов предприятия с достаточной степенью настойчивости, широкое использование имеющихся сил и средств обеспечения безопасности и нестандартные меры защиты.

5. Законность - разработка системы безопасности на основе законодательства РФ в области предпринимательской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности.

7. Специализация – привлечение к разработке и внедрению мер по защите интересов предприятия специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы.

8. Взаимодействие и координация – осуществление мер обеспечения безопасности на основе четкого взаимодействия подразделений и служб предприятия.

ОБЪЕКТЫ ЗАЩИТЫ

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

· персонал предприятия (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, ценностям, хранилищам, осведомленные в сведениях, составляющих коммерческую тайну, работники внешнеэкономических служб и другие;

· финансовые средства, ТМЦ;

· информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;

· средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);

· материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);

· технические средства и системы охраны и защиты материальных и информационных ресурсов.

Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.

Наибольшую уязвимость представляют финансовые и ТМЦ, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.

Папиллярные узоры пальцев рук - маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.

Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰).

Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций.

В организационную структуру системы входят:

• руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
• заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
• постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
• подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).

Задачи, решаемые системой защиты информации:

• исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
• исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
• исключение неправомерного блокирования информации (обеспечение доступности информации).

Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.

Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.

Жизненный цикл системы защиты информации объекта информатизации - совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.

Стадия (этап) жизненного цикла – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.

Обладатель информации – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.

Заказчик – лицо, заключившее контракт на создание объекта обработки информации.

Оператор – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.

Уполномоченное лицо – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.

Поставщик информации – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.

Этапы стадии создания системы защиты информации

1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
2. Этап 2. Разработка системы защиты информации (этап проектирования).
3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).

Формирование требований к системе защиты информации

Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

1. Принятие решения о необходимости защиты обрабатываемой информации.
2. Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:

• статус (принадлежность) объекта (государственный, муниципальный, иной);
• структура объекта (локальный или распределенный);
• масштаб объекта (федеральный, региональный, объектовый);
• наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
• режим обработки информации (одно или многопользовательский);
• уровень доступа (с разграничением или без разграничения);
• перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
• используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

• информация ограниченного доступа (конфиденциальность, целостность, доступность);
• общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

• защита информации, составляющей государственную тайну;
• защита государственного информационного ресурса, не отнесенного к государственной тайне;
• обеспечение безопасности персональных данных в иных информационных системах;
• обеспечение безопасности критической информационной инфраструктуры;
• обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.

Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации - минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.

Задача защиты информации - обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие	Документ
1. Принятие решения о необходимости защиты информации	Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации)	Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации	Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации	ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Разработка системы защиты информации

Этап 2 - разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

1. Проектирование системы защиты информации.
2. Разработка эксплуатационной документации на систему защиты информации.

работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:

• средств и систем информатизации;
• помещений со средствами (системами) информатизации, подлежащими защите;
• защищаемых помещений.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:

Действие	Документ
1.Проектирование системы защиты информации	Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации	Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств. Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации.

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
2. Описание технологического процесса обработки информации.
3. Описание параметров и порядка настройки средств защиты информации.
4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
5. Ведомость и журнал учета применяемых машинных носителей информации.
6. Правила эксплуатации системы защиты информации.

Внедрение системы защиты информации

Этап 3 - Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:

1. Установка и настройка средств защиты информации.
2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие	Документ
1. Установка и настройка средств защиты информации	Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов	Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей	Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации	Протоколы контроля оценки эффективности средств и оценки защищенности информации

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

1. Порядок администрирования системой защиты информации.
2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
3. Порядок управления конфигурацией объекта и его системы защиты информации.
4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
5. Порядок защиты информации при выводе из эксплуатации объекта.

Подтверждение соответствия системы защиты информации

Этап 4 - подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.

Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

1. Подача и рассмотрение заявки на аттестацию.
2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
3. Разработка программы и методики аттестационных испытаний.
4. Проведение аттестационных испытаний объекта.
5. Оформление, регистрация и выдача аттестата соответствия.

Подача и рассмотрение заявки на аттестацию объекта информатизации:

1. Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
3. Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.

Аттестуемая распределенная информационно-телекоммуникационная система

Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:

Действие	Документ
1.Аттестационные испытания системы защиты информации	Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний	Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.

Этапы стадии эксплуатации системы защиты информации

• Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
• Этап 6. Промышленная эксплуатация системы защиты информации.
• Этап 7. Вывод из эксплуатации системы защиты информации.

Этап 5 - ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.

Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.

Этап 6 - промышленная эксплуатация системы защиты информации – осуществляется оператором.

Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.

• осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
• извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
• предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.

Органы по аттестации:

• отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
• проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.

Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.

При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Продление срока действия сертификата организацией, эксплуатирующей СЗИ:

Организация, эксплуатирующая средство защиты информации, заблаговременно , но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.

В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).

Этап 7 - вывод системы защиты информации из эксплуатации - осуществляется оператором.

На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.

15 мая 1935 года - День открытия Московского метрополитена

Энциклопедия транспортной безопасности

Учебно-методический комплекс дистанционного обучения (УМК ДО)

Метрополитены

Железнодорожный транспорт

Уровни безопасности объектов транспортной инфраструктуры и транспортных средств. Порядок их объявления (установления), сроки реализации дополнительных мер по обеспечению транспортной безопасности при изменении уровней безопасности на объектах транспортной инфраструктуры

Согласно ФЗ № 16 от 9 февраля 2007 года.

ст. 7. Уровни безопасности объектов транспортной инфраструктуры и транспортных средств.

1. В целях принятия мер по ОТБ устанавливаются различные уровни безопасности в транспортном комплексе.

2. Перечень уровней безопасности и порядок их объявления при изменении степени угрозы совершения АНВ в деятельность транспортного комплекса устанавливаются Правительством РФ (ПП № 2344) .

ст. 1. Основные понятия.

Уровень безопасности - степень защищённости транспортного комплекса, соответствующая степени угрозы совершения АНВ.

Согласно ПП № 2344 от 29 декабря 2020 года "Об уровнях безопасности объектов транспортной инфраструктуры и транспортных средств и о порядке их объявления (установления)".

1. Установлены уровни безопасности ОТИ и ТС:

уровень № 1 – степень защищённости транспортного комплекса от потенциальных угроз , заключающихся в наличии совокупности вероятных условий и факторов, создающих опасность совершения АНВ в деятельность транспортного комплекса;

уровень № 2 – степень защищённости транспортного комплекса от непосредственных угроз , заключающихся в наличии совокупности конкретных условий и факторов, создающих опасность совершения АНВ в деятельность транспортного комплекса;

уровень № 3 – степень защищённости транспортного комплекса от прямых угроз , заключающихся в наличии совокупности условий и факторов, создавших опасность совершения АНВ в деятельность транспортного комплекса.

2. Уровень безопасности ОТИ и ТС № 1:

если не объявлен иной уровень безопасности (№ 2 или № 3) .

Уровни безопасности, в зависимости от степени угроз, могут объявляться последовательно, т. е. сначала № 2, затем - № 3, либо сразу объявляется № 3.

3. Уровни безопасности ОТИ и ТС № 2 и 3 объявляются (устанавливаются) и отменяются СТИ на основании решения:

руководителей, образованных в соответствии с Указом Президента РФ № 116 Федерального оперативного штаба, оперативных штабов в субъектах РФ (уполномоченных ими должностных лиц) либо руководителей образованных в соответствии с Указом Президента РФ от 26 декабря 2015 г. № 664 "О мерах по совершенствованию государственного управления в области противодействия терроризму" оперативных штабов в морских районах (бассейнах) (уполномоченных ими должностных лиц) об изменении степени угрозы совершения носящего террористический характер АНВ в деятельность транспортного комплекса;

Министра внутренних дел РФ либо Министра транспорта РФ (уполномоченных ими должностных лиц) об изменении степени угрозы совершения не носящего террористический характер АНВ в деятельность транспортного комплекса.

4. Уровни безопасности ОТИ и ТС № 2 и 3 могут объявляться (устанавливаться) на срок не более 15 суток в отношении:

группы (2-х и более) ОТИ и (или) ТС .

Согласно Требованиям по ОТБ . утверждённым ПП № 1641 от 8 октября 2020 года или ПП № 1633 от 8 октября 2020 года.

СТИ в целях ОТБ ОТИ обязан реализовать предусмотренные планом ОТБ ОТИ дополнительные меры при изменении уровня безопасности, с момента получения информации об изменении степени угрозы совершения АНВ, в сроки, не превышающие:

12 часов для ОТИ - III и IV категории;

6 часов для ОТИ - II категории;

3 часов для ОТИ - I категории.

Согласно Требованиям по ОТБ . утверждённым ПП № 1653 от 10 октября 2020 года .

Допускаемые ошибки при ответе!

Забываете сказать, что решения об объявлении (установлении) и отмене уровней безопасности принимаются руководителями оперативных штабов различных уровней, министром внутренних дел или министром транспорта (уполномоченными ими должностными лицами).

Читайте также:

  
• Как написать резюме уборщицы
  
• Как уволить участника боевых действий
  
• Как получить пособие на погребение неработающего человека в пермском крае
  
• Кем выдано свидетельство о заключении брака где написано
  
• Вменить в вину предъявить кому либо обвинения в чем либо это