БЛОК №4.Работа со служебной информацией ограниченного распространения, содержащейся в паспорте безопасности объекта (территории)

УЦ, Академия Бизнеса > БЛОК №4.Работа со служебной информацией ограниченного распространения, содержащейся в паспорте безопасности объекта (территории)

Техническая защита

Тема 4.1.Требования к помещениям (сейфы, металлические шкафы). Защита от визуального наблюдения.

Тема 4.2.Запрет передачи скан-копий паспорта по открытым каналам связи (WhatsApp, Telegram, обычная e-mail). Правила использования VipNet или иных СКЗИ (обзорно).

Тема 4.3.Работа в ГИС ГМП, АРМ “Безопасность” и пр.

презентационный материал
аудио материал
4.1.Требования к помещениям (сейфы, металлические шкафы). Защита от визуального наблюдения.

Мы с вами прошли три больших модуля. Мы изучили законодательство, научились анализировать содержание паспорта безопасности, освоили все делопроизводственные процедуры: учет, уничтожение, формирование дела, допуск сотрудников.

Кажется, мы учли всё. Но есть одна сфера, которую невозможно охватить приказами и журналами. Это физическая среда. Это стены, двери, окна, шкафы, сейфы, столы, компьютеры, мониторы.

Представьте ситуацию. У вас идеальный приказ о допуске, все сотрудники подписали обязательства, паспорт безопасности учтен, сформировано дело, на обложке стоит гриф «Для служебного пользования». Дело лежит в сейфе. Сейф стоит в кабинете. А кабинет окнами выходит на оживленную улицу. Или дверь в кабинет не запирается. Или сейф имеет заводской код «0000», который знают все сотрудники.

В этой ситуации весь ваш идеальный делопроизводственный учет рассыпается в прах. Потому что техническая защита — это фундамент, на котором держится вся система. Если фундамент слабый, здание рухнет.

Цель сегодняшнего занятия — заложить этот фундамент. Мы разберем:

  1. Какие помещения могут использоваться для работы с документами ограниченного доступа, а какие — категорически нет.
  2. Какими должны быть сейфы и металлические шкафы: класс взломостойкости, способы крепления, правила эксплуатации.
  3. Где размещать сейф в помещении, чтобы минимизировать риск визуального наблюдения.
  4. Как защитить рабочее место от просмотра посторонними лицами.
  5. Какие требования предъявляются к окнам, дверям, замкам в режимных помещениях.
  6. Как организовать контролируемую зону и что это вообще такое.

Мы будем говорить не абстрактно, а предметно. Я буду называть конкретные ГОСТы, конкретные классы защиты, конкретные цифры.

НОРМАТИВНАЯ БАЗА: ОТ ПОСТАНОВЛЕНИЯ № 1233 ДО ГОСТОВ

1.1. Уровни регулирования.

Требования к помещениям и местам хранения документов с пометкой «Для служебного пользования» устанавливаются несколькими уровнями нормативных документов.

Уровень первый. Постановление Правительства Российской Федерации от 3 ноября 1994 года № 1233.
Пункт 6.1 Положения гласит:
«Хранение документов с пометкой “Для служебного пользования” осуществляется в запираемых и опечатываемых металлических шкафах (сейфах)».

Это базовое, минимальное требование. Документ должен лежать в железном ящике, который закрывается на замок.

Уровень второй. Ведомственные приказы и нормативные акты по антитеррористической защищенности.
Например, приказы Министерства просвещения, Министерства культуры, Министерства спорта часто содержат требования: «Паспорт безопасности хранится в сейфе (металлическом шкафу) в помещении, исключающем доступ посторонних лиц».

Уровень третий. Национальные стандарты (ГОСТы).
Хотя для документов ДСП они не являются строго обязательными, они задают ориентиры качества. Наиболее важные:

  • ГОСТ Р 50862-2017 «Сейфы и хранилища ценностей»— определяет классы взломостойкости сейфов.
  • ГОСТ Р 51221-98 «Средства защиты банковские. Двери и люки защитные»— для помещений повышенной защиты.
  • ГОСТ Р 50941-96 «Кабины защитные»— для организации защищенных рабочих мест.

Уровень четвертый. Локальные акты организации.
Организация вправе установить более строгие требования, чем предусмотрено законодательством. Например, обязать хранить паспорт безопасности только в сейфе не ниже 3-го класса взломостойкости.

1.2. Разница между сейфом и металлическим шкафом.

На практике эти понятия часто смешивают. Давайте четко разделим.

Металлический шкаф — это изделие из листового металла, предназначенное для хранения документов. Он может закрываться на замок, может иметь внутренние полки. Однако стенки такого шкафа относительно тонкие (0,8–1,5 мм), замок простой (сувальдный или даже навесной). Металлический шкаф защищает от кражи «по случаю», от небрежности, но не от взлома с инструментом.

Сейф — это изделие, прошедшее сертификационные испытания на взломостойкость. Он имеет:

  • усиленные стенки (иногда многослойные);
  • специальные замки (не менее двух — сувальдный и кодовый, либо один высокой стойкости);
  • противовзломные ригели;
  • крепление к полу или стене.

Вывод: Положение номер 1233 допускает оба варианта. Но я настоятельно рекомендую для хранения паспорта безопасности использовать сейф, а не металлический шкаф. Исключение — если паспорт хранится в помещении, которое само является режимным и охраняемым.

ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ ДЛЯ РАБОТЫ С ДОКУМЕНТАМИ ДСП

2.1. Понятие «режимное помещение».

В законодательстве нет жесткого определения «режимного помещения» для документов с пометкой «Для служебного пользования». Однако делопроизводственная практика выработала критерии.

Режимное помещение (помещение для работы с документами ограниченного доступа) должно удовлетворять следующим минимальным требованиям:

  1. Постоянное нахождение.Это помещение, в котором постоянно работают сотрудники, допущенные к документам ДСП, либо помещение специально предназначено для хранения таких документов.
  2. Контроль доступа.Вход в помещение должен быть ограничен. Посторонние лица (посетители, сотрудники других отделов, технический персонал) не должны иметь свободного доступа.
  3. Запирание.Помещение должно закрываться на замок. Ключи должны находиться у ограниченного круга лиц.
  4. Окна.Должны быть приняты меры, исключающие визуальное наблюдение за рабочими местами и местами хранения.
  5. Сигнализация.Настоятельно рекомендуется оснащение помещения охранной сигнализацией (на открывание дверей, на разбитие стекол, на движение).

2.2. Категорически непригодные помещения.

Не допускается размещать рабочие места для работы с документами ДСП и хранить такие документы:

  1. В коридорах, холлах, рекреациях.Это помещения общего пользования, доступ посторонних не ограничен.
  2. В помещениях со стеклянными стенами или перегородками.Визуальный контроль со стороны посторонних неизбежен.
  3. В цокольных и подвальных этажах без дополнительной гидроизоляции и охраны (риск затопления, повышенная влажность, риск проникновения).
  4. В помещениях с проходным характером(например, комната отдыха, совмещенная с канцелярией).
  5. В помещениях, где одновременно работают лица, не допущенные к документам ДСП, без возможности изолировать рабочее место.

2.3. Требования к дверям.

Входная дверь в помещение, где хранится паспорт безопасности и ведется работа с ним, должна быть:

  • Металлической или усиленной деревянной.Обычная филенчатая дверь не подходит.
  • Оснащенной замком.Рекомендуется замок не ниже 3-го класса взломостойкости (по ГОСТ Р 52582-2006).
  • Без остекления.Если остекление имеется, стекло должно быть армированным или пуленепробиваемым, либо на окно должна быть установлена металлическая решетка (жалюзи) изнутри.

2.4. Требования к окнам.

Окна — это основной канал визуальной утечки информации.

Что мы защищаем от визуального наблюдения?

  • Рабочее место, где на столе лежат документы с грифом ДСП.
  • Сейф или шкаф с документами.
  • Экран монитора, на котором отображена служебная информация.

Меры защиты от визуального наблюдения:

  1. Жалюзи или шторы блэкаут.Окна должны быть оборудованы светонепроницаемыми шторами или вертикальными (горизонтальными) жалюзи, исключающими просмотр снаружи. Тюль не защищает.
  2. Расположение рабочих мест.Столы с документами и мониторы должны располагаться так, чтобы не просматриваться с улицы.
  3. Тонировка стекол.Допускается тонировка оконных стекол пленкой, снижающей видимость. Однако следует соблюдать требования пожарной безопасности и законодательства о тонировке (для первого этажа).
  4. Решетки.При необходимости — установка решеток на окна первых этажей.

2.5. Контролируемая зона.

В серьезных режимных структурах вводится понятие «контролируемая зона». Это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих допуска.

Применительно к нашей теме: достаточно организовать контролируемую зону на уровне кабинета (или блока кабинетов). Вход в эту зону должен быть ограничен, на двери должна быть табличка «Посторонним вход воспрещен» или «Работа с документами ограниченного доступа».

СЕЙФЫ И МЕТАЛЛИЧЕСКИЕ ШКАФЫ: ТРЕБОВАНИЯ И ПРАВИЛА

3.1. Классификация сейфов по взломостойкости.

ГОСТ Р 50862-2017 устанавливает классы взломостойкости сейфов и хранилищ ценностей — от 0 до 5.

  • 0 класс— сейфы, не испытанные на взломостойкость (фактически металлические ящики). Не рекомендуются.
  • 1 класс— минимальная защита. Выдерживает взлом с использованием простых ручных инструментов (отвертка, молоток) в течение 5 минут.
  • 2 класс— выдерживает взлом с использованием более серьезного инструмента (ломик, топор) в течение 10 минут.
  • 3 класс— выдерживает взлом с использованием электрического инструмента (дрель, ножовка по металлу) в течение 15 минут.
  • 4 и 5 классы— для банковских хранилищ и оружейных комнат.

Для хранения паспорта безопасности достаточно сейфа 1 или 2 класса. Однако если сейф используется еще и для хранения оружия (например, служебного оружия охранников), требования будут выше.

3.2. Виды сейфов по назначению.

  • Оружейные сейфы.Имеют специфическую конструкцию (вертикальные ячейки). Для паспорта неудобны, но использовать можно.
  • Архивные сейфы (шкафы).Оптимальны. Имеют полки, удобны для хранения папок с документами.
  • Депозитные сейфы (ячейки).Для паспорта нецелесообразны.
  • Универсальные сейфы.Золотая середина.

3.3. Обязательные требования к сейфу для хранения документов ДСП.

  1. Наличие запирающего устройства.Желательно — не менее двух замков (ключевой и кодовый) или одного замка высокой стойкости.
  2. Возможность опечатывания.На корпусе сейфа должна быть планка или устройство для навески пломбы (наклейки).
  3. Целостность.Без повреждений, деформаций, следов взлома.
  4. Крепление к полу или стене.Это критическое требование. Сейф должен быть прикреплен анкерными болтами к несущей конструкции. Иначе злоумышленник может просто унести сейф целиком.

3.4. Крепление сейфа.

Способ крепления зависит от пола:

  • Бетонный пол.Анкерные болты диаметром не менее 10 мм, заглубление не менее 80 мм.
  • Деревянный пол.Крепление к полу через стальную пластину с болтами, проходящими насквозь и закрепленными снизу.
  • Стена.Если сейф навесной или малогабаритный, крепится к капитальной стене (кирпич, бетон) анкерами.

Важно: сейф, который можно сдвинуть с места или наклонить, не отвечает требованиям безопасности. При проверке контролирующие органы могут потребовать подтверждения крепления.

3.5. Правила эксплуатации сейфа.

  1. Закрывание.Сейф должен быть всегда заперт, даже если вы вышли из кабинета на минуту.
  2. Ключи.Ключи от сейфа должны храниться у ответственного лица. Запрещается:
    • оставлять ключи в замке;
    • передавать ключи посторонним;
    • хранить дубликаты в открытом доступе (в столе, в ящике без замка).
  3. Кодовые замки.Код должен быть известен минимальному количеству лиц. Код необходимо менять:
    • при смене ответственного лица;
    • при увольнении сотрудника, знавшего код;
    • не реже одного раза в год (рекомендательно).
  4. Опечатывание.Если в организации принято опечатывать сейфы (например, на время отсутствия сотрудника), используется нумерованная пломба или бумажная наклейка с подписью.

3.6. Что нельзя хранить в сейфе вместе с паспортом безопасности?

В сейфе, где хранится паспорт безопасности, не рекомендуется хранить:

  • личные вещи сотрудников (деньги, телефоны, продукты);
  • открытые документы, не имеющие грифа ограничения;
  • носители информации без маркировки.

Это требование не законодательное, а практическое. Совместное хранение затрудняет инвентаризацию и повышает риск утраты или повреждения паспорта.

3.7. Практическое упражнение

Проведем быстрый аудит вашего рабочего места (мысленно или на примере).

Задание: ответьте на три вопроса.

  1. В каком сейфе (металлическом шкафу) хранится паспорт безопасности в вашей организации? Есть ли на него паспорт (сертификат)? Прикреплен ли он к полу/стене?
  2. Где хранятся ключи от сейфа? Имеется ли дубликат и где он находится?
  3. Кто имеет доступ к сейфу? Совпадает ли этот список с перечнем лиц, допущенных к паспорту безопасности?

 

ЗАЩИТА ОТ ВИЗУАЛЬНОГО НАБЛЮДЕНИЯ

4.1. Визуальное наблюдение как канал утечки.

Утечка информации — это не только взлом сейфа или хакерская атака. Очень часто информация утекает через глаза. Злоумышленник может:

  • заглянуть в окно с улицы;
  • зайти в кабинет под видом посетителя и увидеть документ на столе;
  • стоя за спиной сотрудника, прочитать информацию с экрана монитора;
  • использовать оптические средства (бинокль, подзорная труба) для наблюдения из соседнего здания.

4.2. Требования к размещению рабочего места.

Рабочее место сотрудника, работающего с документами ДСП, должно быть организовано так, чтобы исключить или максимально затруднить визуальный доступ.

Правило 1. Спиной к окну.
Монитор и рабочие документы должны располагаться торцом или спиной к окну, но не лицом к окну. Если сотрудник сидит лицом к окну, любой человек с улицы (или из соседнего здания) может видеть его экран и документы.

Правило 2. Контроль входа.
Рабочее место должно располагаться так, чтобы сотрудник видел входную дверь. Это позволяет своевременно убрать документы или перевернуть экран при появлении постороннего.

Правило 3. Защитные экраны (фильтры).
Для мониторов, на которых отображается служебная информация ограниченного распространения, настоятельно рекомендуется использовать антибликовые защитные экраны с ограничением угла обзора.

Такие экраны (приват-фильтры) делают изображение на экране видимым только для человека, сидящего прямо перед монитором. Под углом более 30 градусов экран кажется черным или мутным. Это недорогая и очень эффективная мера.

4.3. Работа с документами на бумажных носителях.

  1. Запрещено оставлять документы с грифом «Для служебного пользования» на рабочем столепри выходе из кабинета. Даже если вы вышли «на минуту».
  2. Запрещено класть документы с грифом ДСП в прозрачные файлы-вкладышии вешать на стены, на доски объявлений, на шкафы.
  3. При работе с документом в присутствии посетителя (даже если посетитель допущен) необходимо следить, чтобы посторонние лица не имели возможности прочитать текст с листа.

4.4. Защита от наблюдения через окна.

Если помещение расположено на первом или втором этаже и окна выходят на оживленную улицу, парковку или соседнее здание, обязательно:

  1. Использовать светонепроницаемые шторы (блэкаут) или жалюзи.
  2. Держать шторы закрытыми во время работы с документами ДСП.
  3. Установить на окна матовую пленку или тонировку, затрудняющую визуальный контроль.

Особое предупреждение: жалюзи должны быть вертикальными или горизонтальными, но не рулонными, которые легко поднять снаружи. Материал жалюзи — металл или плотный пластик. Тканевые жалюзи просвечивают.

4.5. Организация приема посетителей в режимном помещении.

Если в помещении, где хранится паспорт безопасности и ведутся документы ДСП, принимаются посетители, необходимо:

  1. Минимизировать присутствие посетителей.По возможности прием вести в отдельной переговорной.
  2. Убрать документы ДСПс рабочих столов до прихода посетителя.
  3. Выключить мониторили перевести его в режим сна, либо закрыть приват-фильтром (если посетитель находится сбоку).
  4. Сейф должен быть закрыти, желательно, опечатан.

4.6. Практическое упражнение 

Я попрошу вас мысленно осмотреть свой кабинет.

Задание: нарисуйте (в уме) схему вашего рабочего места относительно окон и двери.

  • Где стоит сейф?
  • Где стоит стол?
  • Виден ли сейф из окна?
  • Виден ли экран монитора с улицы?
  • Видна ли дверь с рабочего места?

Если есть недостатки — продумайте, как их можно устранить (переставить мебель, установить жалюзи, купить приват-фильтр).

 

ИНЖЕНЕРНО-ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ

5.1. Охранная сигнализация.

Для помещений, где хранятся документы с грифом «Для служебного пользования», настоятельно рекомендуется установка охранной сигнализации.

Виды сигнализации:

  • Магнитоконтактные извещатели(на открывание дверей и окон).
  • Акустические извещатели(на разбитие стекла).
  • Объемные извещатели(датчики движения) — для помещений, где никто не находится постоянно.
  • Вибрационные датчики— для защиты сейфов от высверливания и отрыва от пола.

Сигнализация может быть автономной (сирена) или пультовой (вывод на пульт охраны Росгвардии или частного охранного предприятия).

5.2. Системы контроля и управления доступом (СКУД).

Для усиления режима рекомендуется оснащение входной двери электромагнитным или электромеханическим замком с доступом по электронным картам (пропускам) или биометрии. Это позволяет:

  • фиксировать время входа и выхода сотрудников;
  • оперативно блокировать доступ уволенным сотрудникам;
  • исключить использование дубликатов ключей.

Для небольших организаций достаточно обычного замка с четким учетом ключей.

5.3. Видеонаблюдение.

Установка камер видеонаблюдения в помещении, где хранится паспорт безопасности, имеет двойной эффект.

Плюсы:

  • фиксация фактов доступа к документам;
  • возможность расследования инцидентов;
  • психологический фактор сдерживания.

Минусы:

  • камера сама является источником информации (запись с камеры — тоже документ ограниченного доступа);
  • необходимо обеспечить сохранность записей и ограничить доступ к архиву.

Рекомендация: если видеонаблюдение установлено, камера не должна направлена прямо на стол с документами и на клавиатуру (чтобы не зафиксировать пароли и содержание документов). Достаточно общего плана на дверь и сейф.

5.4. Средства пожаротушения.

Важное требование — сохранность документов от пожара. Сейф должен быть огнестойким (хотя бы минимальный класс огнестойкости 30Б). Обычные металлические шкафы не защищают документы от выгорания при пожаре — температура внутри достигает 200–300 градусов, бумага обугливается.

Помещение должно быть оснащено первичными средствами пожаротушения (огнетушители). Желательно — автоматической системой пожаротушения, но не водяной (вода уничтожит документы не хуже огня), а газовой или порошковой.

ОРГАНИЗАЦИОННЫЕ МЕРЫ: РЕГЛАМЕНТАЦИЯ ДОСТУПА В ПОМЕЩЕНИЕ

6.1. Перечень лиц, имеющих право доступа в помещение.

Должен быть утвержден приказом руководителя перечень лиц, имеющих право входа в помещение, где хранится паспорт безопасности и ведутся документы ДСП.

Этот перечень может совпадать с перечнем лиц, допущенных к работе с документами ДСП, но может быть и шире (например, технический персонал для уборки, электрики для ремонта).

6.2. Порядок допуска в нерабочее время.

Должен быть регламентирован порядок доступа в помещение в нерабочее время (вечером, ночью, в выходные и праздничные дни). Как правило, доступ разрешается только руководителю организации или лицу, его замещающему, с обязательной отметкой в журнале доступа.

6.3. Журнал доступа в помещение.

Для помещений с документами ДСП рекомендуется вести журнал учета посещений.

Дата

Время входа

Время выхода

ФИО посетителя

Цель посещения

Подпись

Примечание
               

Журнал хранится в этом же помещении или у ответственного лица.

6.4. Ответственность за нарушение порядка доступа.

Нарушение порядка доступа в помещение, где хранятся документы ДСП, если оно повлекло утрату или разглашение информации, квалифицируется по статье 13.14 Кодекса об административных правонарушениях (для должностных лиц) и влечет дисциплинарную ответственность.

Особо: оставление двери помещения незапертой, передача ключей посторонним, невключение сигнализации — это грубые дисциплинарные проступки, за которые следует наказание вплоть до увольнения.

ТИПИЧНЫЕ НАРУШЕНИЯ ТРЕБОВАНИЙ К ПОМЕЩЕНИЯМ И ХРАНЕНИЮ

Ошибка № 1. Сейф не прикреплен к полу или стене.
Самый распространенный недостаток. Сейф стоит на полу, его можно унести. При проверке это фиксируется как грубое нарушение.

Ошибка № 2. Ключи от сейфа в открытом доступе.
Ключи висят на гвоздике под столом, лежат в ящике стола без замка, передаются «по цепочке». Учет ключей не ведется.

Ошибка № 3. Отсутствие контроля за доступом в помещение.
Дверь не запирается, в кабинет заходят все желающие. Сотрудники работают с документами ДСП при открытых дверях.

Ошибка № 4. Нарушение визуального контроля.
Монитор развернут к окну, жалюзи не опущены, документы лежат на столе стопкой, доступной для просмотра с улицы.

Ошибка № 5. Совместное хранение.
Паспорт безопасности хранится в одном сейфе с личными вещами, посторонними документами, открытыми бланками. При инвентаризации невозможно быстро определить, что именно должно быть в сейфе.

Ошибка № 6. Отсутствие маркировки.
На сейфе нет инвентарного номера, нет отметки об ответственном хранителе, нет описи содержимого. При смене ответственного лица невозможно провести корректную передачу.

Ошибка № 7. Хранение в непредназначенных местах.
Паспорт безопасности хранится в тумбочке стола, в картонной коробке, на полке открытого стеллажа. Формально «под замком», но фактически — в легкодоступном месте.

ПРАКТИЧЕСКАЯ РАБОТА: АУДИТ ПОМЕЩЕНИЯ

Сейчас мы проведем небольшую практическую работу. 

ЧЕК-ЛИСТ
проверки готовности помещения к работе с документами с пометкой «Для служебного пользования»

Проверяемый параметр

Соответствует (+ / –)

Примечание

1

Помещение изолировано, имеет одну входную дверь

    

2

Входная дверь металлическая (усиленная), оснащена замком

    

3

На двери установлена сигнализация (магнитоконтактный датчик)

    

4

Окна оборудованы светонепроницаемыми шторами (жалюзи)

    

5

С рабочего места не просматриваются улица и соседние здания

    

6

Монитор защищен приват-фильтром

    

7

Для хранения документов используется сейф (металлический шкаф)

    

8

Сейф прикреплен к полу или стене

    

9

Сейф оснащен исправным замком (не менее 2-х замков)

    

10

Ключи от сейфа находятся у ответственного лица, дубликат в сейфе руководителя

    

11

На сейфе указан инвентарный номер и ответственный

    

12

В помещении ведется журнал доступа (или иной учет посещений)

    

13

Утвержден перечень лиц, имеющих право доступа в помещение

    

14

Проводится инструктаж по технической защите информации

    

Задание: используя этот чек-лист, проведите экспресс-аудит своего рабочего помещения. Если по какому-то пункту стоит минус — это зона риска, требующая устранения.

 

ЗАКЛЮЧЕНИЕ. ПАМЯТКА И ДОМАШНЕЕ ЗАДАНИЕ

Шесть золотых правил технической защиты:

Правило первое. Паспорт безопасности хранится только в сейфе. Не в столе, не в тумбочке, не на полке. Сейф должен быть закрыт, прикреплен к полу/стене.

Правило второе. Ключи от сейфа — под контролем. Знают двое: ответственный хранитель и руководитель. Дубликат — в опечатанном пенале в сейфе руководителя.

Правило третье. Помещение должно быть контролируемой зоной. Дверь закрыта, посторонние не ходят.

Правило четвертое. Окна — враг конфиденциальности. Жалюзи опущены, шторы задернуты, монитор развернут от окна.

Правило пятое. Монитор — не витрина. Приват-фильтр, режим сна при уходе, блокировка экрана при кратковременном отсутствии.

Правило шестое. Уборка и ремонт — под контролем. Технический персонал допускается только в присутствии ответственного лица и после отобрания обязательства о неразглашении.

Домашнее задание:

  1. Проведите полный аудит помещения, где хранится паспорт безопасности вашей организации, используя чек-лист.
  2. Составьте акт (служебную записку) с выявленными недостатками и предложениями по их устранению.
  3. Проверьте сейф: прикреплен ли он к полу/стене, исправны ли замки, есть ли на сейфе инвентарный номер и указание ответственного лица.
  4. Если в вашем кабинете окна не оборудованы светонепроницаемыми шторами — подготовьте обоснование для их приобретения (докладная записка).
  5. Проверьте, установлен ли на вашем рабочем мониторе приват-фильтр. Если нет — оцените необходимость его приобретения.
4.2. Запрет передачи скан-копий паспорта по открытым каналам связи (WhatsApp, Telegram, обычная e-mail). Правила использования VipNet или иных СКЗИ (обзорно).
презентационный материал
аудио материал

Мы с вами уже очень подробно говорили о технической защите информации. На прошлом занятии мы разобрали, как должно быть оборудовано помещение, где хранится паспорт безопасности, каким должен быть сейф, как защитить рабочее место от визуального наблюдения.

Но есть одна сфера, которая сводит на нет все наши усилия по технической и организационной защите. Эта сфера — пересылка информации.

Мы ставим паспорт безопасности в сейф 3-го класса взломостойкости, прикрепленный к полу анкерными болтами. Мы устанавливаем на окна жалюзи блэкаут, на мониторы — приват-фильтры. Мы издаем приказы о допуске, отбираем обязательства, проводим инструктажи.

А потом ответственный сотрудник говорит: «Мне нужно срочно отправить скан паспорта на согласование в вышестоящую организацию». Он берет паспорт из сейфа, кладет его на сканер, нажимает кнопку «Сканировать», создает файл в формате PDF, открывает почтовый клиент Яндекс.Почта или Mail.ru, вбивает адрес получателя, нажимает «Отправить».

Всё. Информация ушла. Она прошла через десятки серверов, часть из которых находится за пределами Российской Федерации. Она скопировалась в почтовые ящики, в облачные хранилища, в кэш браузеров. Она стала доступна не только адресату, но и провайдеру, и спецслужбам других государств, и хакерам, и просто случайным лицам, которые могут перехватить трафик.

Парадокс: мы тратим миллионы рублей на железные двери и сейфы, но сливаем информацию бесплатно, одним кликом мыши.

Цель сегодняшнего занятия — раз и навсегда закрыть эту брешь. Мы разберем:

  1. Что такое «открытые каналы связи»и почему они запрещены для передачи информации с грифом «Для служебного пользования».
  2. Почему WhatsApp, Telegram, Viber, Skype — это злос точки зрения режима секретности.
  3. Почему обычная электронная почта (Yandex, ru, Gmail, Rambler) — это тоже зло.
  4. Что такое средства криптографической защиты информации (СКЗИ)и как они работают.
  5. Как устроен VipNet— самое популярное СКЗИ в государственном секторе.
  6. Что делать, если СКЗИ в организации нет(легальные альтернативы).
  7. Ответственность за пересылку документов ДСП по открытым каналам.

НОРМАТИВНАЯ БАЗА: ЧТО ЗАПРЕЩЕНО И ПОЧЕМУ

1.1. Постановление Правительства № 1233: прямая норма.

Пункт 3.6 Положения, утвержденного Постановлением Правительства Российской Федерации от 3 ноября 1994 года № 1233, устанавливает:

«Пересылка документов с пометкой “Для служебного пользования” осуществляется фельдъегерской связью, специальной связью, заказными почтовыми отправлениями или нарочным».

Обратите внимание: в этом перечне нет электронной почты. Нет мессенджеров. Нет систем мгновенного обмена сообщениями.

Это означает, что пересылка паспорта безопасности в электронном виде по открытым каналам связи ЗАПРЕЩЕНА ПРИНЦИПИАЛЬНО.

1.2. Федеральный закон «Об информации, информационных технологиях и о защите информации».

Статья 16 Федерального закона от 27 июля 2006 года № 149-ФЗ обязывает обладателя информации принимать правовые, организационные и технические меры для защиты информации ограниченного доступа от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.

Пересылка документа по открытому каналу без применения средств криптографической защиты не является технической мерой защиты. Это прямая передача информации потенциально неограниченному кругу лиц.

1.3. Приказы ФСТЭК России и ФСБ России.

Федеральная служба по техническому и экспортному контролю и Федеральная служба безопасности Российской Федерации установили требования к защите информации при ее передаче по каналам связи. Для информации с грифом «Для служебного пользования» (которая не содержит гостайну) использование сертифицированных СКЗИ является обязательным при передаче по открытым каналам.

1.4. Ответственность за нарушение.

Если будет установлено, что паспорт безопасности (или иной документ с грифом «Для служебного пользования») был направлен по открытой электронной почте или через мессенджер, это квалифицируется как:

  • Нарушение порядка обращения со служебной информацией ограниченного распространения(статья 13.14 КоАП РФ) — штраф на должностных лиц до 100 000 рублей, на юридических лиц — до 500 000 рублей.
  • Грубое нарушение трудовых обязанностей— основание для дисциплинарного взыскания вплоть до увольнения.
  • При наличии состава — нарушение лицензионных требований(если организация имеет лицензию на техническую защиту информации).

ОТКРЫТЫЕ КАНАЛЫ СВЯЗИ: КЛАССИФИКАЦИЯ УГРОЗ

2.1. Что такое «открытый канал связи».

Открытый канал связи — это канал передачи данных, в котором информация передается в незашифрованном виде или с использованием несертифицированных (не прошедших проверку в ФСБ России) алгоритмов шифрования.

К открытым каналам относятся:

  1. Электронная почта без шифрования(протоколы POP3, SMTP, IMAP без TLS/SSL, либо с TLS/SSL, но с использованием иностранных сертификатов, не прошедших сертификацию в ФСБ России).
  2. Мессенджеры(WhatsApp, Telegram, Viber, Skype, Signal, Discord и др.), даже если они заявляют о наличии шифрования.
  3. Облачные хранилища(Яндекс.Диск, Google Диск, Облако ru, Dropbox) при загрузке файлов и передаче ссылок.
  4. Файлообменные сети(WeTransfer, SendSpace и пр.).
  5. Факсимильная связь(факс передает изображение по телефонной линии в открытом виде).
  6. Социальные сети и мессенджеры в части переписки(сообщения ВКонтакте, Одноклассники).

2.2. Почему мессенджеры — это не защищенная связь.

Существует устойчивый миф: «Telegram защищенный, он использует шифрование MTProto, его нельзя взломать».

Это опасное заблуждение.

Во-первых. Даже если сам канал связи зашифрован (трафик между вами и сервером мессенджера не виден провайдеру), сервер мессенджера видит ваше сообщение в открытом виде. В Telegram серверы находятся в Дубае, в WhatsApp — в США (принадлежит Meta, запрещенной в России экстремистской организации). Файлы, которыми вы обмениваетесь, хранятся на этих серверах. Вы не контролируете, кто имеет к ним доступ.

Во-вторых. Шифрование в мессенджерах не сертифицировано ФСБ России. Это означает, что с юридической точки зрения оно не признается средством защиты информации ограниченного доступа.

В-третьих. Мессенджеры предназначены для личной переписки, а не для служебного документооборота. Использование личных аккаунтов для передачи служебных документов недопустимо.

2.3. Почему электронная почта — это тоже не защита.

Миф: «Мы используем корпоративную почту на собственном сервере, она защищена».

Реальность:

  • Протоколы POP3/SMTP/IMAP передают логин и пароль в открытом виде, если не включен TLS.
  • Даже если TLS включен, сертификат шифрования обычно выдан иностранным удостоверяющим центром, не входящим в российскую систему сертификации.
  • Почтовый сервер хранит все письма на жестких дисках. Если администратор сервера имеет доступ, он может читать любые письма. Если сервер взломан — все письма станут доступны злоумышленникам.
  • Бесплатные почтовые сервисы (Yandex, ru, Gmail) хранят письма на своих серверах, которые находятся в том числе за границей.

2.4. Риски при передаче скан-копии паспорта безопасности.

Давайте смоделируем ситуацию.

Вы отправили скан паспорта безопасности с пометкой «Для служебного пользования» по электронной почте.

Что может произойти?

  1. Письмо может быть перехвачено.Это могут сделать злоумышленники, провайдер, спецслужбы иностранных государств (если письмо проходит через зарубежные серверы).
  2. Письмо может быть ошибочно отправлено не тому адресату.Опечатка в одной букве — и документ ушел постороннему человеку.
  3. Адресат может переслать письмо дальше.Он не обязан обеспечивать сохранность вашего документа, если вы ему его просто отправили.
  4. Почтовый ящик адресата может быть взломан.Документ окажется в открытом доступе.
  5. Письмо сохранится в кэше почтового клиента, на сервере, в резервных копиях.Даже если вы удалите его из «Отправленных», оно останется в системе.

Вывод: передача паспорта безопасности по открытым каналам связи — это не «отправка документа», а публикация информации с непредсказуемым кругом получателей.

РАЗРЕШЕННЫЕ КАНАЛЫ ПЕРЕДАЧИ

3.1. Фельдъегерская и специальная связь.
Мы уже говорили об этом в теме 2.3. Это самый надежный, но самый медленный способ. Подходит для передачи оригиналов документов.

3.2. Заказные почтовые отправления.
Также подробно разбирали. Подходит для передачи оригиналов и заверенных копий.

3.3. Нарочный.
Курьер организации, доставляющий документ лично в руки адресату под подпись.

3.4. Защищенные каналы связи с использованием СКЗИ.
Это единственный законный способ передачи электронных образов документов с грифом «Для служебного пользования».

СКЗИ — средства криптографической защиты информации. Они обеспечивают:

  • Шифрование— преобразование информации в форму, нечитаемую без ключа.
  • Имитозащиту— защиту от подделки и модификации.
  • Аутентификацию— подтверждение подлинности отправителя и получателя.

Важнейшее условие: СКЗИ должны быть сертифицированы Федеральной службой безопасности Российской Федерации. Только наличие сертификата ФСБ России дает право использовать данное средство для защиты информации ограниченного доступа.

VIPNET: АРХИТЕКТУРА И ПРИНЦИПЫ РАБОТЫ

4.1. Что такое VipNet.

VipNet — это семейство программно-аппаратных средств криптографической защиты информации, разработанное компанией «ИнфоТеКС». Это наиболее распространенное СКЗИ в государственных органах, бюджетных учреждениях, корпоративном секторе России.

VipNet имеет сертификаты ФСБ России, ФСТЭК России, ФСО России. Он разрешен для защиты:

  • государственной тайны (соответствующие классы);
  • служебной информации ограниченного распространения;
  • персональных данных;
  • иной конфиденциальной информации.

4.2. Как работает VipNet: базовые понятия.

Давайте разберем архитектуру VipNet на пальцах.

Компонент 1. VipNet Coordinator (Координатор).
Это «главный сервер» защищенной сети. Координатор:

  • управляет ключами шифрования;
  • устанавливает защищенные соединения между абонентами;
  • контролирует доступ;
  • ведет журнал событий.

Координатор может быть программным (устанавливается на сервер) или аппаратным (отдельное устройство).

Компонент 2. VipNet Client (Клиент).
Это программа, устанавливаемая на компьютер каждого сотрудника, допущенного к защищенному документообороту. Клиент:

  • шифрует исходящую информацию;
  • расшифровывает входящую;
  • создает защищенные туннели (VPN) к координатору и другим клиентам.

Компонент 3. Ключи шифрования.
Каждый клиент имеет уникальный закрытый ключ (хранится в защищенном контейнере, обычно на компьютере или на смарт-карте/токене) и открытый ключ (распространяется через координатор).

Компонент 4. Инфраструктура управления ключами.
VipNet использует собственную систему сертификации, независимую от глобальной PKI (Public Key Infrastructure). Ключи генерируются централизованно и распределяются администратором безопасности.

4.3. Что делает VipNet с документом, который вы отправляете?

Шаг 1. Создание файла.
Вы создаете документ (например, отсканированный паспорт безопасности в формате PDF) на своем компьютере.

Шаг 2. Шифрование.
Клиент VipNet берет файл, сжимает его, применяет к нему алгоритм шифрования (ГОСТ 28147-89 или «Кузнечик») с использованием открытого ключа получателя и закрытого ключа отправителя. На выходе получается файл, который невозможно прочитать без соответствующего закрытого ключа.

Шаг 3. Передача.
Зашифрованный файл может быть передан любым способом — по электронной почте, через мессенджер, через облачное хранилище, на флешке. Без закрытого ключа это просто бессмысленный набор байт.

Шаг 4. Расшифрование.
Получатель открывает файл. Клиент VipNet проверяет электронную подпись (если она использовалась), расшифровывает файл с использованием своего закрытого ключа и открытого ключа отправителя.

4.4. Электронная подпись в VipNet.

VipNet позволяет создавать электронную подпись, которая юридически значима в рамках защищенного документооборота организации. Это:

  • подтверждает авторство документа;
  • гарантирует, что документ не был изменен после подписания;
  • имеет юридическую силу при наличии соглашения между участниками обмена.

4.5. Варианты поставки VipNet.

Вариант 1. VipNet Client + VipNet Coordinator.
Полнофункциональное решение. Координатор устанавливается в организации. Все сотрудники подключаются к нему.

Вариант 2. VipNet Client с использованием внешней инфраструктуры.
Если организация не хочет разворачивать свой координатор, можно подключиться к существующий сети доверенных абонентов (например, через систему межведомственного электронного взаимодействия).

Вариант 3. VipNet для малого бизнеса (VipNet ESTD).
Облегченная версия, проще в настройке и дешевле.

4.6. Стоимость и сложность внедрения.

VipNet — не бесплатное решение. Стоимость лицензий зависит от количества клиентов и типа координатора. Для небольшой организации (до 20 клиентов) затраты могут составлять от 100 000 до 300 000 рублей единовременно плюс ежегодное продление.

Однако эти затраты несопоставимы с размером штрафов и репутационным ущербом от утечки паспорта безопасности.

4.7. Альтернативы VipNet.

Кроме VipNet, существуют и другие сертифицированные СКЗИ:

  1. КриптоПро CSP— средство криптографической защиты, в основном используется для создания электронной подписи, но может использоваться и для шифрования файлов.
  2. Континент-АП— аппаратно-программный комплекс для создания VPN-сетей.
  3. ViPNet Custom— специализированные решения.
  4. Secret Disk— шифрование дисков и контейнеров.

Для пересылки документов с грифом «Для служебного пользования» подходит любое СКЗИ, сертифицированное ФСБ России не ниже класса КС2 или КС3.

ЧТО ДЕЛАТЬ, ЕСЛИ СКЗИ В ОРГАНИЗАЦИИ НЕТ?

5.1. Оценка ситуации.

Уважаемые коллеги, я понимаю: не у каждой организации есть бюджет на внедрение VipNet. Не у каждой организации есть администратор, способный настроить координатор и клиентов. Не у каждой организации вообще есть необходимость в постоянном защищенном документообороте.

Но паспорт безопасности пересылать надо. Например, при направлении на согласование в Федеральную службу безопасности и Росгвардию. Или при запросе вышестоящей организации.

Что делать?

5.2. Вариант 1. Пересылать исключительно на бумажном носителе.
Самый безопасный, но самый медленный способ. Отправили заказным письмом с уведомлением — и ждете. Никаких скан-копий, никаких электронных образов. Только бумага.

Это законно и полностью соответствует Постановлению № 1233.

5.3. Вариант 2. Использовать защищенные каналы вышестоящей организации.
Если ваша организация является подведомственной (школа, музей, больница подчиняется министерству или департаменту), узнайте, есть ли у вышестоящей организации защищенная сеть передачи данных. Возможно, вам предоставят доступ к этой сети или возможность передавать документы через их координатор.

5.4. Вариант 3. Передача на съемном носителе с последующим уничтожением.
Вы записываете скан паспорта на флешку, передаете флешку нарочным адресату. Адресат копирует файл, после чего флешка возвращается вам. Вы уничтожаете файл с флешки с использованием программ-уничтожителей.

Важно: флешка должна быть зашифрована (например, с использованием BitLocker или VeraCrypt с сертифицированными алгоритмами). Обычная флешка без шифрования — это тоже открытый канал, если она потеряется по дороге.

5.5. Вариант 4. Использование СКЗИ в режиме «аренды».
Некоторые организации предоставляют услуги по защищенной передаче документов. Вы не покупаете лицензию, а оплачиваете разовую передачу файла через защищенный канал.

5.6. Вариант 5. Чего делать НЕЛЬЗЯ.

Категорически нельзя:

  • отправлять скан-копии паспорта безопасности по обычной электронной почте «в надежде, что не перехватят»;
  • отправлять через WhatsApp, даже если «ну очень срочно»;
  • кидать ссылку на Яндекс.Диск с файлом, даже если ссылка «только по паролю»;
  • фотографировать паспорт на телефон и отправлять фото.

Это нарушение. Это штраф. Это потеря работы. Это уголовное дело, если в составе документа окажутся сведения, составляющие гостайну.

ОРГАНИЗАЦИОННЫЕ МЕРЫ: ЛОКАЛЬНЫЙ АКТ

6.1. Запрет на использование личных средств связи.

В организации должен быть издан локальный нормативный акт, запрещающий использование личных средств связи (смартфонов, планшетов, ноутбуков) для обработки служебной информации ограниченного распространения.

Формулировка:
«Запретить работникам МБОУ «СОШ № 15» использование личных мобильных устройств, персональных компьютеров, съемных носителей для создания, хранения, обработки и передачи служебной информации ограниченного распространения, содержащейся в паспорте безопасности объекта (территории) и иных документах с пометкой «Для служебного пользования».

6.2. Запрет на использование публичных почтовых сервисов.

Аналогичным запретом должно быть введено ограничение на использование публичных почтовых сервисов (Яндекс.Почта, Mail.ru, Gmail, Rambler) для служебной переписки, связанной с документами ДСП.

Разрешена только корпоративная почта в защищенном сегменте либо почта с использованием СКЗИ.

6.3. Инструктаж и контроль.

Недостаточно издать приказ. Необходимо:

  1. Ознакомить всех сотрудников, допущенных к паспорту безопасности, с приказом под подпись.
  2. Провести инструктаж о недопустимости пересылки документов по открытым каналам.
  3. Организовать контроль за соблюдением запрета.

Контроль может осуществляться:

  • визуально (наблюдение за рабочими местами);
  • технически (мониторинг исходящего трафика, системные журналы);
  • путем внезапных проверок.

6.4. Дисциплинарная ответственность за нарушение запрета.

В локальном акте должно быть четко указано: нарушение запрета на передачу документов ДСП по открытым каналам связи является грубым нарушением трудовых обязанностей и влечет дисциплинарное взыскание вплоть до увольнения.

ПРАКТИЧЕСКИЙ ПРИМЕР: СХЕМА ЗАЩИЩЕННОЙ ПЕРЕСЫЛКИ

Давайте смоделируем ситуацию, как должна выглядеть легальная пересылка электронной копии паспорта безопасности.

Исходные данные:

  • У нас есть МБОУ «СОШ № 15».
  • У вышестоящей организации (Управление образования) развернута сеть VipNet.
  • Нашей школе выделили лицензии VipNet Client (3 штуки) и подключили к координатору Управления образования.

Процедура:

  1. Ответственный за антитеррористическую защищенность Петров П.П. открывает сейф, берет паспорт безопасности.
  2. Он сканирует документ на сканере, создает файл в формате PDF. Важно: сканер должен быть подключен к компьютеру, на котором установлен VipNet Client. Сканирование происходит локально.
  3. Петров П.П. открывает программу VipNet Client, выбирает адресата (например, «Отдел безопасности Управления образования»), прикрепляет файл.
  4. VipNet автоматически шифрует файл с использованием открытого ключа адресата и закрытого ключа отправителя. При желании добавляется электронная подпись.
  5. Зашифрованный файл может быть передан:
    • через встроенный в VipNet защищенный канал (если настроен);
    • через обычную электронную почту (файл уже зашифрован, его можно пересылать любым способом, но безопаснее — тоже через защищенный канал).
  6. Получатель (специалист Управления образования) открывает файл. VipNet Client расшифровывает его с использованием закрытого ключа получателя.
  7. После завершения работы с файлом Петров П.П. удаляет файл с жесткого диска (с обязательной очисткой корзины) либо переносит его на защищенный файловый сервер.

Весь процесс:

  • защищенный скан (без выноса документа из помещения);
  • шифрование до отправки;
  • контроль целостности и подлинности;

удаление после использования.

ТИПИЧНЫЕ ОШИБКИ И ЗАБЛУЖДЕНИЯ

Заблуждение 1: «Если отправить по почте с пометкой “конфиденциально”, то это законно».
Нет. Пометка в теме письма не имеет юридической силы. Канал остается открытым.

Заблуждение 2: «Если запаролить архив ZIP, то это шифрование».
Нет. Архивация с паролем — это слабая защита. Алгоритмы ZIP-архивации не сертифицированы ФСБ России. Пароль передается в том же письме или по тому же каналу. Кроме того, существуют программы для взлома паролей ZIP.

Заблуждение 3: «Telegram безопаснее, потому что там секретные чаты».
Нет. Серверы Telegram находятся за границей. Шифрование не сертифицировано. Файлы, переданные даже в секретных чатах, могут быть сохранены получателем и пересланы дальше.

Заблуждение 4: «Мы маленькая организация, никому не нужен наш паспорт».
Нет. Паспорт безопасности содержит схему охраны и уязвимости. Это товар на черном рынке. Взлом почтового ящика сотрудника не требует персонализации — атаки массовые.

Заблуждение 5: «СКЗИ — это сложно и дорого».
Да, сложнее, чем отправить письмо. Но это единственный законный способ электронной пересылки. Кроме того, существуют облачные СКЗИ и услуги защищенной передачи.

ПРАКТИЧЕСКАЯ РАБОТА: АУДИТ ИСПОЛЬЗУЕМЫХ КАНАЛОВ

Проведем небольшой аудит.

Задание:

Возьмите лист бумаги и ответьте на вопросы:

  1. Какими каналами связи вы (лично) пользуетесь для отправки служебных документов?
    • Электронная почта (какая именно: Яндекс, ru, Gmail, корпоративная)?
    • Мессенджеры (Telegram, WhatsApp, Viber)?
    • Файлообменники (Яндекс.Диск, Облако ru)?
  2. Отправляли ли вы когда-нибудь документы с грифом «Для служебного пользования» (или которые могли бы иметь такой гриф) по этим каналам?
  3. Есть ли в вашей организации локальный акт, запрещающий отправку документов ДСП по открытым каналам?
  4. Есть ли в вашей организации СКЗИ (VipNet, КриптоПро, Континент)?
  5. Знаете ли вы, как пользоваться СКЗИ (если оно есть)?

Вывод по упражнению:
Если на первые два вопроса вы ответили «да», а на четвертый «нет» — вы находитесь в зоне катастрофического риска. Штраф и увольнение — это вопрос не «если», а «когда».

ЗАКЛЮЧЕНИЕ. ПАМЯТКА И ДОМАШНЕЕ ЗАДАНИЕ

Семь главных правил пересылки паспорта безопасности:

Правило первое. Паспорт безопасности и любые его скан-копии с грифом «Для служебного пользования» ЗАПРЕЩЕНО пересылать по открытым каналам связи.

Правило второе. Электронная почта без СКЗИ — открытый канал. Мессенджеры — открытый канал. Облачные хранилища — открытый канал. Факс — открытый канал.

Правило третье. Единственный законный способ электронной пересылки — использование сертифицированных СКЗИ (VipNet, КриптоПро, Континент и др.).

Правило четвертое. Если СКЗИ нет — пересылайте только бумажные документы. Заказным письмом, фельдъегерской связью, нарочным.

Правило пятое. Если СКЗИ есть — оно должно быть правильно настроено, ключи должны храниться в защищенном виде (токены, смарт-карты), должен быть назначен ответственный администратор.

Правило шестое. Личные мобильные устройства и личная электронная почта не должны использоваться для служебной переписки по документам ДСП.

Правило седьмое. Нарушение этих правил — прямое основание для административного штрафа, дисциплинарного взыскания и увольнения.

Домашнее задание:

  1. Проверьте, какими каналами связи в вашей организации передаются документы с грифом «Для служебного пользования». Проведите аудит исходящей корреспонденции.
  2. Если обнаружены факты отправки по открытым каналам — доложите руководителю. Подготовьте служебную записку с предложением по внедрению СКЗИ.
  3. Изучите, есть ли в вашей организации локальный акт, запрещающий использование личных устройств и публичных почтовых сервисов для работы с документами ДСП. Если нет — подготовьте проект такого акта.
  4. Оцените стоимость внедрения VipNet Client для 3–5 рабочих мест в вашей организации. Сравните с размером возможного штрафа.
4.3. Работа в ГИС ГМП, АРМ "Безопасность" и пр.
презентационный материал
аудио материал

На прошлом занятии мы подробно разобрали, почему категорически запрещено пересылать скан-копии паспорта безопасности и иных документов с пометкой «Для служебного пользования» по открытым каналам связи. Мы говорили о том, что единственным законным способом электронной пересылки является использование сертифицированных средств криптографической защиты информации.

Но сегодня мы поговорим о ситуации, которая, на первый взгляд, противоречит этому требованию. Современное государство активно внедряет электронные формы взаимодействия. Федеральная служба безопасности, Росгвардия, Министерство по чрезвычайным ситуациям, отраслевые министерства создают государственные информационные системы, через которые организации обязаны направлять документы, в том числе паспорта безопасности, на согласование.

Возникает вопрос: как передать паспорт безопасности через государственный портал, если Постановление Правительства номер 1233 требует отправлять такие документы только фельдъегерской связью, спецсвязью, заказными письмами или нарочным?

Ответ: государственные информационные системы, предназначенные для приема документов ограниченного доступа, сами по себе являются защищенной средой. Они используют сертифицированные СКЗИ, каналы связи, прошедшие аттестацию, и организационные меры, признаваемые государством достаточными для соблюдения режима служебной тайны.

Однако есть огромный нюанс: не любая государственная информационная система подходит для передачи документов с пометкой «Для служебного пользования». И даже если система подходит, не любой способ отправки в этой системе является законным.

Цель сегодняшнего занятия — дать вам четкое понимание:

  1. Какие государственные информационные системы и автоматизированные рабочие места могут использоватьсядля направления паспорта безопасности и аналогичных документов.
  2. Каков порядок подключения к таким системами получения права работы с документами ограниченного доступа.
  3. Какие технические и организационные меры должны быть реализованына стороне организации.
  4. Как правильно оформлять электронные документы, чтобы они имели юридическую силу.

Каковы типичные ошибки при работе с ГИС и как их избежать.

ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ: ПОНЯТИЕ И КЛАССИФИКАЦИЯ

1.1. Определение государственной информационной системы.

В соответствии со статьей 13 Федерального закона от 27 июля 2006 года номер 149-ФЗ «Об информации, информационных технологиях и о защите информации», государственные информационные системы — это федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Ключевой признак: система создана государством, эксплуатируется государственным органом, предназначена для реализации государственных функций.

1.2. Виды ГИС, релевантные для паспорта безопасности.

В контексте нашей темы нас интересуют два типа государственных информационных систем:

Тип А. Системы межведомственного электронного взаимодействия.
Это инфраструктурные системы, обеспечивающие обмен информацией между государственными органами, а также между государственными органами и организациями.

Главная из них — СМЭВ (Система межведомственного электронного взаимодействия). Через СМЭВ организации направляют запросы в ведомства, получают сведения, обмениваются документами.

Тип Б. Ведомственные информационные системы.
Это специализированные системы, созданные конкретным ведомством для приема и обработки документов в определенной сфере.

Например:

  • АРМ «Безопасность»— автоматизированное рабочее место, используемое в системе Министерства просвещения Российской Федерации для сбора и обработки паспортов безопасности объектов образования.
  • ГИС «Антитеррор»— автоматизированная система координации деятельности по антитеррористической защищенности (существует в ряде регионов).
  • Личные кабинеты на Едином портале государственных услуг (ЕПГУ)— через ЕПГУ может осуществляться подача документов на согласование (например, паспорта безопасности объектов транспортной инфраструктуры через личный кабинет перевозчика).
  • Ведомственные порталы Федеральной службы безопасности, Росгвардии, МЧС, Министерства культуры, Министерства спорта и т.д.

1.3. ГИС ГМП: почему она здесь упомянута, но не подходит для наших целей.

В запросе на лекцию была упомянута ГИС ГМП — Государственная информационная система о государственных и муниципальных платежах. Эта система предназначена для размещения информации о начислениях и фактах уплаты государственных пошлин, штрафов, налогов и иных платежей.

Важно: ГИС ГМП не предназначена для передачи документов, содержащих служебную информацию ограниченного распространения. Передача паспорта безопасности через ГИС ГМП невозможна технически и бессмысленна юридически. Упоминание ГИС ГМП в контексте нашей темы — распространенная ошибка, связанная со смешением аббревиатур.

Мы же сосредоточимся на реально работающих системах.

1.4. Критерии пригодности ГИС для работы с документами ДСП.

Не любая государственная информационная система автоматически становится разрешенным каналом для передачи служебной информации ограниченного распространения.

Система должна удовлетворять следующим критериям:

  1. Аттестация по требованиям безопасности информации.Система должна иметь действующий аттестат соответствия требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Класс защищенности должен быть не ниже К2 (для государственных информационных систем).
  2. Использование сертифицированных СКЗИ.Все каналы передачи информации внутри системы должны быть защищены средствами криптографической защиты, сертифицированными Федеральной службой безопасности Российской Федерации.
  3. Наличие организационно-распорядительной документации.Должны быть утверждены регламенты взаимодействия, порядок подключения, правила работы с информацией ограниченного доступа.
  4. Официальное указание на возможность обработки сведений ДСП.В нормативном правовом акте, регламентирующем функционирование системы, должно быть прямо указано, что система предназначена (или допускает) обработку информации с пометкой «Для служебного пользования».

СИСТЕМА МЕЖВЕДОМСТВЕННОГО ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ (СМЭВ)

2.1. Что такое СМЭВ.

СМЭВ — Система межведомственного электронного взаимодействия. Это федеральная государственная информационная система, предназначенная для организации информационного взаимодействия между информационными системами участников СМЭВ в целях предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций.

Оператор СМЭВ — Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.

2.2. Можно ли через СМЭВ передавать паспорт безопасности?

Ответ: да, но при определенных условиях.

СМЭВ сама по себе является защищенной средой. Все взаимодействие в СМЭВ осуществляется с использованием сертифицированных СКЗИ. Участники СМЭВ подключаются через защищенные каналы связи (ViPNet Coordinator, Континент-АП и др.). Передаваемая информация шифруется, подписывается электронной подписью.

Однако для передачи документов с пометкой «Для служебного пользования» необходимо:

  1. Чтобы вид сведений был явно разрешен для передачи через СМЭВ. Для этого должны быть внесены изменения в технологические карты межведомственного взаимодействия.
  2. Чтобы сам документ был надлежащим образом оформлен: имел гриф «Для служебного пользования», был подписан усиленной квалифицированной электронной подписью уполномоченного лица.
  3. Чтобы участник взаимодействия(организация) имел техническую возможность формировать и направлять такие запросы (наличие подключения к СМЭВ, наличие сертифицированных СКЗИ, наличие электронной подписи).

2.3. Как организации подключиться к СМЭВ.

Подключение к СМЭВ — процедура нетривиальная, но вполне реализуемая.

Основные этапы:

  1. Назначение ответственного лица и координатора взаимодействия.
  2. Приобретение и настройка СКЗИ(ViPNet Coordinator, КриптоПро CSP и т.д.).
  3. Получение квалифицированных сертификатов ключей проверки электронной подписи в удостоверяющем центре, аккредитованном Министерством цифрового развития. Сертификат должен содержать расширение для работы в СМЭВ (политика применения).
  4. Регистрация в Единой системе идентификации и аутентификации (ЕСИА)и получение прав на работу с соответствующими видами сведений.
  5. Заключение соглашения с оператором СМЭВ или подключение через региональную систему межведомственного взаимодействия.
  6. Разработка или доработка ведомственной информационной системы для формирования запросов в СМЭВ (либо использование типового автоматизированного рабочего места).
  7. Проведение аттестационных испытаний(если система обрабатывает информацию ограниченного доступа).

Вывод: СМЭВ — это мощный, но сложный инструмент. Для большинства образовательных учреждений, музеев, спортивных объектов подключение к СМЭВ ради отправки одного паспорта безопасности избыточно. Обычно такие организации взаимодействуют с СМЭВ опосредованно, через вышестоящий орган (управление образования, министерство культуры и т.п.).

2.4. Роль Единого портала государственных услуг (ЕПГУ).

ЕПГУ — это «витрина» государственных услуг. Через личный кабинет на портале Госуслуг можно подавать заявления, направлять документы, получать результаты.

Важно: стандартные механизмы ЕПГУ не предназначены для передачи информации с пометкой «Для служебного пользования». Если вы загружаете скан паспорта безопасности в форму заявки на Госуслугах, этот документ передается по открытым каналам (HTTPS) и хранится на серверах ЕПГУ в незашифрованном виде (за исключением шифрования на транспортном уровне, которое не является достаточным для защиты информации ограниченного доступа).

Исключение: если на ЕПГУ реализован специализированный защищенный сервис с использованием СКЗИ и соответствующим уровнем аттестации. В настоящее время такие сервисы существуют для отдельных ведомств (например, для подачи документов в Роспатент, для взаимодействия с судами через ГАС «Правосудие»). Для направления паспорта безопасности объекта культуры или образования такого сервиса на ЕПГУ нет.

Следовательно: отправлять паспорт безопасности через обычную форму подачи заявления на Госуслугах ЗАПРЕЩЕНО.

АВТОМАТИЗИРОВАННОЕ РАБОЧЕЕ МЕСТО «БЕЗОПАСНОСТЬ»

3.1. Что такое АРМ «Безопасность».

АРМ «Безопасность» — это специализированное программное обеспечение, разработанное для сбора, обработки и хранения информации об антитеррористической защищенности объектов различных ведомств.

Наиболее известная реализация — АРМ «Безопасность» в сфере образования. Эта система разработана во исполнение требований Министерства просвещения Российской Федерации и предназначена для:

  • ведения учета объектов образования;
  • сбора и актуализации паспортов безопасности;
  • мониторинга состояния антитеррористической защищенности;
  • взаимодействия с территориальными органами Федеральной службы безопасности и Росгвардии в части согласования паспортов.

Аналогичные АРМ существуют в сфере культуры, спорта, здравоохранения.

3.2. Правовой статус АРМ «Безопасность».

АРМ «Безопасность» является ведомственной информационной системой. Она не является государственной информационной системой федерального уровня, но создана во исполнение государственных функций.

Важный момент: в нормативных документах Министерства просвещения прямо указано, что взаимодействие по вопросам согласования паспортов безопасности может осуществляться в электронной форме с использованием специализированных автоматизированных систем. При этом устанавливаются обязательные требования:

  • использование усиленной квалифицированной электронной подписи;
  • наличие аттестованного рабочего места;
  • соблюдение требований по защите информации ограниченного доступа.

3.3. Как организована работа в АРМ «Безопасность».

Типовая схема работы в АРМ «Безопасность» выглядит следующим образом:

  1. Установка программного комплекса.АРМ «Безопасность» устанавливается на компьютер ответственного сотрудника. Программа может работать в локальном режиме или в режиме клиент-сервер (с централизованным хранилищем данных на уровне муниципалитета/региона).
  2. Идентификация и аутентификация.Вход в систему осуществляется с использованием логина-пароля и, как правило, дополнительной аутентификации с помощью электронной подписи (токен, смарт-карта).
  3. Формирование паспорта безопасности.Сотрудник заполняет электронные формы паспорта, прикрепляет скан-образы документов, схемы, планы.
  4. Подписание электронной подписью.Сформированный паспорт подписывается усиленной квалифицированной электронной подписью руководителя организации (или уполномоченного лица).
  5. Направление на согласование.С использованием защищенных каналов связи (как правило, через ViPNet или аналогичные СКЗИ) подписанный паспорт направляется в вышестоящий орган (управление образования), а оттуда — в территориальные органы Федеральной службы безопасности и Росгвардии.
  6. Получение результата.Согласованный паспорт (в электронном виде с подписями) возвращается в организацию через систему.

3.4. Требования к рабочему месту для работы с АРМ «Безопасность».

Поскольку АРМ «Безопасность» обрабатывает информацию с пометкой «Для служебного пользования», рабочее место должно быть аттестовано по требованиям Федеральной службы по техническому и экспортному контролю.

Минимальные требования:

  1. Аппаратное обеспечение:отдельный компьютер, не подключенный к открытым сетям Интернет (либо подключенный через защищенный канал с использованием СКЗИ).
  2. Программное обеспечение:операционная система, на которую установлены все необходимые обновления безопасности; антивирусное программное обеспечение; СКЗИ (ViPNet Client, КриптоПро CSP).
  3. Организационные меры:утвержденный перечень лиц, допущенных к работе в АРМ; инструкция пользователя; журнал учета сеансов работы (рекомендательно).

3.5. Электронный паспорт безопасности: юридическая сила.

Вопрос: имеет ли юридическую силу паспорт безопасности, согласованный в электронном виде?

Ответ: да, имеет, если соблюдены следующие условия:

  1. Электронный документ подписан усиленной квалифицированной электронной подписью лиц, имеющих право утверждать и согласовывать паспорт.
  2. Используемая информационная система обеспечивает проверку действительности сертификатов электронных подписей на момент подписания.
  3. Между участниками электронного взаимодействия заключено соглашение о признании юридической силы электронных документов, либо это предусмотрено нормативным правовым актом.

В сфере антитеррористической защищенности в настоящее время существует практика смешанного документооборота:

  • организация направляет электронную версию паспорта через АРМ;
  • органы Федеральной службы безопасности и Росгвардии проставляют электронные подписи;
  • юридически значимым считается электронный документ, однако по требованию организации может быть выдан также бумажный экземпляр с «живыми» подписями.

3.6. Ограничения и риски АРМ «Безопасность».

Ограничение 1. АРМ «Безопасность» — это ведомственная система. Она работает только внутри определенной сферы (образование, культура, спорт). Для объектов, не подведомственных данному ведомству, система не применяется.

Ограничение 2. Для работы в АРМ необходимо обучение. Система имеет сложный интерфейс, требует понимания структуры паспорта и регламентов его заполнения.

Ограничение 3. Техническая поддержка осуществляется на уровне региона или муниципалитета. В случае сбоев в системе согласование может затянуться.

Риск: некорректное заполнение электронных форм, ошибки в прикрепленных файлах, несоответствие электронной версии паспорта бумажной — всё это может стать основанием для отказа в согласовании.

ИНЫЕ ВЕДОМСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ

4.1. Системы Министерства культуры.

Для объектов культурного наследия, музеев, библиотек, театров используется ведомственная информационная система Министерства культуры Российской Федерации (на момент подготовки лекции — ГИС «Культура» или специализированные модули).

Порядок работы аналогичен АРМ «Безопасность» в образовании:

  • формирование электронного паспорта;
  • подписание усиленной квалифицированной электронной подписью;
  • направление на согласование через защищенные каналы.

4.2. Системы Министерства спорта.

Для объектов спорта (стадионы, ледовые арены, спортивные комплексы) разработаны автоматизированные системы сбора и обработки паспортов безопасности. В ряде регионов используется ГИС «Спорт» с соответствующим функционалом.

4.3. Системы транспортной безопасности.

В сфере транспортной безопасности действует автоматизированная база данных персонифицированных сведений о пассажирах и иные системы, регламентируемые Федеральным законом от 9 февраля 2007 года номер 16-ФЗ «О транспортной безопасности».

Направление паспорта обеспечения транспортной безопасности осуществляется через личный кабинет перевозчика на специализированном портале Федерального дорожного агентства или Росжелдора, Росавиации, Росморречфлота.

Важная особенность: в транспортной безопасности уровень защиты информации выше, часто используются сведения, составляющие государственную тайну. Соответственно, требования к системам и каналам связи еще строже.

4.4. Системы Министерства по чрезвычайным ситуациям.

МЧС России использует ведомственную систему сбора информации об объектах защиты (в рамках Федерального закона от 22 июля 2008 года номер 123-ФЗ «Технический регламент о требованиях пожарной безопасности»). Паспорта безопасности объектов в системе МЧС, как правило, не требуются для целей пожарного надзора, но могут запрашиваться в рамках межведомственного взаимодействия.

ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ ТРЕБОВАНИЯ К РАБОТЕ В ГИС

5.1. Квалифицированная электронная подпись: основа основ.

Работа в любой государственной информационной системе, предполагающей направление документов с грифом «Для служебного пользования», невозможна без усиленной квалифицированной электронной подписи.

Что нужно знать:

  1. Сертификат электронной подписи должен быть выдан аккредитованным удостоверяющим центром. Перечень аккредитованных УЦ опубликован на сайте Министерства цифрового развития.
  2. Сертификат должен быть действительным на момент подписания документа.
  3. Ключ электронной подписи(закрытый ключ) должен храниться на защищенном носителе — токене или смарт-карте. Хранение ключа на жестком диске компьютера категорически запрещено.
  4. Пин-код токена должен быть известен только владельцу подписи. Хранение пин-кода на стикере, приклеенном к токену, — грубейшее нарушение.

5.2. Средства криптографической защиты информации.

Как мы уже говорили на прошлом занятии, использование СКЗИ обязательно. Для работы с ведомственными ГИС, как правило, требуется:

  • СКЗИ класса КС2 или КС3 для шифрования каналов связи (ViPNet Coordinator, Континент-АП);
  • СКЗИ класса КС1, КС2 или КС3 для формирования и проверки электронной подписи (КриптоПро CSP, ViPNet CSP, Signal-COM CSP).

Все СКЗИ должны иметь действующие сертификаты ФСБ России. Проверить наличие сертификата можно на сайте Федеральной службы безопасности.

5.3. Аттестация рабочих мест и информационных систем.

Если ваша организация разворачивает у себя сегмент государственной информационной системы (например, устанавливает АРМ «Безопасность» на свой компьютер), этот компьютер становится частью государственной информационной системы и подлежит аттестации по требованиям безопасности информации.

Аттестация — это подтверждение того, что система (или рабочее место) соответствует требованиям Федеральной службы по техническому и экспортному контролю.

Процедура аттестации включает:

  • разработку модели угроз и технического задания;
  • внедрение организационных и технических мер защиты;
  • проведение аттестационных испытаний;
  • получение аттестата соответствия.

Аттестацию проводят лицензированные организации (лицензия ФСТЭК России на техническую защиту конфиденциальной информации).

Для небольших организаций часто применяется упрощенная схема: рабочее место не подключается напрямую к ГИС, а доступ осуществляется через защищенный канал к серверу вышестоящей организации, которая уже имеет аттестат. В этом случае аттестация рабочего места не требуется, но необходимо строго соблюдать регламенты доступа.

5.4. Антивирусная защита и обновления.

Рабочее место, с которого осуществляется работа в ГИС, должно быть защищено от вредоносного программного обеспечения.

Требования:

  • установка сертифицированного антивирусного программного обеспечения;
  • регулярное обновление антивирусных баз;
  • запрет на установку нелицензионного программного обеспечения;
  • запрет на подключение съемных носителей без проверки антивирусом.

5.5. Разграничение доступа и учетные записи.

Каждый сотрудник, работающий в ГИС, должен иметь уникальную учетную запись. Использование общих учетных записей не допускается.

Администратор информационной безопасности (назначаемый в организации) обязан:

  • своевременно блокировать учетные записи уволенных сотрудников;
  • периодически проводить аудит действий пользователей в системе;
  • обеспечивать сохранность журналов регистрации событий.

ПОРЯДОК НАПРАВЛЕНИЯ ПАСПОРТА БЕЗОПАСНОСТИ ЧЕРЕЗ ГИС: ПОШАГОВЫЙ АЛГОРИТМ

6.1. Подготовительный этап.

  1. Убедиться, что ваша организация подключена к соответствующей ГИС и имеет действующие сертификаты электронной подписи.
  2. Проверить, что рабочее место соответствует техническим требованиям, СКЗИ функционируют корректно.
  3. Убедиться, что сотрудник, ответственный за направление паспорта, имеет действующую учетную запись и права на формирование документов.

6.2. Формирование электронного паспорта.

  1. Создать в ГИС новую запись (карточку) объекта.
  2. Заполнить все обязательные поля: наименование, адрес, категорию объекта, сведения об ответственных лицах и т.д.
  3. Прикрепить файлы:
    • текстовая часть паспорта (в формате PDF/A, скан-образ или электронный документ);
    • графические приложения (схемы, планы) в форматах, установленных регламентом;
    • иные документы (копии правоустанавливающих документов, договоры с ЧОП и т.п.).
  4. Проверить корректность заполнения, отсутствие ошибок и опечаток.

Важно: все прикрепляемые файлы, содержащие информацию ограниченного доступа, должны быть подписаны электронной подписью уполномоченного лица (или защищены иным способом, предусмотренным системой).

6.3. Подписание и отправка.

  1. Сформировать документ для подписания (обычно это файл, содержащий все заполненные поля и прикрепленные файлы в агрегированном виде).
  2. Выполнить процедуру подписания усиленной квалифицированной электронной подписью.
  3. Проверить корректность подписания (система должна отобразить статус «Подписано»).
  4. Нажать кнопку «Отправить на согласование» (или аналогичную).

6.4. Контроль прохождения.

  1. Отслеживать статус документа в ГИС:
    • «Принято системой»;
    • «На рассмотрении в Управлении образования»;
    • «Направлено в УФСБ»;
    • «Направлено в Росгвардию»;
    • «Согласовано» / «Отказано в согласовании».
  2. В случае получения отказа — изучить замечания, устранить недостатки, направить доработанную версию.

6.5. Получение согласованного паспорта.

  1. После прохождения всех этапов в ГИС формируется электронный документ, содержащий подписи всех согласующих органов.
  2. Этот документ может быть выгружен из системы и сохранен на защищенном носителе.
  3. Рекомендуется также распечатать экземпляр на бумажном носителе, заверить его подписью руководителя и печатью, подшить в дело «Паспорт безопасности». Это подстрахует на случай технических сбоев в ГИС.

ТИПИЧНЫЕ ОШИБКИ И НАРУШЕНИЯ ПРИ РАБОТЕ В ГИС

Ошибка № 1. Использование простой электронной подписи или неквалифицированной подписи.
Документ, подписанный неквалифицированной подписью, не имеет юридической силы при взаимодействии с государственными органами, если иное не установлено законом. Паспорт безопасности, направленный с такой подписью, не будет принят к рассмотрению.

Ошибка № 2. Хранение ключа электронной подписи на компьютере.
Ключ подписи украден, скопирован злоумышленником. От имени организации направлены поддельные документы. Ответственность — вплоть до уголовной.

Ошибка № 3. Передача логина и пароля от ГИС другому сотруднику.
Использование чужой учетной записи не позволяет идентифицировать, кто именно совершал действия в системе. Нарушение регламентов, возможный отказ в согласовании.

Ошибка № 4. Отправка незашифрованных файлов через встроенные модули ГИС.
Даже в защищенной системе иногда предусмотрена возможность «скачать шаблон», «загрузить файл» без дополнительного шифрования. Если такой модуль не был аттестован для работы с ДСП, использование его для передачи паспорта безопасности недопустимо.

Ошибка № 5. Несвоевременная актуализация сертификатов.
Сертификат электронной подписи истек. Организация продолжает отправлять документы, подписанные недействительной подписью. Такие документы считаются неподписанными.

Ошибка № 6. Игнорирование требований к аттестации.
Организация установила АРМ «Безопасность» на обычный офисный компьютер, подключенный к Интернету, не приняла мер защиты. При проверке прокуратуры или ФСТЭК — предписание, штраф.

Ошибка № 7. Направление паспорта через ГИС, не предназначенную для этого.
Попытка направить паспорт безопасности объекта культуры через портал Госуслуг как обычное обращение гражданина. Документ уйдет в общую очередь, не будет идентифицирован как служебная информация ограниченного распространения, может быть опубликован.

ПРАВОВЫЕ РИСКИ И ОТВЕТСТВЕННОСТЬ

8.1. Административная ответственность.

Нарушение правил защиты информации при работе в государственных информационных системах квалифицируется по нескольким статьям Кодекса об административных правонарушениях:

  • Статья 13.12.Нарушение правил защиты информации (если система подлежит лицензированию или аттестации) — штраф на должностных лиц до 10 000 рублей.
  • Статья 13.13.Незаконная деятельность в области защиты информации — штраф до 50 000 рублей.
  • Статья 13.14.Разглашение информации ограниченного доступа — штраф до 100 000 рублей на должностных лиц.
  • Статья 19.7.8-1.Непредставление информации в государственную информационную систему (если представление обязательно) — штраф до 20 000 рублей на должностных лиц.

8.2. Дисциплинарная ответственность.

Работник, нарушивший регламент работы в ГИС, неправомерно передавший доступ к системе третьим лицам, допустивший утрату ключа электронной подписи, подлежит дисциплинарной ответственности вплоть до увольнения.

8.3. Гражданско-правовая ответственность.

Если из-за нарушения правил работы в ГИС произошла утечка информации ограниченного доступа, потерпевшие лица могут взыскать с организации убытки и компенсацию морального вреда.

8.4. Уголовная ответственность.

При наличии сведений, составляющих государственную тайну (что для объектов высокой категории возможно), нарушение правил работы в ГИС может повлечь уголовную ответственность по статьям 283, 284, 272 Уголовного кодекса Российской Федерации.

ПРАКТИЧЕСКАЯ РАБОТА: АУДИТ ГОТОВНОСТИ К РАБОТЕ В ГИС

Сейчас мы проведем аудит вашей организации на предмет готовности к работе с государственными информационными системами при направлении паспорта безопасности.

Задание:

Ответьте на вопросы чек-листа.

ЧЕК-ЛИСТ ГОТОВНОСТИ К РАБОТЕ В ГИС

Вопрос

Да

Нет

Примечание

1

Подключена ли ваша организация к ведомственной ГИС (АРМ «Безопасность», иная система) для направления паспорта безопасности?

      

2

Имеется ли у руководителя организации (или уполномоченного лица) действующая усиленная квалифицированная электронная подпись?

      

3

Сертификат электронной подписи содержит ли расширение для работы в соответствующей ГИС?

      

4

Ключ электронной подписи хранится на защищенном носителе (токене, смарт-карте)?

      

5

Установлены ли на рабочем месте сертифицированные СКЗИ (КриптоПро CSP, ViPNet Client и др.)?

      

6

Имеет ли рабочее место аттестат соответствия требованиям ФСТЭК России (или подключение к ГИС осуществляется через защищенный канал вышестоящей организации)?

      

7

Назначено ли лицо, ответственное за работу в ГИС и сохранность ключей ЭП?

      

8

Разработана ли и утверждена ли инструкция пользователя ГИС?

      

9

Проводится ли периодический аудит действий пользователей в ГИС?

      

10

Известен ли вам порядок действий при компрометации ключа электронной подписи?

      

Вывод:
Если на большинство вопросов вы ответили «Нет», ваша организация не готова к электронному взаимодействию с государственными органами по вопросам согласования паспорта безопасности. Вам необходимо:

  1. Инициировать подключение к ГИС через вышестоящую организацию.
  2. Приобрести сертифицированные СКЗИ и ключи ЭП.
  3. Организовать аттестацию рабочего места (или использовать защищенный канал).
  4. Назначить ответственных, провести обучение.

ПАМЯТКА И ДОМАШНЕЕ ЗАДАНИЕ

Шесть главных правил работы в ГИС:

Правило первое. Работа в ГИС — это не альтернатива требованиям Постановления № 1233, а их реализация. ГИС должна быть аттестована, каналы защищены СКЗИ, документы подписаны квалифицированной электронной подписью.

Правило второе. Электронная подпись — это аналог собственноручной подписи. Относитесь к ключу подписи как к личной печати. Никому не передавайте, храните на токене, используйте сложный пин-код.

Правило третье. Не пытайтесь отправить паспорт безопасности через ГИС, не предназначенную для приема информации ограниченного доступа. Госуслуги, обычная электронная почта, формы обратной связи на сайтах — запрещены.

Правило четвертое. Если ваша организация не подключена к ведомственной ГИС — не изобретайте велосипед. Направляйте паспорт на бумаге заказным письмом или нарочным. Это законно, безопасно и понятно.

Правило пятое. При смене ответственного лица, увольнении сотрудника, истечении срока сертификата — немедленно отзывайте или блокируйте соответствующие учетные записи и сертификаты.

Правило шестое. Храните электронные версии согласованных паспортов безопасности так же строго, как и бумажные. Зашифрованный контейнер, защищенный носитель, ограниченный доступ.

Домашнее задание:

  1. Выясните, какая ведомственная информационная система используется для сбора и согласования паспортов безопасности в вашей сфере (образование, культура, спорт, транспорт и т.д.).
  2. Проверьте, подключена ли ваша организация к этой системе. Если нет — составьте план подключения (через вышестоящую организацию или самостоятельно).
  3. Проверьте наличие и срок действия усиленной квалифицированной электронной подписи у руководителя и уполномоченных лиц.
  4. Изучите регламент работы в ГИС (обычно размещается на официальном сайте ведомства). Составьте краткую памятку для сотрудников.
БЛОК 1
БЛОК 2
БЛОК 3
БЛОК 4
БЛОК 5