Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 700
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Поставка и ввод в действие. Эксплуатация изделия
Данные процедуры могут быть описаны в отдельном докумен
те или включены в ЭД. Инструментальные средства контроля за идентичностью изделия при поставке должны быть сертифици
рованы.
За безопасность изделия при его доставке к месту эксплуата
ции отвечает разработчик.
Конкретные требования к поставке и вводу в эксплуатацию будут указаны в «Критериях...» в зависимости от ОУД.
На этапе эксплуатации должна разрабатываться «Программа обеспечения безопасности при эксплуатации изделия ИТ», также должна иметься организационно-распорядительная документация по обеспечению доверенной среды изделия ИТ, содержащая опи
сание всех мер, необходимых для обеспечения безопасности из
делий ИТ. Должны быть предусмотрены процедуры для пересмотра и аудита мер обеспечения безопасности доверенной среды изде
лий ИТ.
В требованиях по снятию изделия с эксплуатации нет ничего специфичного. Обращает на себя внимание лишь уточнение тер
минологии: под стиранием понимается удаление данных, делаю
щее невозможным их восстановление с применением обычных методов, под уничтожением — с применением лабораторных ме
тодов.
2.6. Этапы разработки КСЗИ
По мнению ведущих специалистов в области защиты инфор
мации, в настоящее время можно выделить три различных кон
цептуальных подхода к проектированию систем защиты:
1.
«Продуктовый». Данный подход характерен для компаний- производителей средств защиты информации, занимающихся, кроме того, и разработкой законченных проектов в области без
опасности. Понятно желание такой компании построить КСЗИ вокруг производимого ею продукта или линейки продуктов. При этом эффективность КСЗИ зачастую страдает. Однако это вовсе не означает, что такой компании нельзя поручать реализацию проекта: вряд ли кто-то знает особенности продукта лучше его разработчиков. Просто в этом случае желателен контроль за проек
Г л а в а 3
Факторы, влияющие
на организацию КСЗИ
3 .1 . Влияние формы собственности
на особенности защиты информации
ограниченного доступа
Важным фактором, влияющим на организацию КСЗИ, являет
ся форма собственности предприятия. В Российской Федерации формы собственности установлены Конституцией Российской
Федерации, Гражданским кодексом Российской Федерации, а так
же следующими федеральными законами: «О потребительской кооперации в Российской Федерации» от 19 июня 1992 г.; «Об общественных объединениях» от 19 мая 1995 г. № 82-ФЗ; «О благо
творительной деятельности и благотворительных организациях» от 11 августа 1995 г. № 135-ФЭ; «О профессиональных союзах, их правах и гарантиях деятельности» от 12 января 1996 г. № 10-ФЗ;
«О внесении изменений и дополнений в Закон Российской Федера
ции «О потребительской кооперации в Российской Федерации» от 11 июля 1997 г. № 97-ФЗ; «О свободе совести и о религиозных объединениях» от 26 сентября 1997 г. № 125-ФЗ; «О внесении изменений и дополнений в Федеральный закон «Об общественных объединениях»» от 19 июля 1998 г. № 112-ФЗ; «Об иностранных инвестициях в Российской Федерации» от 9 июля 1999 г. № 160.
Под формой собственности понимаются законодательно уре
гулированные имущественные отношения, характеризующие за
крепление имущества за определенным собственником на праве собственности*.
Собственниками имущества могут быть граждане и юридиче
ские лица, а также Российская Федерация, субъекты Российской
Федерации — республики, края, области, города федерального значения, автономная область, автономные округа, городские и сельские поселения и другие муниципальные образования.
В Российской Федерации признаются частная, государствен
ная, муниципальная и иные формы собственности.
*
Постановление Госстандарта России от 30 марта 1999 г. N° 97 «О принятии и введении в действие общероссийских классификаторов».
Общероссийским классификатором форм собственности ОК
027-99* рассматриваются следующие виды собственности:
Российская собственность', государственная (код по класси
фикатору — 11), федеральная (12), субъектов Российской Федера
ции (13), муниципальная (14), частная (16), российских граждан, постоянно проживающих за границей (18), потребительской коо
перации (19), общественных и религиозных организаций (15), благотворительных организаций (50), политических обществен
ных объединений (51), профессиональных союзов (52), обществен
ных объединений (53), религиозных объединений (54), смешан
ная (17).
Иностранная собственность-, международных организаций
(21), иностранных государств (22), иностранных юридических лиц (23), иностранных граждан и лиц без гражданства (24), сме
шанная (27).
Совместная российская и иностранная собственность: со
вместная федеральная и иностранная собственность (31), совмест
ная собственность субъектов Российской Федерации и иност
ранная (32), муниципальная и иностранная (33), совместная ча
стная и иностранная (34), совместная собственность обществен
ных и религиозных организаций и объединений и иностранная
(35).
Смешанная российская собственность с долей государствен
ной собственности: смешанная российская с долей федеральной
(41), смешанная российская собственность с долей собственности субъектов (42), российская собственность с долями федеральной собственности и собственности субъектов (43), иная смешанная российская собственность (49).
Форма собственности предприятия в значительной степени определяет виды информации ограниченного доступа, которые могут использоваться предприятием в его деятельности, особен
ности защиты такой информации, устанавливаемые федеральны
ми органами государственной власти, если предприятие им под
ведомственно, а также виды информации, которая должна быть доступна, например акционерам, инвесторам и т.п.
Особенности формы собственности предприятия могут исклю
чить возможность использования им в своей деятельности сведе
ний, составляющих государственную тайну.
Так, законодательством в сфере защиты государственной тай
ны предусмотрена возможность получения лицензии на прове
дение работ, связанных с использованием сведений, составляю
щих государственную тайну, только организациями Российской
Федерации.
*
Постановление Госстандарта России от 30 марта 1999 г. № 97 «О принятии и введении в действие общероссийских классификаторов».
Очевидно, что предприятия с формой собственности п. 21 —
24, 27 классификатора ОК 027-99 к проведению таких работ не допускаются, а предприятия смешанной российской и иност
ранной собственности могут быть допущены при соблюдении установленных законодательством ограничений. Предприятия пе
речисленных форм собственности также ограничиваются в воз
можности проведения работ в закрытых административно-тер
риториальных образованиях и отраслях промышленности, име
ющих для государства стратегическое значение (что связано, в том числе, и с защитой государственной тайны).
Одной из особенностей использования информационных ре
сурсов, содержащих государственную тайну, является то, что в соответствии со ст. 10 Закона Российской Федерации «О госу
дарственной тайне» [20] права собственника информации могут быть ограничены, если информация содержит сведения, состав
ляющие государственную тайну. Распоряжаться такой информа
цией собственник может только с санкции органа государствен
ной власти, в компетенции которого находится ее засекречива
ние.
В Российской Федерации не исключается возможность пере
дачи сведений, составляющих государственную тайну, иностран
ным представителям (в т.ч. и иностранным организациям), а так
же международным организациям при наличии с иностранным государством (международной организацией) договора о взаим
ной защите секретной информации*.
Тем же законом определено, что не может быть ограничено право собственности на информацию иностранных организаций и иностранных граждан, если эта информация получена (разра
ботана) ими без нарушения законодательства Российской Феде
рации.
Анализ нормативных документов иностранных государств по
казывает, что за рубежом также принимаются ограничительные меры в отношении допуска к классифицированной информации иностранных предприятий или предприятий с долей иностран
ной собственности.
Так, в США инструкцией по обеспечению секретности в воен
ной промышленности предписано:
• подрядчиком секретного заказа не может быть предприятие, расположенное за пределами территорий, находящихся под юрис
дикцией США;
• доля иностранной собственности в предприятии не должна позволять иностранным подданным оказывать неблагоприятное влияние на политику и практику деятельности предприятия;
*
Ст. 18 Закона «О государственной тайне» и постановление Правительства
РФ от 02.08.1997 г. № 973.
• иностранные подданные, являющиеся персоналом предприя
тия, не должны допускаться к классифицированной (секретной) информации;
• иностранные подданные не должны занимать на предприятии постов (должностей), позволяющих им оказывать неблагоприятное влияние на политику и практику деятельности предприятия.
3.2. Влияние организационно-правовой формы
предприятия на особенности защиты
информации ограниченного доступа
Общероссийским классификатором организационно-правовых форм О К 028 — 99* рассматриваются организационно-правовые формы хозяйствующих субъектов, предусмотренные законодатель
ством Российской Федерации (табл. 3.1, 3.2, 3.3).
Организационно-правовая форма предприятия может опреде
лять:
• виды информации ограниченного доступа, допуск предприя
тия к которым может быть ограничен;
• виды информации, которую предприятие обязано представ
лять его участникам (например, акционерам).
Одной из основных особенностей в данной сфере является то, что организации, не являющиеся юридическими лицами, не мо
гут получить лицензию на проведение работ, связанных с исполь
зованием сведений, составляющих государственную тайну. Это связано, в первую очередь, с требованиями, изложенными в Поста
новлении Правительства Российской Федерации 1995 г. № 333**, в соответствии с которым для получения лицензии необходимо представить документ, подтверждающий, что предприятие вклю
чено в Единый государственный реестр юридических лиц.
Следующая особенность заключается в том, что органы госу
дарственной власти, субъекты Российской Федерации, органы местного самоуправления и их территориальные (структурные) подразделения осуществляют такую деятельность без получения лицензии. Эта особенность составляет одну из неурегулирован
ных законодательством сторон такой деятельности, так как ст. 27
Закона РФ «О государственной тайне» [20] и упомянутым поста
новлением установлено, что порядок допуска организаций к ра
ботам, связанным с использованием сведений, составляющих го
сударственную тайну, не зависит от их формы собственности, организационно-правовой формы и т. п.
• Постановление Госстандарта России от 30 марта 1999 г. № 97 «О принятии и введении в действие общероссийских классификаторов».
** Собрание законодательства РФ от 24.04.1995 г. № 17. — Ст. 1540.
Т а б л и ц а 3.1. Юридические лица, являющиеся коммерческими
организациями
Организационно-правовая форма
Код
Хозяйственные товарищества и общества
48
Полные товарищества
51
Товарищества на вере
64
Общества с ограниченной ответственностью
65
Общества с дополнительной ответственностью
66
Акционерные общества
60
Открытые акционерные общества
47
Закрытые акционерные общества
67
Производственные кооперативы
52
Крестьянские (фермерские) хозяйства
53
Унитарные предприятия
40
Унитарные предприятия (на праве хозяйственного ведения)
42
Унитарные предприятия (на праве оперативного управления)
41
Дочерние унитарные предприятия
68
Т а б л и ц а 3.2.
Ю р и д и ч е с к и е
лица, являющиеся некоммерческими
организациями
Организационно-правовая форма
Код
Потребительские кооперативы
85
Общественные и религиозные организации (объединения)
83
Общественные движения
84
Фонды
88
Учреждения
81
Государственные корпорации
82
Органы общественной самодеятельности
78
Некоммерческие партнерства
96
Автономные некоммерческие организации
97
Объединения юридических лиц (ассоциации и союзы)
93
Ассоциации крестьянских (фермерских) хозяйств
77
Территориальные общественные самоуправления
80
Товарищества собственников жилья
94
Садоводческие, огороднические, дачные товарищества
76
Прочие некоммерческие организации
89
Т а б л и ц а 3.3. Организации без прав юридического лица
Организационно-правовая форма
Код
Финансово-промышленные группы
79
Паевые инвестиционные фонды
92
Простые товарищества
87
Представительства и филиалы
90
Индивидуальные предприниматели
91
Иные неюридические лица
98
Данные процедуры могут быть описаны в отдельном докумен
те или включены в ЭД. Инструментальные средства контроля за идентичностью изделия при поставке должны быть сертифици
рованы.
За безопасность изделия при его доставке к месту эксплуата
ции отвечает разработчик.
Конкретные требования к поставке и вводу в эксплуатацию будут указаны в «Критериях...» в зависимости от ОУД.
На этапе эксплуатации должна разрабатываться «Программа обеспечения безопасности при эксплуатации изделия ИТ», также должна иметься организационно-распорядительная документация по обеспечению доверенной среды изделия ИТ, содержащая опи
сание всех мер, необходимых для обеспечения безопасности из
делий ИТ. Должны быть предусмотрены процедуры для пересмотра и аудита мер обеспечения безопасности доверенной среды изде
лий ИТ.
В требованиях по снятию изделия с эксплуатации нет ничего специфичного. Обращает на себя внимание лишь уточнение тер
минологии: под стиранием понимается удаление данных, делаю
щее невозможным их восстановление с применением обычных методов, под уничтожением — с применением лабораторных ме
тодов.
2.6. Этапы разработки КСЗИ
По мнению ведущих специалистов в области защиты инфор
мации, в настоящее время можно выделить три различных кон
цептуальных подхода к проектированию систем защиты:
1.
«Продуктовый». Данный подход характерен для компаний- производителей средств защиты информации, занимающихся, кроме того, и разработкой законченных проектов в области без
опасности. Понятно желание такой компании построить КСЗИ вокруг производимого ею продукта или линейки продуктов. При этом эффективность КСЗИ зачастую страдает. Однако это вовсе не означает, что такой компании нельзя поручать реализацию проекта: вряд ли кто-то знает особенности продукта лучше его разработчиков. Просто в этом случае желателен контроль за проек
тированием со стороны либо своих высококлассных специалис
тов, либо специалистов привлекаемых консалтинговых фирм.
2. «Комплекс продуктов». Данный подход используют компа
нии-поставщики решений в области защиты информации. Пони
мая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Это реше
ние состоит из комбинации продуктов разных производителей, каждый из которых предназначен для решения какой-либо зада
чи. Например, для защиты дисков компьютера от НСД применя
ются электронные замки, для защиты каналов связи — VPN. «Опас
ность» такого подхода заключается в искушении для разработчи
ка пойти по пути наименьшего сопротивления и реализовывать защиту, отталкиваясь от наличия и знания СЗИ. При этом воз
можна значительная избыточность реализованных механизмов безопасности и закупленных СЗИ, отсутствует целостное реше
ние проблемы. По-видимому, этот подход наиболее привлекате
лен для небольших компаний, которые не могут позволить себе покупать дорогие услуги компаний-интеграторов.
3. «Комплексный». При двух ранее рассмотренных подходах окончательное решение о построении КСЗИ принимает заказ
чик, который в общем случае не является экспертом в области информационной безопасности, поэтому и вся ответственность за принятые решения лежит на нем. Иногда, хотя и достаточно редко, встречается и третий подход, когда ответственность за при
нимаемые решения по защите информации возлагает на себя ком- пания-интегратор. При этом она реализует единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.
Перед выработкой замысла на построение КСЗИ интегратор выполняет всестороннее обследование предприятия заказчика. Это обследование выполняется в трех плоскостях: бизнес-процессы, технические средства и СВТ, программные средства. Определя
ются основные информационные потоки, технология обработки информации, наличие и качество имеющихся средств обеспече
ния безопасности, опыт и знания персонала по работе с теми или иными программными продуктами.
На основе полученных данных формируется замысел по защи
те информации, состоящий из комплекса организационных, техни
ческих и программно-аппаратных мер защиты. Затем уже обосно
вывается применение тех или иных СЗИ и технологий защиты.
Итак, основными этапами работ по созданию КСЗИ являются:
1. Обследование организации.
Услуги по обследованию организации могут достаточно силь
но различаться у разных поставщиков услуг. Это может быть ана
лиз защищенности вычислительной системы, обследование вы
числительной системы (гораздо более глубокий уровень детализа
тов, либо специалистов привлекаемых консалтинговых фирм.
2. «Комплекс продуктов». Данный подход используют компа
нии-поставщики решений в области защиты информации. Пони
мая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Это реше
ние состоит из комбинации продуктов разных производителей, каждый из которых предназначен для решения какой-либо зада
чи. Например, для защиты дисков компьютера от НСД применя
ются электронные замки, для защиты каналов связи — VPN. «Опас
ность» такого подхода заключается в искушении для разработчи
ка пойти по пути наименьшего сопротивления и реализовывать защиту, отталкиваясь от наличия и знания СЗИ. При этом воз
можна значительная избыточность реализованных механизмов безопасности и закупленных СЗИ, отсутствует целостное реше
ние проблемы. По-видимому, этот подход наиболее привлекате
лен для небольших компаний, которые не могут позволить себе покупать дорогие услуги компаний-интеграторов.
3. «Комплексный». При двух ранее рассмотренных подходах окончательное решение о построении КСЗИ принимает заказ
чик, который в общем случае не является экспертом в области информационной безопасности, поэтому и вся ответственность за принятые решения лежит на нем. Иногда, хотя и достаточно редко, встречается и третий подход, когда ответственность за при
нимаемые решения по защите информации возлагает на себя ком- пания-интегратор. При этом она реализует единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.
Перед выработкой замысла на построение КСЗИ интегратор выполняет всестороннее обследование предприятия заказчика. Это обследование выполняется в трех плоскостях: бизнес-процессы, технические средства и СВТ, программные средства. Определя
ются основные информационные потоки, технология обработки информации, наличие и качество имеющихся средств обеспече
ния безопасности, опыт и знания персонала по работе с теми или иными программными продуктами.
На основе полученных данных формируется замысел по защи
те информации, состоящий из комплекса организационных, техни
ческих и программно-аппаратных мер защиты. Затем уже обосно
вывается применение тех или иных СЗИ и технологий защиты.
Итак, основными этапами работ по созданию КСЗИ являются:
1. Обследование организации.
Услуги по обследованию организации могут достаточно силь
но различаться у разных поставщиков услуг. Это может быть ана
лиз защищенности вычислительной системы, обследование вы
числительной системы (гораздо более глубокий уровень детализа
ции), обследование организации в целом, т.е. охват «бумажного» документооборота и бизнес процессов организации с точки зре
ния информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п.
На стадии обследования организации [23]:
• устанавливается наличие секретной (конфиденциальной) ин
формации в разрабатываемой КСЗИ, оценивается уровень кон
фиденциальности и объемы;
• определяется наличие аттестованных помещений, средств за
щиты от утечки по техническим каналам;
• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
• изучаются принятые в организации правила бумажного доку
ментооборота;
• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта ав
томатизации в обработке информации, характер их взаимодей
ствия между собой и со службой безопасности;
• определяются мероприятия по обеспечению режима секрет
ности на стадии разработки.
2. Проектирование системы защиты информации.
При проектировании системы информационной безопасности могут быть охвачены как все три уровня защиты — организацион
ный, технический и программно-аппаратный, так и исключительно технический уровень. Это два принципиально разных типа работ и по сути, и по объемам, так как первый предполагает разработку концепции (политики) информационной безопасности, норматив
но-распорядительных документов, различных регламентов и только потом — технического проекта.
3. Внедрение системы защиты информации.
Заказчику выгодно использовать подрядную организацию и не иметь проблем с единовременным привлечением большого коли
чества специалистов по информационной безопасности, контро
лем качества выполняемых работ, выработкой единой политики безопасности.
4. Сопровождение системы информационной безопасности.
Оперативное реагирование на внештатные ситуации, периоди
ческое обновление специального ПО, установка необходимых «за
плат» на общесистемное ПО, отслеживание появления новых атак и уязвимостей.
5. Обучение специалистов по защите информации.
Обучение руководителей служб безопасности, руководителей
ІТ-подразделений, пользователей средств защиты.
ния информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п.
На стадии обследования организации [23]:
• устанавливается наличие секретной (конфиденциальной) ин
формации в разрабатываемой КСЗИ, оценивается уровень кон
фиденциальности и объемы;
• определяется наличие аттестованных помещений, средств за
щиты от утечки по техническим каналам;
• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
• изучаются принятые в организации правила бумажного доку
ментооборота;
• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта ав
томатизации в обработке информации, характер их взаимодей
ствия между собой и со службой безопасности;
• определяются мероприятия по обеспечению режима секрет
ности на стадии разработки.
2. Проектирование системы защиты информации.
При проектировании системы информационной безопасности могут быть охвачены как все три уровня защиты — организацион
ный, технический и программно-аппаратный, так и исключительно технический уровень. Это два принципиально разных типа работ и по сути, и по объемам, так как первый предполагает разработку концепции (политики) информационной безопасности, норматив
но-распорядительных документов, различных регламентов и только потом — технического проекта.
3. Внедрение системы защиты информации.
Заказчику выгодно использовать подрядную организацию и не иметь проблем с единовременным привлечением большого коли
чества специалистов по информационной безопасности, контро
лем качества выполняемых работ, выработкой единой политики безопасности.
4. Сопровождение системы информационной безопасности.
Оперативное реагирование на внештатные ситуации, периоди
ческое обновление специального ПО, установка необходимых «за
плат» на общесистемное ПО, отслеживание появления новых атак и уязвимостей.
5. Обучение специалистов по защите информации.
Обучение руководителей служб безопасности, руководителей
ІТ-подразделений, пользователей средств защиты.
Г л а в а 3
Факторы, влияющие
на организацию КСЗИ
3 .1 . Влияние формы собственности
на особенности защиты информации
ограниченного доступа
Важным фактором, влияющим на организацию КСЗИ, являет
ся форма собственности предприятия. В Российской Федерации формы собственности установлены Конституцией Российской
Федерации, Гражданским кодексом Российской Федерации, а так
же следующими федеральными законами: «О потребительской кооперации в Российской Федерации» от 19 июня 1992 г.; «Об общественных объединениях» от 19 мая 1995 г. № 82-ФЗ; «О благо
творительной деятельности и благотворительных организациях» от 11 августа 1995 г. № 135-ФЭ; «О профессиональных союзах, их правах и гарантиях деятельности» от 12 января 1996 г. № 10-ФЗ;
«О внесении изменений и дополнений в Закон Российской Федера
ции «О потребительской кооперации в Российской Федерации» от 11 июля 1997 г. № 97-ФЗ; «О свободе совести и о религиозных объединениях» от 26 сентября 1997 г. № 125-ФЗ; «О внесении изменений и дополнений в Федеральный закон «Об общественных объединениях»» от 19 июля 1998 г. № 112-ФЗ; «Об иностранных инвестициях в Российской Федерации» от 9 июля 1999 г. № 160.
Под формой собственности понимаются законодательно уре
гулированные имущественные отношения, характеризующие за
крепление имущества за определенным собственником на праве собственности*.
Собственниками имущества могут быть граждане и юридиче
ские лица, а также Российская Федерация, субъекты Российской
Федерации — республики, края, области, города федерального значения, автономная область, автономные округа, городские и сельские поселения и другие муниципальные образования.
В Российской Федерации признаются частная, государствен
ная, муниципальная и иные формы собственности.
*
Постановление Госстандарта России от 30 марта 1999 г. N° 97 «О принятии и введении в действие общероссийских классификаторов».
Общероссийским классификатором форм собственности ОК
027-99* рассматриваются следующие виды собственности:
Российская собственность', государственная (код по класси
фикатору — 11), федеральная (12), субъектов Российской Федера
ции (13), муниципальная (14), частная (16), российских граждан, постоянно проживающих за границей (18), потребительской коо
перации (19), общественных и религиозных организаций (15), благотворительных организаций (50), политических обществен
ных объединений (51), профессиональных союзов (52), обществен
ных объединений (53), религиозных объединений (54), смешан
ная (17).
Иностранная собственность-, международных организаций
(21), иностранных государств (22), иностранных юридических лиц (23), иностранных граждан и лиц без гражданства (24), сме
шанная (27).
Совместная российская и иностранная собственность: со
вместная федеральная и иностранная собственность (31), совмест
ная собственность субъектов Российской Федерации и иност
ранная (32), муниципальная и иностранная (33), совместная ча
стная и иностранная (34), совместная собственность обществен
ных и религиозных организаций и объединений и иностранная
(35).
Смешанная российская собственность с долей государствен
ной собственности: смешанная российская с долей федеральной
(41), смешанная российская собственность с долей собственности субъектов (42), российская собственность с долями федеральной собственности и собственности субъектов (43), иная смешанная российская собственность (49).
Форма собственности предприятия в значительной степени определяет виды информации ограниченного доступа, которые могут использоваться предприятием в его деятельности, особен
ности защиты такой информации, устанавливаемые федеральны
ми органами государственной власти, если предприятие им под
ведомственно, а также виды информации, которая должна быть доступна, например акционерам, инвесторам и т.п.
Особенности формы собственности предприятия могут исклю
чить возможность использования им в своей деятельности сведе
ний, составляющих государственную тайну.
Так, законодательством в сфере защиты государственной тай
ны предусмотрена возможность получения лицензии на прове
дение работ, связанных с использованием сведений, составляю
щих государственную тайну, только организациями Российской
Федерации.
*
Постановление Госстандарта России от 30 марта 1999 г. № 97 «О принятии и введении в действие общероссийских классификаторов».
Очевидно, что предприятия с формой собственности п. 21 —
24, 27 классификатора ОК 027-99 к проведению таких работ не допускаются, а предприятия смешанной российской и иност
ранной собственности могут быть допущены при соблюдении установленных законодательством ограничений. Предприятия пе
речисленных форм собственности также ограничиваются в воз
можности проведения работ в закрытых административно-тер
риториальных образованиях и отраслях промышленности, име
ющих для государства стратегическое значение (что связано, в том числе, и с защитой государственной тайны).
Одной из особенностей использования информационных ре
сурсов, содержащих государственную тайну, является то, что в соответствии со ст. 10 Закона Российской Федерации «О госу
дарственной тайне» [20] права собственника информации могут быть ограничены, если информация содержит сведения, состав
ляющие государственную тайну. Распоряжаться такой информа
цией собственник может только с санкции органа государствен
ной власти, в компетенции которого находится ее засекречива
ние.
В Российской Федерации не исключается возможность пере
дачи сведений, составляющих государственную тайну, иностран
ным представителям (в т.ч. и иностранным организациям), а так
же международным организациям при наличии с иностранным государством (международной организацией) договора о взаим
ной защите секретной информации*.
Тем же законом определено, что не может быть ограничено право собственности на информацию иностранных организаций и иностранных граждан, если эта информация получена (разра
ботана) ими без нарушения законодательства Российской Феде
рации.
Анализ нормативных документов иностранных государств по
казывает, что за рубежом также принимаются ограничительные меры в отношении допуска к классифицированной информации иностранных предприятий или предприятий с долей иностран
ной собственности.
Так, в США инструкцией по обеспечению секретности в воен
ной промышленности предписано:
• подрядчиком секретного заказа не может быть предприятие, расположенное за пределами территорий, находящихся под юрис
дикцией США;
• доля иностранной собственности в предприятии не должна позволять иностранным подданным оказывать неблагоприятное влияние на политику и практику деятельности предприятия;
*
Ст. 18 Закона «О государственной тайне» и постановление Правительства
РФ от 02.08.1997 г. № 973.
• иностранные подданные, являющиеся персоналом предприя
тия, не должны допускаться к классифицированной (секретной) информации;
• иностранные подданные не должны занимать на предприятии постов (должностей), позволяющих им оказывать неблагоприятное влияние на политику и практику деятельности предприятия.
3.2. Влияние организационно-правовой формы
предприятия на особенности защиты
информации ограниченного доступа
Общероссийским классификатором организационно-правовых форм О К 028 — 99* рассматриваются организационно-правовые формы хозяйствующих субъектов, предусмотренные законодатель
ством Российской Федерации (табл. 3.1, 3.2, 3.3).
Организационно-правовая форма предприятия может опреде
лять:
• виды информации ограниченного доступа, допуск предприя
тия к которым может быть ограничен;
• виды информации, которую предприятие обязано представ
лять его участникам (например, акционерам).
Одной из основных особенностей в данной сфере является то, что организации, не являющиеся юридическими лицами, не мо
гут получить лицензию на проведение работ, связанных с исполь
зованием сведений, составляющих государственную тайну. Это связано, в первую очередь, с требованиями, изложенными в Поста
новлении Правительства Российской Федерации 1995 г. № 333**, в соответствии с которым для получения лицензии необходимо представить документ, подтверждающий, что предприятие вклю
чено в Единый государственный реестр юридических лиц.
Следующая особенность заключается в том, что органы госу
дарственной власти, субъекты Российской Федерации, органы местного самоуправления и их территориальные (структурные) подразделения осуществляют такую деятельность без получения лицензии. Эта особенность составляет одну из неурегулирован
ных законодательством сторон такой деятельности, так как ст. 27
Закона РФ «О государственной тайне» [20] и упомянутым поста
новлением установлено, что порядок допуска организаций к ра
ботам, связанным с использованием сведений, составляющих го
сударственную тайну, не зависит от их формы собственности, организационно-правовой формы и т. п.
• Постановление Госстандарта России от 30 марта 1999 г. № 97 «О принятии и введении в действие общероссийских классификаторов».
** Собрание законодательства РФ от 24.04.1995 г. № 17. — Ст. 1540.
Т а б л и ц а 3.1. Юридические лица, являющиеся коммерческими
организациями
Организационно-правовая форма
Код
Хозяйственные товарищества и общества
48
Полные товарищества
51
Товарищества на вере
64
Общества с ограниченной ответственностью
65
Общества с дополнительной ответственностью
66
Акционерные общества
60
Открытые акционерные общества
47
Закрытые акционерные общества
67
Производственные кооперативы
52
Крестьянские (фермерские) хозяйства
53
Унитарные предприятия
40
Унитарные предприятия (на праве хозяйственного ведения)
42
Унитарные предприятия (на праве оперативного управления)
41
Дочерние унитарные предприятия
68
Т а б л и ц а 3.2.
Ю р и д и ч е с к и е
лица, являющиеся некоммерческими
организациями
Организационно-правовая форма
Код
Потребительские кооперативы
85
Общественные и религиозные организации (объединения)
83
Общественные движения
84
Фонды
88
Учреждения
81
Государственные корпорации
82
Органы общественной самодеятельности
78
Некоммерческие партнерства
96
Автономные некоммерческие организации
97
Объединения юридических лиц (ассоциации и союзы)
93
Ассоциации крестьянских (фермерских) хозяйств
77
Территориальные общественные самоуправления
80
Товарищества собственников жилья
94
Садоводческие, огороднические, дачные товарищества
76
Прочие некоммерческие организации
89
Т а б л и ц а 3.3. Организации без прав юридического лица
Организационно-правовая форма
Код
Финансово-промышленные группы
79
Паевые инвестиционные фонды
92
Простые товарищества
87
Представительства и филиалы
90
Индивидуальные предприниматели
91
Иные неюридические лица
98
1 2 3 4 5 6 7 8 9 ... 41