Организационное и правовое обеспечение информационной безопасности

ruseTis federaciis samTavrobo finansuri 

universiteti

s.i. kozminixi

sainformacio usafrTxoebis 

saorganizacio da 

samarTlebrivi uzrunvelyofa

saerTaSoriso saswavlo-meToduri centris `profesiuli 
saxelmZRvanelo~-s mier rekomendebulia, rogorc damxmare 

saxelmZRvanelo umaRlesi saswavlo dawesebulebebis 

studentebisaTvis.

ganaTlebisa da mecnierebis saswavlo-kvleviTi institutis mier 

rekomendebulia, rogorc damxmare saxelmZRvanelo  umaRlesi 

saswavlo dawesebulebebis studentebisaTvis.

saerTaSoriso eleqtronuli biblioTekis

`ganaTleba. mecniereba. samecniero kadrebi~

wignebis eleqtronuli versiebi saitze

www.niion.org

ЮНИТИ
UNITY

samarTliani saqarTvelo

Tbilisi 2020

recenzentebi:

s.a. kaCanovi – teqnikur mecnierebaTa doqtori, profesori, rf 
mecnierebis damsaxurebuli moRvawe rsma (РАЕН) akademikosi
s.v. dvoriankini
–
teqnikur mecnierebaTa doqtori, rf 

samTavrobo 
finansuri 
universitetis 
`sainformacio 

usafrTxoebis~ kaTedris profesori

s.i. kozminixi

sainformacio usafrTxoebis saorganizacio da samarTlebrivi
uzrunvelyofa /damxmare saxelmZRvanelo s.i. kozminixi / Tb., 
samarTliani saqarTvelo, 2020 w. – 309 gv. 

damxmare saxelmZRvanelo gankuTvnilia informaciis saor
ganizacio da samarTlebrivi dacvis meTodebisa da teqnologiebis, aseve misi srulyofis saSualebebis SeswavlisaTvis 
SemswavlelebTan am mimarTulebiT muSaobis praqtikuli unarCvevebis formirebis mizniT.

damxmare saxelmZRvanelo dawerilia bakalavrTa momzadebis 

mimarTulebisTvis rf samTavrobo finansuri universitetis 
`sainformacio usafrTxoebis saorganizacio da samarTlebrivi 
uzrunvelyofis~ `disciplinis samuSao programis Sesabamisad: 
10.03.01 `sainformacio usafrTxoeba~. profili
`avtomati
zebuli sistemebis usafrTxoeba safinanso-sabanko sferoSi~.  

ISBN 978-9941-9663-2-3

© samarTliani saqarTvelo, 2020

© yvela ufleba daculia.

Финансовый университет 

при Правительстве Российской Федерации

С. И. Козьминых

ОРГАНИЗАЦИОННОЕ И 

ПРАВОВОЕ 

ОБЕСПЕЧЕНИЕ 

ИНФОРМАЦИОННОЙ 

БЕЗОПАСНОСТИ

ЮНИТИ
UNITY

Справедливая Грузия

2020

Рецензенты: 

заслуженный деятель науки РФ, академик РАЕН,
доктор технических наук, профессор С.А. Качанов

(заместитель начальника ФГБУ ВНИИ ГОЧС (ФЦ) МЧС России); 

доктор технических наук С.В. Дворянкин

(профессор кафедры «Информационная безопасность»

Финансового университета при Правительстве РФ)

Козьминых, Сергей Иванович.

Организационное 
и 
правовое 
обеспечение 
информационной 

безопасности: учеб. пособие / С.И. Козьминых. — Тб.: Справедливая 
Грузия, 2020. — 309 с.  

Учебное пособие предназначено для изучения методов и 

технологий организационной и правовой защиты информации, а 
также способов ее совершенствования в целях формирования у 
обучаемых практических навыков работы в этом направлении 
деятельности.

Учебное пособие написано в соответствии с рабочей 

программой дисциплины Финансового университета при Правительстве Российской Федерации «Организационное и правовое 
обеспечение информационной безопасности» для направления 
подготовки бакалавров: 10.03.01 «Информационная безопасность». 
Профиль: «Безопасность автоматизированных систем в финансовобанковской сфере».

ISBN 978-9941-9663-2-3

© Справедливая грузия, 2020

© Воспроизведение всей книги или любой ее части любыми средствами или в какой-либо 
форме, в том числе в интернет-сети, запрещается без письменного разрешения издательства.

СОДЕРЖАНИЕ 
Введение .................................................................................................  10 
 
Глава 1. Введение в дисциплину «Организационное и правовое  
обеспечение информационной безопасности» .......................12  
1.1. Система организационно-правового обеспечение  
информационной безопасности как предмет изучения .........12 
1.2. Правовые основы защиты информации в Российской  
Федерации ................................................................................  13 
1.3. Правовые основы обеспечения информационная  
безопасность в финансовой области ......................................  20 
1.4. Источники угроз информационной безопасности  
Российской Федерации ............................................................  25 
1.5. Задачи обеспечения информационной безопасности в  
различных сферах деятельности Российской Федерации ....  26 
1.6. Методы обеспечения информационной безопасности  
Российской Федерации в различных сферах деятельности .....  29 
1.7. Функции и структура государственной системы  
обеспечения информационной безопасности ........................  31 
 
Глава 2. ГосСОПКА как средство защиты Российской  
Федерации от киберугроз .........................................................  36  
2.1. Как и почему появилась ГосСОПКА, какой подход заложен  
в ее функционирование ...........................................................  36 
2.2. История создания ГосСОПКА ................................................  37 
2.3. ГосСОПКА в Федеральном Законе «О безопасности  
критической информационной инфраструктуры РФ» ..........  39 
2.4. Функции центров ГосСОПКА ................................................  43 
2.5. Взаимодействие субъекта КИИ с ГосСОПКА .......................  44  
 
Глава 3. Системный подход к обеспечению информационной  
безопасности объекта КФС ......................................................  47  
3.1. Разработка концепции и создание системы защиты  
информации на объекте КФС .................................................  47 
3.2. Основные направления защиты информации ........................  60 
3.3. Создание системы обеспечения информационной  
безопасности объекта КФС .....................................................  62 
 
Глава 4. Организационные источники и каналы утечки  
информации. Силы, средства и условия организационной  
защиты информации .................................................................  66 
4.1. Силы, средства и условия организационной защиты  
информации ..............................................................................  66 
4.2. Разглашение защищаемой информации .................................  69 

4.3. Способы пресечения разглашения защищаемой  
информации ..............................................................................  72 
4.4. Противодействие несанкционированному доступу  
к информации ...........................................................................  73 
 
Глава 5. Особенности системы организационной защиты  
информации, составляющей государственную и  
коммерческую тайну .................................................................  77 
5.1. Государственная тайна и порядок отнесения к  
ней информации .......................................................................  77 
5.2. Защита государственной тайны ..............................................  83 
5.3. Организация режима секретности, его особенности  
и содержание ............................................................................  85 
5.4. Коммерческая тайна и порядок её определения ....................  87 
5.5. Организация работ с информацией, составляющей  
коммерческую тайну ...............................................................  91 
 
Глава 6. Порядок засекречивания и рассекречивания  
сведений ограниченного доступа ............................................  95 
6.1. Классификация ресурсов .........................................................  95 
6.2. Организация работ по обеспечению засекречивания  
и рассекречивания информации .............................................  97 
6.3. Разработка плана мероприятий по обеспечению  
засекречивания и рассекречивания информации .................  101 
 
Глава 7. Организация доступа к информации, составляющей  
коммерческую тайну организации ........................................  109 
7.1. Разрешительная система доступа к сведениям,  
составляющим коммерческую тайну организации ..............  109 
7.2. Мероприятия по реализации разрешительной системы  
доступа к сведениям, составляющим коммерческую  
тайну организации ..................................................................  116 
 
Глава 8. Подбор персонала на должности, связанные с работой  
с информацией ограниченного доступа ...............................  121 
8.1. Персонал организации как источник информации и один  
из основных каналов ее разглашения ....................................  121 
8.2. Особенности подбора и подготовки кадров .........................  126 
8.3. Проверка персонала на благонадежность .............................  132 
8.4. Заключение контрактов и соглашений о секретности .........  134 
8.5. Особенности увольнения сотрудников, владеющих  
конфиденциальной информацией .........................................  136 
 
Глава 9. Текущая работа с сотрудниками, допущенными к  

информации ограниченного доступа ....................................  139 
9.1. Задачи и структура текущей работы с сотрудниками,  
допущенными к информации ограниченного доступа ........  139 
9.2. Организация обучения и инструктирования сотрудников  
правилам работы с конфиденциальной информацией ........  142 
9.3. Воспитание сотрудников, допущенных к информации  
ограниченного доступа ...........................................................  144 
9.4. Контроль соблюдения сотрудниками правил защиты  
информации .............................................................................  146 
9.5. Анализ степени осведомленности сотрудников о  
секретах организации .............................................................  148 
9.6. Организационно-психологические аспекты работы с сотрудниками по защите информации ограниченного доступа .........  151 
9.7. Создание в коллективе здорового психологического  
климата ....................................................................................  157 
9.8. Создание корпоративной культуры в организации ..............  159 
9.9. Мотивация сотрудников к выполнению требований  
по защите информации ...........................................................  160 
9.10. Увольнение сотрудников, работающих с конфиденциальной 
информацией ...........................................................................  163 
 
Глава 10. Организация деятельности службы безопасности  
объекта информатизации ........................................................  167 
10.1. Задачи службы безопасности организации .........................  167 
10.2. Формирование структуры службы безопасности,  
организация ее деятельности .................................................  170 
10.3. Организация внутриобъектового режима организации ......175 
10.4. Организация охраны объектов информатизации ...............  177 
10.5. Организация и обеспечение защиты коммерческой  
тайны в Организации ..............................................................  179 
10.6. Организация инженерно-технической защиты  
объекта информатизации .......................................................  181 
10.7. Организация безопасного функционирования  
информационных систем на объекте ....................................  182 
10.8. Проверка наличия документов, дел и носителей  
информации .............................................................................  184 
10.9. Организация служебного расследования по фактам разглашения сотрудниками информации ограниченного доступа ....  185 
10.10. Проведение аналитико-разведывательной работы ..........  187 
 
Глава 11. Организация защиты информации при проведении  
совещаний по конфиденциальным вопросам, приеме  
посетителей и осуществлении научно-публицистической  

и рекламной деятельности ......................................................  191 
11.1. Защита информации при проведении совещаний  
и переговоров ..........................................................................  191 
11.2. Организация защиты информации при приеме посетителей  
командированных лиц и иностранных представителей .......195 
11.3. Организация защиты информации в работе пресс-служб,  
при осуществлении научно-публицистической и рекламной  
деятельности ............................................................................  198 
 
Глава 12. Требования, предъявляемые к помещениям, в которых  
ведутся закрытые работы, хранятся документы  
ограниченного доступа ............................................................  200 
12.1. Ограждения периметра, отдельных участков территории  
объекта .....................................................................................  200 
12.2. Контрольно-пропускной пункт объекта ..............................  203 
12.3. Техническая укрепленность строительных конструкций  
зданий и помещений, предназначенных для ведения закрытых  
работ и хранения документов ограниченного доступа ........  204 
12.4. Защита периметра территории зданий и открытых  
площадок с помощью технических средств охраны ............  206 
12.5. Защита помещений объекта с помощью технических  
средств охраны ........................................................................  207 
12.6. Защита персонала и посетителей объекта ...........................  210 
12.7. Системы контроля и управления доступом ........................  211 
12.8. Системы охранного телевидения .........................................  211 
12.9. Система оповещения .............................................................  212 
12.10. Охранное освещение ...........................................................  213 
. 
Глава 13. Задачи, методы, стратегии, способы и средства защиты  
информации ...............................................................................  215 
13.1. Задачи, методы и средства обеспечения информационной  
безопасности на объектах КФС .............................................  215 
13.2. Стратегии защиты информации на объектах КФС ............  222 
13.3. Способы и средства защиты информации на объектах КФС ...  225 
 
Глава 14. Архитектура системы защиты информации .................  230 
14.1. Требования к архитектуре системы защиты информации .....  230 
14.2. Основы архитектурного построения системы  
защиты информации ...............................................................  232 
14.3. Задачи и функции служба защиты информации ................  240 
 
Глава 15. Организация и обеспечение работ по защите  
информации ...............................................................................  247 
15.1. Определение требований к системе защиты  

информации .............................................................................  247 
15.2. Подбор сотрудников, ответственных за обеспечение  
безопасности информации .....................................................  249 
15.3. Проектирование, создание и эксплуатация системы 
 защиты информации объекта ................................................  250 
15.4. Управление процессами функционирования  
систем защиты информации ..................................................  251 
15.5. Организационно-правовое и документальное обеспечение  
работ по защите информации ................................................  257 
15.6. Защита информации в экстремальных ситуациях ..............  260 
 
Глава 16. Моделирование систем и процессов защиты  
информации ...............................................................................  266 
16.1. Виды моделей систем и процессов защиты информации .  266 
16.2. Методы оценки защищенности информации .....................  270 
16.3. Управления риском при обеспечении информационной  
безопасности ............................................................................  274 
 
Глава 17. Лицензирование и сертификация в области защиты  
информации ...............................................................................  281 
17.1. Правовая основа системы лицензирования и сертификации  
в Российской Федерации ........................................................  281 
17.2. Лицензирование деятельности по защите информации ....  283 
17.3. Сертификация средств защиты информации ......................  286 
 
Глава 18. Аудит информационной безопасности на объектах  
кредитно-финансовой сферы .................................................  295 
18.1. Общая характеристика состояния аудиторской деятельности  
в области информационной безопасности ............................  295 
18.2. Методологические основы проведения аудита  
информационной безопасности .............................................  298 
18.3. Методы анализа данных при аудите информационной  
безопасности на объектах КФС .............................................  302 
 
Библиографический список ..............................................................  305 
 
 

ВВЕДЕНИЕ 
 
 
 
 
 
 
В настоящее время актуальность проблемы обеспечения информационной безопасности определяется рядом взаимосвязанных факторов, 
многие из которых являются следствием процесса бурной информатизации современного общества. Среди этих факторов, с одной стороны - 
формирование правовых основ информатизации, расширение применения 
современных информационных технологий в деятельности различных 
организаций, с другой - высокая уязвимость рождающейся инфраструктуры в силу сложности используемых систем, стремительный прогресс в 
развитии технических средств шпионажа и, так называемого, информационного «оружия». Особенности современной социально-экономической ситуации, отсутствие реальных ограничений в обороте технических 
средств разведывательного назначения приводят к многочисленным фактам их применения криминальными структурами в отношении органов 
государственной власти и управления, в том числе в отношении организаций кредитно-финансовой сферы. 
Зарубежный и отечественный опыт обеспечения безопасности свидетельствует, что для борьбы со всей совокупностью преступных и противоправных действий необходима стройная и целенаправленная организация процесса противодействия. Причем в организации этого процесса 
должны участвовать профессиональные специалисты в области информационной безопасности, руководство организаций, другие сотрудники, что и 
определяет повышенную значимость организационной стороны вопроса. 
При построении системы безопасности следует учитывать, что обеспечение безопасности не может быть одноразовым актом. Это непрерывный 
процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы безопасности, непрерывном управлении, контроле, выявлении 
узких мест и потенциальных угроз организации. Безопасность может быть 
обеспечена лишь при комплексном использовании всего арсенала средств 
защиты и противодействия во всех структурных элементах производственной системы и на всех этапах технологического цикла. Наибольший эффект 
достигается тогда, когда все используемые средства, методы и мероприятия 
объединяются в единый целостный механизм – систему безопасности организации. Никакая система безопасности не может обеспечить требуемый 
уровень безопасности без надлежащий подготовки персонала организации и 

пользователей, соблюдения ими всех установленных правил, направленных 
на обеспечение безопасности. 
В данном учебном пособие рассмотрены общие вопросы организационной и правовой основы обеспечения информационной безопасности 
Российской Федерации, обеспечения безопасности государственных секретов и конфиденциальной информации. Кроме того, приведены методы 
формирования организационной структуры службы безопасности и 
службы защиты информации, изложены вопросы, связанные с организацией защиты информации на наиболее уязвимых направлениях деятельности объектов кредитно-финансовой сферы, таких как: организация доступа сотрудников к информации ограниченного доступа; организация 
текущей работы с сотрудниками по защите информации; организация 
защиты информации при проведении совещаний по конфиденциальным 
вопросам, приеме посетителей и осуществлении научно-публицистической и рекламной деятельности. Рассмотрены методы проведения служебного расследования по фактам разглашения сотрудниками информации 
ограниченного доступа, планирование процессов организационной защиты информации, организация и обеспечение работ по защите информации. Приведены методы моделирования систем и процессов защиты информации, порядок и правила проведения аудита информационной безопасности объектов. 
Дисциплина «Организационное и правовое обеспечение информационной безопасности» является дисциплиной модуля общепрофессиональных дисциплин направления 10.03.01 «Информационная безопасность» (бакалавриат). 
Дисциплина «Организационное и правовое обеспечение информационной безопасности» базируется на знаниях, полученных в рамках изучения дисциплины «Основы информационной безопасности». 
Дисциплина «Организационное и правовое обеспечение информационной безопасности» является теоретическим и методологическим основанием для общепрофессиональных дисциплин, использующих механизмы обеспечения информационной безопасности и входящих в основную образовательную программу (ООП) бакалавра по направлению 
10.03.01 «Информационная безопасность». Полагается, что данное учебное пособие позволит освоить не только теоретические основы организационной и правовой защиты информации, но и овладеть методами формирования, обеспечения эффективного функционирования и совершенствования систем организационной и правовой защиты информации на 
объектах кредитно-финансовой сферы. 
 
 
 

ГЛАВА 1.  
 
 
 
ВВЕДЕНИЕ В ДИСЦИПЛИНУ «ОРГАНИЗАЦИОННОЕ 
И ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ» 
 
 
1.1. Система организационно-правового  
обеспечение информационной безопасности как  
предмет изучения 
 
 
Дисциплина «Организационное и правовое обеспечение информационной безопасности» является дисциплиной модуля общепрофессиональных дисциплин направления 10.03.01 «Информационная безопасность» (бакалавриат). 
Дисциплина «Организационное и правовое обеспечение информационной безопасности» является теоретическим и методологическим основанием для общепрофессиональных дисциплин, использующих механизмы обеспечения информационной безопасности и входящих в основную образовательную программу (ООП) бакалавра по направлению 
10.03.01 «Информационная безопасность». 
В результате изучения дисциплины студенты должны ЗНАТЬ: 
– теоретические основы функционирования систем организационной 
защиты информации, ее современные проблемы и терминологию; 
– цели, функции и процессы управления системами организационной 
защиты информации в организациях с различными формами собственности; 
– основные направления и методы организационной защиты информации. 
УМЕТЬ: 
– анализировать эффективность систем организационно-правовой защиты информации и разрабатывать направления ее развития; 
– разрабатывать нормативно-методические материалы по регламентации системы организационно-правовой защиты информации; 
– организовывать работу с персоналом, имеющим доступ к информации ограниченного доступа; 

– организовывать защиту персонала, территорий, зданий, помещений, 
продукции, а также интеллектуальной собственности организаций от 
различных видов угроз; 
– организовывать и проводить служебное расследование по фактам разглашения, утечки информации и несанкционированного доступа к ней; 
– организовывать и проводить аналитическую работу по предупреждению утечки информации ограниченного доступа. 
Владеть НАВЫКАМИ: 
– проведения экспертиз систем организационно-правовой защиты информации на предмет оценки их эффективности; 
– разработки организационных и технических мероприятий для совершенствования системы организационной защиты информации; 
– разработки инструкций и других нормативных документов по защите 
информации; 
– проведения контроля выполнения организационно-правовых и технических мероприятий по защите информации. 
Дополнительно обучающиеся должны иметь представление: 
– о существующих типах технических средств безопасности и методах 
их использования; 
– о существующих методах проведения экспертиз систем организационно-правовой защиты информации. 
– о структуре и задачах служб, занимающихся организационноправовой защитой информации; 
– об основных тенденциях совершенствования организационноправовой защиты информации. 
 
 
1.2. Правовые основы защиты информации в  
Российской Федерации 
 
 В настоящее время обязательным условием успеха получения прибыли, и сохранения структуры объекта кредитно-финансовой сферы 
(КФС) является обеспечение безопасности его функционирования. Одной 
из главных составляющих безопасности является организация и правовая 
защиты информационных ресурсов объекта кредитно-финансовой сферы 
на всех направлениях его деятельности. Но ни один объект кредитнофинансовой сферы не сможет успешно развиваться, если не будет обеспечена информационная безопасность государства, на территории которого он расположен. 
Проблемы организации информационной безопасности становятся 
все более сложными и практически значимыми ввиду активного перехода 

информационных технологий на автоматизированную основу без использования традиционных бумажных документов во всех сферах человеческой деятельности. Информационная безопасность носит концептуальный характер и предполагает создание комплексной системы безопасности, включающей правовые, организационные, инженерно-технические, 
криптографические и программно-аппаратные методы и средства защиты 
информации. Организационные методы являются главным звеном, объединяющим на правовой основе технические, программные и криптографические компоненты в единую эффективную комплексную систему защиты информации. 
Под угрозой информационной безопасности понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности или секретности информации. 
Правовую основу защиты информации составляют документы, как 
федерального уровня, так и ведомственного, формирующие требования 
по разработке документов на каждом объекте информатизации (рис. 1.1). 
Основополагающими документами в области обеспечения безопасности являются: Конституция Российской Федерации, принятая 12 декабря 1993 г. (с изменениями, внесенными Указами Президента Российской 
Федерации от 9 января 1996 г. № 20; от 10 февраля 1996 г. № 173; от 9 
июня 2001 г. № 679; от 25 июля 2003 г. № 841, Федеральным законом от 
25 марта 2004 г. № 1-ФКЗ) которая определяет: 
- права и свободы человека и гражданина; 
- федеративное устройство; 
- права и обязанности президента Российской Федерации; 
- статус, состав, назначение, порядок формирования и работы 
Федерального Собрания, права и обязанности его членов; 
- функции исполнительной власти Российской Федерации – Правительства Российской Федерации; 
- задачи судебной власти Российской Федерации; 
- местное самоуправление в Российской Федерации; 
- конституционные поправки и пересмотр Конституции Российской Федерации; 
- заключительные и переходные положения. 
Все перечисленные положения отражены в разделах и главах Конституции и, по сути, направлены на обеспечение безопасности государственного строя, защиту прав и свобод граждан нашего государства. 
 

Рис. 1.1. Классификация нормативных правовых документов 
в области защиты информации