Организационное и правовое обеспечение информационной безопасности

ruseTis federaciis samTavrobo finansuri 

universiteti

s.i. kozminixi

sainformacio usafrTxoebis 

saorganizacio da 

samarTlebrivi uzrunvelyofa

saerTaSoriso saswavlo-meToduri centris `profesiuli 
saxelmZRvanelo~-s mier rekomendebulia, rogorc damxmare 

saxelmZRvanelo umaRlesi saswavlo dawesebulebebis 

studentebisaTvis.

ganaTlebisa da mecnierebis saswavlo-kvleviTi institutis mier 

rekomendebulia, rogorc damxmare saxelmZRvanelo  umaRlesi 

saswavlo dawesebulebebis studentebisaTvis.

saerTaSoriso eleqtronuli biblioTekis

`ganaTleba. mecniereba. samecniero kadrebi~

wignebis eleqtronuli versiebi saitze

www.niion.org

ЮНИТИ
UNITY

samarTliani saqarTvelo

Tbilisi 2020

recenzentebi:

s.a. kaCanovi – teqnikur mecnierebaTa doqtori, profesori, rf 
mecnierebis damsaxurebuli moRvawe rsma (РАЕН) akademikosi
s.v. dvoriankini
–
teqnikur mecnierebaTa doqtori, rf 

samTavrobo 
finansuri 
universitetis 
`sainformacio 

usafrTxoebis~ kaTedris profesori

s.i. kozminixi

sainformacio usafrTxoebis saorganizacio da samarTlebrivi
uzrunvelyofa /damxmare saxelmZRvanelo s.i. kozminixi / Tb., 
samarTliani saqarTvelo, 2020 w. – 309 gv. 

damxmare saxelmZRvanelo gankuTvnilia informaciis saor
ganizacio da samarTlebrivi dacvis meTodebisa da teqnologiebis, aseve misi srulyofis saSualebebis SeswavlisaTvis 
SemswavlelebTan am mimarTulebiT muSaobis praqtikuli unarCvevebis formirebis mizniT.

damxmare saxelmZRvanelo dawerilia bakalavrTa momzadebis 

mimarTulebisTvis rf samTavrobo finansuri universitetis 
`sainformacio usafrTxoebis saorganizacio da samarTlebrivi 
uzrunvelyofis~ `disciplinis samuSao programis Sesabamisad: 
10.03.01 `sainformacio usafrTxoeba~. profili
`avtomati
zebuli sistemebis usafrTxoeba safinanso-sabanko sferoSi~.  

ISBN 978-9941-9663-2-3

© samarTliani saqarTvelo, 2020

© yvela ufleba daculia.

Финансовый университет 

при Правительстве Российской Федерации

С. И. Козьминых

ОРГАНИЗАЦИОННОЕ И 

ПРАВОВОЕ 

ОБЕСПЕЧЕНИЕ 

ИНФОРМАЦИОННОЙ 

БЕЗОПАСНОСТИ

ЮНИТИ
UNITY

Справедливая Грузия

2020

Рецензенты: 

заслуженный деятель науки РФ, академик РАЕН,
доктор технических наук, профессор С.А. Качанов

(заместитель начальника ФГБУ ВНИИ ГОЧС (ФЦ) МЧС России); 

доктор технических наук С.В. Дворянкин

(профессор кафедры «Информационная безопасность»

Финансового университета при Правительстве РФ)

Козьминых, Сергей Иванович.

Организационное 
и 
правовое 
обеспечение 
информационной 

безопасности: учеб. пособие / С.И. Козьминых. — Тб.: Справедливая 
Грузия, 2020. — 309 с.  

Учебное пособие предназначено для изучения методов и 

технологий организационной и правовой защиты информации, а 
также способов ее совершенствования в целях формирования у 
обучаемых практических навыков работы в этом направлении 
деятельности.

Учебное пособие написано в соответствии с рабочей 

программой дисциплины Финансового университета при Правительстве Российской Федерации «Организационное и правовое 
обеспечение информационной безопасности» для направления 
подготовки бакалавров: 10.03.01 «Информационная безопасность». 
Профиль: «Безопасность автоматизированных систем в финансовобанковской сфере».

ISBN 978-9941-9663-2-3

© Справедливая грузия, 2020

© Воспроизведение всей книги или любой ее части любыми средствами или в какой-либо 
форме, в том числе в интернет-сети, запрещается без письменного разрешения издательства.

СОДЕРЖАНИЕ 
Введение .................................................................................................  10 
 
Глава 1. Введение в дисциплину «Организационное и правовое  
обеспечение информационной безопасности» .......................12  
1.1. Система организационно-правового обеспечение  
информационной безопасности как предмет изучения .........12 
1.2. Правовые основы защиты информации в Российской  
Федерации ................................................................................  13 
1.3. Правовые основы обеспечения информационная  
безопасность в финансовой области ......................................  20 
1.4. Источники угроз информационной безопасности  
Российской Федерации ............................................................  25 
1.5. Задачи обеспечения информационной безопасности в  
различных сферах деятельности Российской Федерации ....  26 
1.6. Методы обеспечения информационной безопасности  
Российской Федерации в различных сферах деятельности .....  29 
1.7. Функции и структура государственной системы  
обеспечения информационной безопасности ........................  31 
 
Глава 2. ГосСОПКА как средство защиты Российской  
Федерации от киберугроз .........................................................  36  
2.1. Как и почему появилась ГосСОПКА, какой подход заложен  
в ее функционирование ...........................................................  36 
2.2. История создания ГосСОПКА ................................................  37 
2.3. ГосСОПКА в Федеральном Законе «О безопасности  
критической информационной инфраструктуры РФ» ..........  39 
2.4. Функции центров ГосСОПКА ................................................  43 
2.5. Взаимодействие субъекта КИИ с ГосСОПКА .......................  44  
 
Глава 3. Системный подход к обеспечению информационной  
безопасности объекта КФС ......................................................  47  
3.1. Разработка концепции и создание системы защиты  
информации на объекте КФС .................................................  47 
3.2. Основные направления защиты информации ........................  60 
3.3. Создание системы обеспечения информационной  
безопасности объекта КФС .....................................................  62 
 
Глава 4. Организационные источники и каналы утечки  
информации. Силы, средства и условия организационной  
защиты информации .................................................................  66 
4.1. Силы, средства и условия организационной защиты  
информации ..............................................................................  66 
4.2. Разглашение защищаемой информации .................................  69 

4.3. Способы пресечения разглашения защищаемой  
информации ..............................................................................  72 
4.4. Противодействие несанкционированному доступу  
к информации ...........................................................................  73 
 
Глава 5. Особенности системы организационной защиты  
информации, составляющей государственную и  
коммерческую тайну .................................................................  77 
5.1. Государственная тайна и порядок отнесения к  
ней информации .......................................................................  77 
5.2. Защита государственной тайны ..............................................  83 
5.3. Организация режима секретности, его особенности  
и содержание ............................................................................  85 
5.4. Коммерческая тайна и порядок её определения ....................  87 
5.5. Организация работ с информацией, составляющей  
коммерческую тайну ...............................................................  91 
 
Глава 6. Порядок засекречивания и рассекречивания  
сведений ограниченного доступа ............................................  95 
6.1. Классификация ресурсов .........................................................  95 
6.2. Организация работ по обеспечению засекречивания  
и рассекречивания информации .............................................  97 
6.3. Разработка плана мероприятий по обеспечению  
засекречивания и рассекречивания информации .................  101 
 
Глава 7. Организация доступа к информации, составляющей  
коммерческую тайну организации ........................................  109 
7.1. Разрешительная система доступа к сведениям,  
составляющим коммерческую тайну организации ..............  109 
7.2. Мероприятия по реализации разрешительной системы  
доступа к сведениям, составляющим коммерческую  
тайну организации ..................................................................  116 
 
Глава 8. Подбор персонала на должности, связанные с работой  
с информацией ограниченного доступа ...............................  121 
8.1. Персонал организации как источник информации и один  
из основных каналов ее разглашения ....................................  121 
8.2. Особенности подбора и подготовки кадров .........................  126 
8.3. Проверка персонала на благонадежность .............................  132 
8.4. Заключение контрактов и соглашений о секретности .........  134 
8.5. Особенности увольнения сотрудников, владеющих  
конфиденциальной информацией .........................................  136 
 
Глава 9. Текущая работа с сотрудниками, допущенными к  

информации ограниченного доступа ....................................  139 
9.1. Задачи и структура текущей работы с сотрудниками,  
допущенными к информации ограниченного доступа ........  139 
9.2. Организация обучения и инструктирования сотрудников  
правилам работы с конфиденциальной информацией ........  142 
9.3. Воспитание сотрудников, допущенных к информации  
ограниченного доступа ...........................................................  144 
9.4. Контроль соблюдения сотрудниками правил защиты  
информации .............................................................................  146 
9.5. Анализ степени осведомленности сотрудников о  
секретах организации .............................................................  148 
9.6. Организационно-психологические аспекты работы с сотрудниками по защите информации ограниченного доступа .........  151 
9.7. Создание в коллективе здорового психологического  
климата ....................................................................................  157 
9.8. Создание корпоративной культуры в организации ..............  159 
9.9. Мотивация сотрудников к выполнению требований  
по защите информации ...........................................................  160 
9.10. Увольнение сотрудников, работающих с конфиденциальной 
информацией ...........................................................................  163 
 
Глава 10. Организация деятельности службы безопасности  
объекта информатизации ........................................................  167 
10.1. Задачи службы безопасности организации .........................  167 
10.2. Формирование структуры службы безопасности,  
организация ее деятельности .................................................  170 
10.3. Организация внутриобъектового режима организации ......175 
10.4. Организация охраны объектов информатизации ...............  177 
10.5. Организация и обеспечение защиты коммерческой  
тайны в Организации ..............................................................  179 
10.6. Организация инженерно-технической защиты  
объекта информатизации .......................................................  181 
10.7. Организация безопасного функционирования  
информационных систем на объекте ....................................  182 
10.8. Проверка наличия документов, дел и носителей  
информации .............................................................................  184 
10.9. Организация служебного расследования по фактам разглашения сотрудниками информации ограниченного доступа ....  185 
10.10. Проведение аналитико-разведывательной работы ..........  187 
 
Глава 11. Организация защиты информации при проведении  
совещаний по конфиденциальным вопросам, приеме  
посетителей и осуществлении научно-публицистической  

и рекламной деятельности ......................................................  191 
11.1. Защита информации при проведении совещаний  
и переговоров ..........................................................................  191 
11.2. Организация защиты информации при приеме посетителей  
командированных лиц и иностранных представителей .......195 
11.3. Организация защиты информации в работе пресс-служб,  
при осуществлении научно-публицистической и рекламной  
деятельности ............................................................................  198 
 
Глава 12. Требования, предъявляемые к помещениям, в которых  
ведутся закрытые работы, хранятся документы  
ограниченного доступа ............................................................  200 
12.1. Ограждения периметра, отдельных участков территории  
объекта .....................................................................................  200 
12.2. Контрольно-пропускной пункт объекта ..............................  203 
12.3. Техническая укрепленность строительных конструкций  
зданий и помещений, предназначенных для ведения закрытых  
работ и хранения документов ограниченного доступа ........  204 
12.4. Защита периметра территории зданий и открытых  
площадок с помощью технических средств охраны ............  206 
12.5. Защита помещений объекта с помощью технических  
средств охраны ........................................................................  207 
12.6. Защита персонала и посетителей объекта ...........................  210 
12.7. Системы контроля и управления доступом ........................  211 
12.8. Системы охранного телевидения .........................................  211 
12.9. Система оповещения .............................................................  212 
12.10. Охранное освещение ...........................................................  213 
. 
Глава 13. Задачи, методы, стратегии, способы и средства защиты  
информации ...............................................................................  215 
13.1. Задачи, методы и средства обеспечения информационной  
безопасности на объектах КФС .............................................  215 
13.2. Стратегии защиты информации на объектах КФС ............  222 
13.3. Способы и средства защиты информации на объектах КФС ...  225 
 
Глава 14. Архитектура системы защиты информации .................  230 
14.1. Требования к архитектуре системы защиты информации .....  230 
14.2. Основы архитектурного построения системы  
защиты информации ...............................................................  232 
14.3. Задачи и функции служба защиты информации ................  240 
 
Глава 15. Организация и обеспечение работ по защите  
информации ...............................................................................  247 
15.1. Определение требований к системе защиты  

информации .............................................................................  247 
15.2. Подбор сотрудников, ответственных за обеспечение  
безопасности информации .....................................................  249 
15.3. Проектирование, создание и эксплуатация системы 
 защиты информации объекта ................................................  250 
15.4. Управление процессами функционирования  
систем защиты информации ..................................................  251 
15.5. Организационно-правовое и документальное обеспечение  
работ по защите информации ................................................  257 
15.6. Защита информации в экстремальных ситуациях ..............  260 
 
Глава 16. Моделирование систем и процессов защиты  
информации ...............................................................................  266 
16.1. Виды моделей систем и процессов защиты информации .  266 
16.2. Методы оценки защищенности информации .....................  270 
16.3. Управления риском при обеспечении информационной  
безопасности ............................................................................  274 
 
Глава 17. Лицензирование и сертификация в области защиты  
информации ...............................................................................  281 
17.1. Правовая основа системы лицензирования и сертификации  
в Российской Федерации ........................................................  281 
17.2. Лицензирование деятельности по защите информации ....  283 
17.3. Сертификация средств защиты информации ......................  286 
 
Глава 18. Аудит информационной безопасности на объектах  
кредитно-финансовой сферы .................................................  295 
18.1. Общая характеристика состояния аудиторской деятельности  
в области информационной безопасности ............................  295 
18.2. Методологические основы проведения аудита  
информационной безопасности .............................................  298 
18.3. Методы анализа данных при аудите информационной  
безопасности на объектах КФС .............................................  302 
 
Библиографический список ..............................................................  305 
 
 

ВВЕДЕНИЕ 
 
 
 
 
 
 
В настоящее время актуальность проблемы обеспечения информационной безопасности определяется рядом взаимосвязанных факторов, 
многие из которых являются следствием процесса бурной информатизации современного общества. Среди этих факторов, с одной стороны - 
формирование правовых основ информатизации, расширение применения 
современных информационных технологий в деятельности различных 
организаций, с другой - высокая уязвимость рождающейся инфраструктуры в силу сложности используемых систем, стремительный прогресс в 
развитии технических средств шпионажа и, так называемого, информационного «оружия». Особенности современной социально-экономической ситуации, отсутствие реальных ограничений в обороте технических 
средств разведывательного назначения приводят к многочисленным фактам их применения криминальными структурами в отношении органов 
государственной власти и управления, в том числе в отношении организаций кредитно-финансовой сферы. 
Зарубежный и отечественный опыт обеспечения безопасности свидетельствует, что для борьбы со всей совокупностью преступных и противоправных действий необходима стройная и целенаправленная организация процесса противодействия. Причем в организации этого процесса 
должны участвовать профессиональные специалисты в области информационной безопасности, руководство организаций, другие сотрудники, что и 
определяет повышенную значимость организационной стороны вопроса. 
При построении системы безопасности следует учитывать, что обеспечение безопасности не может быть одноразовым актом. Это непрерывный 
процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы безопасности, непрерывном управлении, контроле, выявлении 
узких мест и потенциальных угроз организации. Безопасность может быть 
обеспечена лишь при комплексном использовании всего арсенала средств 
защиты и противодействия во всех структурных элементах производственной системы и на всех этапах технологического цикла. Наибольший эффект 
достигается тогда, когда все используемые средства, методы и мероприятия 
объединяются в единый целостный механизм – систему безопасности организации. Никакая система безопасности не может обеспечить требуемый 
уровень безопасности без надлежащий подготовки персонала организации и