Лекция ОУ СЗИ

Организация защиты информации на предприятиях

(в организациях, учреждениях)

Предприятия (фирмы, организации, учреждения) - наиболее многочисленные структуры, в которых создается наибольший объ­ем (количество) информации, содержащей государственную и конфиденциальную тайну. В них проводится конкретная и разнообразная работа по защите информации.

Независимо от формы собственности организация для прове­дения работ с информацией, содержащей государственную тайну, должна получить лицензию, т. е. выполнить предварительно в полном объеме требования по защите информации, предусмотренные соответствующими документами. После получения лицензии ор­ганизация становится элементом государственной системы защиты информации, содержащей государственную тайну.

Для защиты информации, содержащей государственную тайну, на предприятии (в учреждении, организации) создаются в зависимости от объема работ по защите информации структурные под­разделения или штатные специалисты, которые могут входить в состав одного из подразделений или службы безопасности. Их основными функции являются следующие:

* планирование работ по защите информации на предприятии (в учреждении, организации), разработка предложений по совер­шенствованию его системы защиты информации;

* определение демаскирующих признаков предприятия (учреждения, организации) и выпускаемой продукции;

· участие в подготовке предприятия (учреждения, организации) к аттестованию на право проведения работ с использованием сведений, отнесенных к государственной тайне;

НЕ нашли? Не то? Что вы ищете?

* организация разработки нормативно-методических документов, разработка проектов распорядительных документов по вопросам организации защиты информации на предприятии;

· участие в согласовании ТЗ (ТТЗ) на проведение работ, содержа­щих государственную тайну, в разработке требований по защи­те информации при проведении исследований, разработке (модернизации), производстве и эксплуатации образцов продук­ции, при проектировании, строительстве и эксплуатации объектов (учреждения, организации);

* проведение периодического контроля эффективности мер защиты информации на предприятии (в учреждении, организации), участие в расследовании нарушений в области защиты информации и разработка предложений по устранению недостатков и предупреждению нарушений;

* организация проведения занятий с руководящим составом и специалистами предприятия (учреждения, организации) по вопросам защиты информации.

Для защиты информации, составляющей коммерческую тайну, ее владелец создает собственную систему защиты информации.

Законодательно структура такой системы не закреплена. Она определяется многими факторами: видом деятельности, уровнем конфиденциальности информации и ее объемом, штатной численнос­тью ее сотрудников, финансовым состоянием фирмы и др. Однако для любой фирмы однотипны объективные функции сил и средств обеспечения защиты информации. Их может выполнять как пол­ноценная структура, включающее большое количество людей и технических средств, так и несколько человек для малой фирмы. В принципе, так же как в государственных структурах, каждый со­трудник фирмы должен в объеме должностных обязанностей обес­печивать защиту информации. Об этом он информируется при при­еме на работу. Эти требования указываются, как правило, в договоре между работодателем и работником.

Система безопасности фирмы образует следующие основные элементы (должностные лица и органы):

· руководитель фирмы, курирующий вопросы безопасности ин­формации;

совет по безопасности фирмы; служба безопасности фирмы;

подразделения фирмы, участвующие в обеспечении безопасности фирмы.

Руководство безопасностью возлагается, как правило, на руководителя фирмы и его заместителя по общим вопросам (первого заместителя), которому непосредственно подчиняется служба безопасности.

Совет по безопасности фирмы представляет собой коллегиальный орган при руководителе фирмы, состав которого назначает­ся им из числа квалифицированных и. ответственных по вопросам информационной безопасности должностных лиц. Совет безопас­ности разрабатывает для руководителя предложения по основным вопросам обеспечения безопасности информации, в том числе: на­правлениям деятельности по обеспечению безопасности фирмы и ее подразделений, совершенствования системы безопасности, вза­имодействия с органами власти, заказчиками, партнерами, конку­рентами и потребителями продукции и др.

Структурные подразделения занимаются вопросами защи­ты информации, которую они создают или используют в своей деятельности. Содержание и количество информации меняются во времени, в зависимости от решаемых задач и этапов деятельнос­ти. Однако основные и побочные результаты деятельности содер­жат защищаемую информацию еще длительное время, равное вре­мени ее старения.

Служба безопасности является основным структурным под­разделением по обеспечению безопасности, в том числе информа­ционной, на фирме. Основными ее задачами в части информационной безопасности являются:

· мониторинг угроз информации;

* организация работы по защите информации на фирме;

· управление доступом сотрудником, автотранспорта и посетите­лей на территорию и в помещения фирмы;

* обеспечение безопасности информации при проведении всех видов деятельности внутри и вне фирмы, в том числе при чрез­вычайных ситуациях;

* охрана территории, зданий, помещений и других мест и конструкций с защищаемой информацией.

Кроме этих задач служба безопасности обеспечивает охрану материальных ценностей фирмы и безопасность руководителей, ведущих специалистов и сотрудников.

Для решения указанных задач в полном объеме в службе безопасности создаются отдельные подразделения, примерный состав которых приведен.

Начальник службы безопасности

Подразделение

режима и охраны

Специальный отдел

Подразделение

инженерно-технической

Защиты информации

Подразделение

разведки

и контрразведки

Структура службы безопасности фирмы

В общем случае под режимом организации понимаются установленные законодательством, подзаконными актами и руководством организации условия работы в ней. В принципе для обеспечения эффективной деятельности любой организация в ней устанавливается определенный режим работы сотрудников. Если технологический процесс производства продукции непрерывен, то этот процесс должны обеспечивать сотрудники независимо от выход­ных, праздников, болезни и других обстоятельств. Например, не­льзя временно, на праздники, потушить доменную печь, так как после этого нельзя восстановить ее работу без почти катастрофических последствий.

Однако обычно режим предполагает условия работы, направленные на обеспечение безопасности ценностей, в том числе ин­формации. В этом смысле организацию с таким режимом называют режимной.

Ответственные сотрудники подразделения режима и охраны не только конкретизируют документы вышестоящих организация по режиму и разрабатывают внутри объектовые документы, но и кон­тролируют выполнение их работниками организации. Например, сотрудники подразделения осматривают подозрительные предметы, которые могут вносить (ввозить) или выносить (вывозить) работники и посетители, контролируют способы переноса и хранения продукции с защищаемыми признаками, надежность закрытия и состояние печатей запасных дверей и ворот, порядок сдачи выделенных помещений под охрану и их вскрытия и др. Сотрудники подразделения режима и охраны занимаются также расследованием нарушений требований режима в организации.

Основу санкционированного доступа в контролируемые зоны составляет пропускной режим. Традиционно пропускной режим обеспечивается с помощью удостоверений и пропусков. Пропуска для сотрудников и посетителей могут быть постоянными, времен­ными и разовыми, а также материальные для ввоза и вывоза материальных ценностей. Постоянные документы выдаются на несколько лет с последующей перерегистрацией или заменой, вре­менные на несколько месяцев, разовые - на один день. Образцы удостоверений и пропусков разрабатываются службой безопасности и утверждаются руководством организации. Однако эти документы относятся к атрибутным идентификаторам со всеми присущими им недостатками. Их постепенно вытесняют более защищен­ные атрибутные идентификаторы (карты на различных принципах работы) и биометрические идентификаторы.

Для охраны объектов организации привлекаются в зависимос­ти от их ведомственной принадлежности силы и cpедства подразделений охраны Министерства обороны, Министерства внутренних дел и коммерческих охранных структур, а также создаются собственные группы охраны. При использовании внешних сил охраны подразделение режима осуществляет контроль выполнения ими своих функций. Группа охраны органи­зации входит в состав ее подразделения режима и охраны и осуществляет охрану и контроль собственными силами.

Специальный отдел обеспечивает учет всех документов, имеющих гриф секретности (входящей и исходящей корреспонденции, разрабатываемых и размножаемых в организации документов), циркулирующих в организации, ее централизованное хранение и санкциони­рованной доступ к ней сотрудников организации. В специальном отделе учитывают также образцы продукции (веществ, макетов, узлов и др.), содержащие защищаемую информацию. Основанием для выдачи сотрудников документов и образцов продукции слу­жат временные и разовые допуски, оформляемые руководителями структурных подразделений.

Защита информации с помощью инженерных конструкций и технических средств возлагается на подразделение инженерно-технической защиты информации. Оно занимается выявлени­ем потенциальных угроз, разработкой мер по их предотвращению, инструментальным контролем уровней опасных сигналов и эксплуатацией технических средств защиты информации.

Любая организация, в том числе принадлежащая государству, нуждается для обеспечения эффективной деятельности в информа­ции о партнерах и конкурентах. Для добывания этой информации в рамках как деловой разведки, так и промышленного шпионажа создается в организации подразделение разведки и контрразведки. Это подразделение обеспечивает:

· добывание данных и сведений и их аналитическую обработку с целью получения разведывательной информации о партнерах и конкурентах;

* прогнозирование угроз информации организации со стороны конкурентов и иных злоумышленников;

* разработка предложений по контрразведывательному обеспече­нию информационной безопасности.

Основная часть информации (по некоторым оценкам, до 95%) добывается из открытых источников, в особенности по вопросам, касающимся тенденций рынка, потенциальных конкурентов, на­дежности фирм, с которыми собирается сотрудничать организа­ция и др. Однако информация об оригинальных схемотехнических, конструкторских и технологических решениях, реализация которых в продукции может обеспечить ее владельцам существенные преимущества перед конкурентами, закрывается и защищается.

Нормативно-правовая база инженерно-технической защиты информации

Деятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-правовую базу инженерно-технической защиты информации. Основу ее составляют документы, классификация которых приведена.

Нормативно-правовая база по защите информации

Уровень Законы РФ Указы Постановления

государства Президента РФ Правительства РФ

Уровень Межведомственные Внутриведомственные

ведомства

Уровень Документы организации,

предприятия предприятия

Классификация документов нормативно-правовой базы по защите информации

По назначению документы делятся на:

* руководящие;

* нормативные;

* методические.

Руководящие документы определяют структуру, права и обязанности органов и людей, обеспечивающих инженерно-техничес­кую защиту информации на различных уровнях государственной системы. Руководящие документы разрабатываются на всех уров­нях государственной системы защиты информации, причем доку­менты на более низком уровне конкретизируют документы более высокого уровня.

Любая деятельность по выполнению руководящих докумен­тов сопровождается принятием решений по тому или иному воп­росу. Основу принятия решений составляет идентификация теку­щих факторов или признаков с эталонными. Совокупность эталонных факторов или признаков представляют собой сущность по­нятия «норма» и содержание нормативных документов. Понятие нормы широко используется во всех сферах деятельности людей. Например, в обществе существуют нормы поведения, часть кото­рых законодательно закреплена в Гражданском кодексе. Грубые отклонения от норм поведения - преступления и шкала наказаний в зависимости от уровня отклонения от нормы рассмотрены в Уголовном кодексе. Нормы в человеческом обществе могут изменяться эволюционно в процессе его развития и трансформировать­ся отдельными группами людей, обладающих силами и средства­ми психологического воздействия на население.

Нормативы в области инженерно-технической защиты информации определены специалистами в нормативных документах. В результате сравнения текущих показателей защиты информации с требуемыми нормативами принимается решение об уровне безо-пасности защищаемой информации

Так как текущие показатели эффективности защиты информации зависят от большого числа факторов, то методики их опреде­ления разными органами и специалистами и, следовательно, полу­ченные результаты в общем случае могут отличаться. Например, если не совпадают методики измерения уровней опасных сигналов у контролирующего и контролируемого органов, то специалистам контролируемого органа трудно доказать достаточность использо­ванных мер защиты. Поэтому, как правило, одновременно разра­батываются нормативы и методики их определения, которые объединяются в нормативно-методические документы.

Основу межведомственных документов составляют решения, руководящие нормативно-методические документы ФСТЭК (Гостехкомиссии). Ниже приведены

Федеральные законы (Законы Российской Федерации)

Указы и распоряжения Президента Российской Федерации

Постановления Правительства Российской Федерации

(С сайта ФСТЭК по состоянию на г.)

Федеральные законы (Законы Российской Федерации)

«О безопасности»

Закон Российской Федерации от 5 марта 1992 года
(с изменениями и дополнениями от 01.01.01 года ;
от 01.01.01 года № 000; от 01.01.01 года ; от 7 марта 2005 г. №15-ФЗ)

«О государственной тайне»

Закон Российской Федерации от 01.01.01 года
(с изменениями и дополнениями от 6 октября 1997 г. ; от 01.01.01 г. ; от 01.01.01 г. № 153-ФЗ; от 01.01.01 г. ; от 01.01.01 г. )

«О лицензировании отдельных видов деятельности»

Федеральный закон от 8 августа 2001 года
(с изменениями и дополнениями от 01.01.01 г. №28-ФЗ, от 01.01.01 №31-ФЗ; от 9 декабря 2002 г. ; от 01.01.01 г. №17-ФЗ; от 01.01.01 г. №29-ФЗ; от 01.01.01 г. №32-ФЗ; от 01.01.01 г. №36-ФЗ; от 01.01.01 г. ; от 2 ноября 2004 г. ; от 01.01.01 г. )

Кодекс Российской Федерации об административных правонарушениях

От 30 декабря 2001 года
(выписка в части вопросов защиты информации)
(с изменениями и дополнениями от 01.01.01 г. №86-ФЗ)

Уголовный кодекс Российской Федерации

От 13 июня 1996 года
(выписка в части вопросов защиты информации)
(с изменениями и дополнениями от 8 декабря 2003 г. )

«Об электронной цифровой подписи»

Федеральный закон от 01.01.01 года

«О техническом регулировании»

Федеральный закон от 01.01.01 года 3
(с изменениями и дополнениями от 9 мая 2005 г. )

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 01.01.01 года

«О персональных данных»

Федеральный закон от 01.01.01 года

Указы и распоряжения Президента Российской Федерации

Об утверждении Концепции национальной безопасности Российской Федерации

Указ Президента Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.01 года № 24)

Вопросы Федеральной службы по техническому и
экспортному контролю

Указ Президента Российской Федерации 
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.01 г. № 000; от 01.01.01 г. № 000; от 01.01.01 г. № 000)

Вопросы Межведомственной комиссии по защите государственной тайны

Указ Президента Российской Федерации от 6 октября 2004 г. № 000

Об утверждении Перечня сведений, отнесенных к государственной тайне

Указ Президента Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.01 года № 61;
от 6 июня 2001 года № 000; от 01.01.01 года № 000;
от 01.01.01 года № 000; от 3 марта 2005 г. № 000; от 01.01.01 г. № 90)

Об утверждении Перечня должностных лиц органов государственной власти Российской Федерации, наделенных полномочиями по отнесению сведений к государственной тайне

Распоряжение Президента Российской Федерации от 01.01.01 г.

Об утверждении Перечня сведений
конфиденциального характера

Указ Президента Российской Федерации
от 6 марта 1997 года № 000

О составе межведомственного коллегиального органа - коллегии Федеральной службы по техническому и экспортному контролю

Распоряжение Президента Российской Федерации
от 4 июля 2005 г.

Об учреждении флага Федеральной службы по техническому и экспортному контролю

Указ Президента Российской Федерации
от 01.01.01 г. № 000

О реестре должностей федеральной государственной гражданской службы

Указ Президента Российской Федерации от 01.01.01 г. № 000

Постановления Правительства Российской Федерации

О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны

Постановление Правительства Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.01 г. № 000; от 01.01.01 г. № 000; от 01.01.01 г. № 000; от 3 октября 2002 г. № 000;
от 01.01.01 г. № 000)

Об организации лицензирования отдельных видов деятельности

Постановление Правительства Российской Федерации
от 01.01.01 года № 45

Об утверждении Положения о лицензировании образовательной деятельности

Постановление Правительства Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.2001 г. № 000)

Об утверждении положений о лицензировании деятельности в области авиационной техники

Постановление Правительства Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.2001 г. № 000)

Об утверждении Положения о лицензировании производства оружия и основных частей огнестрельного оружия

Постановление Правительства Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.2001 г. № 000)

О лицензировании деятельности в области вооружения и
военной техники

Постановление Правительства Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.2001 г. № 000; от 1 февраля 2005 г. № 49)

Об утверждении Положений о лицензировании деятельности в области боеприпасов и пиротехнических изделий

Постановление Правительства Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.2001 г. № 000)

Об утверждении Положения о лицензировании деятельности по международному информационному обмену

Постановление Правительства Российской Федерации
от 3 июня 1998 года № 000
(с изменениями и дополнениями от 01.01.2001 г. № 000)

Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами

Постановление Правительства Российской Федерации
от 01.01.01 года № 000

Об утверждении Положения о лицензировании деятельности по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговли указанной продукцией

Постановление Правительства Российской Федерации от 01.01.01 г. № 000 (с изменениями и дополнениями от 9 декабря 2002 г. № 000; от 01.01.01 г. № 000)

О Порядке размещения и использования на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации иностранных технических средств наблюдения и контроля

Постановление Правительства Российской Федерации
от 01.01.01 года № 000(с изменениями и дополнениями от 01.01.01 г. № 000)

Об утверждении Порядка разработки списка продукции военного назначения, разрешенной к передаче иностранным заказчикам, и Порядка разработки списка государств, в которые разрешена передача продукции военного назначения, указанной в списке продукции военного назначения, разрешенной к передаче иностранным заказчикам

Постановление Правительства Российской Федерации
от 01.01.01 года № 000(с изменениями и дополнениями от 1 февраля 2005 г. № 49)

Об утверждении Перечня территорий Российской Федерации с регламентированным посещением иностранных граждан

Постановление Правительства Российской Федерации
от 4 июля 1992 года № 000
(с изменениями и дополнениями от 01.01.01 г. № 000; от 01.01.01 г. № 000; от 01.01.01 г. № 000; от 2 февраля 2000 г. № 95; от 01.01.01 г. № 000; от 01.01.01 г. № 000; от 9 июля 2002 г. № 000; от 01.01.01 г. № 000)

Об утверждении Положения о сертификации средств
защиты информации

Постановление Правительства Российской Федерации
от 01.01.01 года № 000
(с изменениями и дополнениями от 01.01.01 г. № 000; от 01.01.01 г. № 000; от 01.01.01 г. № 000)

О порядке получения разрешения Комиссии по экспортному контролю Российской Федерации на осуществление внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности, которые могут быть использованы иностранным государством или иностранным лицом в целях создания оружия массового поражения и средств его доставки
Постановление Правительства Российской Федерации
от 01.01.01 г. № 000

О функциях федеральных органов исполнительной власти и Российской академии наук по реализации договора о всеобъемлющем запрещении ядерных испытаний
Постановление Правительства Российской Федерации
от 01.01.01 г. № 000

О составе коллегии ФСТЭК России
Распоряжение Правительства Российской Федерации
от 01.01.01 г.

О лицензировании деятельности по технической защите конфиденциальной информации
Постановление Правительство Российской Федерации
от 01.01.01 г. № 000

О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации
Постановление Правительства Российской Федерации
от 01.01.01 г. № 000

О порядке получения, использования и предоставления геопространственной информации
Постановление Правительства Российской Федерации
от 01.01.01 г. № 000

Об утверждении положения о проведении международных выставок образцов продукции военного назначения на территории Российской Федерации и об участии российских организаций в таких выставках на территориях иностранных государств
Постановление Правительства Российской Федерации
от 2 июня 2007 г. № 000

О разграничении полномочий федеральных органов исполнительной власти, участвующих в выполнении международных обязательств Российской Федерации в области химического разоружения
Постановление Правительства Российской Федерации
от 2 июля 2007 г. № 000

В них рассматриваются основы концепции защиты информации от технической разведки, типовые положения об органах по защите информации, требования и методические рекомендации по защите информации от утечки по техническим каналам, руководящие документы по различным аспектам защиты информации в автоматизированных системах, нормативно-методические документы по противодействию различным видам технической разведки.

В каждом ведомстве государства, являющемся владельцем или пользователем информации, содержащим государственную тайну, разрабатываются и конкретизируются руководящие и нормативно-методические документы и создаются органы, обеспечивающие за­щиту информации как в самом ведомстве, так и подчиненных подразделениях (организациях, предприятиях).

К руководящим документам, разрабатываемым в организации (на предприятии), относятся:

· Руководство (инструкция) по защите информации в организации (на предприятии);

* Положение о подразделении организации, на которое возлага­ются задачи по обеспечению безопасности информации;

* Инструкции по защите отдельных источников информации, пре­жде всего информации о разрабатываемых изделиях и продукции.

В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна.

Порядок защиты информации в организации определяется со­ответствующим руководством (инструкцией). Оно может содер­жать следующие разделы:

* общие положения;

* перечень охраняемых сведений;

* демаскирующие признаки объектов организации;

* оценки возможностей органов и средств добывания информации;

* организационные и технические мероприятия по защите информации;

* порядок планирования работ службы безопасности;

* порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.

Но в данном руководстве нельзя учесть всех особенностей за­щиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфи­денциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая рабо­та, включающая различные этапы и стадии: проведение исследова­ний, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, под­готовка производства (документации и дополнительного оборудо­вания), изготовление опытной серии для выявления спроса на то­вар, массовый выпуск продукции.

На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носите­лей, угроз и каналов утечки информации, проявляющихся в различные моменты времени.

Для защиты информации об изделии на каждом этапе его созда­ния разрабатывается соответствующая инструкция. Инструкция должна содержать сведения, необходимые для обеспечения безо­пасности информации, в том числе: общие сведения об образце, защищаемые сведения о нем и его демаскирующие признаки, по­тенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения кон­тролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность ин­формации.

Нормативно-методическую базу составляют

* гocyдapствeнныe стандарты (ГОСТы);

* общие требования (ОТ),

* общие технические требования (ОТТ),

* тактико-технические требования (ТТТ),

* руководящие докумен­ты (РД) и другие документы;

* модели;

* нормы, методики и инструкции;

* эксплуатационно-техническая документация;

* учебно-методическая и научная литература.

Основным нормативным документом является перечень све­дений, составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих госу­дарственную тайну, основывается на положениях Закона «О госу­дарственной тайне»». Перечни подлежащих защите сведений этого закона конкретизируются ведомствами применительно к тематике конкретных организаций. В коммерческих структурах, вы­полняющих государственные заказы, перечни распространяются на информацию, относящуюся к этому заказу. Перечни сведений, составляющих коммерческую тайну, составляются руководством фирмы при участии сотрудников службы безопасности. Другие нормативные документы определяют максимально допустимые значения уровней сигналов с защищаемой информацией и концентрации демаскирующих веществ на границах контроли­руемых зон, непревышение которых обеспечивает требуемый уровень безопасности информации. Эти нормы разрабатываются со­ответствующими ведомствами, а для коммерческих структур, вы­полняющих негосударственные заказы, - специалистами этих структур. Кроме того, нормативные документы объединены с ме­тодиками измерения параметров норм.

Работа по защите информации в организации проводится всеми его сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязатель­ство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации.