Федеральна служба з технічного та експортного контролю (ФСТЕК Росії) - федеральний органісполнітельной влади Росії, що здійснює реалізацію державної політики, організацію міжвідомчої координації та взаємодії, спеціальні і контрольні функції у сфері державної безпеки.
ФСТЕК Росії здійснює такі функції:
- організовує обов'язкове державне ліцензування діяльності підприємств;
- видає державні ліцензії організаціям-заявникам;
- здійснює науково-методичне керівництво ліцензійною діяльністю;
- акредитує атестаційні (ліцензійні) центри;
- погоджує склади експертних комісій, що подаються атестаційними (ліцензійними) центрами;
- здійснює контроль за дотриманням ліцензійних вимог і умов;
- забезпечує публікацію необхідних відомостей про ліцензійної діяльності;
- розглядає спірні питання, що виникають в ході експертизи організацій-заявників.
До адміністративного рівню інформаційної безпеки відносяться дії загального характеру, що починаються керівництвом організації.
Головна мета заходів адміністративного рівня - сформувати програму робіт в області інформаційної безпеки і забезпечити її виконання, виділяючи необхідні ресурси і контролюючи стан справ.
Основою програми є політика безпеки. відбиває підхід організації до захисту своїх інформаційних активів. Керівництво кожної організації має усвідомити необхідність підтримки режиму безпеки і виділення на ці цілі значних ресурсів.
Політика безпеки будується на основі аналізу ризиків. які визнаються реальними для інформаційної системи організації. Коли ризики проаналізовані і стратегія захисту визначена, складається програма забезпечення інформаційної безпеки. Під цю програму виділяються ресурси, призначаються відповідальні, визначається порядок контролю виконання програми і т.п.
Термін "політика безпеки" є не зовсім точним перекладом англійського словосполучення "security policy", проте в даному випадку калька краще відображає зміст цього поняття, ніж лінгвістично більш вірні "правила безпеки". Ми будемо мати на увазі не окремі правила або їх набори (такого роду рішення виносяться на процедурний рівень, мова про який попереду), а стратегію організації в області інформаційної безпеки. Для вироблення стратегії і проведення її в життя потрібні, безсумнівно, політичні рішення, що приймаються на найвищому рівні.
Під політикою безпеки ми будемо розуміти сукупність документованих рішень, прийнятих керівництвом організації і спрямованих на захист інформації та асоційованих з нею ресурсів.
Таке трактування, звичайно, набагато ширше, ніж набір правил розмежування доступу (саме це означав термін "security policy" в "Помаранчевої книзі" і в побудованих на її основі нормативних документах інших країн).
ІС організації та пов'язані з нею інтереси суб'єктів - це складна система, для розгляду якої необхідно застосовувати об'єктно-орієнтований підхід і поняття рівня деталізації. Доцільно виділити, принаймні, три таких рівня, що ми вже робили в прикладі і зробимо ще раз далі.
Щоб розглядати ІС предметно, з використанням актуальних даних, слід скласти карту інформаційної системи. Ця карта. зрозуміло, повинна бути виготовлена в об'єктно-орієнтованому стилі, з можливістю варіювати не тільки рівень деталізації. але і видимі межі об'єктів. Технічним засобом складання, супроводу і візуалізації подібних карт може служити вільно розповсюджуваний каркас будь-якої системи управління.