Приказываю:
Утвердить и ввести в действие с 1 ноября 2006 г. прилагаемую Типовую инструкцию о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-02-2006).
Руководитель |
К.Б. Пуликовский |
Введена в действие с 1 ноября 2006 г.
Содержание
1.1. Типовая инструкция о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору (далее - Инструкция) разработана в соответствии с федеральными законами от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 21 июля 1993 г. N 5485-1 "О государственной тайне", Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Правительства Российской Федерации от 15 сентября 1993 г. N 912-51, государственным стандартом Российской Федерации ГОСТ Р 50922-96 "Защита информации. Основные термины и определения", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 г. N 282 и Положением о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-01-2006).
1.2. Инструкция определяет основные меры по защите информации, типовые обязанности пользователей и должностных лиц, входящих в систему защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (далее - Служба), которые уточняются применительно к конкретным условиям деятельности центрального аппарата и территориальных органов Службы, а также находящихся в ее ведении организаций далее - подведомственные организации).
1.3. Требования Инструкции являются обязательными для работников центрального аппарата, территориальных органов Службы и подведомственных организаций, которые допущены к работе с информацией ограниченного доступа и сведениями, составляющими государственную тайну.
При приеме на службу (работу) работники, которые будут допущены к сведениям конфиденциального характера, должны быть под расписку ознакомлены с требованиями настоящей Инструкции, в части их касающейся, а также с ответственностью за их нарушение.
1.4. В Инструкции используются термины и их определения, установленные в актах, указанных в ее п. 1.1 и приведенные в приложении N 1 к ней.
2.1. Информационной системе Службы характерны следующие особенности:
- возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки данных в Службе;
- нарастающая важность и ответственность решений, принимаемых в автоматизированном режиме и на основе автоматизированной обработки информации;
- увеличивающаяся концентрация в автоматизированных системах (далее - АС) информации, зачастую носящей конфиденциальный характер;
- большая территориальная распределенность компонентов АС Службы;
- усложнение режимов функционирования технических средств АС;
- накопление на технических носителях значительных объемов информации, для многих видов которой становится все более трудным (и даже невозможным) изготовление немашинных аналогов (дубликатов);
- интеграция в единых базах данных информации различного назначения и различной принадлежности;
- долговременное хранение больших массивов информации на машинных носителях;
- непосредственный и одновременный доступ к ресурсам (в том числе и к информации) большого числа пользователей (операторов информационных систем) различных категорий и различных организаций;
- интенсивная циркуляция информации между компонентами АС, в том числе и расположенных на больших расстояниях друг от друга;
- возрастающая стоимость информации.
В связи с этим существует необходимость в обеспечении сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в АС Службы.
2.2. В настоящей Инструкции в основном регламентируются вопросы защиты конфиденциальной информации. При работе с информацией, содержащей государственную тайну, к средствам вычислительной техники (далее - СВТ), автоматизированным системам и персоналу предъявляются дополнительные требования, изложенные в документах по защите государственной тайны.
2.3. В центральном аппарате, территориальных органах Службы и подведомственных организациях на основе требований настоящей Инструкции разрабатываются в необходимом объеме и с учетом их особенностей инструкции и организационно-распорядительные документы по защите информации для всех категорий должностных лиц, допущенных к информации ограниченного доступа.
2.4. Угрозы для информации, циркулирующей в АС Службы (приложение N 2 к настоящей Инструкции), исходят от утечки по техническим каналам, от внедренных специальных электронных устройств, от специальных программ-вирусов, от несанкционированного доступа (далее - НСД).
2.5. К основным способам НСД к информации относятся:
- непосредственное обращение к объектам доступа;
- воздействие на АС программных и технических средств, позволяющих выполнить обращение к объектам доступа в обход средств защиты;
- модификация средств защиты, позволяющая осуществить НСД;
- внедрение заинтересованными лицами в СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС, и позволяющих осуществить НСД.
2.6. Несанкционированный доступ к информации, находящейся в АС Службы, может быть косвенным - без физического доступа к элементам АС и прямым - с физическим доступом.
Существуют следующие пути несанкционированного доступа к информации:
- применение подслушивающих устройств;
- дистанционное фотографирование;
- перехват электромагнитных излучений;
- хищение информации;
- считывание данных в массивах других пользователей;
- копирование носителей информации;
- несанкционированное использование терминалов;
- маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;
- использование программных ловушек;
- получение защищаемых данных с помощью серии разрешенных запросов;
- использование недостатков языков программирования и операционных систем;
- преднамеренное включение в библиотеки программ специальных блоков типа "троянских коней";
- незаконное подключение к аппаратуре или линиям связи информационной системы;
- злоумышленный вывод из строя механизмов защиты.
3.1. Конфиденциальная информация Службы подлежит обязательной защите.
3.2. Обеспечение надежной защиты информации является одной из важнейших обязанностей операторов (пользователей) информационной системы Службы и должностных лиц, входящих в систему защиты информации Службы (приложение N 3 к настоящей Инструкции).
3.3. Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ) организует работу по защите информации в центральном аппарате Службы, осуществляет методическое руководстве проведением мероприятий по защите информации в территориальных органах и подведомственных организациях, а также контроль за эффективностью предусмотренных мер защиты информации в Службе. Планы устранения недостатков, выявленных представителями МТОИЗИ при проведении проверок, руководители территориальных органов и подведомственных организаций Службы представляют в МТОИЗИ (приложение N 4 к настоящей Инструкции).
3.4. Начальники управлений центрального аппарата Службы контролируют в подчиненных подразделениях выполнение работниками установленных общих требований по организации работы АС и предусмотренных мер по защите информации (приложение N 5 к настоящей Инструкции).
3.5. Руководители территориальных органов и подведомственных организаций Службы организуют проведение работ по защите информации в своих органах и организациях.
3.6. Операторы информационной системы (пользователи) соблюдают правила обработки информации в АС и отвечают за обеспечение защиты информации.
3.7. Должностные лица, отвечающие за безопасность информации и входящие в систему защиты информации в компьютерных и телекоммуникационных сетях Службы, контролируют в пределах своей компетенции состояние защиты информации с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки ее защищенности.
3.8. Повседневный и периодический (не реже одного раза в год) контроль за состоянием защиты информации в территориальных органах и подведомственных организациях проводится силами их подразделений (штатных работников) по защите информации.
3.9. Отчеты о состоянии защиты информации по итогам года руководители территориальных органов и подведомственных организаций Службы представляют в МТОИЗИ (приложение N 6 к настоящей Инструкции).
Ежегодно о состоянии защиты информации в Службе, а также о случаях невыполнения в территориальных органах и подведомственных организациях требований и норм по защите информации, в результате которых имелись или имеются реальные возможности к ее утечке, МТОИЗИ докладывает руководителю Службы.
3.10. В целях предотвращения несанкционированного доступа к техническим средствам обработки, хранения и передачи информации (далее - ТСПИ), их хищения и нарушения работоспособности организуется охрана и физическая защита помещений объектов информатизации.
3.11. Защита информации в АС и СВТ территориальных органов и подведомственных организаций должна предусматривать комплекс организационных, программных и технических мероприятий по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.
В целях реализации организационных мер подразделением (штатным работником) по защите информации совместно с подразделением, осуществляющим эксплуатацию объектов информатизации, разрабатываются организационно-распорядительные документы по защите информации (приложение N 7 к настоящей Инструкции).
В качестве программных средств используются специальные программы, предназначенные для выполнения функций, связанных с защитой информации.
К техническим средствам защиты информации относятся различные электрические, электромеханические и электронные устройства, которые подразделяются на аппаратные средства - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с СВТ по стандартному интерфейсу и физические средства - автономные устройства (электронно-механическое оборудование охранной сигнализации и наблюдения, запоры и решетки на окнах).
3.12. На объекты информатизации, задействованные в обработке конфиденциальной информации, составляются технические паспорта* и они должны быть аттестованы по требованиям безопасности информации в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации **.
_________________________
* Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. N 282.
** Утверждено Председателем Гостехкомиссии при Президенте Российской Федерации 25.11.1994 г.
3.13. Защите подлежат все компоненты информационной структуры Службы: документы, сети связи, ТСПИ, персонал и т.д.
3.14. Защита информации в АС Службы осуществляется по следующим основным направлениям:
- от утечки по техническим каналам;
- от внедренных специальных электронных устройств;
- от специальных программ-вирусов;
- от несанкционированного доступа;
- от несанкционированного воздействия;
- от непреднамеренного воздействия;
- от разглашения;
- от технически средств разведки (далее - TCP).
3.15. В качестве основных мер защиты информации в Службе должностными лицами, входящими в систему защиты информации, подразделениями, осуществляющими эксплуатацию объектов информатизации, должны выполняться:
а) документальное оформление перечня сведений конфиденциального характера с учетом ведомственной специфики этих сведений. Перечень сведений конфиденциального характера Службы, утвержденный ее руководителем, может быть дополнен руководителем территориального органа (подведомственной организации) в зависимости от характера информации, циркулирующей в их информационной сети;
б) разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
в) ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;
г) регистрация действий пользователей АС, обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
д) учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
е) резервирование технических средств, дублирование массивов и носителей информации;
ж) использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
з) использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
и) использование сертифицированных средств защиты информации;
к) размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ;
л) защита цепей электропитания объектов информации:
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);
- развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал;
м) электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация, и линиями связи, другими цепями ВТСС, выходящими за пределы контролируемой зоны;
н) использование защищенных каналов связи;
о) размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
п) организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;
р) предотвращение внедрения в АС программ-вирусов, программных закладок;
с) противодействие TCP.
3.16. Объем принимаемых мер защиты информации, в зависимости от возможного ущерба в случае ее утечки, определяют должностные лица, отвечающие за организацию и руководство работами по защите информации в Службе, ее территориальных органах и подведомственных организациях.
3.1.1. При выявлении технических каналов утечки информации технические средства обработки, хранения и передачи информации рассматриваются как система, включающая основное (стационарное) оборудование, оконечные устройства, соединительные линии (совокупность проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами), распределительные и коммуникационные устройства, системы электропитания, системы заземления.
Обобщенная классификация технических каналов утечки информации (далее - ТКУИ) представлена в приложении N 8 к настоящей Инструкции.
3.1.2. Отдельные технические средства или группа технических средств, предназначенных для обработки информации, вместе с помещениями, в которых они размещаются, составляют объект ТСПИ. Под объектами ТСПИ понимаются также выделенные помещения, предназначенные для проведения конфиденциальных мероприятий.
Наряду с ТСПИ, в помещениях могут находиться вспомогательные технические средства и системы (далее - ВТСС), не применяемые в обработке информации, но используемые совместно с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ими. К ним относятся: технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, электрификации, радиофикации, часофикации, электробытовые приборы и т.д.
3.1.3. В качестве канала утечки информации основное внимание необходимо уделять ВТСС, имеющим выход за пределы контролируемой зоны.
Кроме соединительных линий ТСПИ и ВТСС за пределы контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены технические средства, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. Такие провода, кабели и токопроводящие элементы называются посторонними проводниками.
Возможные ТКУИ на объектах защиты показаны в приложении N 9 к настоящей Инструкции.
3.1.4. Основные способы защиты информации от утечки по техническим каналам:
- использование сертифицированных по требованиям защиты информации основных технических средств и систем, предназначенных для передачи, обработки и хранения конфиденциальной информации (далее - ОТСС) и ВТСС;
использование сертифицированных технических средств защиты информации;
- размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ;
- защита цепей электропитания объектов защиты;
- документальное оформление перечня защищаемых помещений (далее - ЗП) и лиц, ответственных за их эксплуатацию;
- выполнение рекомендованных мероприятий по оборудованию ЗП: стены, полы и потолки не должны быть смежными с помещениями других организаций; окна закрываются шторами (жалюзи); проведение специальных проверок помещений; применение технических средств защиты информации и т.д.);
- выполнение пожарной и охранной сигнализации только по проводной схеме сбора информации;
- применение при необходимости активных средств защиты речевого сигнала (генераторы шума и т.п.);
- выполнение требований по монтажу и применению ВТСС в ЗП согласно Специальным требованиям и рекомендациям по технической защите конфиденциальной информации;
- проведение на объектах защиты специальных исследований специализированными организациями, имеющими лицензии на проведение работ по защите информации.
3.2.1. Информация, обрабатываемая в ТСПИ, может сниматься путем установки в них электронных устройств перехвата информации - закладных устройств (мини-передатчики, излучение которых модулируется информационным сигналом).
3.2.2. Выявление внедренных на объекты электронных устройств перехвата информации достигается специальными проверками, которые проводятся при аттестации помещений, предназначенных для ведения секретных и конфиденциальных переговоров, а также по решению соответствующего руководителя - периодически. Для помещений, предназначенных для ведения секретных переговоров, аттестация является обязательной, а для ведения конфиденциальных переговоров - добровольной.
3.2.3. Специальные проверки проводятся также с целью выявления и изъятия специальных электронных устройств перехвата информации, внедренных в ОТСС и ВТСС. Специальные проверки должны проводить специалисты организаций, имеющих лицензии, выданные уполномоченными органами.
В зависимости от целей, задач и используемых средств устанавливаются следующие виды специальных проверок:
- специальное обследование объектов защиты;
- визуальный осмотр ЗП;
- комплексная специальная проверка ЗП;
- визуальный осмотр и специальная проверка новых предметов (подарков, предметов интерьера, бытовых приборов и т.п.) и мебели, размещаемых или устанавливаемых в ЗП;
- специальная проверка применяемой радиоэлектронной аппаратуры;
- периодический радиоконтроль (радиомониторинг) ЗП;
- постоянный (непрерывный) радиоконтроль ЗП;
- специальная проверка проводных линий;
- проведение тестового "прозвона" всех телефонных аппаратов, установленных в проверяемом помещении, с контролем (на слух) прохождения всех вызывных сигналов АТС.
Периодичность и виды проверок помещений в целях выявления в них закладных устройств зависят от степени важности помещений и порядка допуска в них посторонних лиц.
3.2.4. Специальное обследование и визуальный осмотр ЗП проводятся, как правило, без применения технических средств. Остальные же виды проверок требуют использования тех или иных специальных средств контроля.
Специальные обследования помещений проводятся после окончания строительства объекта или после проведения капитального ремонта в них, а также периодически. Для проведения специальных обследований должны привлекаться соответствующие специалисты.
Визуальный осмотр помещений проводится перед началом и после завершения служебных совещаний, а также в начале и после завершения рабочего дня. Если проверка проводится вечером, то после ее завершения помещение должно быть закрыто и опечатано, а ключи в опечатанном тубусе должны сдаваться под охрану. Данный вид проверки кабинетов руководящего состава целесообразно поручать их секретарям, так как они могут наиболее быстро выявить новые предметы, появившиеся в кабинете. Проверку помещений для проведения служебных совещаний целесообразно поручать работникам подразделения, осуществляющего эксплуатацию объектов информатизации, с привлечением работника по защите информации и лица, ответственного за помещение.
При проведении визуального осмотра ЗП особое внимание уделяется местам, куда можно быстро и скрыто установить закладное устройство. Этот вид контроля позволяет выявить закладки, оставляемые посетителями в легко доступных местах: под столешницами, под сидениями стульев, в различных щелях, за картинами, за батареями, за мебелью, за шторами и т.д.
3.2.5. Специальная проверка радиоэлектронной аппаратуры, в том числе ПЭВМ и телефонных аппаратов, проводится после их закупки или ремонта. Специальная проверка проводных линий осуществляется после окончания строительства объекта или после проведения его капитального ремонта, а также периодически в целях обнаружения несанкционированных подключений к линиям средств съема информации. Для проведения проверки должны привлекаться соответствующие специалисты.
3.2.6. Радиоконтроль выделенных помещений проводится в целях обнаружения активных радиозакладок с использованием сканерных приемников или программно-аппаратных комплексов контроля. Он организуется периодически при проведении наиболее важных мероприятий (совещаний, заседаний и т.п.) или непрерывно (постоянно).
3.2.7. Тестовый "прозвон" телефонных аппаратов проводится при установке нового телефонного аппарата или телефонного аппарата после ремонта, а также периодически. "Прозвон" необходимо проводить с радиотелефона или телефонного аппарата, установленного в другом помещении. При наборе номера проверяемого телефонного аппарата осуществляется контроль (на слух) прохождения всех вызывных сигналов АТС. Если обнаружено подавление (непрохождение) одного - двух вызывных звонков у контролируемого телефонного аппарата, то, возможно, что в его корпусе или телефонной линии установлено закладное устройство, и необходимо проводить специальную проверку телефонной линии и телефонного аппарата.
3.2.8. Комплексная специальная проверка помещений проводится после окончания строительства объекта или после проведения капитального ремонта в них, при проведении аттестации помещений, а также периодически. Это наиболее полный вид проверки. Для проведения таких специальных проверок используется весь арсенал технических средств контроля.
3.3.1. В целях съема информации, ее разрушения, нарушения нормального функционирования СВТ и АС создаются специальные программы-вирусы.
3.3.2. Пути проникновения вирусов в СВТ и АС:
- проникновение вирусов на рабочие станции при использовании на рабочей станции инфицированных файлов с переносимых источников (флоппи-диски, компакт-диски и т.п.);
- заражение вирусами с помощью инфицированного программного обеспечения, полученного из Интернет и проинсталлированного на локальной рабочей станции;
- проникновение вирусов при подключении к локальной вычислительной сети (далее - ЛВС) инфицированных рабочих станций удаленных или мобильных пользователей;
- заражение вирусами с удаленного сервера, подсоединенного к ЛВС и обменивающегося инфицированными данными с ее серверами;
- распространение электронной почты, содержащей в приложениях файлы Excel и Word, инфицированные макровирусами.
3.3.3. Организация антивирусной защиты информации на объектах информатизации достигается путем:
- внедрения и применения средств антивирусной защиты информации;
- обновления баз данных средств антивирусной защиты информации;
- спланированных действий должностных лиц при обнаружении заражения информационных ресурсов программными вирусами.
3.3.4. Система антивирусной защиты должна разрабатываться с учетом особенностей конкретных ЛВС и, в общем случае, должна включать в себя:
- антивирусную защиту рабочих станций;
- антивирусную защиту серверов;
- возможность автоматического обновления антивирусных баз и версий.
3.3.5. Организация работ по антивирусной защите информации возлагается на руководителей структурных подразделений и должностных лиц, осуществляющих эксплуатацию объектов информатизации, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации - на руководителя подразделения по защите информации (штатного работника).
3.3.6. Порядок применения средств антивирусной защиты устанавливается с учетом необходимости выполнения следующих требований:
а) операторами (пользователями) информационной системы:
- периодическая проверка жестких магнитных дисков (не реже одного раза в неделю) и обязательная проверка используемых в работе гибких магнитных дисков перед началом работы с ними на отсутствие программных вирусов;
- внеплановая проверка магнитных носителей информации на отсутствие программных вирусов в случае подозрения на наличие программного вируса;
б) работниками подразделения, осуществляющего эксплуатацию объектов информатизации:
- обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации машинных носителей информации, информационных массивов, программных средств общего и специального назначения;
- восстановление работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами.
3.3.7. К использованию допускаются только лицензированные антивирусные средства, централизованно закупленные у разработчиков указанных средств либо их официальных дилеров. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации конкретного антивирусного программного продукта.
3.3.8. Порядок применения средств антивирусной защиты, учитывающий особенности объекта информатизации и выполняемых на данном объекте работ, определяется инструкцией по антивирусной защите конфиденциальной информации, разрабатываемой совместно подразделением, осуществляющим эксплуатацию объектов информатизации, и работником по защите информации.
В общем случае инструкция по антивирусной защите конфиденциальной информации должна включать в себя разделы, определяющие порядок защиты конфиденциальной информации на рабочих станциях и порядок защиты указанной информации на почтовых серверах, файл-серверах, серверах ЛВС.
3.3.9. При обнаружении программных вирусов пользователь обязан прекратить все работы на ПЭВМ, поставить в известность подразделение, осуществляющее эксплуатацию объектов информатизации, и совместно с его специалистами принять меры к локализации и удалению вирусов с помощью имеющихся антивирусных средств защиты.
При функционировании ПЭВМ в качестве рабочей станции вычислительной сети производится ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.
Ликвидация последствий воздействия программных вирусов осуществляется подготовленными представителями подразделения, осуществляющего эксплуатацию объектов информатизации.
Программные средства общего и специального назначения объекта информатизации, осуществляющего обработку служебной информации ограниченного доступа, подлежат обязательной переустановке с рабочих копий эталонных дискет независимо от результатов по удалению выявленных программных вирусов имеющимися средствами антивирусной защиты.
3.4.1. Существуют два относительно самостоятельных направления защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.
Защита СВТ обеспечивается комплексом программно-технических средств. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
3.4.2. Организационные меры в АС, обрабатывающих или хранящих информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны осуществляться в соответствии с требованиями Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам, утвержденными Решением Государственной технической комиссии при Президенте Российской Федерации от 23 мая 1997 г. N 55.
3.4.3. При обработке или хранении в АС конфиденциальной информации для ее защиты проводятся следующие организационные мероприятия:
- документальное оформление конфиденциальной информации в виде перечня сведений, подлежащих защите;
- определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;
- установление и оформление правил разграничения доступа, т.е. совокупности правил доступа субъектов к данным;
- ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;
- получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
- обеспечение охраны объекта, на котором расположена защищаемая АС, путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ, информационных носителей, а также НСД к СВТ и линиям связи;
- выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;
- назначение должностных лиц, осуществляющих учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации системы защиты информации от НСД, приемку включаемых в АС программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;
- разработка системы защиты информации от НСД, включая соответствующую организационно-распорядительную документацию.
3.4.4. В целях дифференцированного подхода к защите информации комиссией территориального органа (подведомственной организации), назначенной его руководителем (начальником), проводится классификация АС по требованиям защищенности от НСД к информации (приложения N 10, 11) с составлением акта классификации*.
__________________
* Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. N 282.
3.4.5. Допуск пользователей и обслуживающего персонала к информационным ресурсам, содержащим конфиденциальную информацию, осуществляется на основании приказа руководителя территориального органа (подведомственной организации) с указанием прав и обязанностей пользователей.
3.4.6. Защита доступа к компьютеру осуществляется программными, программно-аппаратными средствами и чисто аппаратными комплексами. Это обеспечивает:
- наличие в компьютерах территориального органа (подведомственной организации) только той информации и тех программ, которые необходимы работникам для повседневной деятельности;
- невозможность передачи посторонним лицам конфиденциальной информации неблагонадежными работниками;
- постоянный контроль за конфиденциальной информацией, всегда можно узнать, кто и когда к ней обратился;
- ознакомление с историей работы пользователя на компьютере;
- обеспечение защиты в незащищенных операционных системах аналогичной защите в серверной операционной системе, не повышая требований к аппаратной части компьютера;
- получение администратором сети информации о том, что происходит на компьютерах сети.
В территориальных органах (подведомственных организациях) Службы используются сертифицированные средства защиты информации.
3.4.7. Основные мероприятия по предотвращению НСД к информации:
а) контроль эффективности принятых мер защиты контролирующими органами (МТОИЗИ, Федеральная служба безопасности Российской Федерации, Федеральная служба по техническому и экспортному контролю Российской Федерации);
б) разграничение доступа к информации;
в) управление потоками данных в целях предотвращения записи данных на носители несоответствующего грифа;
г) идентификация пользователей (субъектов) и подтверждение их права на работу с запрашиваемой информацией;
д) регистрация действий пользователей в АС;
е) реакция на попытки НСД, например, сигнализация, блокировка, восстановление после НСД;
ж) тестирование с помощью специальных программных средств;
з) очистка оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
и) учет выходных печатных, графических форм и твердых копий в АС.
3.5.1. Защита информации от несанкционированного и непреднамеренного воздействия осуществляется по следующим направлениям:
а) соблюдение порядка разработки, ввода в действие и эксплуатации объектов информатизации;
б) определение условий размещения объекта информатизации относительно границ контролируемой зоны;
в) определение технических средств и систем, предполагаемых к использованию в АС и системах связи, условий их расположения;
г) определение режимов обработки информации в АС в целом и в отдельных компонентах;
д) установление правил разграничения доступа для пользователей с целью минимизации их воздействия на программные и аппаратные средства автоматизации обработки информации;
е) повышение уровня квалификации пользователей и обслуживающего персонала;
ж) контроль, техническое обслуживание и обеспечение установленных режимов работы ТСПИ в целях предупреждения их сбоев, аварий, неисправностей;
з) применение постоянно обновляемого антивирусного программного обеспечения;
и) защита от природных и техногенных явлений и стихийных бедствий (пожары, наводнения, землетрясения, грозовые разряды, грызуны и т.п.);
к) предупреждение передачи конфиденциальной информации по открытым линиям связи и ее обработки в незащищенных АС;
л) строгое выполнение работниками установленных в организации требований по защите информации;
м) организация эффективного контроля за выполнением предусмотренных мер защиты информации;
н) использование АС в защищенном исполнении.
3.6.1. С увеличением масштабов распространения и использования ПЭВМ и информационных систем усиливается роль различных факторов, способствующих возможности разглашения информации. К ним относятся несанкционированные и злоумышленные действия персонала и пользователя, а также их ошибки.
3.6.2. Разглашение может происходить по формальным и неформальным каналам распространения информации.
К формальным каналам относятся деловые встречи, совещания, переговоры и тому подобные формы общения, а также обмен официальными деловыми и научными документами с использованием средств передачи официальной информации (почта, телефон, телеграф и др.).
Неформальные каналы включают:
- личное общение (встречи, переписка и др.);
- выставки, семинары, конференции и другие массовые мероприятия;
- средства массовой информации (печать, газеты, интервью, радио, телевидение и др.).
3.6.3. Условиями, способствующими неправомерному доступу к конфиденциальной информации, являются также отсутствие трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа по сплочению коллектива территориального органа (подведомственной организации).
3.6.4. Предупреждение противоправных действий с конфиденциальной информацией обеспечивается различными мерами и средствами, начиная с создания климата осознанного отношения работников к проблеме безопасности и защиты информации.
3.6.5. Причиной разглашения конфиденциальной информации, как правило, является недостаточное знание работниками правил ее защиты и непонимание (или недопонимание) необходимости их тщательного соблюдения.
3.6.6. Правовой основой работы с работниками, допущенными к конфиденциальной информации, являются:
- наличие в служебном контракте пункта о работе со сведениями, составляющими конфиденциальную информацию;
- наличие в должностном регламенте работника пункта о том, что он работает с конфиденциальной информацией и несет ответственность за ее разглашение;
- наличие перечня сведений конфиденциального характера и инструкции по защите информации, с которыми должен быть ознакомлен работник;
- наличие в положении о территориальном органе Службы (уставе подведомственной организации) функции об обеспечении безопасности информации;
- создание работникам условий для работы с информацией ограниченного доступа.
3.6.7. В целях предупреждения разглашения информации руководитель территориального органа (подведомственной организации) организует также проведение мероприятий ограничительного характера, сводящихся, в основном, к регламентации доступа и использования технических средств обработки информации, а также организует через работника по защите информации постоянный контроль за эффективностью и выполнением предусмотренных мер защиты информации.
3.7.1. Противодействие техническим разведкам должно быть комплексным и активным.
3.7.2. В соответствии с Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам* в территориальном органе (подведомственной организации) разрабатывается Руководство по защите информации от технических разведок и от ее утечки по техническим каналам (далее - Руководство), содержание которого приведено в приложении N 12 к настоящей Инструкции.
__________________
* Постановление Совета Министров - Правительства Российской Федерации от 15.09.1993 г. N 912-51.
3.7.3. Руководство должно определять содержание и порядок осуществления мероприятий по защите информации, содержащей сведения, отнесенные в установленном порядке к государственной тайне или конфиденциальной информации. Мероприятия по защите информации должны быть увязаны с мероприятиями по обеспечению в территориальном органе (подведомственной организации) режима секретности.
3.7.4. До начала разработки Руководства подразделением (штатным работником) по защите информации совместно с подразделением, осуществляющим эксплуатацию объектов информатизации, во взаимодействии с территориальными органами Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю Российской Федерации определяется частная модель угроз информации, имеющейся в территориальном органе (подведомственной организации), которая должна включать в себя следующие пункты:
а) перечисление различного рода объектов, находящихся на определенном удалении от территориального органа (подведомственной организации), потенциально представляющих для него угрозу. Указанное перечисление должно включать наименование данных объектов, их краткую характеристику и расстояние до них (по прямой);
б) установление возможных видов технических разведок иностранных государств (далее - ИТР или ТР) на потенциально опасных объектах;
в) определение (уточнение) демаскирующих признаков в территориальном органе (подведомственной организации), которые могут быть зафиксированы средствами разведки и взаимосвязанных с ними охраняемых сведений об объектах защиты на всех циклах их функционирования (внутренние угрозы);
г) определение технических каналов утечки информации, через которые возможно проявление демаскирующих признаков в аппаратуре разведки;
д) проведение анализа и оценки выделенных демаскирующих признаков, возможности их утечки через имеющиеся технические каналы;
е) оценка возможностей средств разведки по регистрации демаскирующих признаков защищаемых сведений, проявляющихся через соответствующие технические каналы утечки информации.
ж) разработка и реализация практических мер по защите информации;
з) разработка системы мер по контролю эффективности системы защиты информации от ИТР;
и) разработка необходимых документов по защите объектов информатизации от ТР.
3.7.5. При разработке Руководства используются данные компетентных органов по вопросам осведомленности разведок в отношении конкретного территориального органа (подведомственной организации).
3.7.6. Руководство разрабатывается подразделением (штатным работником) по защите информации совместно со структурными подразделениями территориального органа (подведомственной организации).
Руководство подписывается должностным лицом, ответственным за защиту информации в территориальном органе (подведомственной организации) и утверждается ее руководителем по согласованию с представителем подразделения по защите информации МТОИЗИ.
3.7.7. Изменения в Руководство вносятся, согласовываются и утверждаются в том же порядке и на том же уровне, что и само Руководство.
3.7.8. К ознакомлению с Руководством в полном объеме допускается строго ограниченный круг лиц по решению руководителя территориального органа (подведомственной организации). Исполнители мероприятий по защите информации должны быть ознакомлены с Руководством, в части их касающейся.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аттестация - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Акта соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Абонентский пункт информационной сети общего пользования (АП ИВС ОП) - автоматизированная система, подключаемая к информационной сети общего пользования (Интернет) с помощью коммутационного оборудования и предназначенная для работы абонентов.
Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системой от внутренних или внешних угроз.
Доступ к информации - возможность получения информации и ее использования.
Закладное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Информация - сведения (сообщения, данные), независимо от формы их представления.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная инфраструктура - совокупность систем обработки и анализа информации, каналов информационного обмена и телекоммуникаций, линий связи, систем и средств защиты информации.
Информация ограниченного доступа - информация, для которой установлен специальный режим сбора, хранения, обработки, распространения и использования.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Контролируемая зона - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств, технических и иных материальных средств.
Локальная вычислительная сеть - совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС.
Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Непреднамеренное воздействие на информацию - воздействие ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Несанкционированное воздействие на информацию - воздействие на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящее к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате.
Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора права разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Пользователь информации - субъект, обращающийся к информационной системе за получением необходимой ему информации и пользующийся ею.
Разглашение - умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с информацией.
Система защиты информации - комплекс организационных мер и программно-технических средств обеспечения безопасности информации в автоматизированных системах.
Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технический канал утечки информации - совокупность объекта технической разведки, физической среды распространения информационного сигнала и средств, которыми добывается защищаемая информация.
Технические средства приема, обработки, хранения и передачи информации - технические средства, непосредственно обрабатывающие информацию, к средствам относятся: электронно-вычислительная техника, режимные АТС, системы оперативно-командной и громкоговорящей связи, системы звукоусиления, звукового сопровождения и звукозаписи и т.д.
Структура объекта |
Структура угроз |
|||||
Общая |
Поэлементная |
Общие |
Частные |
|||
АСУ |
Средства вычислительной техники |
Мониторы |
Хищение, повреждение элементов АСУ и т.д. |
Перехват информации по техническим каналам |
Внедрение специальных электронных устройств |
Визуальное наблюдение |
Системные устройства |
Несанкционированное подключение |
|||||
Несъемные магнитные диски |
Несанкционированное копирование с дисков, хищение сменных носителей, несанкционированное стирание информации, заражение вирусами |
|||||
Сменные дисковые накопители |
||||||
Печатающие устройства |
Хищение "твердых" копий |
|||||
Технологическая подсистема |
Средства коммуникации |
Несанкционированное подключение, удаленный доступ по каналам связи |
||||
Исполнительные устройства |
Подмена ложным приемником команд, подмена истинного источника команд |
УТВЕРЖДАЮ
Руководитель _________
__________ И.О. Фамилия
"___" __________ 200_ г.
Рассмотрен и одобрен на заседании постоянно-действующей технической комиссии. Протокол от ___ __________ 200___ N ______
N п.п |
Недостатки и замечания, отмеченные в "Акте проверки..." (исх. от __ _____ 200_ N _) |
Мероприятия по приведению организации и состояния работ в соответствие с требованиями документов |
Ответственные за выполнение должностные лица |
Сроки завершения работ |
Отметка о выполнении мероприятий, форма представления отчетных материалов и место их нахождения. |
Примечание |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
1. |
По организации защиты информации |
|||||
1.1 |
|
|
|
|
|
|
2. |
По технической защите информации в Системах и средствах информатизации и связи |
|||||
2.1 |
|
|
|
|
|
|
3. |
Подготовка итогового отчета по выполнению запланированных мероприятий |
|||||
3.1 |
|
|
|
|
|
|
Руководитель подразделения (штатный работник) по защите информации ________________________
(подпись, фамилия и инициалы)
1.1. Настоящая Инструкция определяет общий порядок обращения с конфиденциальной информацией в управлениях центрального аппарата (далее - ЦА) Службы при ее создании, хранении, обработке и передаче с использованием технических средств автоматизации.
1.2. Настоящая Инструкция не распространяется на порядок обращения со сведениями, составляющими государственную тайну.
1.3. Информационные ресурсы, содержащие конфиденциальную информацию, созданные, приобретенные, накопленные в Службе, а также полученные путем иных установленных законом способов, являются собственностью Службы и не могут быть использованы иначе, как с разрешения начальника управления или в установленных законом случаях.
Для определения конфиденциальности сведений используется Перечень сведений конфиденциального характера, составленный в соответствии с действующим законодательством и утвержденный руководителем Службы.
1.4. Работник ЦА Службы, допущенный к работе с конфиденциальной информацией, должен быть под расписку ознакомлен с требованиями настоящей Инструкции и ответственностью за ее нарушение.
1.5. Защита информации конфиденциального характера осуществляется на основании федеральных законов, стандартов, нормативно-методических документов Федеральной службы по техническому и экспортному контролю Российской Федерации, организационно-распорядительных документов Службы по защите информации.
1.6. Организацию работы по защите информации и контроль за эффективностью предусмотренных мер по ее защите в ЦА Службы осуществляет Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ).
Начальники управлений ЦА Службы в соответствии с Положением о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-01-2006) контролируют в своих управлениях выполнение предусмотренных мер защиты информации и отвечают за ее состояние перед руководителем Службы.
В этих целях начальник управления назначает работника, на которого возлагает обязанности по обеспечению выполнения предусмотренных мер защиты информации в управлении.
1.7. В случае ликвидации управления уничтожение или передача различных носителей конфиденциальной информации осуществляется в соответствии с решением руководителя Службы и Инструкцией по делопроизводству в центральном аппарате Федеральной службы по экологическому, технологическому и атомному надзору.
2.1. Начальники управлений, работники ЦА (пользователи информации) обязаны контролировать и выполнять предусмотренные в Службе меры по защите информации конфиденциального характера.
2.2. Начальники управлений обязаны:
- участвовать в подготовке Перечня сведений конфиденциального характера Службы, принимать решение об отнесении информации в порученной сфере ответственности к категории ограниченного доступа;
- готовить к утверждению списки работников, которых по своим должностным обязанностям необходимо допустить к работе с защищаемой информацией в информационной системе Службы;
- назначать в управлении работника, отвечающего за обеспечение выполнения в управлении предусмотренных мер защиты информации с уточнением его обязанностей в должностном регламенте;
- контролировать целевое использование работниками ресурсов сети "Интернет";
- проводить по информации администратора сети (работника подразделения МТОИЗИ по защите информации) разбирательство по фактам нарушений пользователями правил, установленных для работы в локальной вычислительной сети Службы (далее - ЛВС), а также нарушений требований по защите информации;
- контролировать выполнение пользователями общих правил работы на ПЭВМ и в ЛВС;
- выборочно, лично или через своих заместителей, контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам и принимать оперативные меры к соблюдению ими установленных требований по защите информации;
- при обнаружении нарушений установленных требований по защите информации, в результате которых вскрыты факты разглашения конфиденциальной информации, прекратить работы на рабочем месте, где обнаружены нарушения, доложить вышестоящему руководителю и поставить в известность руководителя МТОИЗИ;
- назначать служебные расследования фактов разглашения конфиденциальной информации или утери документов, содержащих такую информацию;
- обеспечивать условия для работы представителя подразделения МТОИЗИ по защите информации при проверке в управлении эффективности предусмотренных мер защиты информации;
- определять порядок передачи информации конфиденциального характера другим управлениям, организациям и органам.
2.3. Начальники управлений, принявшие решение об отнесении информации к категории ограниченного доступа, несут персональную ответственность за обоснованность принятого решения.
2.4. При приеме на работу работник предупреждается об ответственности за разглашение сведений конфиденциального характера, которые станут ему известными в связи с предстоящим выполнением своих служебных обязанностей.
2.5. Допуск к конфиденциальной информации предусматривает оформленные в служебном контракте обязательства работника по нераспространению доверенной конфиденциальной информации.
2.6. Пользователь обязан:
- знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
- при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
- перед началом работы на ПЭВМ проверить свои рабочие папки на жестком магнитном диске, рабочие дискеты и CD-диски на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;
- при сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить администратору сети и своему непосредственному начальнику;
- при обработке конфиденциальной информации использовать только машинные носители информации (далее - МНИ), зарегистрированные и полученные у работника, отвечающего за обеспечение выполнения в управлении предусмотренных мер защиты информации;
- при необходимости использования магнитных носителей, поступивших из других подразделений, учреждений, предприятий и организаций, прежде всего, провести проверку этих носителей на отсутствие вирусов;
- выполнять предписания администратора сети;
- представлять для контроля свою рабочую станцию руководителю подразделения, администратору сети и специалисту подразделения МТОИЗИ по защите информации;
- сохранять в тайне свой индивидуальный пароль, периодически изменять его и не сообщать другим лицам;
- вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
- учет, размножение, обращение печатных материалов, содержащих сведения конфиденциального характера и имеющих гриф "Для служебного пользования", проводить в соответствии с требованиями Инструкции по делопроизводству в центральном аппарате Федеральной службы по экологическому, технологическому и атомному надзору;
- при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствии номеров на аппаратных средствах сообщить в подразделение, осуществляющее эксплуатацию объектов информатизации (администратору сети), и поставить в известность руководителя подразделения.
Пользователю при работе запрещается:
- играть в компьютерные игры;
- приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления специалистов подразделения, осуществляющего эксплуатацию средств информатизации (администратора сети);
- перенастраивать программное обеспечение компьютера;
- самостоятельно вскрывать комплектующие рабочей станции;
- запускать на своей рабочей станции или другой рабочей станции сети любые системные или прикладные программы, кроме установленных специалистами подразделения, осуществляющего эксплуатацию средств информатизации (администратором сети);
- изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
- оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
- оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), магнитные носители и распечатки, содержащие конфиденциальную информацию;
- допускать к подключенной в сеть рабочей станции посторонних лиц;
- производить копирование для временного хранения защищаемой информации на неучтенные носители;
- работать на рабочей станции сети с защищаемой информацией при обнаружении неисправностей станции;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации;
- отсылать по электронной почте информацию личного или коммерческого характера для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с руководством подразделения;
- запрашивать и получать из сети "Интернет" материалы развлекательного характера (игры, клипы и т.д.), кроме случаев их специального использования в служебных целях (только по согласованию с руководством подразделения);
- запрашивать и получать из сети "Интернет" программные продукты, кроме случаев, связанных со служебной необходимостью. При этом необходимо согласование с руководителем своего подразделения и обеспечение процесса техническим специалистом подразделения, осуществляющего эксплуатацию средств информатизации;
- входить в другие компьютерные системы через сеть без разрешения операторов этих систем.
2.7. Работники не могут использовать в личных целях сведения конфиденциального характера, ставшие известными им вследствие выполнения служебных обязанностей.
2.8. За разглашение информации конфиденциального характера, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации работник может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
2.9. Работник, отвечающий за обеспечение выполнения в управлении предусмотренных мер защиты информации обязан:
- знать требования настоящей Инструкции;
- хранить поступившие в управление организационно-распорядительные документы, касающиеся вопросов защиты информации;
- иметь список работников управления, допущенных к конфиденциальной информации, знакомить под расписку их и вновь назначенных работников с настоящей Инструкцией;
- выдавать работникам управления машинные носители информации, учтенные по Журналу учета машинных носителей, предварительно проставив на них учетные реквизиты;
- собирать у пользователей неисправные МНИ и, по мере накопления, уничтожать их по акту, утверждаемому начальником управления;
- вести ведомость закрепления за работниками управления ПЭВМ, предназначенных для обработки конфиденциальной информации;
- контролировать стирание пользователями конфиденциальной информации с жестких дисков ПЭВМ, которые передаются в другие управления или в ремонт;
- иметь контактные телефоны администратора сети, подразделений МТОИЗИ, осуществляющих эксплуатацию средств информатизации и контроль за выполнением предусмотренных мер защиты информации в ЦА Службы.
2.10. При смене работника, отвечающего за обеспечение выполнения в управлении предусмотренных мер защиты информации составляется акт приема- передачи документов, указанных в п. 2.9 настоящей Инструкции, который утверждается соответствующим начальником управления.
3.1. Общий порядок обращения со служебными документами, содержащими конфиденциальную информацию, определен Инструкцией по делопроизводству в центральном аппарате Федеральной службы по экологическому, технологическому и атомному надзору.
3.2. Особенности учета машинных носителей, содержащих конфиденциальную информацию:
а) съемные машинные носители информации (дискеты, съемные накопители информации большой емкости, магнитооптические диски и т.д.), предназначенные для обработки конфиденциальной информации, в управлении учитываются по журналу учета машинных носителей информации работником, отвечающим за обеспечение выполнения в управлении предусмотренных мер защиты информации;
б) на съемных машинных носителях информации любым доступным способом в удобном для просмотра месте проставляются следующие учетные реквизиты: учетный номер и дата выдачи, пометка "Для служебного пользования", подпись работника, отвечающего за обеспечение выполнения в управлении предусмотренных мер защиты информации;
в) учтенные машинные носители информации передаются работникам управления под расписку в журнале учета машинных носителей информации;
г) машинные носители информации, пришедшие в негодность, неисправные или потерявшие практическую ценность, уничтожаются по акту;
д) порядок обращения с машинными носителями информации идентичен порядку, установленному для документов конфиденциального характера.
4.1. Работники, осуществляющие обработку информации конфиденциального характера на средствах вычислительной техники, несут ответственность за соблюдение порядка подготовки и обработки документов, содержащих такую информацию, с помощью средств вычислительной техники.
4.2. Обеспечение защиты конфиденциальной информации при ее обработке на средствах вычислительной техники осуществляется в соответствии с требованиями настоящей Инструкции, приказов и распоряжений руководителя Службы по вопросам защиты информации.
ЖУРНАЛ
учета машинных носителей информации
_____________________________________
(наименование управления)
N пп |
Отметка о получении носителя |
Вид машинного носителя |
Ответственный за хранение |
Отметка об обратном приеме |
Отметка об отправке (куда направлен, N и дата сопроводительного письма), уничтожении (N и дата акта) |
|||
N и дата получения |
Откуда поступил (N и дата сопроводительного письма) |
Фамилия |
Подпись |
Дата |
||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
|
|
|
|
|
|
|
|
Примечание: Учетный номер, проставляемый на машинном носителе, формируется следующим порядком: N 15/1-ДСП, где: 15 - номер управления, 1 - порядковый номер учитываемого машинного носителя информации по настоящему журналу, ДСП - отметка об отнесении информации к категории ограниченного доступа.
Форма N 1Д/ЗИ
Составляется в произвольной форме с учетом особенностей решаемых территориальным органом или подведомственной организацией (далее - организацией) задач, но с обязательным раскрытием следующих вопросов:
1. Полное название организации.
2. Оценка состояния защиты информации и эффективности проводимой работы по ее совершенствованию.
3. Основные выполненные мероприятия по улучшению состояния защиты информации.
4. Количество проведенных проверок состояния защиты информации (отдельно работниками по защите информации организации, представителями МТОИЗИ, Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю Российской Федерации).
5. Основные недостатки в обеспечении защиты информации в организации.
6. Фамилия, имя и отчество руководителя организации и руководителя подразделения по защите информации (штатного работника).
7. Количество локальных вычислительных сетей и ПЭВМ в них.
8. Общее количество технических средств защиты информации. Применяемые программные средства защиты информации.
9. Применяемая в автоматизированной системе организации операционная система.
10. Наличие выхода в ИНТЕРНЕТ (общий, наличие абонентских пунктов).
11. Предложения по совершенствованию защиты информации, входящие в компетенцию Федеральной службы по экологическому, технологическому и атомному надзору.
Руководитель организации
Форма N 2/ЗИ
По состоянию на "___" _________ 200_ г.
Название территориального органа или подведомственной организации |
Количество |
Численность подразделения (чел.) |
Стаж работы |
Образование |
Повышение квалификации |
||||||
Подразделений |
Работников |
по штатному расписанию |
Фактически |
менее 1 года |
от 1 до 3 лет |
свыше 5 лет |
Среднее |
Среднее специальное (среднее техническое) |
Высшее |
||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
Руководитель подразделения (штатный работник)
по защите информации
Форма N 3/ЗИ
По состоянию на "___" _________ 200_ г.
Название территориального органа или подведомственной организации |
Аттестованные объекты информатизации |
Аттестат соответствия |
|||||
Всего |
В том числе |
Краткая характеристика объектов |
Объект информатизации |
Номер и кем выдан |
|||
Автоматизированные системы |
Автоматизированные рабочие места на базе автономных ПЭВМ |
Защищаемые помещения |
|||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
|
|
|
|
|
|
|
Руководитель подразделения (штатный работник)
по защите информации
Форма N 4/ЗИ
По состоянию на "___" _________ 200_ г.
Название территориального органа или подведомственной организации |
Используемые операционные системы |
ПЭВМ (всего/ в т.ч. в защищенном исполнении) |
Наличие выхода в информационные сети общего пользования (Интернет) |
Межсетевые экраны |
Программные (программно-аппаратные) средства |
Тип антивирусного программного обеспечения |
||
Всего |
Тип |
Всего |
Тип |
|||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
|
|
|
|
|
|
|
|
|
Руководитель подразделения (штатный работник)
по защите информации
1. Положение о подразделении (должностной регламент штатного работника) по защите информации.
2. Должностные обязанности лиц, ответственных за защиту информации.
3. План мероприятий по защите информации.
4. План проверок состояния защиты информации.
5. Модель угроз информационной безопасности.
6. Руководство по защите информации от технических разведок и от ее утечки по техническим каналам.
7. Перечень защищаемых объектов информатизации.
8. Акты о категорировании защищаемых объектов информатизации.
9. Акты о категорировании ОТСС в защищаемых помещениях.
10. Технические паспорта на защищаемые объекты информатизации.
11. Приказ о границе контролируемой зоны, схема контролируемой зоны.
12. Приказ о вводе защищаемого помещения в эксплуатацию и назначении ответственного за помещение лица.
13. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа, и назначении ответственных лиц.
14. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации.
15. Инструкция по защите речевой информации при проведении конфиденциальных совещаний.
16. Акты классификации автоматизированных систем или отдельных ПЭВМ, обрабатывающих информацию ограниченного доступа.
17. Акты проверок защищаемых помещений на утечку по вибро- и акустическому каналам, акты проверок вычислительной техники (основной и вспомогательной), заключение (предписание) проверяющих организаций о соответствии их требованиям руководящих документов Федеральной службы по техническому и экспортному контролю Российской Федерации.
18. Аттестаты соответствия требованиям по безопасности информации на объекты информатизации.
19. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами.
20. Приказ о запрете использования в защищаемых помещениях радиотелефонов, сотовых и пейджинговых устройств при проведении конфиденциальных совещаний.
21. Инструкция по обеспечению информационной безопасности при подключении к информационно-вычислительным сетям общего пользования (Интернет и т.п.), журнал учета работы на АП ИВС ОП, список лиц, допущенных к работе на АП ИВС ОП.
22. Инструкция по антивирусной защите.
23. Перечень защищаемых ресурсов в ЛВС, таблицы разграничения доступа.
24. Приказ о назначении ответственного за эксплуатацию средств защиты информации.
25. Журнал (карточки) учета средств защиты информации.
Рис. Возможные технические каналы утечки информации
1. Утечка за счет структурного звука в стенах и перекрытиях.
2. Съем информации с ленты принтера, плохо стертых дискет и т.п.
3. Съем информации с использованием видео-закладок
4. Программно-аппаратные закладки в ПЭВМ.
5. Радио-закладки в стенах и мебели.
6. Съем информации по системе вентиляции.
7. Лазерный съем аккустической информации с окон.
8. Производственные и технологические отходы.
9. Компьютерные вирусы и т.п.
10. Съем информации за счет наводок и "навязывания".
11. Дистанционный съем видеоинформации (оптика).
12. Съем аккустической информации с использованием диктофонов.
13. Хищение носителей информации.
14. Высокочастотный канал утечки в бытовой технике.
15. Съем информации направленным микрофоном.
16. Внутренний канал утечки информации через обслуживающий персонал.
17. Несанкционированное копирование.
18. Утечка за счет побочного излучения -терминала.
19. Съем информации за счет использования "телефонного уха".
20. Съем с клавиатуры и принтера по акустическому каналу.
21. Съем с дисплея по электромагнитному каналу.
22. Визуальный съем с дисплея и принтера.
23. Наводки на линии коммуникаций и сторонние проводники.
24. Утечка через линии связи.
25. Утечка по цепям заземления.
26. Утечка по сети электрочасов.
27. Утечка по трансляционной сети и громкоговорящей связи.
28. Утечка по охранно-пожарной сигнализации.
29. Утечка по сети электропитания.
30. Утечка по сети отопления, газо- и водоснабжения.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3А и 3Б.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочий) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Подсистемы и требования |
Классы |
||||||||
3Б |
3Д |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
|
1. Подсистема управления доступом |
|
|
|
|
|
|
|
|
|
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: |
|
|
|
|
|
|
|
|
|
в систему |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
к программам |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
к томам, каталогам, файлам, записям, полям записей |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
1.2. Управление потоками информации |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
2. Подсистема регистрации и учета |
|
|
|
|
|
|
|
|
|
2.1. Регистрация и учет: |
|
|
|
|
|
|
|
|
|
входа (выхода) субъектов доступа в (из) систему (узла сети) |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
выдачи печатных (графических) выходных документов |
- |
+ |
- |
+ |
- |
+ |
+ |
+ |
+ |
запуска (завершения) программ и процессов (заданий, задач) |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
доступа программ субъектов доступа к терминалам, ЭВМ, программам, томам, каталогам, файлам, записям, полям записей |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
изменение полномочий субъектов доступа |
- |
- |
- |
- |
- |
- |
+ |
+ |
+ |
создаваемых защищаемых объектов доступа |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
2.2. Учет носителей информации |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
2.3. Очистка освобождаемых областей оперативной памяти ЭВМ и внешних накопителей |
- |
+ |
- |
+ |
- |
+ |
+ |
+ |
+ |
2.4. Сигнализация попыток нарушения защиты |
- |
- |
- |
- |
- |
- |
+ |
+ |
+ |
3. Криптографическая подсистема |
|
|
|
|
|
|
|
|
|
3.1. Шифрование конфиденциальной информации |
- |
- |
- |
+ |
- |
- |
- |
+ |
+ |
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах |
- |
- |
- |
- |
- |
- |
- |
- |
+ |
3.3. Использование аттестованных (сертифицированных) криптографических средств |
- |
- |
- |
+ |
- |
- |
- |
+ |
+ |
4. Подсистема обеспечения целостности |
|
|
|
|
|
|
|
|
|
4.1. Обеспечение целостности программных средств и обрабатываемой информации |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.2. Физическая охрана средств вычислительной техники и носителей информации |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.3. Наличие администратора (службы) защиты информации в АС |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
4.4. Периодическое тестирование СЗИ нсд |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.5. Наличие средств восстановления СЗИ НСД |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.6. Использование сертифицированных средств защиты |
- |
+ |
- |
+ |
- |
- |
+ |
+ |
+ |
Примечание: Знаком (+) отмечены обязательные для выполнения требования по отношению к каждому классу и каждой подсистеме, знак (-) определяет отсутствие предъявленных требований или не обусловленную обязательность их выполнения.
Типовые требования к содержанию Руководства определены в решении Гостехкомиссии Российской Федерации от 3.10.1995 N 42.
Основное содержание Руководства по защите информации
1. Руководство должно состоять из следующих разделов:
общие положения;
охраняемые сведения в организации;
демаскирующие признаки охраняемых сведений и технические каналы утечки информации;
оценка возможностей технических разведок и других источников угроз безопасности информации (в т.ч. возможностей спецтехники, используемой преступными группировками);
организационные и технические мероприятия по защите информации;
оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);
обязанности и права должностных лиц по защите информации;
планирование работ по защите информации и контролю;
контроль состояния защиты информации;
аттестование рабочих мест;
взаимодействие с другими предприятиями (учреждениями, организациями), ГТК, ФСБ и т.д.
В зависимости от особенностей организации допускается вводить и другие разделы.
1.1. В разделе "Общие положения" указывается назначение Руководства, приводятся общие требования по защите информации в организации, указывается категория организации по требованиям обеспечения защиты информации, указываются должностные лица, ответственные за выполнение требований Руководства, определяется порядок финансирования работ по защите информации в организации, приводятся сведения о полученной лицензии на допуск к работе со сведениями, составляющими государственную тайну и об имеющихся сертифицированных средствах защиты информации.
1.2. В разделе "Охраняемые сведения в организации" указывается конкретная цель, которая должна быть достигнута в результате проведения мероприятий по защите информации (охраняемых сведений) в организации, замысел достижения этой цели и приводится перечень охраняемых сведений (без указания конкретных числовых параметров).
1.3. В разделе "Демаскирующие признаки охраняемых сведений и технические каналы утечки информации" указываются демаскирующие признаки, которые раскрывают охраняемые сведения в организации, в том числе демаскирующие признаки, возникающие в связи с использованием средств обеспечения ее деятельности. Приводятся возможные технические каналы утечки охраняемых сведений, включая каналы утечки информации в технических средствах ее обработки.
1.4. В разделе "Оценка возможностей технических разведок и других источников угроз безопасности информации" приводится перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации, которые опасны для данной организации, в том числе со стороны преступных группировок и результаты оценки их возможностей: по обнаружению (определению) демаскирующих признаков, раскрывающих охраняемые сведения; по перехвату информации, циркулирующей в технических средствах ее обработки; по перехвату речевой информации из помещений; по получению, разрушению (уничтожению), искажению или блокированию информации в результате несанкционированного доступа к ней.
При оценке используется частная модель угроз для организации, методики оценки возможностей иностранной технической разведки и другие документы по этому вопросу.
1.5. В разделе "Организационные и технические мероприятия по защите информации" приводятся:
- организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений в организации;
- мероприятия по защите информации об иной создаваемой (применяемой) продукции и технологиях;
- мероприятия по защите информации при постоянном контролируемом и неконтролируемом нахождении иностранных граждан, как на территории организации, так и в непосредственной близости от нее;
- мероприятия по защите информации в системах и средствах информатизации и связи.
При нахождении на территории организации других организаций (предприятий), арендующих у нее помещения, требования по защите информации в организации должны быть включены в договор аренды.
1.6. В разделе "Оповещение о ведении разведки" указывается порядок получения, регистрации и передачи данных о пролетах разведывательных спутников, самолетов иностранных авиакомпаний, нахождении иностранных судов в открытых портах, местах, маршрутах и времени проведения иностранных инспекций в соответствии с международными договорами, посещении организации иностранными представителями, появлении в районе ее расположения иностранных граждан, подозреваемых в ведении разведки. А также приводятся внутренняя схема оповещения и действия должностных лиц при оповещении.
1.7. В разделе "Обязанности и права должностных лиц по защите информации" определяются должностные лица подразделений организации, ответственные за разработку, обеспечение и выполнение мероприятий по защите информации, их функциональные обязанности и права, приводится структурная схема взаимодействия подразделений по защите информации с соответствующими основными подразделениями данной организации.
1.8. В разделе "Планирование работ по защите информации и контролю" указываются руководящие документы для планирования работ по защите информации, требования к содержанию планов, приводится порядок разработки, согласования, утверждения и оформления планов, устанавливается порядок отчетности и контроля за выполнением планов.
1.9. В разделе "Контроль состояния защиты информации" указываются задачи контроля, перечень органов и подразделений, имеющих право проверки состояния защиты информации в организации, привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений организации, устанавливаются периодичность и виды контроля, порядок оформления результатов контроля, определяются действия должностных лиц по устранению нарушений норм и требований по защите информации и порядок разработки мероприятий по устранению указанных нарушений.
1.10. В разделе "Аттестование рабочих мест" указываются подразделения или должностные лица, ответственные за аттестование рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т.д., приводится форма документирования результатов аттестования и порядок выдачи разрешения на проведение работ с секретной информацией, а также порядок и периодичность их переаттестования.
1.11. В разделе "Взаимодействие с другими предприятиями (учреждениями, организациями)" указываются порядок взаимодействия в области защиты информации с предприятиями (учреждениями, организациями) при выполнении совместных работ, применяемые совместные организационные и технические мероприятия по защите информации, ответственность, права и обязанности взаимодействующих сторон, а также приводится структурная схема взаимодействия.
2. В приложения к Руководству включаются:
таблицы, схемы, графики, расчеты, исходные данные и другие справочные материалы для оценки обстановки, определения мероприятий по защите информации;
порядок организации и проведения работ по защите конфиденциальной информации;
перечень сведений, подлежащих защите;
план организации с указанием схем размещения рабочих мест, стендов и т.д., схем организации связи и сигнализации объекта;
структура системы защиты информации в организации;
перечень руководящих, нормативных и методических документов по защите информации.
В приложения могут включаться и другие документы.
Зарегистрировано приказом Федеральной службы по экологическому, технологическому и атомному надзору 6 октября 2006 г.
Регистрационный N 381