СБОРНИК ПРИМЕРНЫХ ОБРАЗЦОВ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ
по защите конфиденциальной информации
ПРИМЕРНОЕ ПОЛОЖЕНИЕ О
ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ НА
ОБЪЕКТЕ ОРГАНА УПРАВЛЕНИЯ
1.
Общие положения
1.1. Настоящее Положение определяет примерное содержание и порядок
осуществления мероприятий по технической защите конфиденциальной информации на
объекте органа государственной власти или местного самоуправления региона
(далее - в администрации).
Требования Положения после
его разработки, утверждения главой администрации являются обязательными для
исполнения всеми должностными лицами и сотрудниками администрации при
проведении ими работ, связанных с использованием сведений конфиденциального
характера.
1.2. Мероприятия по
технической защите конфиденциальной информации, проводимые администрацией,
являются составной частью управленческой и иной служебной деятельности и
осуществляются во взаимосвязи с мерами по обеспечению установленной
конфиденциальности проводимых работ.
1.3. Информационные ресурсы,
являющиеся собственностью государства, находятся в ведении органов
государственной власти и организаций в соответствии с их компетенцией, подлежат
обязательному учету и защите.
Государственная регистрация
баз и банков данных должны осуществляться в соответствии с Постановлением
Правительства РФ от 28 февраля 1996 г. № 226 и охватывать как базы данных
общего пользования, так и использующихся в автоматизированных системах для
обеспечения процессов управления, производства, исследований и др.
1.4. Режим защиты
конфиденциальной информации устанавливается собственником информационных
ресурсов или уполномоченным лицом в соответствии с законодательством.
Конфиденциальная информация
должна обрабатываться (передаваться) с использованием защищенных систем и
средств информатизации и связи или с использованием технических и программных
средств технической защиты конфиденциальной информации, сертифицируемых в
установленном порядке. Обязательной сертификации подлежат средства, в том числе
иностранного производства, предназначенные для технической защиты
конфиденциальной информации, при ее использовании в управлении экологически
опасными объектами. В остальных случаях проводится добровольная сертификация
(по решению руководства администрации).
1.5.Уровень технической
защиты конфиденциальной информации, а также перечень необходимых мер защиты
определяется дифференцировано по результатам обследования объекта
информатизации, с учетом соотношения затрат на организацию технической защиты
конфиденциальной информации и величины ущерба, который может быть нанесен
собственнику конфиденциальной информации при ее разглашении, утрате,
уничтожении и искажении. Для сведений, составляющих служебную тайну не ниже
требований, установленных данным документом и государственными стандартами
Российской Федерации.
Системы и средства
информатизации и связи, предназначенные для обработки (передачи)
конфиденциальной информации должны быть аттестованы в реальных условиях
эксплуатации на предмет соответствия принимаемых мер и средств защиты
требуемому уровню безопасности информации.
Проведение любых мероприятий
и работ с конфиденциальной информацией, без принятия необходимых мер
технической защиты информации не допускается.
1.6. По требованиям
обеспечения технической защиты конфиденциальной информации объекты, на которых
размещаются органы управления администрации, относятся к третьей категории.
Объектами защиты в
администрации являются:
·средства и системы
информатизации и связи (средства вычислительной техники, локальная
вычислительная сеть (ЛВС), средства и системы связи и передачи информации,
средства звукозаписи, звукоусиления, звуковоспроизведения, переговорные и
телевизионные устройства, средства изготовления и тиражирования документов),
используемые для обработки, хранения и передачи информации, содержащей
конфиденциальную информацию - далее основные технические средства и системы
(ОТСС);
·технические средства и
системы, не обрабатывающие информацию, но размещенные в помещениях, где
обрабатывается конфиденциальной информация - далее вспомогательные технические
средства и системы (ВТСС);
·помещения (служебные
кабинеты, актовые, конференц-залы и т.п.), специально предназначенные для
проведения конфиденциальных мероприятий - защищаемые помещения (ЗП).
1.7. Ответственность за
выполнение требований настоящего Руководства возлагается на главу и
заместителей главы администрации, руководителей (начальников) подразделений (департаментов,
управлений, отделов) администрации, на начальника отдела безопасности, защиты
конфиденциальной информации, а также на специалистов допущенных к обработке,
передаче и хранению в технических средствах информации, содержащей
конфиденциальную информацию.
1.8. Непосредственное
руководство работами по защите конфиденциальной информации осуществляет глава
(заместитель главы) администрации.
1.9. Финансирование
мероприятий по технической защите конфиденциальной информации предусматривается
в смете расходов на содержание администрации.
2.1. В органе управления
разрабатывается Перечень сведений конфиденциального характера. Сведения,
составляющие конфиденциальную информацию, определяются Перечнем сведений
конфиденциального характера в соответствии с Указом Президента РФ от 6 марта
1997 года № 188.
Перечень сведений
конфиденциального характера включает:
· Сведения о фактах, событиях
и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его
личность (персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных федеральными
законами случаях.
· Сведения, составляющие тайну
следствия и судопроизводства.
· Сведения, связанные с
профессиональной деятельностью, доступ к которым ограничен в соответствии с
Гражданским кодексом РФ и федеральными законами (врачебная, нотариальная,
адвокатская тайна, тайна переписки, телефонных переговоров, почтовых
отправлений, телеграфных и иных сообщений и т.д.).
· Сведения, связанные с коммерческой
деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом
РФ и федеральными законами (коммерческая тайна).
· Сведения о сущности
изобретения, полезной модели или промышленного образца до официальной
публикации информации о них.
Служебные сведения, доступ к
которым ограничен органами государственной власти в соответствии с Гражданским
кодексом РФ и федеральными законами (служебная тайна).
Сведения, составляющие
служебную тайну, определяются действующим в субъекте Российской Федерации
"Перечнем сведений, составляющих служебную информацию ограниченного
распространения".
Указанный перечень может
включать следующие классы сведений ограниченного распространения:
сведения экономического
характера;
сведения по финансовым
вопросам;
сведения по науке и технике;
сведения по транспорту и
связи;
сведения по вопросам внешней
торговли и международных научно-технических связей;
сведения, связанные с
обеспечением безопасности органов государственной власти субъекта РФ и органов
местного самоуправления.
3.Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее.
3.1. Для добывания
конфиденциальных сведений с применением средств технической разведки могут быть
использованы следующие внешние проявления объектов защиты:
основные излучения средств и
систем радиосвязи, если по ним передаются конфиденциальные сведения в открытом
виде;
побочные электромагнитные
излучения ОТСС, используемых для обработки или передачи конфиденциальных
сведений, и наводки от ОТСС на ВТСС, а также на токопроводящие линии (в том
числе на цепи питания и заземления, системы водо-, тепло-, газоснабжения,
выходящие за пределы контролируемой зоны);
акустические излучения из
защищаемых помещений.
Неправомерное получение
информации, ее искажение, уничтожение, и блокирование, возможны также в
результате несанкционированного доступа к информации и негативных воздействий
на нее в средствах вычислительной техники и автоматизированных системах.
3.2. Основными путями
проникновения вирусов в АС могут являться:
· внешние носители информации
(гибкие магнитные диски (дискеты), переносные (съёмные) HDD
(“винчестеры”), Flash Hard Drive, Zip Drive, магнитооптические (MO) и т.п.);
· компакт диски (СD);
· электронная почта (e-mail, d-mail и
пр.);
· файлы, получаемые из сети Internet/Intranet;
· ранее инфицированные рабочие
станции;
· ранее инфицированные
файл-серверы;
· ранее инфицированные серверы
локальной вычислительной сети.
3.3. Детальное описание
возможных технических каналов утечки информации, несанкционированного доступа к
информации и специальных воздействий на нее содержится в Модели угроз
безопасности информации в администрации.
4.Оценка возможностей
технических разведок
и других источников угроз
безопасности конфиденциальной информации
4.1. Для добывания
конфиденциальных сведений могут использоваться:
портативная возимая
(носимая) аппаратура радио, акустической, визуально-оптической и телевизионной
разведки, а также разведки побочных электромагнитных излучений и наводок
(ПЭМИН);
автономная автоматическая
аппаратура акустической и телевизионной разведки, а также разведки ПЭМИН;
компьютерная разведка,
использующая различные способы и средства несанкционированного доступа к
информации и специальных воздействий на нее.
Угроза компьютерной разведки
объектам защиты возможна в случае подключения АС, обрабатывающим информацию
ограниченного доступа к внешним, в первую очередь - глобальным, сетям.
Портативная возимая
аппаратура разведки может применяться из ближайших зданий и автомобилей на
стоянках вблизи зданий администрации. Такая аппаратура маскируется и
перевозится в чемоданах, портфелях, атташе-кейсах, упаковочных коробках и т.п.
Портативная носимая аппаратура
имеет ограниченные возможности и может быть использована лишь для уточнения
данных, или перехвата информации в непосредственной близости от защищаемых
объектов.
Автономная автоматическая
аппаратура радио, акустической, телевизионной, а также разведки ПЭМИН
используется для длительного наблюдения за объектом защиты.
4.2. Несанкционированный
доступ к информации и специальные воздействия на нее могут осуществляться при
ее обработке в отдельных средствах вычислительной техники, в локальных вычислительных сетях администрации, в
региональных и глобальных телекоммуникационных
системах.
4.3. Кроме перехвата
информации техническими средствами возможно непреднамеренное попадание
защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ.
Это возможно, например, вследствие:
• непреднамеренного
прослушивания без использования технических средств конфиденциальных разговоров
из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений
и их инженерно-технических систем;
• случайного прослушивания
телефонных разговоров при проведении профилактических работ в сетях телефонной
связи;
• некомпетентных или
ошибочных действий пользователей и администраторов АС при работе вычислительных
сетей;
• просмотра информации с
экранов дисплеев и других средств ее отображения.
4.4. Оценка возможностей
средств технической разведки осуществляется с использованием нормативных
документов Гостехкомиссии России.
Наиболее опасной для
администрации является аппаратура портативной (возимой и носимой) разведки
рабочих электромагнитных излучений и аппаратура акустической речевой разведки,
которая может применяться с прилегающей к зданиям администрации территорий, а
также автономная автоматическая аппаратура акустической речевой разведки,
скрытно устанавливаемая внутри здании администрации.
4.5. Оценка возможности НСД
к информации в средствах вычислительной техники и автоматизированных системах
осуществляется с использованием следующих руководящих документов Гостехкомиссии
России:
Руководящий документ. Концепция
защиты средств вычислительной техники и автоматизированных систем от
несанкционированного доступа к информации;
Руководящий документ.
Средства вычислительной техники. Защита от несанкционированного доступа к
информации. Показатели защищенности от несанкционированного доступа к
информации;
Руководящий документ.
Автоматизированные системы. Защита от несанкционированного доступа к
информации. Классификация автоматизированных систем и требования по технической
защите конфиденциальной информации.
НСД к информации и
специальные воздействия на нее реально возможны, если не выполняются требования
перечисленных выше документов, дифференцированные в зависимости от степени
конфиденциальности обрабатываемой информации, уровня полномочий пользователей
по доступу к конфиденциальной информации и режимов обработки данных в
автоматизированных системах.
Доступ к информации, как с
территории России, так и из-за ее пределов, может позволить на основе анализа и
статистической обработки получать сведения конфиденциального характера.
5. Организационные и технические мероприятия по технической защите конфиденциальной информации
5.1. Разработка мер, и
обеспечение защиты конфиденциальной информации осуществляются подразделением по
защите конфиденциальной информации (службой безопасности) или отдельными
специалистами, назначаемыми главой администрации для проведения таких работ.
Разработка мер защиты информации может осуществляться также сторонними
предприятиями, имеющими соответствующие лицензии Гостехкомиссии России либо ФСБ
России и ФАПСИ России на право осуществления соответствующих работ.
5.2. Для защиты
конфиденциальной информации, используются сертифицированные по требованиям
безопасности технические средства защиты.
5.3. Объекты информатизации
должны быть аттестованы по требованиям безопасности информации в соответствии с
нормативными документами Гостехкомиссии России.
5.4. Ответственность за
обеспечение требований по технической защите конфиденциальной информации
возлагается на главу администрации, эксплуатирующего объекты информатизации.
5.5. Техническая защита
информации в защищаемых помещениях.
К основным мероприятиям по
технической защите конфиденциальной информации в ЗП относятся:
5.5.1. Определение перечня ЗП по
результатам анализа циркулирующей в них конфиденциальной информации и условий
ее обмена (обработки), в соответствии с нормативными документами Гостехкомиссии
России.
5.5.2. Назначение сотрудников, ответственных за выполнение требований
по технической защите конфиденциальной информации в ЗП, далее сотрудники, ответственные
за безопасность информации.
5.5.3. Разработка частных
инструкций по обеспечению безопасности информации в ЗП.
5.5.4. Обеспечение
эффективного контроля за доступом в ЗП, а также в смежные помещения.
5.5.5. Инструктирование
сотрудников, работающих в ЗП о правилах
эксплуатации ПЭВМ, других технических средств обработки информации, средств связи
с соблюдением требований по технической защите конфиденциальной информации.
5.5.6. Проведение в ЗП
обязательных визуальных (непосредственно перед совещаниями) и инструментальных
(перед ответственными совещаниями и периодически раз в квартал) проверок на
наличие внедренных закладных устройств, в том числе осуществление контроля всех
посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в
ЗП.
5.5.7. Исключение
неконтролируемого доступа к линиям связи, управления и сигнализации в ЗП, а
также в смежных помещениях и в коридоре.
5.5.8. Оснащение телефонных
аппаратов ГАТС, расположенных в ЗП, устройствами высокочастотной развязки
подавления слабых сигналов, а также поддержание их в работоспособном состоянии.
Для спаренных телефонов достаточно одного устройства на линию, выходящую за
пределы ЗП. Оснащение телефонов ГАТС в ЗП первой группы (категории) и телефонов
основных абонентов специальными шифраторами (скремблерами).
5.5.9. Осуществление
сотрудниками, ответственными за безопасность информации, контроля за
проведением всех монтажных и ремонтных работ в выделенных и смежных с ними
помещениях, а также в коридорах.
5.5.10. Обеспечение
требуемого уровня звукоизоляции входных дверей ЗП для чего:
входные двери обиваются звукоизолирующим материалом (например, войлоком), обеспечивается плотное их прилегание без щелей и перекосов к дверной коробке;
устанавливаются пороги;
притворы уплотняются специальным шнуром по ГОСТ 10174-72 или пористой резиной;
щели между дверной коробкой и стеной заделываются прокладками по ГОСТ 10174-72 "Прокладки уплотняющие пенополиуретановые";
двери ЗП первой и второй категории оснащаются тамбурами, внутренние отсеки тамбуров обиваются звукоизолирующим материалом (например, войлоком).
5.5.12. Обеспечение
требуемого уровня звукоизоляции окон ЗП для чего:
заделываются щели между оконными коробками и стенами;
проводится регулярный осмотр оконных стекол, стекла, имеющие трещины и сколы, заменяются на новые, которые устанавливаются либо на герметизирующую замазку, либо на виброизолирующую прокладку без щелей и перекосов;
окна оснащаются сплошными шторами из плотной портьерной ткани или жалюзи;
окна ЗП первой и второй категории оснащаются системой активного зашумления.
5.5.13. Демонтирование или
заземление (с обеих сторон) лишних (незадействованных) в ЗП проводников и кабелей.
5.5.14. Отключение при
проведении совещаний в ЗП всех
неиспользуемых электро- и радиоприборов от сетей питания и трансляции.
5.5.15. Выполнение перед
проведением совещаний следующих условий:
окна должны быть плотно закрыты и зашторены;
двери плотно прикрыты;
в ЗП первой и второй категории должны быть включены системы активного зашумления.
5.6. Защита информации, циркулирующей в ОТСС и
наводящейся в ВТСС.
К основным мероприятиям по
технической защите конфиденциальной информации в ОТСС и ВТСС относятся:
5.6.1. Размещение ВТСС
(телефонных аппаратов, громкоговорителей и т.п.) за пределами зоны (зоны 1), в которой
возможно создание электромагнитными излучениями работающих ОТСС наводок
информативного сигнала на ВТСС. При невозможности выполнения этого требования
для телефонных аппаратов их следует оснастить безразрывными розетками и
отключать от телефонной сети на период обработки информации, составляющей
государственную тайну и конфиденциальной информации.
5.6.2. Размещение за
пределами зоны 1 "случайных распределенных антенн" (линий
электропитания, сигнализации, телефонных сетей и т.п.), имеющих выход за границу
контролируемой зоны. При невозможности выполнения этого требования для
конкретной линии ее следует демонтировать (перенести), экранировать, заземлить
с обеих сторон или зашунтировать емкостью.
5.6.3. Оборудование
помещений, в которых эксплуатируются ОТСС, системой заземления, осуществляемой
по схеме ветвящегося дерева, не имеющей замкнутых контуров. Заземлители должны
располагаться в пределах контролируемой зоны на расстоянии от ее границы и от
подземных коммуникаций (водопровода, кабелей и т.п.), имеющих выход за пределы
контролируемой зоны, не менее требуемого нормативными документами. В противном
случае необходимо использовать глубинные заземлители.
5.6.4. Обеспечение электропитания ОТСС от автономного источника
питания, расположенного в пределах контролируемой зоны, (трансформаторной
подстанции с заземленной нулевой точкой, системы
"двигатель-генератор"), либо от городской сети электропитания с
использованием развязывающих фильтров для подключения ОТСС к сети
электропитания, обеспечивающих требуемое затухание.
5.6.5. При невозможности
обеспечения контролируемой зоны заданных размеров рекомендуется одно из
следующих мероприятий:
Проведение частичной экранировки помещения. В первую очередь подлежат экранировке наиболее распространенные элементы: окна, двери, вентиляционные и другие отверстия в стенах, полу и потолке помещения. В случае необходимости, проводится экранировка стен, пола и потолка.
Применение систем электромагнитного пространственного зашумления (СПЗ) в районе размещения защищаемого ОТСС.
Применение средств линейного электромагнитного зашумления (СЛЗ) линий электропитания, радиотрансляции, заземления, связи.
5.6.6.Техническая защита
информации в средствах вычислительной техники (СВТ) и автоматизированных
системах (АС) от несанкционированного доступа в соответствии с требованиями
руководящих документов Гостехкомиссии России должна обеспечиваться путем:
проведения классификации СВТ и АС;
выполнения необходимых организационных мер защиты;
установки сертифицированных программных и аппаратно-технических средств защиты информации от НСД.
криптозащиты информации при ее обработке на ПЭВМ, подключенных к телекоммуникационной сети, либо отключением ПЭВМ от телекоммуникационной сети.
защиты
информации от воздействия программ-закладок и компьютерных вирусов.
5.6.7. Организация и
проведение работ по антивирусной защите
информации с ограниченным доступом, не содержащей сведений, составляющих
государственную тайну, при ее обработке техническими средствами определяются
настоящим документом, действующими государственными стандартами и другими нормативными
и методическими документами Гостехкомиссии России.
Организации антивирусной
защиты информации на объектах информатизации достигается путём:
внедрения средств антивирусной защиты информации;
применения средств антивирусной защиты информации;
обновления баз данных средств антивирусной защиты информации;
действий должностных лиц при обнаружении заражения информационно-вычислительных ресурсов программными вирусами.
5.6.8. Организация работ по
антивирусной защите информации
возлагается на руководителей структурных подразделений и должностных лиц,
осуществляющих контроль за антивирусной защитой, а методическое руководство и
контроль над эффективностью предусмотренных мер защиты информации на
руководителя подразделения по защите конфиденциальной информации (службы
безопасности) администрации.
5.6.9. Защита информации от
воздействия программных вирусов на объектах информатизации должна
осуществляться посредством применения средств антивирусной защиты. Порядок
применения средств антивирусной защиты устанавливается с учетом следующих
требований:
обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации машинных носителей информации, информационных массивов, программных средств общего и специального назначения;
периодическая проверка пользователями жестких магнитных дисков (не реже одного раза в неделю) и обязательная проверка используемых в работе гибких магнитных дисков перед началом работы с ними на отсутствие программных вирусов;
внеплановая проверка магнитных носителей информации на отсутствие программных вирусов в случае подозрения на наличие программного вируса;
восстановление работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами.
5.6.10. К использованию допускается только лицензированные антивирусные средства, централизованно закупленные у разработчиков указанных средств, либо их официальных дилеров. В связи с неопределённым порядком сертификации средств антивирусной защиты, следует использовать только те средства, в разработке которых от начала и до конца принимают отечественные разработчики.
5.6.11.Установка средств
антивирусного контроля на серверах и рабочих станциях осуществляется
сотрудниками отдела автоматизации в соответствии с «Инструкцией по установке,
модификации и техническому обслуживанию программного обеспечения и аппаратных
средств АС», которая определяет меры безопасности при вводе в эксплуатацию
новых рабочих станций и серверов, а также при изменении конфигурации
технических и программных средств существующих в АС компьютеров.
5.6.12. Порядок применения
средств антивирусной защиты, учитывающий особенности объекта
информатизации и выполняемых на данном объекте
работ, определяется инструкцией по антивирусной защите конфиденциальной
информации.
В разделе должны быть
определены:
должностные
лица, ответственные за получение, рассылку, установку, поддержание в
работоспособном состоянии и использование средств антивирусной защиты
(назначаются приказом);
должностные
лица, осуществляющие контроль над организацией антивирусной защиты (назначаются
приказом);
порядок
установки и применения средств антивирусной защиты;
порядок ликвидации последствий воздействий программных
вирусов.
В общем случае инструкция по антивирусной защите конфиденциальной
информации должна включать в себя:
Инструкцию по защите
конфиденциальной информации на рабочих станциях.
Инструкцию по защите
конфиденциальной информации на почтовых серверах.
Инструкцию по защите
конфиденциальной информации на файл-серверах.
Инструкцию по защите
конфиденциальной информации на серверах локальной вычислительной сети.
Состояние вопросов
антивирусной защиты отражается в отчете о состоянии обеспечения информационной
безопасности в администрации с обязательным указанием выявленных нарушений,
вызванных заражением программными вирусами, описанием причин появления вирусов,
характера и последствий их воздействия и принятых мерах.
5.6.13. Организация
антивирусной защиты информации должна
быть направлена на предотвращение заражения отдельных компьютеров, рабочих
станций, входящих в состав локальных компьютерных сетей, и серверов различного
уровня и назначения компьютерными вирусами.
5.6.14. Защита информации
должна осуществляться посредством применения многоуровневой системы
антивирусной защиты. Особое внимание необходимо уделить ПОСТОЯННОМУ обновлению вирусных баз и непосредственно самих версий
антивирусного программного обеспечения. Частота обновления антивирусных вирусных
баз и версий антивирусных программ семейства:
· Горячие обновления –
выпускаются несколько раз в день нарастающим итогом
· Еженедельные дополнительные
вирусные базы – один раз в неделю (обычно по понедельникам)
· Новые версии программ – в
среднем один раз в полтора – два месяца
5.6.15. Конкретная система
антивирусной защиты должна разрабатываться с учетом особенностей конкретных
локальных вычислительных сетей и, в общем случае, должна включать в себя:
· антивирусную защиту рабочих
станций;
· антивирусную защиту почтовых
серверов;
· антивирусную защиту
серверов;
· возможность автоматического
обновления вирусных баз и версий.
5.6.16. Порядок применения средств антивирусной защиты во всех случаях устанавливается с учетом следующих требований:
Входной антивирусный
контроль всей поступающей на внешних носителях информации и программных средств
любого назначения.
Входной антивирусный
контроль всей информации поступающей с электронной почтой.
Входной антивирусный
контроль всей поступающей информации из сети Internet/Intranet
Выходной антивирусный
контроль всей исходящей информации на любых внешних носителях и/или
передаваемой по локальной сети на другие рабочие станции/сервера, а так же
передача информации посредством электронной почты.
Периодическая антивирусная
проверка на отсутствие компьютерных вирусов на жестких дисках рабочих станций и
серверов.
Обязательная антивирусная
проверка используемых в работе внешних носителей информации.
Постоянный антивирусный
контроль на рабочих станциях и серверах с использованием резидентных
антивирусных мониторов в автоматическом режиме.
Обеспечение получения
обновлений антивирусных программ в автоматическом режиме, включая обновления
вирусных баз и непосредственно новых версий программ.
Внеплановая антивирусная
проверка внешних носителей и жестких дисков рабочих станций и серверов на
отсутствие компьютерных вирусов в случае подозрения на наличие компьютерного
вируса.
Восстановление
работоспособности программных и аппаратных средств, а так же непосредственно
информации в случае их повреждения компьютерными вирусами.
5.6.17.Порядок установки и
использования средств антивирусной защиты определяется инструкцией по установке
и руководством по эксплуатации конкретного антивирусного программного продукта.
Вся поступающая в администрацию
информация, полученная по модемной связи, а также на магнитных носителях
информации (программные средства общего и специального назначения,
информационные массивы), подлежат обязательной проверке на наличие программных
вирусов.
О произведенной проверке и
ее результатах делается отметка на сопроводительном письме (акте, аппаратном
журнале и т.п.) пользователем, производившим проверку.
При
обнаружении на дискетах или в полученных файлах программных вирусов
пользователи докладывают об этом в подразделение по защите конфиденциальной информации, и принимают меры по
восстановлению работоспособности программных средств и данных.
О факте обнаружения
программных вирусов сообщается в орган, от которых поступили зараженные файлы,
для принятия мер по локализации и устранению программных вирусов.
Перед отправкой массивов
информации и программных средств, осуществляется ее проверка на наличие
программных вирусов. В тексте сопроводительного письма (аппаратном журнале,
техническом журнале и т.п.) указывается, что проверка на наличие программных
вирусов информации произведена.
При обнаружении программных
вирусов пользователь обязан немедленно прекратить все работы на ПЭВМ, поставить
в известность подразделение информационно-технической службы органа власти по
защите конфиденциальной информации и принять меры к их локализации и удалению с
помощью имеющихся антивирусных средств защиты.
При функционировании ПЭВМ в
качестве рабочей станции вычислительной сети производится ее отключение от
локальной сети, локализация и удаление программных вирусов в вычислительной
сети.
Ликвидация последствий
воздействия программных вирусов осуществляется подготовленными представителями
подразделения информационно-технической службы органа власти по защите конфиденциальной
информации.
Программные средства общего
и специального назначения объекта информатизации, осуществляющие обработку
служебной информации ограниченного распространения, подлежат обязательной
переустановке с рабочих копий эталонных дискет независимо от результатов по
удалению выявленных программных вирусов имеющимися средствами антивирусной
защиты.
При наличии в администрации
возможности отправки электронной почты, заархивированные зараженные файлы с
сопроводительным документом направляются разработчику средств антивирусной
защиты.
Восстановление
работоспособности объекта информатизации в этих случаях производится путем
полной переустановки программных средств с использованием рабочих копий
эталонных дискет и резервных копий файлов с данными (которые должны регулярно
обновляться).
6. Обязанности и права должностных лиц
6.1. Руководство технической
защитой конфиденциальной информации в администрации возлагается на заместителя
главы администрации.
6.2.
Руководители подразделений администрации организуют и обеспечивают техническую
защиту информации, циркулирующей в технических средствах и помещениях
подчиненных им подразделений.
6.3. Начальник структурного
подразделения по технической защите конфиденциальной информации осуществляет
непосредственное руководство разработкой мероприятий по технической защите
конфиденциальной информации и контролю в администрации.
6.4. Владельцы и
пользователи ОТСС обеспечивают уровень технической защиты информации в
соответствии с требованиями (нормами), установленными в нормативных документах.
6.5. Руководители
подразделений, владельцы и пользователи ОТСС обязаны вносить предложения о
приостановке работ с использованием сведений, составляющих конфиденциальную или
служебную тайну, в случае обнаружения утечки (или предпосылок к утечке) этих
сведений. Предложения докладываются заместителю главы администрации (через
структурное подразделение по технической защите конфиденциальной информации).
6.6. Заместитель главы
администрации имеет право привлекать к проведению работ по технической защите
конфиденциальной информации на договорной основе предприятия, учреждения и
организации, имеющие лицензии на соответствующие виды деятельности.
7. Планирование работ по
технической защите конфиденциальной информации и контролю
7.1. В администрации
составляются годовые планы работ по технической защите конфиденциальной
информации и контролю. Проекты планов разрабатываются структурным
подразделением по технической защите конфиденциальной информации совместно с
подразделениями администрации, выполняющими работы с защищаемой информацией,
рассматриваются постоянно действующей технической комиссией и утверждаются
главой администрации. Сроки разработки, представления и утверждения планов
устанавливаются руководством администрации.
7.2. В годовые планы по
технической защите конфиденциальной информации и контролю включаются:
мероприятия по выполнению
постановлений и распоряжений руководства администрации по вопросам технической
защиты информации;
подготовка проектов
распорядительных документов по вопросам организации технической защиты
информации в администрации, инструкций, рекомендаций, памяток и других
документов по обеспечению безопасности информации при использовании конкретных технических
средств обработки и передачи информации, на автоматизированных рабочих местах,
в ЗП;
аттестация вводимых в
эксплуатацию ОТСС и ЗП, а также периодическая переаттестация находящихся в
эксплуатации ОТСС и ЗП на соответствие требованиям по технической защите
конфиденциальной информации;
проведение периодического
контроля состояния технической защиты информации;
мероприятия по устранению
нарушений и выявленных недостатков по результатам контроля;
мероприятия по
совершенствованию технической защиты информации на объектах администрации.
7.3. Контроль выполнения
планов и отчетность по ним возлагается на структурное подразделение по
технической защите конфиденциальной информации.
8. Контроль состояния
технической защиты
конфиденциальной информации
8.1. Основными задачами
контроля состояния технической защиты конфиденциальной информации являются
оценка уровня организации и эффективности, принятых мер защиты, своевременное
выявление и предотвращение утечки по техническим каналам информации,
составляющей конфиденциальную или служебную тайну, НСД к информации,
преднамеренных программно-технических воздействий на информацию с целью ее
уничтожения, искажения, блокирования, нарушения правового режима использования
информации.
8.2. Контроль
осуществляется:
Гостехкомиссией России
(силами Центрального аппарата и Управления по соответствующему федеральному
округу);
Управлением Федеральной
службы безопасности;
руководством администрации
(через структурное подразделение по технической защите конфиденциальной
информации).
Для проведения контроля
состояния технической защиты информации по решению руководства администрации
могут привлекаться по договору организации, имеющие лицензию на данный вид
деятельности.
8.3. Контроль заключается в
проверке выполнения актов законодательства Российской Федерации по вопросам
технической защиты информации, решений Гостехкомиссии России, постановлений и
распоряжении руководства администрации по вопросам технической защиты
информации, наличия соответствующих документов по технической защите
конфиденциальной информации (см. приложение), в инструментальной и визуальной
проверке ОТСС и ЗП на наличие каналов утечки информации, на соответствие
требованиям и нормам технической защиты информации.
8.4. Контроль состояния
технической защиты информации в ОТСС и в ЗП проводится, как правило, не реже
одного раза в квартал, а также при ремонте (замене плат) в ОТСС и перед
проведением в ЗП особо важных
мероприятий. Сроки проведения контроля определяются в планах работ по
технической защите конфиденциальной информации.
8.5. Повседневный контроль
состояния технической защиты информации осуществляется лицами, ответственными
за эксплуатацию ОТСС и помещений, а также пользователями.
9. Аттестация рабочих мест
9.1. Аттестации на соответствие требованиям по технической защите
конфиденциальной информации в реальных условиях эксплуатации подлежат системы и
средства информатизации и связи вместе с помещениями, в которых они
установлены, предназначенные для обработки и передачи информации, составляющей
государственную тайну и
конфиденциальную информацию, а также помещения, предназначенные для ведения
конфиденциальных переговоров. Указанная аттестация проводится в соответствии с
"Положением по аттестации объектов информатизации по требованиям
безопасности информации", утвержденным Председателем Гостехкомиссии России
25 ноября 1994 г. Аттестация систем правительственной и иной закрытой
шифрованием связи проводится в соответствии с нормативными документами ФАПСИ.
9.2. По результатам
аттестации выдается "Аттестат соответствия", получение которого дает
право использования аттестованных систем и средств для обработки и передачи
информации, составляющей конфиденциальную или служебную тайну, и ведения
конфиденциальных переговоров в аттестованных помещениях.
Переаттестация систем и
средств информатизации, связи и помещений проводится по истечении срока
действия "Аттестата соответствия", при изменении мер технической
защиты информации, условий технической защиты или применяемых технологий
обработки и передачи информации.
10. Взаимодействие с
предприятиями, учреждениями и организациями
10.1. При проведении
совместных работ администрации с предприятиями, учреждениями и организациями
должна быть обеспечена техническая защита информации, составляющей конфиденциальную
или служебную тайну, независимо от места проведения работ.
10.2. В технических заданиях
(договорах) на выполнение совместных работ с использованием конфиденциальной
информации, должны быть предусмотрены требования (или меры) по ее технической
защите, которые должны выполняться каждой из сторон. Технические задания
(договоры) на выполнение совместных работ согласовываются с подразделениями по
технической защите конфиденциальной информации администрации и
взаимодействующих предприятий (учреждений, организаций).
10.3. Организация
технической защиты информации возлагается на руководителей совместных работ, а
ответственность за обеспечение технической защиты информации - на исполнителей
работ (пользователей) при использовании ими технических средств для обработки и
передачи информации, подлежащей защите.
Приложение
Перечень внутренних организационно-распорядительных документов по защите конфиденциальной информации
1.
Положение о подразделении по защите конфиденциальной информации.
2. Должностные
обязанности лиц, ответственных за защиту конфиденциальной информации.
3. План
мероприятий по защите конфиденциальной информации.
4.
План проверок состояния защиты конфиденциальной информации .
5. Модель угроз
информационной безопасности .
6. Положение о порядке организации и проведения работ по защите
конфиденциальной информации.
7. Перечень
защищаемых объектов информатизации.
8. Акты о
категорировании защищаемых объектов информатизации.
9. Акты о
категорировании ОТСС в защищаемых помещениях.
10. Технические
паспорта на защищаемые объекты информатизации.
11.
Приказ по границе контролируемой зоны, схема контролируемой зоны.
12.
Приказ о вводе защищаемого помещения в эксплуатацию и назначении ответственного
за помещение лица.
13. Приказ о вводе в эксплуатацию
средств вычислительной техники, обрабатывающих конфиденциальную информацию и
назначении ответственных лиц.
14.
Приказ (распоряжение) о хранении конфиденциальной информации на жестких
дисках или на учтенных гибких магнитных
дисках.
15. Инструкция по защите речевой
информации при проведении конфиденциальных совещаний.
16. Акты классификации автоматизированных
систем или отдельных ПЭВМ обрабатывающих конфиденциальную информацию.
17.
Акты проверок защищаемых помещений на утечку по вибро - и акустическому
каналам, акты проверок вычислительной техники (основной и вспомогательной),
заключение (предписание) проверяющих организаций на соответствие требованиям
руководящих документов Гостехкомиссии России
18.
Аттестаты соответствия требованиям по безопасности информации на объекты
информатизации.
19.
Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами.
20.
Приказ о запрете использования в защищаемых помещениях радиотелефонов, сотовых
и пейджинговых устройств при проведении конфиденциальных совещаний.
21.
Инструкция
по информационной безопасности при подключении
к информационно-вычислительным сетям общего пользования (Интернет и
т.п.), разрешение на подключение к Интернет, журнал учета работы на АП ИВС ОП,
список лиц, допущенных к работе на АП ИВС ОП.
22.
Инструкция по антивирусной защите.
23. Перечень защищаемых ресурсов в
ЛВС, заявки на доступ к ресурсам, таблицы разграничения доступа.
24.
Приказ о назначение ответственного за
эксплуатацию средств защиты информации.
25. Журнал
(карточки) учета средств защиты информации.
26. Журнал
учета ключевых средств по АС КДТ.
27. Журнал
учета работы с ключевыми средствами по АС КДТ.
№ |
Наименование |
ЗП |
АРМ |
Гриф |
Условия создания |
Примечания |
1.
|
Перечень объектов информатизации: помещений, в
которых проводятся мероприятия конфиденциального характера, технических
средств и систем, используемых для обработки конфиденциальной информации. |
+ |
+ |
Дсп |
Обязательно |
Составляется структурным подразделением, на которое возложены функции защиты конфиденциальной
информации. |
2.
|
Распоряжение "О назначении комиссии по
категорированию, классификации и организации
аттестации объекта информатизации" |
+ |
+ |
Н/с |
Обязательно |
Составляется заявителем |
3.
|
Предписание на ОТСС объекта информатизации и протокол специальных исследований (СИ). |
- |
+ |
ДСП |
Обязательно |
Составляется уполномоченной организацией |
4.
|
Предписание на объекты информатизации и протокол СИ (в случае нескольких
отдельных ОТСС в составе одного ОИ) |
-- |
+ |
ДСП |
При необходимости уточнить класс объекта |
Составляется уполномоченной организацией |
5.
|
Протокол специальных исследований ВТСС ЗП |
+ |
- |
ДСП |
Обязательно |
Составляется уполномоченной организацией |
6.
|
Заключение по результатам специальной проверки
(СП) ТСС ОИ |
+ |
+ |
ДСП |
Обязательно |
Составляется уполномоченной организацией |
7.
|
Карта с границами контролируемой зоны ОИ (и
границами зоны 2) |
- |
+ |
ДСП, |
Обязательно |
Составляется заявителем |
8.
|
Протокол измерения параметров заземлителя ТСС ОИ |
- |
+ |
Н/c |
Обязательно |
Составляется уполномоченной организацией |
9.
|
Акт категорирования объекта информатизации |
+ |
+ |
Дсп |
Обязательно |
Составляется заявителем |
10.
|
Список лиц обслуживающих ОИ |
- |
+ |
Н/с |
Обязательно |
Составляется заявителем |
11.
|
Список лиц, имеющих доступ в помещение с ОИ |
- |
+ |
Дсп |
Обязательно |
Составляется заявителем |
12.
|
Список лиц, допущенных к самостоятельной работе на
ОИ |
|
|
Н/С |
Обязательно |
Составляется заявителем |
13.
|
Состав ПО
АС в составе ОИ |
- |
+ |
Н/с |
Обязательно |
Составляется заявителем |
14.
|
Технологический процесс обработки информации
(каким образом обрабатывается, куда выдается) |
- |
+ |
Дсп |
Обязательно |
Составляется заявителем |
15.
|
Перечень защищаемых ресурсов АС в составе ОИ |
- |
+ |
Дсп |
На основе "Технол.
процесса…" |
Составляется заявителем |
16.
|
Схема информационных потоков АС в составе ОИ |
- |
+ |
Н/с |
На основе "Технол.
процесса…" |
Составляется заявителем |
17.
|
Акт классификации АС в составе ОИ |
- |
+ |
Дсп |
На основании РД и СТР. |
Составляется заявителем |
18.
|
Перечень лиц, работающих в
ЗП или ответственных за него. |
+ |
- |
Дсп |
Обязательно |
Составляется заявителем |
19.
|
Распоряжение о проведении СО ЗП и организации
работ по защите |
+ |
- |
Дсп |
Обязательно |
Составляется заявителем |
20.
|
Технический паспорт объекта информатизации |
+ |
+ |
ДСП
|
Обязательно |
Составляется заявителем |
21.
|
Распоряжение о назначении уполномоченного (администратора)
по защите из числа сотрудников, допущенных к обработке информации |
- |
+ |
Н/c |
В случае необходимости (определяется на основании
класса АС) |
Составляется заявителем |
22.
|
Копии лицензий на право работ по защите информации
|
+ |
+ |
Н/c |
Обязательно |
Предоставляется исполнителем |
23.
|
Техническое задание (на выполнение работ по защите
и дооснащению) |
+ |
+ |
Н/с |
Составляется при необходимости |
Составляется организацией выполняющей работы и
Заявителем |
24.
|
Акт установки систем защиты |
+ |
+ |
Дсп |
По результатам установки средств защиты |
Предоставляется организацией, выполняющей работы |
25.
|
Матрица разграничения доступа к информационным ресурсам
АС в составе ОИ |
- |
+ |
Н/с |
Обязательно |
Составляется заявителем |
26.
|
Сертификаты (копии) на установленные средства
защиты (программные и технические) |
+ |
+ |
Н/с |
Обязательно |
Предоставляет производитель средств защиты |
27.
|
Инструкция (памятка) по
обеспечению защиты конфиденциальной информации. |
+ |
+ |
ДСП, |
Обязательно |
Составляется исполнителем |
28.
|
Данные по уровню подготовки кадров обеспечивающих
защиту информации на объекте информатизации |
+ |
+ |
Н/с |
Обязательно |
Составляется заявителем |
29.
|
Заявка на проведение аттестации объектов
информатизации |
+ |
+ |
Н/с |
Обязательно |
Составляется заявителем |
30.
|
Копии лицензий на право работ по защите информации
и копия аттестата аккредитации центра по аттестации |
+ |
+ |
Н/c |
Обязательно |
Предоставляется организацией выполняющей аттестацию
|
31.
|
Программа и методика аттестационных испытаний |
+ |
+ |
Дсп |
Составляется по результатам предварительного
ознакомления |
Составляется организацией выполняющей аттестацию |
32.
|
Заключение по результатам аттестационных испытаний |
+ |
+ |
Дсп, |
По результатам аттестационных испытаний |
Составляется организацией выполняющей аттестацию |
33.
|
Аттестат соответствия |
+ |
+ |
Дсп, |
По результатам аттестационных испытаний |
Выдается организацией выполняющей аттестацию |
ПРИМЕРНОЕ РУКОВОДСТВО ПО КОНТРОЛЮ СОСТОЯНИЯ ЗАЩИТЫ
ИНФОРМАЦИОННЫХ РЕСУРСОВ СУБЪЕКТА РОССИЙСКОЙ ФЕДЕРАЦИИ
Настоящее Руководство
является документом, обязательным для выполнения при проведении работ по
контролю состояния защиты информационных ресурсов субъекта Российской Федерации
в органах (аппаратах, администрациях) представительной, исполнительной и
судебной властей и в органах местного самоуправления (далее - органы власти),
на предприятиях и в их объединениях, учреждениях и организациях независимо от
их организационно-правовой формы и формы собственности (далее - предприятия).
1.
Цель и задачи контроля
состояния защиты информационных ресурсов субъекта Российской Федерации
Контроль состояния защиты
информационных ресурсов это деятельность органов власти субъекта Российской
Федерации, уполномоченных ими органов или лиц по проверке соблюдения
законодательных и иных нормативных правовых актов, норм, стандартов и правил,
оценке обоснованности принятия управленческих решений, связанных с обеспечением
защиты информационных ресурсов субъекта Российской Федерации от утечки
информации по техническим каналам, несанкционированного доступа,
несанкционированных и непреднамеренных воздействий на защищаемую информацию, а
также по устранению и предупреждению различных нарушений по указанным вопросам.
Основная цель контроля -
обеспечение единой дисциплины в организации работ по защите информационных
ресурсов субъекта Российской Федерации, своевременное выявление предпосылок и
предотвращение утечки информации по техническим каналам, несанкционированного
доступа к ней, несанкционированных и непреднамеренных воздействий на защищаемую
информацию и средства ее обработки.
Основными функциями контроля
является оценка организации и эффективности защиты информационных ресурсов.
Основными задачами в
обеспечении реализации этой функции являются:
оценка полноты и
качества выполнения органами власти субъекта Российской
Федерации, организациями и должностными лицами, осуществляющими деятельность в области защиты
информационных ресурсов, возложенных на них обязанностей и функций;
оценка целесообразности и
обоснованности, с точки зрения обеспечения защиты информации, принимаемых
управленческих решений с целью предупреждения возможных неблагоприятных
последствий их выполнения;
выявление нарушений
установленных требований или норм по защите информации, установление их причин
и определение виновных в появлении нарушений, в необходимых случаях привлечение
виновных к ответственности;
контроль устранения
выявленных нарушений;
профилактика различных видов
нарушений.
Система контроля состояния
защиты информационных ресурсов базируется на следующих основных принципах:
законодательно-правовое
определение статуса, полномочий и ответственности контрольных органов и
должностных лиц для обеспечения действенности контроля;
соблюдение законности в
действиях контрольных органов и их должностных лиц;
независимость контрольных
органов, при осуществлении ими своих полномочий, от проверяемых органов власти,
предприятий и должностных лиц;
регулярность проведения
контроля;
обязательное расследование
инцидентов, связанных с нарушениями требований и норм по защите информации, с
последующим их анализом, разработкой соответствующих мер и корректировкой (при
необходимости), нормативных и технических документов;
единая методология
проведения контроля, общая информационная база всех органов контроля,
обеспечивающая доступ к информации при сохранении в тайне информации
ограниченного доступа;
эффективность контроля, как
с точки зрения его результативности (действенности), так и экономичности
(обоснованности затрат на содержание контрольных органов, соответствия затрат
результатам их деятельности).
В своей деятельности органы
контроля состояния защиты информационных ресурсов субъекта Российской Федерации
руководствуются Конституцией Российской Федерации, Федеральными законами
"Об информации, информатизации и защите информации", "Об участии
в международном информационном обмене", Законом субъекта Российской
Федерации "Об информатизации субъекта Российской Федерации",
"Положением о региональной системе технической защиты информации в
субъекта Российской Федерации", "Положением о системе защиты
информационных ресурсов субъекта Российской Федерации", государственными
стандартами в области защиты информации, решениями, руководящими и нормативными
документами Гостехкомиссии России и иных государственных органов в области
защиты информационных ресурсов, а также настоящим Руководством.
2.
Виды контроля
2.1. К основным видам
контроля защиты информационных ресурсов относятся: предварительный, текущий
контроль и контроль устранения недостатков.
Предварительный контроль представляет собой оценочную проверку
обоснованности мер защиты информации до начала обработки защищаемой информации
в информационных системах. Осуществляется с целью своевременного выявления и
предотвращения предпосылок возможных нарушений требований или норм защиты
информации в процессе функционирования контролируемого объекта.
Текущий контроль - это проверка в процессе обработки защищаемой информации.
Осуществляется с целью своевременного выявления возникающих трудностей и
недостатков в реализации принятых мер защиты информации и выработки мероприятий
по их устранению. Текущий контроль может быть периодическим, повседневным или
непрерывным.
Контроль устранения недостатков - это проверка, проводимая после устранения
ранее допущенных нарушений норм и требований защиты информации на
контролируемом объекте, вследствие которых были приостановлены или ограничены
работы с защищаемой информацией. Осуществляется с целью выдачи разрешения на
продолжение работ с защищаемой информации.
2.2. Внутренний контроль,
контроль владельцем и собственником информационных ресурсов
Внутренний контроль проводится в подразделениях органов власти и предприятий -
пользователях информационных ресурсов (на объектах контроля) силами,
уполномоченных должностных лиц этих объектов.
Контроль владельцем информационных ресурсов осуществляется непосредственно силами
предприятия (подразделения органа власти), ведущего соответствующие базы и
банки данных, информационные системы и другие информационные объекты.
Контроль собственником информационных ресурсов осуществляется силами отдела
информатизации информационно-аналитического управления администрации области,
структурного подразделения по технической защите информации администрации
субъекта Российской Федерации, а также рабочей группой по защите информационных
ресурсов Комиссии по защите информации субъекта Российской Федерации. Собственник информационных ресурсов может
осуществлять контроль владельцев этих ресурсов, владельцев их носителей и
пользователей информационных ресурсов.
2.3. Организационный
контроль, контроль эффективности, технический контроль
Организационный контроль состояния защиты информации состоит в проверке
соответствия полноты и обоснованности мероприятий по защите информационных
ресурсов требованиям руководящих и нормативных документов в субъекта Российской
Федерации.
Контроль эффективности защиты информации заключается в проверке
соответствия количественных или качественных показателей эффективности мероприятий
по защите информации установленным требованиям или нормам эффективности защиты
информации.
Технический контроль эффективности защиты информации заключается в
проверке эффективности защиты информации с использованием технических и/или
программных средств контроля. Он обеспечивает получение наиболее объективной и
достоверной информации о состоянии объектов контроля.
3.
Формы контроля
К основным формам контроля
защиты информационных ресурсов относятся: инспектирование, надзор, экспертиза,
аттестация, сертификация, специальные исследования и специальные проверки.
Инспектирование - это контроль за соблюдением установленных правил и требований по
защите информации. Это наиболее распространенная форма контроля. Используется
всеми контрольными органами.
Надзор - это контроль в форме правового регулирования. Эта форма применяется,
прежде всего, для осуществления контроля за соблюдением законов, установленных
норм, требований, стандартов, выполнением лицензионных требований и условий. В
отличие от инспектирования субъекты надзора вправе при соответствующих
обстоятельствах применять к объектам надзора меры административного
принуждения. Необходимым условием надзора является отсутствие между субъектами
и объектами надзора организационной соподчиненности.
Экспертиза - это предварительный контроль в форме оценки возможности организации
исполнять заявленные ею функции по защите информационных ресурсов. Экспертиза
проводится в ходе прохождения процедуры лицензирования. Результатом экспертизы
является экспертное заключение.
Сертификация продукции по требованиям безопасности информации (далее сертификация)
- это предварительный контроль в форме испытания конкретной продукции с целью
подтверждения посредством специального документа сертификата и знака
соответствия, что продукция соответствует требованиям стандартов или иных
нормативных и методических документов по безопасности информации, утвержденных
государственным органом по сертификации в пределах его компетенции. При
сертификации могут подтверждаться как отдельные характеристики, так и весь
комплекс характеристик продукции, связанных с обеспечением безопасности информации.
Специальные исследования - это предварительный контроль в форме исследования
(проверки) отдельных характеристик конкретного объекта с целью установления
посредством специального документа - Предписания на эксплуатацию, предельных
значений указанных характеристик, при соблюдении которых выполняются требования
нормативных документов по безопасности информации, утвержденных государственным
органом в пределах его компетенции.
Аттестация - это предварительный контроль в форме комплексной проверки (испытания)
защищаемого (контролируемого) объекта в реальных условиях его эксплуатации с
целью официальной оценки соответствия используемого комплекса мер и средств
защиты требуемому уровню безопасности информации. Аттестация по требованиям
безопасности информации предшествует началу обработки подлежащей защите
информации. По результатам проверки выдается специальный документ - аттестат
соответствия.
4.
Структура системы контроля
состояния защиты
информационных
ресурсов субъекта Российской Федерации
Система контроля состояния
защиты информационных ресурсов является составной частью региональной системы технической
защиты информации.
Система контроля состояния
защиты информационных ресурсов включает следующие субъекты контроля:
органы государственного надзора за состоянием защиты информации - Центральный
аппарат и управление Гостехкомиссии России по соответствующему федеральному
округу, органы Федерального агентства правительственной связи и информации;
органы контроля собственника информационных ресурсов - отдел информатизации
информационно-аналитического управления администрации субъекта Российской Федерации,
структурное подразделение по технической защите информации администрации
субъекта Российской Федерации, рабочая группа по защите информационных ресурсов
Комиссии по защите информации в субъекте Российской Федерации;
органы контроля владельца информационных ресурсов уполномоченные должностные
лица предприятия (подразделения органа власти), ведущего соответствующие базы и
банки данных, информационные системы и другие информационные объекты;
организации, оказывающие услуги по контролю (аттестации) объектов по
требованиям безопасности информации на договорной основе (аудит состояния защиты
информации).
5.
Нарушения в субъекте
Российской Федерации защиты
информационных
ресурсов субъекта Российской Федерации
Несоответствие мер защиты
информационных ресурсов установленным требованиям или нормам по защите
информации является нарушением.
Нарушения мер защиты
информационных ресурсов по степени опасности делятся на две категории:
первая - невыполнение требований или норм по защите информационных ресурсов, в
результате чего имелась или имеется реальная возможность утечки информации
ограниченного доступа, произошло разрушение, уничтожение, искажение,
блокирование важной информации, сбои в работе средств ее обработки или имеется
реальная возможность возникновения этих последствий;
вторая - невыполнение требований или норм по защите информационных ресурсов, в
результате чего создаются предпосылки к утечке информации, разрушению,
уничтожению, искажению, блокированию важной информации или к сбоям в работе
средств ее обработки.
Руководитель контрольного
органа (проверочной комиссии), выявившего нарушение первой категории, обязан:
принять меры к немедленному
пресечению выявленного нарушения путем остановки процесса обработки информации
или функционирования объекта;
составить протокол контроля,
который довести до руководителя проверяемой организации (объекта);
сообщить руководству органа
власти по подчиненности предприятия (объекта) и владельцу защищаемых
информационных ресурсов о вскрытых нарушениях и принятых мерах по их пресечению.
При обнаружении нарушений
первой категории руководители проверяемых организаций (объектов) обязаны:
немедленно прекратить работы
на участке (рабочем месте), где обнаружены нарушения, и принять меры по их
устранению;
организовать в установленном
порядке расследование причин и условий появления нарушений с целью недопущения
их в дальнейшем и привлечения к ответственности виновных лиц.
Возобновление работ
разрешается после устранения нарушений и проверки достаточности и эффективности
принятых мер органом контроля, выявившим нарушение.
При обнаружении нарушений
второй категорий руководители проверяемых организаций обязаны принять
необходимые меры по их устранению в сроки, согласованные с органом, проводившим
проверку. Контроль за устранением этих нарушении осуществляется подразделениями
по контролю (уполномоченными должностными лицами) проверяемой организации.
6.
Организация контроля
состояния защиты
информационных ресурсов
Организация контроля за
состоянием защиты информационных ресурсов на различных видах объектов контроля
включает:
планирование контроля
состояния защиты информации;
доведение решения о
проведении проверки до руководителя проверяемой организации (в случае
проведения гласной проверки);
проведение контроля
состояния защиты информации;
доведение результатов
контроля, выводов и рекомендаций до соответствующих органов и должностных лиц.
Для проведения работ по
контролю эффективности защиты информационных ресурсов могут привлекаться на
договорной основе предприятия, имеющие лицензии на право проведения работ в
области контроля.
Контроль состояния защиты
информации осуществляется посредством проведения плановых или внеплановых
проверок, проверок по заявкам проверяемых организаций, а также в ходе
повседневного наблюдения за состоянием защиты информации на контролируемых
объектах.
Порядок планирования
контроля, доведения решений о проведении контроля до проверяемых организаций, а
также виды проверок определяют руководители уполномоченных органов контроля.
С целью исключения
дублирования проверок и рационального распределения сил и средств всех
контрольных органов, исключения случаев выпадения объектов защиты из сферы
контроля, владельцы информационных ресурсов согласуют планы проведения контроля
с отделом информатизации информационно-аналитического управления и структурным
подразделением по технической защите информации администрации субъекта
Российской Федерации.
Допуск представителей
Гостехкомиссии России на объекты для проведения контроля, доступ их к работам и
документам, необходимым для проведения контроля, осуществляется при
предъявлении специального удостоверения представителя Гостехкомиссии России и
предписания на право проведения проверки данного объекта.
Предписания на право
проверки состояния защиты информации выдаются:
для объектов органов
государственной власти и местного самоуправления, предприятий и организаций на
всей территории субъекта Российской Федерации - руководителем Управления
Гостехкомиссии России, заместителем главы администрации субъекта Российской
Федерации - председателем Совета по вопросам защиты информации при главе
администрации субъекта Российской Федерации;
для подведомственных
предприятий - руководителями (заместителями руководителей) управлений
(аппаратов, департаментов) органов государственной власти и местного
самоуправления или руководителями их контрольных органов в соответствии с
компетенцией.
Организация работ по
текущему контролю состояния защиты информации на предприятиях (организациях)
осуществляется их руководителями. В зависимости от объема работ по контролю
руководителем предприятия создается структурное подразделение по контролю, либо
назначаются штатные (нештатные) специалисты по этим вопросам.
Подразделения по контролю
(штатные специалисты) на предприятиях - пользователях информационных ресурсов
осуществляют мероприятия по предварительному и текущему контролю состояния
защиты информации в ходе выполнения работ с защищаемыми информационными
ресурсами определяют совместно с владельцем информационных ресурсов основные
направления комплексного контроля, участвуют в согласовании технических заданий
на проведение работ, дают заключение о необходимости и возможности проведения
работ по контролю.
Указанные подразделения
(штатные специалисты) подчиняются непосредственно руководителю предприятия или
его заместителю. Работники этих подразделений (штатные специалисты)
приравниваются по оплате труда к соответствующим категориям работников основных
структурных подразделений.
7.
Порядок проведения
ведомственного и вневедомственного контроля на различных видах объектов
7.1. Общий порядок
проведения проверки
Для проведения проверки
руководителем контролирующего органа назначается проверочная комиссия во главе
с руководителем проверки, который получает предписание на право проведения
проверки организации работ и выполнения требований по защите информации в
организации (на объекте).
Предписание доводится
руководителем проверки до руководителя проверяемой организации (объекта) или
лица его замещающего, который обязан создать проверочной комиссии необходимые
условия для исполнения ей своих функций, определенных положением о
соответствующем органе контроля.
Руководитель проверки
доводит до указанного должностного лица перечень проверяемых вопросов, а также
перечень необходимых документов, изделий, технических средств и помещений, к
которым должен быть обеспечен доступ членов проверочной комиссии, в
соответствии с их правами, определенными настоящим Руководством.
Общими задачами контроля
состояния защиты информационных ресурсов, решаемыми в ходе проверки, являются:
проверка соответствия
организации работ по защите информации, наличия и содержания внутренних
организационно-распорядительных документов требованиям руководящих документов в
области защиты информации;
проверка соответствия
качественных и количественных показателей эффективности мероприятий по защите
информации требованиям или нормам защиты информации.
По результатам проверки
составляется акт. Акт проверки высылается в проверяемую организацию (на
объект), руководству органа власти по подчиненности организации (объекта) и в
орган, проводивший проверку.
При наличии в акте нарушений
или недостатков, проверенной организацией в месячный срок составляется план
устранения недостатков, который согласовывается с контролирующим органом,
проводившим проверку.
О выполнении всех
мероприятий плана устранения недостатков извещает орган контроля, который может
направить в организацию своих сотрудников для оценки эффективности выполненных
мероприятий.
Результаты контроля
оформляются проверенной организацией в «Журнале учета мероприятий по контролю».
Проверка считается законченной после отметки о выполнении всех
мероприятий плана устранения недостатков.
7.2. Вопросы, подлежащие
проверке на объектах информатизации:
наличие перечня сведений
составляющих государственную тайну;
наличие перечня сведений
конфиденциального характера;
наличие аттестата
соответствия на объект информатизации;
контроль за эксплуатацией
аттестованного объекта информатизации в соответствии с требованиями руководящих
документов;
характер сведений,
циркулирующих между подразделениями, в соответствии с принятой в организации
технологией обработки информации;
правильность классификации
обрабатываемой информации по категории доступа, порядка ее обработки, хранения
и размножения при использовании технических средств (СВТ, ТСПИ, оргтехника и т.
д.);
деятельность структурных
подразделений и ответственных должностных лиц по обеспечению безопасности
информации, подлежащей защите;
организация и фактическое
состояние доступа обслуживающего и эксплуатирующего персонала к защищаемым
информационным ресурсам, наличие и качество организационно-распорядительных
документов по допуску персонала к защищаемым ресурсам;
состояние учета всех
технических и программных средств отечественного и иностранного производства,
участвующих в обработке информации, подлежащей защите, наличие и правильность
оформления документов по специальным исследованиям и проверкам технических
средств ЭВТ;
правильность размещения
средств ЭВТ, ТСПИ (с привязкой к помещениям, в которых они установлены), трасс
прокладки информационных и неинформационных цепей, выходящих за пределы
контролируемой территории в соответствии с предписаниями на их эксплуатацию;
выполнение организационных и
технических мер по защите информации, циркулирующей в средствах ЭВТ, наличия,
качества установки и порядка эксплуатации программно-аппаратных средств защиты
от НСД;
выполнение требований по
защите информации при подключении автоматизированных систем обработки информации
к внешним и международным информационным системам;
наличие, состояние и
периодичность обновления антивирусных программ для защиты информации,
обрабатываемой и хранящейся в средствах ЭВТ;
эффективность защиты
информации по результатам технического контроля.
7.3. Вопросы, подлежащие
проверке в органах государственной власти и местного самоуправления:
наличие структурных
подразделений, сотрудников, уровень их подготовки, квалификации, обеспечивающих
решение вопросов, связанных с защитой конфиденциальной информации;
наличие руководящих
документов по защите конфиденциальной информации;
наличие аттестатов
соответствия на объекты информатизации;
контроль за эксплуатацией
аттестованного объекта информатизации в соответствии с требованиями руководящих
документов;
своевременность и
правильность доведения требований руководящих документов по защите информации
до сотрудников аппарата и подведомственных организаций, знание их сотрудниками
аппарата;
правильность классификации
обрабатываемой информации по категории доступа, порядка ее обработки и хранения
при использовании технических средств (СВТ, ТСПИ, оргтехника и т.д.), проверка
правильности распечатки документов с грифом "Для служебного пользования",
их учета;
состояние учета
информационных ресурсов;
наличие необходимых
документов на технические и программные средства, участвующие в обработке
подлежащей защите информации;
наличие, состояние и
периодичность обновления антивирусных программ для защиты информации,
обрабатываемой и хранящейся в средствах ЭВТ;
состояние безопасности
информации в сетях связи и информатизации;
оценка деятельности аппарата
по методическому руководству и координации работ по защите информации на
подведомственных предприятиях.
7.4. Вопросы, подлежащие
проверке в научно-исследовательских и проектных организациях, а также на
промышленных предприятиях:
наличие и полнота отработки
Руководства по технической защите информации в соответствии с требованиями
руководящих документов Гостехкомиссии России, Положения о системе защиты
информационных ресурсов субъекта Российской Федерации, правильность оценки
угроз безопасности информации и налаженность взаимодействия с органами
Гостехкомиссии России и ФАПСИ;
наличие в технических заданиях
на разработку (создание) изделий (систем, средств, объектов) разделов по защите
информации;
качество проработки и
обоснованность в эскизных и технических проектах мероприятий по защите
информации, правильность определения технических каналов утечки информации;
наличие и полнота разработки
Инструкции по защите информации для различных этапов жизненного цикла объектов
защиты;
наличие и правильность
ведения журналов учета рабочего времени средств обработки защищаемой
информации;
оценка безопасности информации
на защищаемых объектах с учетом результатов технического контроля;
наличие аттестатов
соответствия на объекты информатизации;
контроль за эксплуатацией
аттестованного объекта информатизации в соответствии с требованиями руководящих
документов.
наличие, состояние и
периодичность обновления антивирусных программ для защиты информации,
обрабатываемой и хранящейся в средствах ЭВТ;
7.5. Вопросы, подлежащие
проверке в системах и сетях связи, управления и передачи данных:
выполнение требований по
защите информации при присоединении ведомственной (внутренней) сети связи к
сети связи общего пользования;
наличие и правильность
установки аппаратуры защиты информации в каналах связи;
обоснованность и полнота
мероприятий по обеспечению надежности функционирования и защищенности от
посторонних воздействий систем автоматизированного управления, а также систем
передачи оперативно-диспетчерской информации;
наличие аттестатов
соответствия на объекты информатизации;
контроль за эксплуатацией
аттестованного объекта информатизации в соответствии с требованиями руководящих
документов;
эффективность мероприятий по
защите оконечных устройств и коммутационного оборудования, размещенных в
выделенных помещениях или передающих подлежащую защите информацию.
наличие, состояние и периодичность
обновления антивирусных программ для защиты информации, обрабатываемой и
хранящейся в средствах ЭВТ;
7.6. Вопросы, подлежащие
проверке в финансово-кредитных организациях:
наличие выписки из
требований по защите информации клиентов организации, органов государственной
власти и местного самоуправления;
наличие специального участка
(комплекса технических средств) для обработки подлежащей защите информации;
наличие аттестатов
соответствия на объекты информатизации;
контроль за эксплуатацией
аттестованного объекта информатизации в соответствии с требованиями руководящих
документов;
алгоритм специального
технологического процесса выделения подлежащей защите информации из общего
массива финансовой информации, обеспечивающего безопасность подлежащей защите
информации.
наличие, состояние и
периодичность обновления антивирусных программ для защиты информации,
обрабатываемой и хранящейся в средствах ЭВТ.
8.
Финансирование мероприятий
по контролю состояния защиты информационных ресурсов субъекта Российской
Федерации
Финансирование мероприятий
по контролю состояния защиты информационных ресурсов субъекта Российской
Федерации, а также подразделений контроля в органах власти субъекта Российской
Федерации и на бюджетных предприятиях предусматривается в сметах расходов на их
содержание.
Финансирование деятельности
подразделений контроля остальных предприятии и организации осуществляется за
счет средств, получаемых от их основной деятельности, в основном при выполнении
работ, связанных с использованием защищаемых информационных ресурсов.
Создание средств контроля
эффективности защиты информации, не требующих капитальных вложений,
осуществляется в пределах средств, выделяемых заказчикам на
научно-исследовательские и опытно-конструкторские работы, связанные с созданием
информационных ресурсов. Расходы по разработке указанных средств включаются в
стоимость создаваемых информационных ресурсов.