ПОСТАНОВЛЕНИЕ

реклама
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ЗАКРЫТОЕ АДМИНИСТРАТИВНО - ТЕРРИТОРИАЛЬНОЕ ОБРАЗОВАНИЕ
УГЛЕГОРСК АМУРСКОЙ ОБЛАСТИ
ГЛАВА МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ
ПОСТАНОВЛЕНИЕ
01 августа 2008 г.
№ 301
п. Углегорск
Об утверждении Руководства
Во исполнение Положения о государственной системе защиты
информации в Российской Федерации от иностранных технических разведок
и от ее утечки по техническим каналам, утвержденного постановлением
Совета Министров – Правительством Российской Федерации от 15.09.1993
№ 912-51, в соответствии со Специальными требованиями и рекомендациями
по технической защите информации (СТР-97), утвержденными приказом
Гостехкомиссии России от 20.08.2002 № 282
п о с т а н о в л я ю:
1.Утвердить прилагаемое Руководство о защите информации от
иностранных технических разведок и от ее утечки по техническим каналам в
администрации ЗАТО Углегорск.
2.Руководителям структурных подразделений Администрации ЗАТО
Углегорск довести Руководство о защите информации от иностранных
технических разведок и от ее утечки по техническим каналам связи до
подчиненных сотрудников.
3.Контроль исполнения настоящего постановления оставляю за собой.
Исполняющий обязанности
главы администрации
Е.Д. Степаненко
Приложение
к постановлению главы ЗАТО Углегорск
от 01.08.2008 №301
РУКОВОДСТВО
о защите информации от иностранных технических разведок
и от её утечки по техническим каналам в Администрации
ЗАТО Углегорск Амурской области
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение (Руководство) разработано на основании требований
Положения о государственной системе защиты информации в Российской Федерации от
иностранных технических разведок и от ее утечки по техническим каналам,
утвержденного постановлением Совета Министров - Правительства Российской
Федерации от 15.09.1993 №912-51, Специальных требований и рекомендаций по
защите информации, составляющей государственную тайну, от утечки по техническим
каналам, утвержденных решением Гостехкомиссии России от 23.05.1997 № 55, а также в
соответствии с Типовыми требованиями к содержанию и порядку разработки руководства
по защите информации от технических разведок и от ее утечки по техническим
каналам на объекте, утвержденными решением Гостехкомиссии России от 03.10.1995
№ 32.
1.2. Общая организация системы защиты информации от иностранных
технических разведок и от ее утечки по техническим каналам в Администрации
ЗАТО Углегорск Амурской области определена настоящим Руководством.
1.3. Под информацией, требующей защиты в Администрации ЗАТО Углегорск
Амурской области (далее именуется - Администрация), понимается информация об
управленческой и другой деятельности органов местного самоуправления,
организаций (учреждений и предприятий), на распространение которой накладываются
ограничения как действующим законодательством, так и в рамках договорных
обязательств пользователей информационных ресурсов.
1.4. Цель данного Руководства - на основании действующих законодательных актов
и руководящих документов по защите информации создать в Администрации
необходимые организационно-правовые предпосылки для эффективной защиты
информации в общей системе охраны государственной и служебной тайны.
1.5. Руководство определяет порядок организации в Администрации работ по
созданию и эксплуатации систем или иных объектов информатизации и средств
защиты секретной информации (СЗСИ).
1.6. Руководство предназначено для практического использования в Администрации при организации и проведении мероприятий по защите информации.
1.7. Работа по защите информации в Администрации проводится на основании
нормативно-правовых актов в области защиты информации Российской
Федерации,
Амурской области и настоящего Руководства.
1.8. Принимаемые в Администрации меры но защите информации должны
обеспечивать выполнение требований руководящих документов и существующих норм
по противодействию техническим разведкам.
1.9. Требования настоящего Руководства являются обязательными для исполнения
во всех подразделениях Администрации всеми сотрудниками Администрации, а также
представителями других учреждений (предприятий, организаций), выполняющих
работы на объекте защиты - в Администрации, в том числе и в её структурных
подразделениях.
1.10. Общим состоянием и организацией работ по противодействию техническим
разведкам и защите информации от утечки по техническим каналам руководит Глава
Администрации ЗАТО Углегорск.
1.11. Систему защиты информации от иностранных технических разведок и от
её утечки по техническим каналам (технической защиты информации) в Администрации
образуют:
- организационный отдел Администрации;
- мобилизационный отдел Администрации.
1.12. Ответственность за организацию и выполнение мероприятий по защите
информации в структурных подразделениях Администрации возлагается на их
руководителей.
1.13. Контроль за выполнением требований настоящего Руководства возлагается
на начальника организационный отдел Администрации.
1.14. Финансирование работ, связанных с защитой информации в создаваемых и
эксплуатируемых информационно-вычислительных и других технических системах,
предусматривается в смете создания, эксплуатации и развития этих систем; расходы по
защите информации при ремонте и реконструкции режимных, выделенных и защищаемых
помещениях предусматриваются в стоимости этих работ за счет сметы расходов по
Администрации ЗАТО Углегорск.
1.15. Для оказания услуг в области защиты информации могут привлекаться
специализированные учреждения (предприятия, организации), имеющие лицензию на этот
вид деятельности.
1.16. Используемые технические и программные средства защиты информации
(СрЗИ) должны быть сертифицированы в соответствии с требованиями постановления
Правительства РФ от 26.06.95 № 608 «О сертификации средств защиты информации» (в
ред. постановлений Правительства РФ от 23.04.1996 № 209, от 29.03.1999 № 342). Для
обработки секретной информации используются средства вычислительной техники (СВТ),
прошедшие аттестацию по требованиям безопасности информации.
2. ОХРАНЯЕМЫЕ СВЕДЕНИЯ
2.1. Целями защиты информации в Администрации являются:
- исключение утечки охраняемых сведений с помощью технических средств
разведки;
- предотвращение несанкционированного доступа (НСД) к информации, ее
разрушения, искажения, уничтожения, блокировки и несанкционированного копирования в
системах и средствах информатизации.
2.2. Цели защиты информации достигаются путем строгого соблюдения
нормативных правовых актов Российской Федерации, требований Гостехкомиссии
России, созданием систем защиты секретной информации (СЗСИ) объектов
информатизации и принятием эффективных режимных мер, предписанных руководящими
документами.
2.3. Охраняемые сведения:
- конфиденциальная информация, содержащаяся в речевой информации;
- конфиденциальная информация, обрабатываемая с использованием технических средств;
- документированная информация, содержащая сведения, составляющие государственную
и служебную тайну.
2.4.При определении сведений, составляющих государственную тайну,
необходимо руководствоваться Указом Президента РФ от24.01.1998 №61 «Об
утверждении перечня сведений, отнесенных к государственной тайне».
2.5.При отнесении сведений к информации конфиденциального характера
необходимо руководствоваться Указом Президента РФ от 06.03.1997 №188 «Об
утверждении перечня сведений конфиденциального характера» и действующим
законодательством.
3. ВОЗМОЖНЫЕ ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
Возможные технические каналы
утечки
1.Акустическое излучение
3.1. Сведения
информативного речевого сигнала
составляющие
или аппаратуры
государственную
тайну или служебную звуковоспроизведения
(звукоусиления)
информацию
ограниченного
2.Электрические сигналы,
распространения,
возникающие посредством
содержащиеся в
преобразования информативного
речевой информации
сигнала из акустического в
электрический за счет микрофонного
эффекта и распространения по
проводам и линиям передачи
информации, выходящим за пределы
КЗ
3.Вибрационные сигналы,
возникающие посредством
преобразования информативного
акустического сигнала или
воздействии его на строительные
конструкции и инженернотехнические коммуникации
выделенных помещений
Охраняемые сведения
3.2. Служебная
информация
ограниченного
распространения,
обрабатываемая с
использованием
технических средств
Возможные способы
перехвата информации
Перехват информативного
речевого сигнала
направленным микрофонами
Съем информации путем
гальванического или
индуктивного подключения
Съем информативного
сигнала с твердых
поверхностей, имеющих
выход за пределы
контролируемой территории,
стетоскопами (контактными
микрофонами), а также
путем лазерного
зондирования оконных
стекол
4.Артикуляция участников совещания Ведение наблюдения с
помощью визуальнооптических средств разведки
5.Радиоизлучения, модулированные Перехват полей рассеивания
информативным сигналом,
ТСПИ и ВЧ излучений,
возникающие при работе различных модулированных
генераторов, входящих в состав
информативными сигналами
технических средств, или при
средствами
наличии паразитной генерации в
радиотехнической разведки
узлах технических средств
1.Побочные ЭМИ информативного
Перехват ЭМИ
сигнала от технических средств и
информативного сигнала
линий передачи информации
средствами
радиотехнической разведки
2.Наводки информативного сигнала Съем информации путем
на провода линии, выходящие за
гальванического или
пределы контролируемой зоны, в т.ч. индуктивного подключения.
на цепи электропитания и заземления Регистрация наводок
опасного сигнала в цепях,
имеющих вывод за границу
контролируемой зоны
3.Изменения тока потребления,
обусловленные обрабатываемыми
техническими средствами
информативными сигналами
Съем информации путем
гальванического
подключения
4.Несанкционированный доступ к
информации, обрабатываемой в
автоматизированных системах.
5.Просмотр информации с экранов
Введение наблюдения с
дисплеев и других средств ее
помощью визуальноотображения с помощью оптических оптических средств разведки
средств
6.Электрические сигналы или
радиоизлучения, обусловленные
воздействием на технические
средства ВЧ сигналов, создаваемых м
помощью разведывательной
аппаратуры, по эфиру и проводам,
либо сигналов промышленных
радиотехнических устройств, и
модуляции их информативным
сигналом
3.3.Документирован Просмотр информации, записанной
на бумажный носитель
ная информация,
содержащая
сведения,
составляющие
государственную или
служебную тайну
Перехват полей рассеивания
ТСПИ и ВЧ излучений,
модулированных
информативными сигналами
средствами
радиотехнической разведки.
Гальваническое
подключение к линиям,
имеющим выход за пределы
контролируемой зоны
Распознавание графической
и текстовой информации
через окна помещений с
использованием средств
оптической разведки
4. ЗАЩИТА СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ И
АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ
4.1. Модель нарушителя в автоматизированной системе (АС).
4.4.1. В качестве нарушителя рассматриваются пользователи, обслуживающий
персонал и программисты АС, имеющий доступ к работе со штатными средствами АС и СВТ.
4.4.2. Нарушители
классифицируются
по
уровню
возможностей,
предоставляемых им штатными средствами АС и СВТ. Выделяются следующие уровни
этих возможностей:
Уровень
Первый
Возможности нарушителя
Запуск задач (программ) из
фиксированного набора,
реализующих заранее
предусмотренные функции по
обработке информации
Потенциальная группа нарушителей
Пользователи АС, имеющие к ней как
непосредственный доступ, так и доступ по
телекоммуникационным каналам с
полномочиями, ограниченными на уровне
операционной системы
Второй
Третий
Четвертый
Создание и запуск собственных
программ с новыми функциями по
обработке информации
Пользователи АС, имеющие к ней как
непосредственный доступ, так и доступ по
телекоммуникационным каналам с не
ограниченными операционной системой
полномочиями
Управление функционированием
Пользователи АС, наделенные полномочиями
АС, т.е. воздействие на базовое
по управлению системными ресурсами
программное обеспечение системы, (администраторы сети)
на состав и конфигурацию ее
оборудования
Весь объем возможностей лиц,
Обслуживающий персонал АС. Программисты
осуществляющих проектирование, АС. Специалисты сторонних организаций,
реализацию и ремонт технических осуществляющих поставку и монтаж
средств АС, вплоть до включения в оборудования для АС
состав СВТ собственных
технических средств с новыми
функциями по обработке
информации
4.2. Основные способы несанкционированного доступа
(НСД). К основным способам НСД относятся:
- непосредственное обращение к объектам доступа;
- создание программных и технических средств, выполняющих обращение к объектам
доступа в обход средств защиты;
- модификация средств защиты, позволяющая осуществлять НСД;
- внедрение в технические средства СВТ или АС программных или технических
механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и
позволяющих осуществлять НСД.
4.3.Основные направления обеспечения защиты от НСД.
Обеспечение защиты СВТ и АС осуществляется системой разграничения доступа
(СРД) субъектов к объектам доступа; обеспечивающими средствами для СРД.
4.4.Обработка в локальных вычислительных сетях (ЛВС) Администрации и ее
структурных подразделениях сведений, составляющих государственную тайну, запрещена.
4.5.Для обработки сведений, составляющих государственную тайну, в
Администрации должна быть выделена защищенная персональная электронновычислительная машина (ПЭВМ).
4.6.Обработка закрытой информации на средствах вычислительной техники,
включенных в АС, без принятия специальных мер защиты от НСД запрещена.
4.7.Обработка информации, составляющей служебную тайну, в ЛВС общего
пользования допускается после проведения мероприятий, определенных руководящими
докуменами Гостехкомиссии России по защите от НСД к информации.
5. ОЦЕНКА ВОЗМОЖНОСТЕЙ ТЕХНИЧЕСКИХ РАЗВЕДОК И ИСТОЧНИКОВ
УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
5.1. Источниками угроз безопасности информации, подлежащей защите в
Администрации, являются:
- иностранные технические разведки, осуществляющие сбор информации,
составляющей государственную тайну;
- преступные группировки, осуществляющие сбор информации финансовоэкономического характера для использования в противоправных целях; хозяйствующие
субъекты, добывающие информацию о конкурентах незаконным образом.
5.2. Оценка возможностей технических разведок производится с учетом
следующих условий:
5.2.1. В соответствии с Моделью ИТР-2010 наличие в ЗАТО Углегорск
стационарных средств иностранной технической разведки исключено.
5.2.2. Возможности аппаратуры иностранной технической разведки определяются
характеристиками портативных возимых и носимых средств.
5.2.3. Возможности
аппаратуры
технической
разведки,
используемой
преступными группировками и хозяйствующими субъектами, представлены
номенклатурой атакующей спецтехники, которая предлагается к широкой продаже на
российском рынке отечественными и зарубежными фирмами.
5.3. Для Администрации
наиболее опасными видами технических разведок
являются наземные радиотехническая и акустическая (виброакустическая) разведки.
5.4. За пределами контролируемой зоны (КЗ) здания Администрации наиболее
вероятными местами ведения разведки являются:
- помещения, расположенных в непосредственной близости от здания
Администрации, зданий структурных подразделений, в которых могут быть установлены
портативные технические средства разведки;
- места стоянки автотранспорта около здания Администрации и ее структурных
подразделений, откуда может вестись разведка с помощью возимых технических средств
радиотехнических и акустических разведок.
С этих мест может осуществляться перехват речевой информации из помещений, а
также перехват информации, циркулирующей в технических системах и средствах при ее
хранении, обработке, приеме и передаче (возможна утечка информации по каналам за счет
побочных излучений и наводок).
5.5.Внутри контролируемой зоны (КЗ) добывание информации наиболее вероятно:
- речевой информации с использованием портативной (носимой) специальной
подслушивающей и записывающей аппаратуры: информации, циркулирующей в
технических системах и средствах, за счет НСД к ней.
6. ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ
ИНФОРМАЦИИ
6.1. Защита охраняемых сведений Администрации достигается путем создания
системы защиты секретной информации (СЗСИ) объектов информатизации, которая
включает в общем виде комплекс организационных, технических и программных
мероприятий, направленных на закрытие технических каналов утечки информации,
устранение или существенное ослабление демаскирующих признаков и проведения
мероприятий по технической дезинформации.
6.2. Мероприятия по защите информации проводятся с целью закрытия
возможных технических каналов утечки информации и осуществляются во
взаимодействии с другими мерами по обеспечению установленного режима секретности
проводимых работ. Эти мероприятия проводятся на всех циклах создания, развития и
эксплуатации используемых технических систем и средств, а также при ремонте,
реконструкции и эксплуатации выделенных помещений.
6.3. Проведение любых работ с использованием сведений, отнесенных к
государственной тайне, без создания СЗСИ не допускается.
6.4. СЗСИ создается в три этапа:
- обследование объекта информатизации, разработка аналитического
обоснования и технического задания на создание СЗСИ;
- разработка СЗСИ в составе системы или иного объекта информатизации;
- опытная эксплуатация и приемо-сдаточные испытания средств защиты, а также
аттестация объекта информатизации на соответствие требованиям безопасности
информации.
6.4.1. На первом этапе по обследованию объекта информатизации:
- устанавливается необходимость обработки (обсуждения) секретной
информации в системе информатизации, оценивается ее степень секретности и
объемы:
- определяются режимы обработки этой информации, комплекс основных
технических средств и систем (ОТСС) и вспомогательных технических средств и систем
(ВТСС), условия расположения объекта;
- определяется категория объекта информатизации; определяется класс
защищенности АС;
- определяется степень участия персонала в обработке информации, характер его
взаимодействия между собой;
- оценивается возможность использования сертифицированных СрЗИ;
- определяются мероприятия по обеспечению режима секретности на этом этапе.
6.4.2. На втором этапе оформляется эксплуатационная документация объекта
инфомрматизации, состоящая из:
- плана организационно-технических мероприятий по подготовке объекта к
внедрению СЗСИ;
- технического паспорта объекта информатизации;
- инструкций и руководств по эксплуатации технических средств защиты для
пользователей, системного администратора (администратора ЛВС).
6.4.3. На третьем этапе осуществляются:
- приобретение сертифицированных образцов и серийно выпускаемых в
защищенном исполнении ОТСС и ВТСС;
- специальная проверка импортных технических средств;
- приобретение сертифицированных СЗИ;
- организация охраны и физической защиты объекта информатизации и отдельных
технических средств;
- разработка и реализация разрешительной системы доступа пользователей к
обрабатываемой информации;
- разработка организационно-распорядительной и рабочей документации;
- аттестация объектов информатизации.
6.5. Технические мероприятия по защите служебных помещений проводятся
специализированными организациями (учреждениями, предприятиями), имеющими
лицензию на данный вид деятельности.
6.6. С целью закрытия возможных технических каналов утечки речевой
секретной информации в Администрации проводятся следующие мероприятия:
6.6.1. Обеспечивается необходимая звукоизоляция выделенных помещений (ВП)
- закрытие акустического и виброакустического каналов утечки информации путем:
- обивки входных дверей звукопоглощающими материалами;
- оборудования подвесных звукопоглощающих потолков со звукоизолирующим
слоем;
- усиления стен и перегородок конструкциями типа "стена на откосе";
- применения надежных шумопоглотителей для вентиляционных отверстий;
- оборудования двойных дверей с тамбуром с вибрационной развязкой
дверных коробок;
- использования жалюзи, штор из плотной материи на окнах;
- применения звукопоглощающих материалов для покрытия стен, потолка и пола.
6.6.2. Принимаются меры по закрытию электроакустического канала за счет
установки в выделенном помещении (ВП):
- устройств телефонной связи, радиотрансляции, оповещения, сигнализации,
сертифицированных по требованиям безопасности информации либо прошедших
специальные исследования;
- защищенных от утечки информации за счет электроакустических
преобразований и "навязывания" оконечных устройств телефонной связи (телефонные
аппараты, концентраторы, телефаксы и т.п.), включенных в городскую АТС;
- систем пожарной и охранной сигнализации, построенных только по проводной
схеме сбора информации.
6.6.3. Проводятся временные ограничительные мероприятия по использованию
отдельных ВП для ведения секретных переговоров, установке и использованию в них
технических средств.
6.6.4. По решению главы администрации, заместителя главы администрации начальника организационного отдела может проводиться специальная проверка
выделенных помещений (ВП) на наличие возможно внедренных в них специальных
подслушивающих устройств.
6.7. Документальное оформление мероприятий по защите Администрации
включает:
- распоряжение Главы Администрации об утверждении перечня ВП;
- распоряжение Главы Администрации о вводе в эксплуатацию СЗСИ объекта
информатизации;
- план - схему Администрации с указанием размещения ВП, периметра контролируемой
зоны (КЗ), организации связи и электропитания; акты категорирования ВП, ОТСС;
- акты классификации АС от НСД к информации;
- паспорта ВП и объектов электронно-вычислительной техники (ЭВТ); "аттестаты
соответствия" объектов информатизации.
6.8. При привлечении учреждений (организаций, предприятий), в том числе и
негосударственных форм собственности, для проведения совместных работ, связанных с
необходимостью передачи сведений, составляющих государственную тайну,
необходимо руководствоваться статьей 17 Закона РФ "О государственной тайне".
6.9. Для защиты конфиденциальной информации выполняются следующие
мероприятия:
- организационными мерами и сертифицированными программными (программноаппаратными) средствами обеспечивается предотвращение несанкционированного
доступа к обрабатываемой информации на средствах информатизации;
- осуществляется учет машинных носителей информации (МНИ) и их хранение в
надежно запираемых шкафах (ящиках, хранилищах).
6.10.При посещении Администрации иностранными представителями принимаются
дополнительные меры по сохранности сведений, составляющих государственную и
служебную тайну, определяемые специальными указаниями и инструкциями. При этом:
- порядок приглашения, приема
и нахождения
иностранных граждан в
Администрации определяется распоряжением Главы Администрации; встречи с
иностранными гражданами проводятся только в специально отведенных помещениях;
- передвижение иностранных граждан по зданию Администрации осуществляется
только в сопровождении сотрудников Администрации по установленным маршрутам.
Свободное передвижение иностранных граждан по зданию Администрации не
допускается;
- осуществляется оповещение подразделений Администрации с целью принятия
необходимых мер защиты информации;
- после проведения переговоров с иностранными гражданами
осуществляется проверка помещения на отсутствие возможн о установленных
специальных подслушивающих устройств.
7. ОПОВЕЩЕНИЕ О ВОЗМОЖНОМ ВЕДЕНИИ ТЕХНИЧЕСКОЙ РАЗВЕДКИ
7.1. Оповещение о проявлении повышенного внимания к Администрации со стороны
иностранных разведок является прерогативой органов государственной безопасности и
производится их представителями через Главу Администрации.
7.2. Обо всех действиях, которые могут быть расценены как попытки сбора информации об Администрации, сотрудники Администрации немедленно докладывают
заместителю Главы Администрации - начальнику организационного отдела.
8. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ
8.1. Заместитель Главы Администрации - начальник организационного отдела:
- координирует общую организацию работ но защите информации в
Администрации;
- представляет на утверждение Главе Администрации перечень выделенных
помещений (ВП), режимных помещений (РП), защищенных помещений, акты
категорирования ВП и РП, основных технических средств и систем (ОТСС);
- утверждает акты классификации АС, ОТСС и ВТСС;
- координирует и осуществляет методическое руководство функционированием
системы защиты информации от иностранных технических разведок и от ее утечки по
техническим каналам в Администрации, ее структурных подразделениях;
- разрабатывает годовой план работ по защите информации:
- контролирует выполнение требований настоящего
Руководства в
Администрации, её структурных подразделениях;
- дает обязательные для исполнения указания по вопросам выполнения
требований настоящего Руководства.
8.2. Начальник мобилизационного отдел:
- изучает все стороны деятельности Администрации, её структурных
подразделений для выявления и закрытия возможных каналов утечки секретных
сведений по техническим каналам, осуществляет методическое руководство режимносекретными органами (РСО) структурных подразделений Администрации по вопросам
защиты информации; накапливает и анализирует данные об устремлениях и
осведомленности иностранных разведок, хозяйствующих субъектов о проводимых
секретных работах;
- участвует в разработке и осуществлении мероприятий по защите секретов от
возможной утечки по техническим каналам, а также в контроле за организацией этих
мероприятий;
- участвует в разработке годового плана работ по защите информации; организует
выполнение работ по защите информации в Администрации в соответствии с
руководящими документами;
- совместно с руководителями подразделений Администрации осуществляет
планирование мероприятий по защите информации, мероприятий по подготовке
помещений и объектов информатизации к работе со сведениями, составляющими
государственную и служебную тайну, организует их выполнение и контроль за их
эффективностью;
- организует проведение аттестации объектов информатизации; разрабатывает
организационно-распорядительные документы по вопросам защиты информации в
Администрации;
- анализирует информацию, циркулирующую в помещениях, технических
системах и средствах, состояние защищенности информационных ресурсов
Администрации, определяет возможные технические каналы утечки, готовит
предложения по совершенствованию ССЗИ, систематизирует и распространяет
положительный опыт работы;
- определяет реальную опасность перехвата информации техническими средствами
разведки, НСД к ней, разрушения (уничтожения) и искажения, разрабатывает
соответствующие меры по ее защите; разрабатывает совместно с другими структурными
подразделениями и вносит в установленном порядке изменения в настоящее Положение
(Руководство), а также принимает участие в разработке положений об отделах
Администрации на предмет защиты информации;
- участвует в согласовании технического задания на проведение работ, содержащих сведения, отнесенные к государственной или служебной тайне; организует
обучение сотрудников Администрации по правилам работы со сведениями,
составляющими служебную тайну;
- участвует в рассмотрении и согласовании документов, определяющих пропускной
и внутриобъектовый режим;
- разрабатывает предложения по финансированию мероприятий, связанных с
защитой информации;
- об имеющихся недостатках и выявленных нарушениях требований нормативных и
руководящих документов по защите информации, а также в случаях выявления попыток
неправомерного доступа к сведениям, составляющим государственную или иную тайну,
или попыток хищения, копирования, изменения незамедлительно принимает меры
пресечения и докладывает руководству;
- координирует работы по защите информации, проводимые в структурных
подразделениях Администрации, оказывает им практическую и методическую помощь;
- организует контроль состояния ССЗИ, выполнения требований законодательства Российской Федерации по вопросам защиты информации, нормативных
документов Гостехкомиссии России, ФАПСИ, ФСБ России; осуществляет контроль прав
доступа сотрудников Администрации к информационным ресурсам аттестованных
ПЭВМ;
- в установленные сроки подготавливает необходимую отчетную документацию о
состоянии работ по защите информации в Администрации, разрабатывает предложения
по дальнейшему совершенствованию ССЗИ при использовании технических средств.
8.2.1. Начальник отдела по делам ГО и ЧС имеет право:
- контролировать исполнение нормативно-правовых актов Главы Администрации по
вопросам защиты информации; иметь доступ к средствам обработки и передачи
информации подразделений, осуществлять плановые и внеплановые проверки состояния
защиты информации, соблюдение исполнителями режимных требований (в том
числе внутриобъектового), контролировать состояние защищенности объектов
информатизации, проверять соответствие режима эксплуатации объекта ЭВТ
присвоенной ему категории, контролировать выполнение требований по защите
информации при использовании технических средств;
- требовать от руководителей подразделений устранения выявленных нарушений и
недостатков;
- требовать от сотрудников Администрации представления письменных
объяснений по фактам нарушения настоящего Положения (Руководства);
- вносить предложения о приостановлении эксплуатации систем обработки и
передачи информации при несоблюдении требований по защите информации;
- готовить проекты договоров на выполнение работ по защите информации с
учреждениями (организациями, предприятиями), имеющими необходимые лицензии;
- вносить предложения по совершенствованию ССЗИ, изменению категорий
объектов информатизации, степени секретности обрабатываемой информации.
8.3. Системный администратор организационного отдела:
- организует работы по проведению специальных проверок и специальных
исследований технических средств обработки и передачи информации, по аттестации
объектов ВТ на соответствие нормативным требованиям; проводит систематический
контроль за работой СрЗИ, применяемых на объектах ВТ, а также за выполнением
комплекса организационных мероприятий по обеспечению безопасности информации;
- анализирует состояние защищенности информационных ресурсов сети, готовит
предложения по совершенствованию систем защиты, систематизирует и распространяет
положительный опыт работы;
- принимает меры по предупреждению угроз безопасности информации, возникающих в результате случайных ошибок персонала при обработке электронных
документов с учетом специфики конкретного места обработки и применяемых СрЗИ;
- принимает участие в оценке реальной опасности утечки информации, подлежащей защите, при использовании технических средств, в разработке эффективных
и экономически обоснованных мер по ее защите; проводит работы по внедрению
технических и программных СЗИ ст НСД на действующих АС;
- проводит работы по выявлению возможных каналов утечки служебных сведений
за счет НСД к информации и техническим средствам ВТ, ведет их учет;
- обеспечивает эксплуатацию технических и программных СрЗИ на действующих
АС, контролирует работоспособность и эффективность функционирования этих средств;
- проводит контроль целостности СрЗИ с целью выявления несанкционированных
изменений в них;
- принимает участие в разработке документов по обеспечению безопасности
информации при эксплуатации СВТ и ЛВС;
- не допускает подключения к аттестованным ПЭВМ нештатных блоков и
устройств, не прошедших специального исследования, не имеющих предписания на
эксплуатацию;
- проводит периодический контроль аттестованных ПЭВМ на предмет исключения
несанкционированного изменения в составе, конструкции, конфигурации, размещении, а
также в составе используемого программного обеспечения (ПО);
- осуществляет контроль разграничения прав доступа к защищаемой
информации на несъемных носителях информации рабочих мест пользователей;
- осуществляет контроль за порядком учета, хранения и обращения с машинными
носителями информации;
- определяет порядок и осуществляет контроль ремонта сертифицированных средств
вычислительной техники;
- об имеющихся недостатках и выявленных нарушениях требований нормативных и
руководящих документов по защите информации, а также в случае выявления попыток
неправомерного доступа к охраняемым сведениям.
9. ПЛАНИРОВАНИЕ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ И ОТЧЕТНОСТЬ ПО
НИМ
9.1. Планирование работ по защите информации проводится на основании:
- требований нормативных правовых актов, регламентирующих мероприятия по
защите информации;
- результатов анализа деятельности Администрации - в сфере защиты
информации; рекомендаций актов проверок контрольными органами;
9.2. Для подготовки и реализации организационных и технических мероприятий
по защите информации составляется годовой план.
9.3. Годовой план работ по защите информации составляется организационным
отделом совместно с отделом по делам ГО и ЧС и утверждается Главой Администрации.
9.3.1. В годовом плане указываются:
- планируемые работы по защите информации и контролю ее эффективности;
- подразделения, отвечающие за выполнение указанных работ, и исполнители
этих работ;
- сроки выполнения работ.
9.4.Контроль за выполнением годового плана работ по защите информации
возлагается на заместителя главы администрации - начальника организационного отдела.
10.КОНТРОЛЬ ЗА ЭФФЕКТИВНОСТЬЮ ПРИНЯТЫХ МЕР ПО ЗАЩИТЕ
ИНФОРМАЦИИ
10.1. С целью своевременного выявления и предотвращения утечки информации
по техническим каналам, исключения или существенного затруднения НСД к
информации, хищения технических средств и носителей информации, предотвращения
специальных
программно-технических
воздействий, вызывающих нарушение
целостности информации или работоспособности систем информатизации, в
Администрации, её структурных подразделениях осуществляется контроль состояния и
эффективности защиты информации.
10.2. Контроль заключается в проверке выполнения актов законодательства
Российской Федерации по вопросам защиты информации, решений Государственной
технической комиссии при Президенте Российской Федерации, а также в оценке
обоснованности и эффективности принятых мер защиты для обеспечения выполнения
утвержденных требований и норм по защите информации.
10.3. Постоянный контроль выполнения организационных и технических
мероприятий, направленных на обеспечение защиты информации, проводится
руководителями структурных подразделений Администрации.
10.4. Периодический контроль может осуществляться представителями Управления
Гостехкомиссии России по ДФО, территориальных органов ФСБ и ФАПСИ в соответствии
с их компетенцией.
10.4.1.Допуск представителей Гостехкомиссии России для проведения контроля
осуществляется в установленном порядке по предъявлении специального удостоверения и
предписания на право проведения проверки.
10.5.К контролю эффективности мероприятий по защите информации могут
привлекаться специалисты проверяемых подразделений Администрации.
10.6.Результаты проверок отражаются в техническом паспорте объекта
информатизации.
10.7. Периодичность проверок объектов информатизации, где обрабатывается
(обсуждается) секретная информация - один раз в год и при каждом изменении состава и
расположения основных технических средств и систем.
10.8. По результатам проверок Администрации контролирующими органами
заместитель главы администрации - начальник организационного отдела с
привлечением других заинтересованных подразделений в десятидневный срок
разрабатывает план устранения выявленных недостатков. Указанный план
представляется на утверждение Главе Администрации.
10.9. Защита информации считается эффективной, если принимаемые меры
соответствуют установленным требованиям и нормам. Несоответствие мер установленным
требованиям или нормам по защите информации является нарушением.
10.10. Нарушения по степени важности делятся на три категории:
- первая - невыполнение требований или норм по защите информации, в
результате чего имелась или имеется реальная возможность утечки информации;
- вторая - невыполнение требований или норм по защите информации, в
результате чего создаются предпосылки к её утечке;
- третья - невыполнение других требований по защите информации.
10.11. При
обнаружении
нарушений
руководитель
подразделения
Администрации обязан принять необходимые меры по их устранению в сроки,
согласованные с органом или лицом, проводившим проверку.
12. ТЕРМИНЫ И СОКРАЩЕНИЯ
В настоящем Положении (Руководстве) используются следующие сокращения:
АС
автоматизированная система
ВП
ВТ
ВТСС
ВЧ
ГМД
ИТР
КЗ
ЛВС
МНИ
НСД
ОТСС
ПО
ПРД
ПЭВМ
ПЭМИН
РП
РСО
СДС
СВТ
СЗИ
СЗСИ
СРЗИ
СРД
ТСПИ
ФСБ
ФАПСИ
-
выделенное помещение
вычислительная техника
вспомогательные технические средства и системы
высокая частота
гибкие магнитные диски
иностранная техническая разведка
контролируемая зона
локальная вычислительная сеть
машинные носители информации
несанкционированный доступ
основные технические средства и системы
программное обеспечение
правила разграничения доступа
персональная электронная вычислительная машина
побочные электромагнитные излучения и наводки
режимное помещение
режимно-секретный орган
специальная документальная связь
средство вычислительной техники
система защиты информации
система защиты секретной информации
средство защиты информации
система разграничения доступа
технические средства передачи информации
Федеральная служба безопасности
Федеральное агентство правительственной связи
и информации
Скачать