Типовая инструкция о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций федеральной службы по экологическому, технологическому и атомному надзору рд-21-02-2006 icon

Типовая инструкция о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций федеральной службы по экологическому, технологическому и атомному надзору рд-21-02-2006



Смотрите также:
Приказ Федеральной службы по экологическому...
Приказ Федеральной службы по экологическому...
Приказ от 24 августа 2006 г...
Акт по результатам проведения комплексной проверки деятельности Северо-Уральского управления...
Приказ от 13 декабря 2006 г. N 1072 об утверждении и введении в действие руководящих документов...
Утверждено приказом Федеральной службы по экологическому...
Приказ от 29 декабря 2006 года n 1155 Об утверждении Типовой программы по курсу Промышленная...
Приказ от 29 декабря 2006 года n 1155 Об утверждении Типовой программы по курсу Промышленная...
Приказ от 29 декабря 2006 г. N 1155 об утверждении типовой программы по курсу "промышленная...
Северо-Западное управление Федеральной службы по экологическому...
Утверждена Приказом Федеральной службы по экологическому...
Годовой отчет о деятельности федеральной службы по экологическому...



страницы: 1   2   3
вернуться в начало
скачать

^ 3. Порядок обращения с носителями конфиденциальной информации


3.1. Общий порядок обращения со служебными документами, содержащими конфиденциальную информацию, определен Инструкцией по делопроизводству в центральном аппарате Федеральной службы по экологическому, технологическому и атомному надзору.

3.2. Особенности учета машинных носителей, содержащих конфиденциальную информацию:

а) съемные машинные носители информации (дискеты, съемные накопители информации большой емкости, магнитооптические диски и т.д.), предназначенные для обработки конфиденциальной информации, в управлении учитываются по журналу учета машинных носителей информации работником, отвечающим за обеспечение выполнения в управлении предусмотренных мер защиты информации;

б) на съемных машинных носителях информации любым доступным способом в удобном для просмотра месте проставляются следующие учетные реквизиты: учетный номер и дата выдачи, пометка "Для служебного пользования", подпись работника, отвечающего за обеспечение выполнения в управлении предусмотренных мер защиты информации;

в) учтенные машинные носители информации передаются работникам управления под расписку в журнале учета машинных носителей информации;

г) машинные носители информации, пришедшие в негодность, неисправные или потерявшие практическую ценность, уничтожаются по акту;

д) порядок обращения с машинными носителями информации идентичен порядку, установленному для документов конфиденциального характера.


^ 4. Организация работ при обработке и подготовке конфиденциальной информации на средствах вычислительной техники


4.1. Работники, осуществляющие обработку информации конфиденциального характера на средствах вычислительной техники, несут ответственность за соблюдение порядка подготовки и обработки документов, содержащих такую информацию, с помощью средств вычислительной техники.

4.2. Обеспечение защиты конфиденциальной информации при ее обработке на средствах вычислительной техники осуществляется в соответствии с требованиями настоящей Инструкции, приказов и распоряжений руководителя Службы по вопросам защиты информации.


Приложение

к Инструкции о порядке обращения

с конфиденциальной информацией

в центральном аппарате Федеральной

службы по экологическому,

технологическому и атомному надзору


^ ЖУРНАЛ

учета машинных носителей информации

___________________________________

(наименование управления)


№ п/п

Отметка о получении носителя

Вид машинного носителя

Ответственный за хранение

Отметка об обратном приеме

Отметка об отправке (куда направлен, № и дата сопроводительного письма), уничтожении (№ и дата акта)

№ и дата получения

Откуда поступил (№ и дата сопрово-

дительного письма)

Фамилия

Подпись

Дата

1

2

3

4

5

6

7

8

9





























Примечание: Учетный номер, проставляемый на машинном носителе, формируется следующим порядком: № 15/1-ДСП, где: 15 - номер управления, 1 - порядковый номер учитываемого машинного носителя информации по настоящему Журналу, ДСП - отметка об отнесении информации к категории ограниченного доступа.

Приложение № 6

(обязательное)


^ ФОРМЫ ОТЧЕТНОСТИ


Форма № 1Д/ЗИ


ДОКЛАД О СОСТОЯНИИ ЗАЩИТЫ ИНФОРМАЦИИ


Составляется в произвольной форме с учетом особенностей решаемых территориальным органом или подведомственной организацией (далее - организацией) задач, но с обязательным раскрытием следующих вопросов:

1. Полное название организации.

2. Оценка состояния защиты информации и эффективности проводимой работы по ее совершенствованию.

3. Основные выполненные мероприятия по улучшению состояния защиты информации.

4. Количество проведенных проверок состояния защиты информации (отдельно работниками по защите информации организации, представителями МТОИЗИ, Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю Российской Федерации).

5. Основные недостатки в обеспечении защиты информации в организации.

6. Фамилия, имя и отчество руководителя организации и руководителя подразделения по защите информации (штатного работника).

7. Количество локальных вычислительных сетей и ПЭВМ в них.

8. Общее количество технических средств защиты информации. Применяемые программные средства защиты информации.

9. Применяемая в автоматизированной системе организации операционная система.

10. Наличие выхода в ИНТЕРНЕТ (общий, наличие абонентских пунктов).

11. Предложения по совершенствованию защиты информации, входящие в компетенцию Федеральной службы по экологическому, технологическому и атомному надзору.


Руководитель организации

Форма № 2/ЗИ

СВЕДЕНИЯ

о штатных подразделениях (работниках) по защите информации


По состоянию на "__" ______ 200_ г.


Название территориального органа или подведомственной организации

Количество

Численность подразделения (чел.)

Стаж работы

Образование

Повышение квалификации

подразделений

работников

по штатному расписанию

фактически

менее 1 года

от 1 до 3 лет

свыше 5 лет

среднее

среднее специальное (среднее техническое)

высшее

1

2

3

4

5

6

7

8

9

10

11

12






































Руководитель подразделения (штатный работник)

по защите информации


Форма № 3/ЗИ

СВЕДЕНИЯ

о количестве аттестованных объектов информатизации


По состоянию на "__" ______ 200_ г.


Название территориального органа или подведомственной организации

Аттестованные объекты информатизации

Аттестат соответствия

всего

в том числе

краткая характеристика объектов

объект информатизации

номер и кем выдан

автоматизированные системы

автоматизированные рабочие места на базе автономных ПЭВМ

защищаемые помещения

1

2

3

4

5

6

7

8


























Руководитель подразделения (штатный работник)

по защите информации

Форма № 4/ЗИ

СВЕДЕНИЯ

о технических и программно-аппаратных средствах защиты информации


По состоянию на "__" ______ 200_ г.


Название территориального органа или подведомственной организации

Используемые операционные системы

ПЭВМ (всего/ в т.ч. в защищенном исполнении)

Наличие выхода в информационные сети общего пользования (Интернет)

Межсетевые экраны

Программные (программноаппаратные) средства

Тип антивирусного программного обеспечения

всего

тип

всего

тип

1

2

3

4

5

6

7

8

9





























Руководитель подразделения (штатный работник)

по защите информации

Приложение № 7

(рекомендуемое)


ПЕРЕЧЕНЬ

^ ВНУТРЕННИХ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ


1. Положение о подразделении (должностной регламент штатного работника) по защите информации.

2. Должностные обязанности лиц, ответственных за защиту информации.

3. План мероприятий по защите информации.

4. План проверок состояния защиты информации.

5. Модель угроз информационной безопасности.

6. Руководство по защите информации от технических разведок и от ее утечки по техническим каналам.

7. Перечень защищаемых объектов информатизации.

8. Акты о категорировании защищаемых объектов информатизации.

9. Акты о категорировании ОТСС в защищаемых помещениях.

10. Технические паспорта на защищаемые объекты информатизации.

11. Приказ о границе контролируемой зоны, схема контролируемой зоны.

12. Приказ о вводе защищаемого помещения в эксплуатацию и назначении ответственного за помещение лица.

13. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа, и назначении ответственных лиц.

14. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации.

15. Инструкция по защите речевой информации при проведении конфиденциальных совещаний.

16. Акты классификации автоматизированных систем или отдельных ПЭВМ, обрабатывающих информацию ограниченного доступа.

17. Акты проверок защищаемых помещений на утечку по вибро- и акустическому каналам, акты проверок вычислительной техники (основной и вспомогательной), заключение (предписание) проверяющих организаций о соответствии их требованиям руководящих документов Федеральной службы по техническому и экспортному контролю Российской Федерации.

18. Аттестаты соответствия требованиям по безопасности информации на объекты информатизации.

19. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами.

20. Приказ о запрете использования в защищаемых помещениях радиотелефонов, сотовых и пейджинговых устройств при проведении конфиденциальных совещаний.

21. Инструкция по обеспечению информационной безопасности при подключении к информационно-вычислительным сетям общего пользования (Интернет и т.п.), журнал учета работы на АП ИВС ОП, список лиц, допущенных к работе на АП ИВС ОП.

22. Инструкция по антивирусной защите.

23. Перечень защищаемых ресурсов в ЛВС, таблицы разграничения доступа.

24. Приказ о назначении ответственного за эксплуатацию средств защиты информации.

25. Журнал (карточки) учета средств защиты информации.

Приложение № 8

(справочное)


^ ОБОБЩЕННАЯ КЛАССИФИКАЦИЯ ТЕХНИЧЕСКИХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ




Приложение № 9

(справочное)


^ ВОЗМОЖНЫЕ ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ





1. Утечка за счет структурного звука в стенах и перекрытиях.

2. Съем информации с ленты принтера, плохо стертых дискет и т.п.

3. Съем информации с использованием видеозакладок.

4. Программно-аппаратные закладки в ПЭВМ.

5. Радиозакладки в стенах и мебели.

6. Съем информации по системе вентиляции.

7. Лазерный съем акустической информации с окон.

8. Производственные и технологические отходы.

9. Компьютерные вирусы и т.п.

10. Съем информации за счет наводок и "навязывания".

11. Дистанционный съем видеоинформации (оптика).

12. Съем акустической информации с использованием диктофонов.

13. Хищение носителей информации.

14. Высокочастотный канал утечки в бытовой технике.

15. Съем информации направленным микрофоном.

16. Внутренний канал утечки информации через обслуживающий персонал.

17. Несанкционированное копирование.

18. Утечка за счет побочного излучения терминала.

19. Съем информации за счет использования "телефонного уха".

20. Съем с клавиатуры и принтера по акустическому каналу.

21. Съем с дисплея по электромагнитному каналу.

22. Визуальный съем с дисплея и принтера.

23. Наводки на линии коммуникаций и сторонние проводники.

24. Утечка через линии связи.

25. Утечка по цепям заземления.

26. Утечка по сети электрочасов.

27. Утечка по трансляционной сети и громкоговорящей связи.

28. Утечка по охранно-пожарной сигнализации.

29. Утечка по сети электропитания.

30. Утечка по сети отопления, газо- и водоснабжения.

Приложение № 10

(справочное)


^ КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ПО ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА





Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3А и 3Б.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочий) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.


Приложение № 11

(справочное)


^ ТРЕБОВАНИЯ К АВТОМАТИЗИРОВАННЫМ СИСТЕМАМ ПО ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ ОТ НСД


Подсистемы и требования

Классы



















^ 1. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ




























1.1. Идентификация, проверка подлинности и контроль доступа субъектов:




























в систему

+

+

+

+

+

+

+

+

+

к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

-

-

-

+

-

+

+

+

+

к программам

-

-

-

+

-

+

+

+

+

к томам, каталогам, файлам, записям, полям записей

-

-

-

+

-

+

+

+

+

1.2. Управление потоками информации

-

-

-

+

-

-

+

+

+

^ 2. ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА




























2.1. Регистрация и учет:




























входа (выхода) субъектов доступа в (из) систему (узла сети)

+

+

+

+

+

+

+

+

+

выдачи печатных (графических) выходных документов

-

+

-

+

-

+

+

+

+

запуска (завершения) программ и процессов (заданий, задач)

-

-

-

+

-

+

+

+

+

доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

-

-

-

+

-

+

+

+

+

доступа программ субъектов доступа к терминалам, ЭВМ, программам, томам, каталогам, файлам, записям, полям записей

-

-

-

+

-

+

+

+

+

изменение полномочий субъектов доступа

-

-

-

-

-

-

+

+

+

создаваемых защищаемых объектов доступа

-

-

-

+

-

-

+

+

+

2.2. Учет носителей информации

+

+

+

+

+

+

+

+

+

2.3. Очистка освобождаемых областей оперативной памяти ЭВМ и внешних накопителей

-

+

-

+

-

+

+

+

+

2.4. Сигнализация попыток нарушения защиты

-

-

-

-

-

-

+

+

+

^ 3. КРИПТОГРАФИЧЕСКАЯ ПОДСИСТЕМА




























3.1. Шифрование конфиденциальной информации

-

-

-

+

-

-

-

+

+

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах

-

-

-

-

-

-

-

-

+

3.3. Использование аттестованных (сертифицированных) криптографических средств

-

-

-

+

-

-

-

+

+

^ 4. ПОДСИСТЕМА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ




























4.1. Обеспечение целостности программных средств и обрабатываемой информации

+

+

+

+

+

+

+

+

+

4.2. Физическая охрана средств вычислительной техники и носителей информации

+

+

+

+

+

+

+

+

+

4.3. Наличие администратора (службы) защиты информации в АС

-

-

-

+

-

-

+

+

+

4.4. Периодическое тестирование СЗИ НСД

+

+

+

+

+

+

+

+

+

4.5. Наличие средств восстановления СЗИ НСД

+

+

+

+

+

+

+

+

+

4.6. Использование сертифицированных средств защиты

-

+

-

+

-

-

+

+

+


Примечание: Знаком (+) отмечены обязательные для выполнения требования по отношению к каждому классу и каждой подсистеме, знак (-) определяет отсутствие предъявленных требований или необусловленную обязательность их выполнения.


Приложение № 12

(обязательное)


РУКОВОДСТВО

^ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ ТЕХНИЧЕСКИХ РАЗВЕДОК И ОТ ЕЕ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ


Типовые требования к содержанию Руководства определены в решении Гостехкомиссии Российской Федерации от 03.10.1995 № 42.


Основное содержание Руководства по защите информации


1. Руководство должно состоять из следующих разделов:

общие положения;

охраняемые сведения в организации;

демаскирующие признаки охраняемых сведений и технические каналы утечки информации;

оценка возможностей технических разведок и других источников угроз безопасности информации (в т.ч. возможностей спецтехники, используемой преступными группировками);

организационные и технические мероприятия по защите информации;

оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);

обязанности и права должностных лиц по защите информации;

планирование работ по защите информации и контролю;

контроль состояния защиты информации;

аттестование рабочих мест;

взаимодействие с другими предприятиями (учреждениями, организациями), ГТК, ФСБ и т.д.

В зависимости от особенностей организации допускается вводить и другие разделы.

1.1. В разделе "Общие положения" указывается назначение Руководства, приводятся общие требования по защите информации в организации, указывается категория организации по требованиям обеспечения защиты информации, указываются должностные лица, ответственные за выполнение требований Руководства, определяется порядок финансирования работ по защите информации в организации, приводятся сведения о полученной лицензии на допуск к работе со сведениями, составляющими государственную тайну, и об имеющихся сертифицированных средствах защиты информации.

1.2. В разделе "Охраняемые сведения в организации" указывается конкретная цель, которая должна быть достигнута в результате проведения мероприятий по защите информации (охраняемых сведений) в организации, замысел достижения этой цели и приводится перечень охраняемых сведений (без указания конкретных числовых параметров).

1.3. В разделе "Демаскирующие признаки охраняемых сведений и технические каналы утечки информации" указываются демаскирующие признаки, которые раскрывают охраняемые сведения в организации, в том числе демаскирующие признаки, возникающие в связи с использованием средств обеспечения ее деятельности. Приводятся возможные технические каналы утечки охраняемых сведений, включая каналы утечки информации в технических средствах ее обработки.

1.4. В разделе "Оценка возможностей технических разведок и других источников угроз безопасности информации" приводится перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации, которые опасны для данной организации, в том числе со стороны преступных группировок и результаты оценки их возможностей: по обнаружению (определению) демаскирующих признаков, раскрывающих охраняемые сведения; по перехвату информации, циркулирующей в технических средствах ее обработки; по перехвату речевой информации из помещений; по получению, разрушению (уничтожению), искажению или блокированию информации в результате несанкционированного доступа к ней.

При оценке используется частная модель угроз для организации, методики оценки возможностей иностранной технической разведки и другие документы по этому вопросу.

1.5. В разделе "Организационные и технические мероприятия по защите информации" приводятся:

- организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений в организации;

- мероприятия по защите информации об иной создаваемой (применяемой) продукции и технологиях;

- мероприятия по защите информации при постоянном контролируемом и неконтролируемом нахождении иностранных граждан как на территории организации, так и в непосредственной близости от нее;

- мероприятия по защите информации в системах и средствах информатизации и связи.

При нахождении на территории организации других организаций (предприятий), арендующих у нее помещения, требования по защите информации в организации должны быть включены в договор аренды.

1.6. В разделе "Оповещение о ведении разведки" указывается порядок получения, регистрации и передачи данных о пролетах разведывательных спутников, самолетов иностранных авиакомпаний, нахождении иностранных судов в открытых портах, местах, маршрутах и времени проведения иностранных инспекций в соответствии с международными договорами, посещении организации иностранными представителями, появлении в районе ее расположения иностранных граждан, подозреваемых в ведении разведки. А также приводятся внутренняя схема оповещения и действия должностных лиц при оповещении.

1.7. В разделе "Обязанности и права должностных лиц по защите информации" определяются должностные лица подразделений организации, ответственные за разработку, обеспечение и выполнение мероприятий по защите информации, их функциональные обязанности и права, приводится структурная схема взаимодействия подразделений по защите информации с соответствующими основными подразделениями данной организации.

1.8. В разделе "Планирование работ по защите информации и контролю" указываются руководящие документы для планирования работ по защите информации, требования к содержанию планов, приводится порядок разработки, согласования, утверждения и оформления планов, устанавливается порядок отчетности и контроля за выполнением планов.

1.9. В разделе "Контроль состояния защиты информации" указываются задачи контроля, перечень органов и подразделений, имеющих право проверки состояния защиты информации в организации, привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений организации, устанавливаются периодичность и виды контроля, порядок оформления результатов контроля, определяются действия должностных лиц по устранению нарушений норм и требований по защите информации и порядок разработки мероприятий по устранению указанных нарушений.

1.10. В разделе "Аттестование рабочих мест" указываются подразделения или должностные лица, ответственные за аттестование рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т.д., приводится форма документирования результатов аттестования и порядок выдачи разрешения на проведение работ с секретной информацией, а также порядок и периодичность их переаттестования.

1.11. В разделе "Взаимодействие с другими предприятиями (учреждениями, организациями)" указываются порядок взаимодействия в области защиты информации с предприятиями (учреждениями, организациями) при выполнении совместных работ, применяемые совместные организационные и технические мероприятия по защите информации, ответственность, права и обязанности взаимодействующих сторон, а также приводится структурная схема взаимодействия.

2. В приложения к Руководству включаются:

таблицы, схемы, графики, расчеты, исходные данные и другие справочные материалы для оценки обстановки, определения мероприятий по защите информации;

порядок организации и проведения работ по защите конфиденциальной информации;

перечень сведений, подлежащих защите;

план организации с указанием схем размещения рабочих мест, стендов и т.д., схем организации связи и сигнализации объекта;

структура системы защиты информации в организации;

перечень руководящих, нормативных и методических документов по защите информации.

В приложения могут включаться и другие документы.




оставить комментарий
страница3/3
Дата04.03.2012
Размер0,7 Mb.
ТипИнструкция, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы: 1   2   3
Ваша оценка этого документа будет первой.
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Документы

наверх