Приказ Федеральной
службы по экологическому, технологическому и атомному надзору от 26 июня 2006
г. N 624
"Об утверждении и введении в действие Положения о системе защиты
информации в компьютерных и телекоммуникационных сетях Федеральной службы по
экологическому, технологическому и атомному надзору"
Приказываю:
Утвердить и ввести в действие с 1
августа 2006 г. прилагаемое Положение о системе защиты информации в
компьютерных и телекоммуникационных сетях Федеральной службы по экологическому,
технологическому и атомному надзору (РД-21-01-2006).
Руководитель
| К.Б.
Пуликовский |
Руководящие
документы РД-21-01-2006
"ПОЛОЖЕНИЕ О СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ И
ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ЭКОЛОГИЧЕСКОМУ,
ТЕХНОЛОГИЧЕСКОМУ И АТОМНОМУ НАДЗОРУ"
Введено в действие с 1 августа
2006 г.
Содержание
I. Общие положения
II. Цели защиты информации
III. Организационная структура системы защиты информации
IV. Объекты защиты информации. Мероприятия и методы по их защите
V. Контроль состояния защиты информации
Приложение N 1 (справочное)Термины и их определения
Приложение N 2 (справочное)Угрозы информации. Способы их воздействия на объекты защиты информации
Приложение N 3 (справочное)Классификация информации ограниченного доступа
Приложение N 4 (обязательное)Общие требования к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях федеральной службы по экологическому, технологическому и атомному надзору
Приложение N 5 (рекомендуемое)Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)
Приложение N 6 (справочное)Преступления в сфере защиты информации
Уголовный кодекс Российской Федерации от 13 июня 1996 г. N 63-ФЗ (выписка с комментариями)
Кодекс Российской Федерации "Об административных правонарушениях" от 30 декабря 2001 г. N 195-ФЗ (выписка)
Приложение N 7 (обязательное)Форма предписания
I. Общие положения
1. Положение о системе защиты информации
в компьютерных и телекоммуникационных сетях Федеральной службы по
экологическому, технологическому и атомному надзору (далее - Положение)
разработано в соответствии с федеральными законами от 20 февраля 1995 г. N
24-ФЗ "Об информации, информатизации и защите информации" и от 21
июля 1993 г. N 5485-1 "О государственной тайне", Положением о
государственной системе защиты информации в Российской Федерации от иностранных
технических разведок и от ее утечки по техническим каналам, утвержденным
постановлением Правительства Российской Федерации от 15 сентября 1993 г. N
912-51 и государственным стандартом Российской Федерации ГОСТ
Р 50922-96 "Защита информации. Основные термины и
определения".
2. Положение определяет цели защиты
информации, содержащей сведения, составляющие государственную тайну и
конфиденциальную информацию, организационную структуру системы защиты
информации в Федеральной службе по экологическому, технологическому и атомному
надзору (далее - Служба), задачи и функции указанной системы, мероприятия по
защите информации и контролю за ее состоянием.
3. Требования Положения являются
обязательными для работников центрального аппарата и территориальных органов
Службы, а также находящихся в ее ведении организаций (далее - подведомственные
организации), на которых возлагаются организация, осуществление и контроль
мероприятий по защите информации.
4. В Положении используются термины и их
определения, установленные в актах, указанных в п. 1 настоящего документа (приложение
N 1 к настоящему Положению).
II. Цели защиты
информации
5. Основными целями защиты информации в
Службе от существующих угроз (приложение
N 2 к настоящему Положению) являются:
а) предотвращение неконтролируемого
распространения защищаемой информации в результате ее разглашения работниками,
несанкционированного доступа к ней и получения защищаемой информации
разведками, криминальными и коммерческими структурами;
б) предотвращение несанкционированного
уничтожения, искажения, копирования, блокирования информации в информационной
системе Службы;
в) предотвращение утрат, уничтожения или
сбоев функционирования носителей информации;
г) соблюдение правового режима
использования информационных ресурсов и системы, обеспечение полноты,
целостности, достоверности информации в информационной системе;
д) сохранение возможности управления
процессом обработки и пользования информацией работниками Службы.
III.
Организационная структура системы защиты информации
6. Головным органом по вопросам защиты
информации в Службе является Межрегиональный территориальный округ по
информатизации и защите информации Федеральной службы по экологическому,
технологическому и атомному надзору (далее - МТОИЗИ).
7. Основные задачи МТОИЗИ:
а) обеспечение единого подхода к
организации и осуществлению надзора за соблюдением требований федеральных норм
и правил при обеспечении защиты информации в Службе;
б) организация и проведение работ по
защите информации в компьютерных и телекоммуникационных сетях центрального
аппарата Службы;
в) организация и осуществление контроля
и надзора за проведением работ по защите информации в локальных вычислительных
сетях и информационно-коммуникационной системе Службы.
8. Основные функции МТОИЗИ:
а) организация работ по защите
информации в центральном аппарате Службы, а также методическое руководство и
контроль за эффективностью предусмотренных мер защиты информации в Службе;
б) разработка и периодическое уточнение
Перечня используемых в Службе сведений конфиденциального характера;
в) анализ угроз безопасности информации
и оценка реальной возможности перехвата информации техническими средствами,
несанкционированного доступа, разрушения, уничтожения, искажения, блокирования
или подделки информации в процессе ее обработки, передачи и хранения в
технических средствах обработки информации;
г) предотвращение проникновения к
источникам информации с целью ее уничтожения, хищения или изменения;
д) защита носителей информации;
е) выявление возможных технических
каналов утечки информации ограниченного доступа (приложение N 3
к настоящему Положению) и фактов разглашения защищаемой информации;
ж) контроль за выполнением требований
законодательных, нормативно-правовых, организационно-распорядительных и
методических документов как федерального уровня, так и принятых в Службе, в
области защиты информации.
9. Систему защиты информации в
компьютерных и телекоммуникационных сетях Службы образуют:
- руководитель Службы;
- техническая комиссия по защите
информации в компьютерных и телекоммуникационных сетях Службы;
- МТОИЗИ (отделы организации и контроля
за защитой информации в автоматизированных системах управления и эксплуатации
информационно-коммуникационных систем Службы);
- начальники управлений центрального
аппарата Службы;
- руководители территориальных органов и
подведомственных организаций;
- подразделения (штатные работники) по
защите информации территориальных органов и подведомственных организаций;
- пользователи (потребители) информации.
10. Руководитель Службы организует
защиту информации в компьютерных и телекоммуникационных сетях Службы.
Непосредственное руководство работами по
защите информации осуществляет руководитель Службы или один из его
заместителей.
11. Техническая комиссия по защите
информации в компьютерных и телекоммуникационных сетях Службы является
постоянно действующим органом при руководителе Службы и осуществляет
координацию работ по вопросам обеспечения защиты информации.
Полномочия и порядок работы технической
комиссии по защите информации в компьютерных и телекоммуникационных сетях
Службы определяются Положением, разрабатываемым МТОИЗИ и утверждаемым
руководителем Службы.
12. МТОИЗИ организует работу по защите
информации, а также осуществляет методическое руководство и контроль за
эффективностью предусмотренных мер защиты информации в Службе.
МТОИЗИ по вопросам защиты информации
подчиняется руководителю Службы или, по его решению, одному из заместителей.
Отдел организации и контроля за защитой
информации в автоматизированных системах управления МТОИЗИ осуществляет
методическое руководство организацией защиты информации, а также контроль за
выполнением и эффективностью предусмотренных мер защиты информации в
центральном аппарате Службы, ее территориальных органах и подведомственных
организациях.
Основные задачи, функции, права и
ответственность отдела организации и контроля за защитой информации в
автоматизированных системах управления МТОИЗИ определяются соответствующим
Положением, утверждаемым руководителем МТОИЗИ.
Отдел эксплуатации
информационно-коммуникационных систем Службы МТОИЗИ организует выполнение работ
по защите информации в компьютерных и телекоммуникационных системах
центрального аппарата Службы.
13. Начальники управлений центрального
аппарата Службы контролируют в своих управлениях выполнение предусмотренных мер
защиты информации, определенных Общими требованиями к порядку работы
пользователей и осуществлению контроля со стороны руководителей структурных
подразделений за их действиями в компьютерных и телекоммуникационных сетях
Федеральной службы по экологическому, технологическому и атомному надзору (приложение
N 4 к настоящему Положению) и отвечают за ее состояние перед
руководителем Службы.
14. Руководители территориальных органов
и подведомственных организаций организуют проведение работ по защите информации
в структурных подразделениях. Отчитываются за состояние защиты информации перед
руководителем Службы через МТОИЗИ.
15. В зависимости от объема работ по
защите информации руководители территориальных органов и подведомственных
организаций создают структурные подразделения по защите информации или
назначают штатных работников по этим вопросам.
Положение о подразделении по защите
информации разрабатывается на основе Типового положения о подразделении по
защите информации от иностранных технических разведок и от ее утечки по
техническим каналам на предприятии (в учреждении, организации) с учетом
особенностей конкретного территориального органа, подведомственной организации
(приложение
N 5 к настоящему Положению).
Для работника по защите информации на
основе указанного положения разрабатывается должностной регламент.
Подразделения (штатные работники) по
защите информации подчиняются непосредственно руководителю территориального
органа (подведомственной организации) или его заместителю.
16. Для проведения работ по защите
информации могут привлекаться на договорной основе специализированные
предприятия, имеющие лицензии на право проведения работ в области защиты
информации.
17. Работники подразделений по защите
информации приравниваются по оплате труда, льготам и премированию к
соответствующим категориям работников основных структурных подразделений. Они
имеют право на получение процентных надбавок к должностному окладу должностных
лиц и граждан, допущенных к государственной тайне, установленных постановлением
Правительства Российской Федерации от 14 октября 1994 г. N 1161.
18. Назначение и освобождение от
должности руководителя подразделения (штатного работника) по защите информации
производится руководителем территориального органа (подведомственной
организации) с уведомлением МТОИЗИ.
19. Пользователи (потребители)
информации при работе в локальной вычислительной сети и на своих ПЭВМ обязаны
выполнять предусмотренные меры защиты информации, определенные Общими
требованиями к порядку работы пользователей и осуществлению контроля со стороны
руководителей структурных подразделений за их действиями в компьютерных и
телекоммуникационных сетях Федеральной службы по экологическому,
технологическому и атомному надзору.
Пользователи (потребители) информации
несут непосредственную ответственность за обеспечение защиты информации.
20. Все должностные лица, отвечающие за
организацию и выполнение мероприятий по защите информации, несут, в зависимости
от степени возможного ущерба в случае ее утечки, разрушения (уничтожения),
административную и уголовную ответственность (приложение N 6
к настоящему Положению).
IV. Объекты защиты
информации. Мероприятия и методы по их защите
21. Объектами защиты в Службе являются
информация, ее материальные носители и технические средства обработки
информации.
Защите подлежат:
а) информационные ресурсы, содержащие
сведения, отнесенные к государственной тайне или конфиденциальной информации,
представленные в виде носителей на магнитной или оптической основе,
информативных физических полей, информационных массивов и баз данных;
б) средства и системы информатизации
(средства вычислительной техники, информационно-вычислительные комплексы, сети
и системы), программные средства (операционные системы, системы управления
базами данных, другое общесистемное и программное обеспечение),
автоматизированные системы управления, системы связи и передачи данных,
технические средства приема, передачи и обработки информации (звукозаписи,
звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства,
средства изготовления, тиражирования документов и другие технические средства
обработки графической, смысловой и буквенно-цифровой информации, используемые
для обработки информации, содержащей сведения, отнесенные к государственной
тайне или конфиденциальной информации;
в) технические средства и системы, не
обрабатывающие информацию, но размещенные в помещениях, где обрабатывается
информация, содержащая сведения, отнесенные к государственной тайне или конфиденциальной
информации;
г) выделенные (защищаемые) помещения.
22. Мероприятия по защите информации
являются составной частью управленческой, научной и производственной
деятельности. Они организуются и проводятся, в пределах своей компетенции,
всеми должностными лицами, входящими в систему защиты информации Службы.
23. Проведение любых мероприятий и работ
с использованием сведений, отнесенных к государственной тайне и
конфиденциальной информации, без принятия необходимых мер по защите информации
не допускается.
24. В целях предотвращения и
нейтрализации угроз безопасности информации применяются правовые,
аппаратно-программные методы и организационно-технические мероприятия.
Правовые методы предусматривают
разработку организационно-распорядительных и руководящих документов Службы в
области защиты информации.
Аппаратно-программные методы включают:
а) аппаратные методы защиты:
- предотвращение утечки обрабатываемой
информации за счет побочных электромагнитных излучений и наводок, создаваемых
функционирующими средствами, а также за счет электроакустических
преобразований;
- исключение или существенное
затруднение несанкционированного доступа к обрабатываемой или хранящейся в
технических средствах информации за счет применения реквизитов защиты (паролей,
идентифицирующих кодов), устройств измерения индивидуальных характеристик
человека (голоса, отпечатков) с целью его идентификации;
- применение устройств для шифрования
информации;
- выявление возможно внедренных в
импортные технические средства специальных устройств съема (ретрансляции) или
разрушения информации (закладных устройств);
б) программные методы защиты:
- предотвращение специальных
программно-математических воздействий, вызывающих разрушение, уничтожение,
искажение информации или сбои в работе средств вычислительной техники (далее -
СВТ);
- идентификацию технических средств
(терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей
информации), задач и пользователей;
- определение прав пользователей
(потребителей) информации (дни и время работы, разрешенные к использованию
задачи и технические средства обработки информации);
- контроль работы технических средств и
пользователей;
- регистрацию работы технических средств
и пользователей при обработке информации ограниченного доступа;
- уничтожение информации в записывающем
устройстве после использования;
- сигнализацию при несанкционированных
действиях;
- вспомогательные программы различного
назначения: контроля работы механизма защиты, проставления грифа секретности
(конфиденциальности) на выдаваемых документах;
в) резервное копирование (хранение копий
информации на различных носителях);
г) криптографическое шифрование
информации.
Организационно-технические мероприятия
предусматривают:
а) осуществление мероприятий защиты
информации при оборудовании и создании вычислительных центров,
автоматизированных сетей (далее - АС) и автоматизированных рабочих мест;
б) подбор и подготовку персонала для
обслуживания СВТ и АС;
в) разработку и утверждение
функциональных обязанностей должностных лиц, отвечающих за защиту информации;
г) контроль за действиями персонала в
защищенных автоматизированных системах;
д) создание и обеспечение
функционирования систем защиты информации ограниченного доступа;
е) сертификацию этих систем по
требованиям безопасности информации;
ж) аттестацию СВТ, автоматизированных
систем и помещений;
з) привлечение на договорной основе для
проведения работ по защите информации специализированных организаций, имеющих
лицензии на право проведения работ в области защиты информации;
и) стандартизацию способов и средств
защиты информации;
к) организацию хранения и использования
документов и носителей;
л) физическую защиту от внешних
воздействующих факторов, вызванных явлениями природы;
м) физические меры защиты (изоляция
помещений с СВТ, установка контролируемых зон, пропускной режим, охранная
сигнализация).
25. Защите также подлежат технические
средства, не обрабатывающие информацию, но размещенные в помещениях, где
информация обрабатывается. К ним относятся системы и средства радиотрансляции,
пожарной и охранной сигнализации, часофикации и другие.
V. Контроль
состояния защиты информации
— Все документы — Нормативные документы по надзору в области строительства — Нормативные документы по гортехнадзору — РД 21-01-2006 ПОЛОЖЕНИЕ О СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ЭКОЛОГИЧЕСКОМУ, ТЕХНОЛОГИЧЕСКОМУ И АТОМНОМУ НАДЗОРУ
В Госдуме заявили о новой мере поддержки для переживших стихийное бедствие
Правительство разработало новый законопроект о ликвидации незаконных свалок
Юрист Локтионова: на даче нельзя выращивать мак снотворный и ипомею трехцветную
Минстрой России: Москва стала самым комфортным для проживания городом России
Городом с самыми дешевыми квартирами в новостройках оказался Воронеж