Приказ Федеральной службы по экологическому, технологическому и атомному надзору от 6 октября 2006 г. N 873
"Об утверждении и введении в действие Типовой инструкции о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору"
Приказываю:
Утвердить и ввести в действие с 1 ноября 2006 г. прилагаемую Типовую инструкцию о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-02-2006).
Руководитель
|
К.Б. Пуликовский
|
Руководящие документы РД-21-02-2006
"ТИПОВАЯ ИНСТРУКЦИЯ О ЗАЩИТЕ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СРЕДСТВАХ ЦЕНТРАЛЬНОГО АППАРАТА, ТЕРРИТОРИАЛЬНЫХ ОРГАНОВ И ОРГАНИЗАЦИЙ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ЭКОЛОГИЧЕСКОМУ, ТЕХНОЛОГИЧЕСКОМУ И АТОМНОМУ НАДЗОРУ".
Введена в действие с 1 ноября 2006 г.
Содержание
1. Общие положения
2. Существующие угрозы информационной системе службы
3. Основные направления и методы защиты информации
3.1. Защита информации от утечки по техническим каналам
3.2. Защита информации от внедренных специальных электронных устройств
3.3. Защита информации от специальных программ-вирусов
3.4. Защита информации от несанкционированного доступа
3.5. Защита информации от несанкционированного и непреднамеренного воздействия
3.6. Защита информации от разглашения
3.7. Защита информации от технических разведок
Приложение N 1 (справочное)Термины и их определения
Приложение N 2 (справочное)Угрозы безопасности информации в автоматизированных системах (средствах вычислительной техники)
Приложение N 3 (справочное)Система защиты информации в федеральной службе по экологическому, технологическому и атомному надзору
Приложение N 4 (обязательное)Типовая форма плана устранения недостатков и замечаний, выявленных представителями МТОИЗИ Ростехнадзора (Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации) в ходе изучения организации и состояния технической защиты информации в территориальном органе (подведомственной организации)
Приложение N 5 (обязательное)Инструкция о порядке обращения с конфиденциальной информацией в центральном аппарате Федеральной службы по экологическому, технологическому и атомному надзору
1. Общие положения
2. Обязанности работников по защите информации конфиденциального характера и ответственность за разглашение конфиденциальной информации
3. Порядок обращения с носителями конфиденциальной информации
4. Организация работ при обработке и подготовке конфиденциальной информации на средствах вычислительной техники
Приложениек Инструкции о порядке обращения
с конфиденциальной информацией в центральном
аппарате Федеральной службы по экологическому,
технологическому и атомному надзору
Приложение N 6 (обязательное)Формы отчетности
Приложение N 7 (рекомендуемое)Перечень внутренних организационно-распорядительных документов по защите информации
Приложение N 8 (справочное)Обобщенная классификация технических каналов утечки информации на объектах информатизации
Приложение N 9 (справочное)Возможные технические каналы утечки информации
Приложение N 10 (справочное)Классификация автоматизированных систем по защищенности информации от несанкционированного доступа
Приложение N 11 (справочное)Требования к автоматизированным системам по защищенности информации от НСД
Приложение N 12 (обязательное)Руководство по защите информации от технических разведок и от ее утечки по техническим каналам
1. Общие положения
1.1. Типовая инструкция о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору (далее - Инструкция) разработана в соответствии с федеральными законами от 27 июля 2006 г. N 149-ФЗ
"Об информации, информационных технологиях и о защите информации", от 21 июля 1993 г. N 5485-1 "О государственной тайне", Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Правительства Российской Федерации от 15 сентября 1993 г. N 912-51, государственным стандартом Российской Федерации ГОСТ Р 50922-96 "Защита информации. Основные термины и определения", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 г. N 282 и Положением о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-01-2006).
1.2. Инструкция определяет основные меры по защите информации, типовые обязанности пользователей и должностных лиц, входящих в систему защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (далее - Служба), которые уточняются применительно к конкретным условиям деятельности центрального аппарата и территориальных органов Службы, а также находящихся в ее ведении организаций далее - подведомственные организации).
1.3. Требования Инструкции являются обязательными для работников центрального аппарата, территориальных органов Службы и подведомственных организаций, которые допущены к работе с информацией ограниченного доступа и сведениями, составляющими государственную тайну.
При приеме на службу (работу) работники, которые будут допущены к сведениям конфиденциального характера, должны быть под расписку ознакомлены с требованиями настоящей Инструкции, в части их касающейся, а также с ответственностью за их нарушение.
1.4. В Инструкции используются термины и их определения, установленные в актах, указанных в ее п. 1.1 и приведенные в приложении N 1 к ней.
2. Существующие угрозы информационной системе службы
2.1. Информационной системе Службы характерны следующие особенности:
- возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки данных в Службе;
- нарастающая важность и ответственность решений, принимаемых в автоматизированном режиме и на основе автоматизированной обработки информации;
- увеличивающаяся концентрация в автоматизированных системах (далее - АС) информации, зачастую носящей конфиденциальный характер;
- большая территориальная распределенность компонентов АС Службы;
- усложнение режимов функционирования технических средств АС;
- накопление на технических носителях значительных объемов информации, для многих видов которой становится все более трудным (и даже невозможным) изготовление немашинных аналогов (дубликатов);
- интеграция в единых базах данных информации различного назначения и различной принадлежности;
- долговременное хранение больших массивов информации на машинных носителях;
- непосредственный и одновременный доступ к ресурсам (в том числе и к информации) большого числа пользователей (операторов информационных систем) различных категорий и различных организаций;
- интенсивная циркуляция информации между компонентами АС, в том числе и расположенных на больших расстояниях друг от друга;
- возрастающая стоимость информации.
В связи с этим существует необходимость в обеспечении сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в АС Службы.
2.2. В настоящей Инструкции в основном регламентируются вопросы защиты конфиденциальной информации. При работе с информацией, содержащей государственную тайну, к средствам вычислительной техники (далее - СВТ), автоматизированным системам и персоналу предъявляются дополнительные требования, изложенные в документах по защите государственной тайны.
2.3. В центральном аппарате, территориальных органах Службы и подведомственных организациях на основе требований настоящей Инструкции разрабатываются в необходимом объеме и с учетом их особенностей инструкции и организационно-распорядительные документы по защите информации для всех категорий должностных лиц, допущенных к информации ограниченного доступа.
2.4. Угрозы для информации, циркулирующей в АС Службы (приложение N 2 к настоящей Инструкции), исходят от утечки по техническим каналам, от внедренных специальных электронных устройств, от специальных программ-вирусов, от несанкционированного доступа (далее - НСД).
2.5. К основным способам НСД к информации относятся:
- непосредственное обращение к объектам доступа;
- воздействие на АС программных и технических средств, позволяющих выполнить обращение к объектам доступа в обход средств защиты;
- модификация средств защиты, позволяющая осуществить НСД;
- внедрение заинтересованными лицами в СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС, и позволяющих осуществить НСД.
2.6. Несанкционированный доступ к информации, находящейся в АС Службы, может быть косвенным - без физического доступа к элементам АС и прямым - с физическим доступом.
Существуют следующие пути несанкционированного доступа к информации:
- применение подслушивающих устройств;
- дистанционное фотографирование;
- перехват электромагнитных излучений;
- хищение информации;
- считывание данных в массивах других пользователей;
- копирование носителей информации;
- несанкционированное использование терминалов;
- маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;
- использование программных ловушек;
- получение защищаемых данных с помощью серии разрешенных запросов;
- использование недостатков языков программирования и операционных систем;
- преднамеренное включение в библиотеки программ специальных блоков типа "троянских коней";
- незаконное подключение к аппаратуре или линиям связи информационной системы;
- злоумышленный вывод из строя механизмов защиты.
3. Основные направления и методы защиты информации
3.1. Конфиденциальная информация Службы подлежит обязательной защите.
3.2. Обеспечение надежной защиты информации является одной из важнейших обязанностей операторов (пользователей) информационной системы Службы и должностных лиц, входящих в систему защиты информации Службы (приложение N 3 к настоящей Инструкции).
3.3. Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ) организует работу по защите информации в центральном аппарате Службы, осуществляет методическое руководстве проведением мероприятий по защите информации в территориальных органах и подведомственных организациях, а также контроль за эффективностью предусмотренных мер защиты информации в Службе. Планы устранения недостатков, выявленных представителями МТОИЗИ при проведении проверок, руководители территориальных органов и подведомственных организаций Службы представляют в МТОИЗИ (приложение N 4 к настоящей Инструкции).
3.4. Начальники управлений центрального аппарата Службы контролируют в подчиненных подразделениях выполнение работниками установленных общих требований по организации работы АС и предусмотренных мер по защите информации (приложение N 5 к настоящей Инструкции).
3.5. Руководители территориальных органов и подведомственных организаций Службы организуют проведение работ по защите информации в своих органах и организациях.
3.6. Операторы информационной системы (пользователи) соблюдают правила обработки информации в АС и отвечают за обеспечение защиты информации.
3.7. Должностные лица, отвечающие за безопасность информации и входящие в систему защиты информации в компьютерных и телекоммуникационных сетях Службы, контролируют в пределах своей компетенции состояние защиты информации с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки ее защищенности.
3.8. Повседневный и периодический (не реже одного раза в год) контроль за состоянием защиты информации в территориальных органах и подведомственных организациях проводится силами их подразделений (штатных работников) по защите информации.
3.9. Отчеты о состоянии защиты информации по итогам года руководители территориальных органов и подведомственных организаций Службы представляют в МТОИЗИ (приложение N 6 к настоящей Инструкции).
Ежегодно о состоянии защиты информации в Службе, а также о случаях невыполнения в территориальных органах и подведомственных организациях требований и норм по защите информации, в результате которых имелись или имеются реальные возможности к ее утечке, МТОИЗИ докладывает руководителю Службы.
3.10. В целях предотвращения несанкционированного доступа к техническим средствам обработки, хранения и передачи информации (далее - ТСПИ), их хищения и нарушения работоспособности организуется охрана и физическая защита помещений объектов информатизации.
3.11. Защита информации в АС и СВТ территориальных органов и подведомственных организаций должна предусматривать комплекс организационных, программных и технических мероприятий по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.
В целях реализации организационных мер подразделением (штатным работником) по защите информации совместно с подразделением, осуществляющим эксплуатацию объектов информатизации, разрабатываются организационно-распорядительные документы по защите информации (приложение N 7 к настоящей Инструкции).
В качестве программных средств используются специальные программы, предназначенные для выполнения функций, связанных с защитой информации.
К техническим средствам защиты информации относятся различные электрические, электромеханические и электронные устройства, которые подразделяются на аппаратные средства - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с СВТ по стандартному интерфейсу и физические средства - автономные устройства (электронно-механическое оборудование охранной сигнализации и наблюдения, запоры и решетки на окнах).
3.12. На объекты информатизации, задействованные в обработке конфиденциальной информации, составляются технические паспорта* и они должны быть аттестованы по требованиям безопасности информации в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации **.
_________________________
* Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. N 282.
** Утверждено Председателем Гостехкомиссии при Президенте Российской Федерации 25.11.1994 г.
3.13. Защите подлежат все компоненты информационной структуры Службы: документы, сети связи, ТСПИ, персонал и т.д.
3.14. Защита информации в АС Службы осуществляется по следующим основным направлениям:
- от утечки по техническим каналам;
- от внедренных специальных электронных устройств;
- от специальных программ-вирусов;
- от несанкционированного доступа;
- от несанкционированного воздействия;
- от непреднамеренного воздействия;
- от разглашения;
- от технически средств разведки (далее - TCP).
3.15. В качестве основных мер защиты информации в Службе должностными лицами, входящими в систему защиты информации, подразделениями, осуществляющими эксплуатацию объектов информатизации, должны выполняться:
а) документальное оформление перечня сведений конфиденциального характера с учетом ведомственной специфики этих сведений. Перечень сведений конфиденциального характера Службы, утвержденный ее руководителем, может быть дополнен руководителем территориального органа (подведомственной организации) в зависимости от характера информации, циркулирующей в их информационной сети;
б) разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
в) ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;
г) регистрация действий пользователей АС, обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
д) учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
е) резервирование технических средств, дублирование массивов и носителей информации;
ж) использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
з) использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
и) использование сертифицированных средств защиты информации;
к) размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ;
л) защита цепей электропитания объектов информации:
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);
- развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал;
м) электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация, и линиями связи, другими цепями ВТСС, выходящими за пределы контролируемой зоны;
н) использование защищенных каналов связи;
о) размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
п) организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;
р) предотвращение внедрения в АС программ-вирусов, программных закладок;
с) противодействие TCP.
3.16. Объем принимаемых мер защиты информации, в зависимости от возможного ущерба в случае ее утечки, определяют должностные лица, отвечающие за организацию и руководство работами по защите информации в Службе, ее территориальных органах и подведомственных организациях.
3.1. Защита информации от утечки по техническим каналам
Комментарии (0)
Чтобы оставить комментарий вам необходимо авторизоваться