Положение по технической защите конфиденциальной информации. ПСБ-004 положение по защите КИ. Акционерное общество научнопроизводственное объединение
Скачать 276.5 Kb.
|
Глава 3. Организация работ по защите информации. 1. Организация работ по защите информации возлагается на генерального директора объединения, начальников обособленных производств и структурных подразделений, осуществляющих эксплуатацию ОТС, а руководство работами по защите информации и контроль эффективности мер защиты возлагается на начальника отдела по режиму и безопасности объединения. 2. Техническое руководство и организацию работ по разработке или модернизации СЗИ осуществляется главным инженером объединения или другим должностным лицом, назначенным приказом генерального директора объединения. 3. При разработке отдельных элементов СЗИ специализированным предприятием, в рамках объединения определяется структурное подразделение или специалисты, ответственные за организацию и проведение во взаимодействии с разработчиком мероприятий по защите конфиденциальной информации в ходе выполнения работ. 4. Порядок создания и эксплуатации СЗИ определяется в «Инструкции по защите конфиденциальной информации объединения» и предусматривает: порядок определения перечня защищаемой информации; порядок привлечения сторонних организаций к разработке и эксплуатации СЗИ; порядок ввода в действие и эксплуатацию СЗИ; ответственность должностных лиц объединения за своевременность формирования требований по технической защите информации и качество уровня разработки СЗИ. 5. В объединении должен быть документально оформлен перечень сведений, являющихся конфиденциальной информацией и подлежащих защите, а также разработана разрешительная система доступа сотрудников к сведениям такого рода. 6. Устанавливаются следующие стадии создания системы защиты информации: стадия предварительного проекта - обследование объекта, разработка аналитического обоснования необходимости создания СЗИ и технического задания на ее создание; стадия рабочего проектирования - разработка и реализация проекта, включая разработку и установку СЗИ в составе объекта информатизации; стадия ввода в действие - опытная эксплуатация, приемо-сдаточные испытания СЗИ и аттестация объекта на соответствие требованиям безопасности информации. 7. На стадии предварительного проекта выполняются следующие задачи: определяется необходимость наличия конфиденциальной информации на объекте; определяется перечень КИ, подлежащей защите от утечки по техническим каналам; определяются угрозы безопасности применительно к условиям работы объекта; определяется расположение объектов информатизации относительно границ КЗ; определяется конфигурация систем связи в целом и их отдельных компонентов, порядок физических, функциональных и технологических связей внутри этих систем; определяются состав технических средств разрабатываемой АС и систем связи, условия их расположения, общесистемные и прикладные программные средства; определяется класс защищенности АС; определяется степень участия персонала в обработке, передаче и хранении КИ; 8. По результатам обследования объекта разрабатывается аналитическое обоснование необходимости создания СЗИ и задаются конкретные требования по защите информации, включаемые в техническое задание на разработку СЗИ. 9. Аналитическое обоснование необходимости создания СЗИ должно содержать: информационную характеристику и организационную структуру объекта; характеристику технических средств, программного обеспечения, режимов работы и технологического процесса обработки информации; возможные каналы утечки информации и перечень мер по их устранению; перечень предлагаемых к использованию средств защиты информации; обоснование необходимости привлечения специализированных организаций; оценку финансовых и трудовых затрат на разработку и внедрение СЗИ; ориентировочные сроки разработки и внедрения СЗИ; перечень мероприятий по обеспечению защиты КИ на стадии проектирования. Аналитическое обоснование подписывается руководителем обследования объекта, согласовывается с главным инженером объединения и начальником отдела режима и безопасности, после чего утверждается генеральным директором объединения. 10. Техническое задание на разработку СЗИ должно содержать: обоснование разработки системы защиты информации; исходные данные создаваемого объекта в техническом, информационном и организационном аспектах; класс защищенности АС; требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС; перечень предполагаемых к использованию средств защиты информации; содержание и сроки проведения работ по этапам разработки и внедрения; перечень подрядных организаций, привлекаемых для исполнения работ; перечень технической продукции и документации, передаваемой в объединение. 11. Техническое задание на разработку СЗИ подписывается разработчиком, согласовывается с отделом режима и безопасности объединения, подрядными организациями и утверждается генеральным директором объединения. 12. На стадии проектирования и создания СЗИ на основе требований на материальные, трудовые и временные ресурсы, заданных объединением, осуществляется: разработка проекта на строительные, строительно-монтажные работы объекта в соответствии с требованиями технического задания на разработку СЗИ; строительно-монтажные работы в соответствии с проектной документацией, размещение и монтаж технических средств и систем защиты информации; разработка организационных и технических мероприятий по защите информации; закупка технических средств обработки, передачи и хранения информации; разработка или закупка программных средств защиты информации; организация охраны объекта для исключения НСД к средствам обработки, хранения и передачи информации, их хищения или нарушения работоспособности; организация системы доступа пользователей и эксплуатационного персонала к обрабатываемой на объекте конфиденциальной информации; должностные назначения сотрудников объединения, ответственных за защиту информации; обучение лиц, назначенных ответственными за защиту информации, специфике работ по защите информации; разработка эксплуатационной документации на объект и СЗИ, организационной и распорядительной документации по защите информации (приказов, инструкций и др.). 13. Задание на проектирование объекта согласовывается с отделом режима и безопасности объединения в части разработанных мероприятий по защите информации и утверждается генеральным директором объединения. Мероприятия по защите информации от утечки закладываются в разделы проекта и разрабатываются одновременно с ними. 14. На стадии проектирования и создания объекта информатизации оформляются технический проект и эксплуатационная документация СЗИ, включающая в себя: пояснительную записку с перечнем организационных мер и составом технических средств защиты информации в соответствии с требованиями ТЗ; описание программного и информационного обеспечения для обработки, передачи и хранения информации; план мероприятий по подготовке объекта информатизации к внедрению СЗИ; технический паспорт объекта информатизации; инструкции и руководства по эксплуатации технических и программных средств защиты для пользователей и сотрудников службы защиты информации. 15. На стадии ввода в действие объекта информатизации и СЗИ осуществляется: опытная эксплуатация СЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности; проведение сдаточных испытаний СЗИ с оформлением акта приема - передачи, подписываемого разработчиком, подрядными организациями и объединением; аттестация объекта информатизации по требованиям безопасности информации. 16. На стадии ввода в действие объекта информатизации и СЗИ оформляются: акты внедрения СЗИ по результатам приемо - сдаточных испытаний; предъявительский акт для проведения аттестационных испытаний; заключение по результатам аттестационных испытаний. При положительных результатах аттестации на объект оформляется «Аттестат соответствия требованиям по безопасности информации». 17. Кроме вышеуказанной документации на объединении оформляются: приказ о проектировании объекта и создании подразделения разработки проекта; приказ о назначении ответственных исполнителей по проекту; приказ о формировании группы обследования и назначении ее руководителя; приказ о заключении соответствующих договоров на проведение работ; приказ о назначении лиц, ответственных за эксплуатацию объекта; приказ о разрешении работ с конфиденциальной информации на объекте. 18. Для объектов, находящихся в эксплуатации до введения в действие СЗИ, может быть предусмотрен упрощенный вариант их модернизации, переоформления организационной, технологической и эксплуатационной документации. Необходимым условием проведения работ с КИ на этих объектах является их соответствие действующим требованиям по защите информации. 19. Эксплуатация объекта информатизации осуществляется в соответствии с эксплуатационной документацией, с учетом требований настоящего положения. 20. В целях своевременного предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации и работоспособности технических средств на всех объектах объединения, не реже 1 раза в 6 месяцев проводится контроль состояния СЗИ. Контроль системы защиты информации осуществляется сотрудниками отдела режима и безопасности объединения в целях: оценки соблюдения требований нормативных и методических документов; оценки работоспособности применяемых средств защиты информации; оценки знания персоналом своих обязанностей в части защиты информации. 21. По распоряжению генерального директора объединения во всех защищаемых помещениях периодически проводятся работы по обнаружению технических устройств, предназначенных для перехвата защищаемой информации. Глава 4. Требования по защите речевой информации. 1. Общие положения. 1. Требования по защите речевой информации направлены на исключение или существенное затруднение возможности перехвата конфиденциальной речевой информации, циркулирующей в ЗП или передаваемой по каналам связи. 2. Требования по защите речевой информации обязательны на всех стадиях проектирования, строительства, эксплуатации ЗП и размещения в них СЗИ, ОТС и ВТС. 3. При проведении мероприятий с использованием конфиденциальной речевой информации и средств ее обработки утечка информации возможна за счет: акустического излучения информативного речевого сигнала; виброакустических сигналов, возникающих при воздействии речевого сигнала на строительные конструкции и технические системы защищенных помещений; электрических сигналов, возникающих при преобразовании информативного сигнала из акустического в электрический (микрофонный эффект), и распространяющихся по линиям передачи информации, выходящих за пределы КЗ; прослушивания ведущихся в ЗП разговоров по информационным каналам общего пользования (ГТС, радиотелефон, сотовая и пейджинговая связь); электрических сигналов, наводимых от технических средств, обрабатывающих информацию и линии ее передачи, на провода и линии, выходящие за пределы КЗ; радиоизлучений, модулированных информативным сигналом, возникающим при работе генераторов, входящих в состав технических средств, установленных в ЗП; радиоизлучений или иных сигналов, модулированных информативным сигналом, специальных устройств перехвата речевой информации, внедренных в ЗП. 2. Требования по защите информации в защищаемых помещениях. 1. На объединении должен быть документально определен перечень ЗП и лиц, отвечающих за их эксплуатацию в соответствии с требованиями по защите информации. 2. Защищаемые помещения размещаются в пределах КЗ, при этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту. Не рекомендуется располагать защищаемые помещения на первых этажах зданий. Для исключения просмотра текстовой или графической КИ через окна помещений рекомендуется оборудовать окна шторами или жалюзями. 3. Защищаемые помещения обособленных производств и структурных подразделений объединения оснащаются сертифицированными ОТС и ВТС, эксплуатация которых осуществляется в точном соответствии с эксплутационной документацией на них. 4. Во время проведения в ЗП конфиденциальных мероприятий запрещается использование радиотелефонов, устройств сотовой, пейджинговой или транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При наличии в ЗП телефонных и факсимильных аппаратов с автоответчиком или АОН, на время проведения конфиденциальных мероприятий они отключаются из сети. 5. Для исключения возможности утечки информации за счет электроакустического преобразования для выхода в городскую АТС рекомендуется использовать в ЗП телефонные аппараты (ТА), оборудованные сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования. 6. Для исключения скрытного подключения к ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них ТА цифровых АТС, имеющих выход в городскую АТС или абонентов, не являющихся сотрудниками объединения. При необходимости иметь в защищенном помещении ТА рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в этих помещениях аналоговые аппараты. 7. Ввод городского радиотрансляционного вещания на территорию обособленных производств и структурных подразделений объединения следует осуществлять через радиотрансляционный узел, размещаемый в пределах КЗ. При прямом вводе линий городского радиовещания в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении. При установке в ЗП абонентского громкоговорителя в режиме приема 1 программы, его необходимо отключать на период проведения конфиденциальных мероприятий. 8. При установке электрочасовой станции внутри КЗ использование в ЗП электрических вторичных часов (ЭВЧ) возможно без средств защиты информации. При установке электрочасовой станции вне КЗ необходимо устанавливать средства защиты информации в линии ЭВЧ, выходящие за пределы КЗ, 9. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и размещаться в пределах контролируемой зоны, общей с защищаемыми помещениями. 10. Звукоизоляция ограждающих конструкций ЗП, а также системы вентиляции и кондиционирования ЗП должны обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров для лиц, находящихся за пределами ЗП. Проверка звукоизоляции проводится специальной комиссией путем подтверждения невозможности разборчивого прослушивания разговоров в ЗП лицами, находящимися за пределами защищенного помещения, при этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации ЗП. Для обеспечения требуемого уровня звукоизоляции ЗП дверные проемы оборудуют тамбурами с двойными дверями, устанавливают дополнительные рамы в оконных проемах, уплотняют дверные и оконные притворы резиновыми прокладками. Если не удается обеспечить необходимую акустическую защиту ЗП предложенными методами, следует ограничить доступ посторонних лиц в зону возможного прослушивания разговоров на период проведения конфиденциальных мероприятий. 11. Для снижения вероятности перехвата информации по виброакустическому каналу следует исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций. Для снижения уровня виброакустического сигнала рекомендуется оборудовать расположенные в ЗП элементы инженерных коммуникаций звукоизолирующими экранами. 12. В случае, если указанные меры защиты информации от утечки информации по акустическому и виброакустическому каналам недостаточны, следует применять метод активного акустического или виброакустического маскирующего зашумления. 13. При использовании ЗП для проведения конфиденциальных мероприятий необходимо предусмотреть меры, исключающие НСД посторонних в помещение: двери ЗП в период между мероприятиями необходимо запирать на ключ; выдача ключей от ЗП производится лицу, ответственному за это помещение; замена оборудования в ЗП производится только под контролем сотрудника отдела режима и безопасности, ответственного за защиту информации объединения. 3. Защита информации при проведении звукозаписи. 1. Запись или воспроизведение конфиденциальной речевой информации с применением аппаратуры звукозаписи разрешается производить только в ЗП. Для записи или воспроизведения конфиденциальной информации должны применяться аппараты, сертифицированные по требованиям безопасности информации. 2. Носители информации (магнитные ленты и кассеты) должны учитываться и храниться в порядке, установленном для конфиденциальной информации. 3. На каждом объекте обособленного производства и структурного подразделения объединения должно быть назначено лицо, ответственное за использование аппаратуры звукозаписи конфиденциальной информации, и обеспечено хранение и использование этой аппаратуры, исключающее несанкционированный доступ к ней. 4. Защита речевой информации при её передаче по каналам связи. 1. Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена. 2. При необходимости передачи конфиденциальной информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам, необходимо использовать защищенные линии связи или устройства скремблирования. |