Главная страница
Навигация по странице:

  • 2. Требования по защите служебной тайны и персональных данных.

  • 3. Рекомендации по защите сведений, содержащих коммерческую тайну.

  • 4. Порядок защиты конфиденциальной информации при эксплуатации АС.

  • 5. Защита конфиденциальной информации при работе на ПЭВМ.

  • 6. Защита информации при использовании съемных накопителей.

  • 7. Защита информации в локальных вычислительных сетях.

  • 8. Защита информации при межсетевом взаимодействии.

  • 9. Защита информации при работе с базами данных.

  • Положение по технической защите конфиденциальной информации. ПСБ-004 положение по защите КИ. Акционерное общество научнопроизводственное объединение


    Скачать 276.5 Kb.
    НазваниеАкционерное общество научнопроизводственное объединение
    АнкорПоложение по технической защите конфиденциальной информации
    Дата10.11.2021
    Размер276.5 Kb.
    Формат файлаdoc
    Имя файлаПСБ-004 положение по защите КИ.doc
    ТипДокументы
    #268743
    страница3 из 5
    1   2   3   4   5
    Глава 5. Требования по защите информации при работе на ПК.

    1. Общие требования и рекомендации.

    1. Система защиты информации, обрабатываемой на персональном компьютере, должна предусматривать комплекс организационных и технических мер по защите информации при ее обработке и хранении, а также при ее передаче по каналам связи.

    2. Основными направлениями защиты информации являются:

    • обеспечение защиты информации от хищения, утраты, уничтожения, искажения и подделки информации за счет НСД и специальных воздействий;

    • обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

    3. В качестве основных мер защиты информации следует использовать:

    • документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;

    • ограничение доступа сотрудников и посторонних лиц в защищаемые помещения и помещения, где хранятся носители информации;

    • реализация разрешительной системы допуска пользователей и обслуживающего персонала к информации и связанным с ее использованием документам;

    • разграничение доступа пользователей к программным средствам обработки, передачи и защиты информации, обрабатываемой на компьютере;

    • регистрация действий пользователей и обслуживающего персонала;

    • контроль за действиями пользователей при работе на компьютере;

    • учет и надежное хранение бумажных и машинных носителей информации, ключей документации, исключающее их хищение, подмену или уничтожение;

    • использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;

    • резервирование технических средств и дублирование носителей информации;

    • использование сертифицированных технических средств обработки, передачи и хранения информации;

    • использование сертифицированных технических средств защиты информации;

    • размещение объектов защиты на максимальном расстоянии от границы КЗ;

    • размещение подстанций и контуров заземления объектов защиты в пределах КЗ;

    • развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

    • электромагнитная развязка между линиями связи, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;

    • использование защищенных каналов связи и других СЗИ для передачи КИ;

    • размещение средств отображения информации, которые исключают несанкционированный просмотр информации на экранах дисплеев;

    • организация защиты ЗП техническими средствами и силами отдела режима и безопасности объединения для предотвращения проникновения в помещения обособленных производств и структурных подразделений посторонних лиц, хищения документов, исключения возможности установки в КЗ технических средств разведки;

    • предотвращение возможности внедрения в системы обработки и передачи информации программ-вирусов и программных закладок, выводящих ПК из строя.

    Обязательность тех или иных мер для защиты различных видов конфиденциальной информации конкретизирована в последующих разделах настоящего положения.

    4. Индивидуальным (монопольным) режимом обработки информации в системе считается режим, когда к обрабатываемой информации, программным средствам и носителям информации системы допущен только один пользователь.

    Коллективным режимом обработки информации в системе считается режим, когда к обрабатываемой информации, программным средствам и носителям информации системы допущены несколько пользователей и обслуживающий персонал.

    Коллективным режимом работы считается также и последовательный во времени режим работы в системе различных пользователей и обслуживающего персонала.

    5. При классификации АС по группе защищенности выбирается наиболее близкая группа защищенности, при этом требования по защите информации определяются в зависимости от установленного для АС класса защищенности.

    6. Персонал, допущенный к обработке КИ, несет ответственность за соблюдение им установленного порядка обеспечения защиты этой информации.

    Доступ персонала к обработке КИ разрешен только после изучения им требований документов по защите конфиденциальной информации, действующих на объединении.

    2. Требования по защите служебной тайны и персональных данных.

    1. Организация, содержание работ и эксплуатационной документации по защите информации должны отвечать требованиям главы 3 настоящего положения.

    2. На каждом обособленном производстве и структурном подразделении должны быть оформлены перечень защищаемых сведений, составляющих служебную тайну, и перечень персональных данных о сотрудниках.

    Перечни могут иметь общий характер или составляться по отдельному направлению выполняемых работ, при этом сотрудники обособленных производств и структурных подразделений должны быть ознакомлены с этими перечнями в части их касающейся.

    3. Классификация АС проводится в зависимости от обрабатываемых сведений:

    • АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;

    • АС, обрабатывающие персональные данные сотрудников, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

    4. Для обработки информации, составляющей служебную тайну, а также для обработки персональных данных сотрудников следует использовать ВТС, удовлетворяющие требованиям стандартов по электромагнитной совместимости, по безопасности и санитарным нормам, предъявляемым к терминалам ПЭВМ.

    5. Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в т. ч. защищенные волоконно-оптические линии связи или криптографические средства защиты информации.

    6. Носители информации на магнитной и бумажной основе должны учитываться, храниться и уничтожаться в порядке, установленном для служебной информации ограниченного распространения, с пометкой «Для служебного пользования».

    7. Доступ к конфиденциальной информации пользователей и обслуживающего сотрудников объединения осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера.
    3. Рекомендации по защите сведений, содержащих коммерческую тайну.

    1. При разработке и эксплуатации автоматизированных систем, обрабатывающих сведения, содержащие коммерческую тайну, рекомендуется выполнить следующие основные организационно - технических мероприятия:

    • документально оформить перечень сведений, составляющих коммерческую тайну, при этом все сотрудники объединения должны быть ознакомлены с этим перечнем;

    • отнести АС, обрабатывающие информацию, составляющую коммерческую тайну, по уровню защищенности к классам 3Б, 2Б и не ниже 1Д, если по решению начальника отдела режима и безопасности к АС не предъявляются более высокие требования;

    • использовать для обработки информации, составляющей коммерческую тайну, средства вычислительной техники, удовлетворяющие требованиям стандартов по электромагнитной совместимости, по безопасности и санитарным нормам, предъявляемым к терминалам ПЭВМ;

    • использовать для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или криптографические средства защиты информации;

    • установить на обособленных производствах и в структурных подразделениях порядок учета, хранения и уничтожения носителей информации на магнитной (магнитно-оптической) и бумажной основе;

    • на обособленных производствах и в структурных подразделениях разработать и ввести в действие разрешительную систему допуска исполнителей к документам и сведениям, составляющим коммерческую тайну объединения.

    2. Решение о составе и содержании организационно - технических мероприятий, а также используемых средств защиты информации, принимается начальником отдела режима и безопасности объединения по результатам обследования действенности системы защиты информации с учетом важности защищаемой ею информации.

    4. Порядок защиты конфиденциальной информации при эксплуатации АС.

    1. Эксплуатация АС и СЗИ осуществляется в соответствии с инструкциями по эксплуатации СЗИ НСД для пользователей и отдела режима и безопасности.

    2. Для обеспечения защиты информации в процессе эксплуатации необходимо соблюдение следующих основных требований:

    • допуск к защищаемой информации лиц, работающих в АС, производится в соответствии с порядком допуска, установленным разрешительной системой;

    • во время обработки защищаемой информации в помещениях, где размещаются ОТС, разрешено находиться лицам, допущенным к КИ в установленном порядке;

    • допуск в помещения, где размещаются ОТС, других сотрудников объединения разрешен только с санкции начальника отдела режима и безопасности объединения;

    • в случае размещения в одном помещении нескольких технических средств отображения защищаемой информации, должен быть исключен несанкционированный просмотр выводимой на них информации;

    • по окончании обработки защищаемой информации исполнитель обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти с обязательной последующей перезагрузкой ПЭВМ;

    • при перемещении или увольнении пользователя АС должны быть приняты меры по оперативному изменению паролей и ключей шифрования доступа к АС.

    3. Учет носителей информации (гибкие магнитные диски, съемные накопители информации, картриджи, съемные пакеты дисков, магнитные ленты и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой основе осуществляется по карточкам или журналам установленной формы.

    Журнальная форма учета носителей информации может использоваться в АС с небольшим объемом документооборота конфиденциальной информации.

    4. Учет съемных носителей информации на магнитной или оптической основе в зависимости от характера или длительности использования допускается производить совместно с другими документами по установленным для этого учетным формам.

    5. Сотрудник, ответственный за учет съемных носителей информации, перед работой проставляет на каждом носителе информации следующие учетные реквизиты:

    • учетный номер носителя информации;

    • дата постановки носителя на учет;

    • пометка «Для служебного пользования»;

    • номер экземпляра и другие возможные реквизиты;

    • подпись сотрудника, идентифицировавшего данный носитель информации.

    6. Распечатки текстовой и графической информации на бумажной (пластиковой) основе допускается учитывать совместно с другими печатными документами по установленным для этого учетным формам.

    7. Временно не используемые носители информации хранятся его пользователем в местах, недоступных для посторонних лиц.

    5. Защита конфиденциальной информации при работе на ПЭВМ.

    1. Автоматизированное рабочее место на базе автономной ПЭВМ является автоматизированной системой, обладающей всеми основными признаками АС.

    Информационным каналом обмена между рабочими местами на базе автономных ПК являются носители информации на магнитной или бумажной основе.

    2. Порядок эксплуатации рабочего места на базе автономной ПЭВМ по составу работ по защите информации, организационной, проектной и эксплуатационной документации должен отвечать требованиям настоящего положения.

    3. Классификация рабочих мест на базе автономных ПЭВМ проводят в зависимости от режима обработки информации:

    • АС на базе автономной ПЭВМ, в которой работает один пользователь, допущенный ко всей информации, относится к 3 группе;

    • АС на базе автономной ПЭВМ, в которой последовательно работают несколько пользователей с равными правами доступа к информации, относится ко 2 группе;

    • АС на базе автономной ПЭВМ, в которой последовательно работают несколько пользователей с разными правами доступа к информации, относится к 1 группе.

    При использовании съемных накопителей большой емкости, АС классифицируются по режиму доступа пользователя к этому съемному накопителю.

    6. Защита информации при использовании съемных накопителей.

    1. Данная технология предусматривает запись на съемный накопитель информации большой емкости системного и прикладного программного обеспечения одновременно, а также обрабатываемой информации одного пользователя или группы пользователей.

    Для работы по этой технологии используют накопители на магнитном или лазерном диске различной конструкции, как съемные, так и выносные, при этом одновременно может быть установлено несколько съемных накопителей большой емкости.

    Данная технология разрешает исключить необходимость хранения на ПЭВМ в нерабочее время подлежащей защите информации, что позволяет отказаться от средств защиты информации от несанкционированного доступа и средств физической защиты помещений, в которых выполняются работы на ПЭВМ.

    Несъемные накопители должны быть исключены из конфигурации ПЭВМ.

    2. Обмен конфиденциальной информацией между рабочими местами должен осуществляться только на учтенных носителях информации, при этом все исполнители обязаны иметь допуск к переносимой между рабочими местами информации.

    3. На рабочих местах, используемых для технологии записи информации на съемный накопитель информации большой емкости, во время работы не допускается наличие на рабочих местах исполнителей неучтенных накопителей информации.

    В случае формирования конфиденциальных документов с текстовой и графической информацией, представленной на незащищенных накопителях информации, указанные накопители информации должны быть «закрыты на запись».

    4. Технология обработки информации с использованием съемных накопителей информации большой емкости согласовывается с начальником отдела безопасности.

    7. Защита информации в локальных вычислительных сетях.

    1. Характерной особенностью ЛВС является распределенное хранение файлов, удаленная обработка данных и передача сообщений, а также сложность проведения контроля за работой пользователей и состоянием безопасности ЛВС.

    2. Средства защиты информации от несанкционированного доступа в ЛВС должны применяться во всех узлах ЛВС независимо от наличия или отсутствия конфиденциальной информации в данном узле ЛВС.

    3. Информация, составляющая служебную тайну и персональные данные сотрудников, может обрабатываться в изолированной ЛВС, расположенной в пределах контролируемой зоны, или при обязательном соблюдении условий, изложенных в пунктах 5.8.4 и 5.8.5 настоящего положения.

    4. Для управления и распределения системных ресурсов в ЛВС, включая управление средствами защиты обрабатываемой, хранимой и передаваемой в ЛВС информации, может быть назначен администратор по безопасности информации, имеющий необходимый уровень доступа к защищаемой информации ЛВС.

    5. Персональный состав пользователей ЛВС определяется соответствующим распоряжением начальника отдела режима и безопасности объединения с обязательной регистрацией изменений состава, прав и привилегий пользователей локальной вычислительной сети.

    6. Каждый пользователь ЛВС должен иметь персональный идентификатор и пароли, используемые при обработке информации, а также для защиты информации при передаче ее по каналам связи и для систем электронной цифровой подписи.

    8. Защита информации при межсетевом взаимодействии.

    1. Положения этого раздела положения по защите информации относятся к взаимодействию локальных сетей, когда локальная вычислительная сеть не имеет выхода в сети общего пользования типа «Internet».

    2. Взаимодействие ЛВС с другими сетями должно контролироваться с точки зрения защиты информации, при этом оборудование коммуникации и все соединения с периферийными устройствами ЛВС должны располагаться в пределах КЗ.

    3. При конфигурировании оборудования коммуникации и прокладке кабельной системы ЛВС рекомендуется учитывать разделение трафика по отдельным сетевым фрагментам на производственной основе и видам деятельности предприятия.

    4. Подключение ЛВС к другой системе иного класса защищенности информации должно осуществляться с использованием межсетевых экранов, обеспечивающих защиту ЛВС от несанкционированного доступа к информации.

    5. Для защиты конфиденциальной информации при ее передаче по каналам связи между АС необходимо использовать межсетевые экраны следующего класса:

    • для АС класса 1Г устанавливается межсетевой экран не ниже класса 4;

    • для АС класса 1Д, 2Б, 3Б устанавливается межсетевой экран класса 5 и выше.

    Если каналы связи выходят за пределы КЗ, необходимо использовать защищенные каналы связи, волоконно-оптические линии или криптографические средства защиты.

    9. Защита информации при работе с базами данных.

    1. При работе с базами данных (БД) необходимо учитывать следующие особенности защиты информации от несанкционированного доступа к БД:

    • в БД может накапливаться большой объем интегрированной информации по различным направлениям, предназначенной для различных пользователей;

    • БД могут быть физически распределены по различным устройствам и узлам сети;

    • БД могут включать информацию различного уровня конфиденциальности;

    • разграничение доступа к БД может осуществляться только на уровне файлов БД;

    • регистрация действий пользователей при работе с БД может осуществляться только системами управления базами данных, если таковые имеются;

    2. С учетом указанных особенностей при создании БД рекомендуется:

    • при выборе систем управления базами данных применять системы. включающие средства защиты информации, имеющие дополнения в виде СЗИ НСД;

    • при использовании систем управления базами данных, не имеющих средств разграничения доступа, разбивать БД на отдельные файлы, разграничение доступа к которым можно проводить средствами системы защиты информации от НСД.

    1   2   3   4   5


    написать администратору сайта