Положение по технической защите конфиденциальной информации. ПСБ-004 положение по защите КИ. Акционерное общество научнопроизводственное объединение
Скачать 276.5 Kb.
|
Глава 6. Обеспечение защиты информации в информационных сетях. 1. Общие положения. 1. В настоящем разделе приведены рекомендации, определяющие условия и порядок подключения к информационным сетям общего пользования (ИС), а также рекомендации по обеспечению безопасности конфиденциальной информации, режим защиты которой определяет объединение, как собственник коммерческой тайны. 2. При работе пользователей обособленных производств и структурных подразделений в информационных сетях общего пользования необходима защита информации от следующих угроз безопасности: несанкционированный доступ из ИС к конфиденциальной информации, которая обрабатывается или хранится во внутренних ЛВС или на автономных ПЭВМ; несанкционированный доступ из ИС к оборудованию коммуникации или серверу, соединяющему ЛВС объединения с информационными сетями общего пользования; несанкционированный доступ из ИС к данным и сообщениям, передаваемым между внутренними ЛВС и ИС, включая их модификацию, имитацию или уничтожение; заражение программного обеспечения объединения компьютерными вирусами из ИС путем приема зараженных файлов или писем, переданных посредством E - mail; внедрение программных закладок в целях получения НСД к информации, а также дезорганизации работы внутренней ЛВС при ее взаимодействии с ИС; несанкционированная передача защищаемой конфиденциальной информации, находящейся в файлах ЛВС, в информационные сети общего пользования; возможность перехвата информации внутренней ЛВС за счет побочных электромагнитных излучений и наводок от ОТС, обрабатывающих информацию. 2. Условия подключения абонентского пункта объединения к ИС. 1. Подключение абонентского пункта объединения (АПО) к ИС производится на основании приказа генерального директора объединения, содержащего: назначение сотрудника объединения, имеющего статус администратора АПО; перечень сотрудников объединения, имеющих статус абонента АПО; наименование ИС, реквизиты объединения и разрешенного провайдера ИС; перечень технических средств, необходимых для оборудования АПО; прикладные протоколы ИС, используемые для входа в сеть и работы АПО; разрешенный режим подключения АПО к ИС (дневной или временный); состав телекоммуникационного программного обеспечения АПО; перечень IP- адресов предполагаемых абонентов объединения; средства защиты информации абонентского пункта объединения от НСД; перечень сведений конфиденциального характера, обрабатываемых на АПО. 2. Право подключения к информационных сетях общего пользования АПО, не оборудованного средствами защиты информации от НСД, предоставляется только для обработки информации, имеющей оформленную установленным порядком категорию «информация разрешена к открытой публикации». В этом случае к АПО, представляющему собой автономную ПЭВМ с модемом, не предъявляются специальные требования по защите информации от НСД. 3. Право подключения к информационным сетям общего пользования АПО, на котором обрабатывается информация, не разрешенная к открытому опубликованию, разрешается только после установки на АПО средств защиты информации от НСД. 3. Подключение АПО и обеспечение безопасности информации. 1. Подключение АПО производится только через разрешенного провайдера ИС. 2. Подключение АПО к ИС должно осуществляться через межсетевой экран, при этом подключение АПО к ИС в обход межсетевого экрана не допускается. 3. Доступ к межсетевому экрану и к средствам его конфигурирования должен осуществляться только с консоли администратора, при этом средства удаленного управления межсетевым экраном должны быть исключены из конфигурации. 4. С помощью межсетевого экрана АПО должен обеспечивать создание сеансов связи с внешними серверами ИС и получать с внешних серверов только ответы на запросы АПО, при этом настройка МЭ должна обеспечивать отказ любым внешним запросам, которые могут направляться на АПО. 5. На технических средствах АПО устанавливается программное обеспечение только в той конфигурации, которая необходима для выполнения работ, заявленных в обосновании необходимости подключения АПО. 6. Установка программного обеспечения АПО выполняется лицензированными специалистами под контролем администратора АПО. Абонентам АПО запрещено самостоятельно производить модификацию установленного программного обеспечения или устанавливать другое программное обеспечение, однако они могут обратиться к администратору АПО для проведения экспертизы на предмет улучшения характеристик программного обеспечения. 7. При обнаружении факта использования недопущенного к использованию программного обеспечения администратор АПО обязан немедленно отключить рабочее место абонента и поставить об этом в известность руководство объединения. Ответственность за использование не допущенного к использованию программного обеспечения несет абонент АПО, использовавший это программное обеспечение. 8. Система защиты информации НСД, установленная на АПО при обработке конфиденциальной информации, должна осуществлять: идентификацию пользователей при доступе к серверу идентификатору и паролю; контроль доступа к ресурсам сервера на основе дискреционного принципа; регистрацию доступа к ресурсам сервера, включая попытки НСД; регистрацию факта отправки или получения абонентом сообщений и писем. При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных в состав программного обеспечения АПО. Модификация установленного программного обеспечения или установка другого программного обеспечения должна быть доступна только администратору АПО. Средства регистрации в сети и регистрационные данные пользователя должны быть недоступны для абонента АПО. Тестирование всех функций СЗИ НСД с помощью специальных программных средств должно проводиться администратором АПО не реже одного раза в 6 месяцев. 9. Технические средства АПО должны быть размещены в отдельном помещении или в рабочих помещениях абонентов с принятием организационных и технических мер, исключающих несанкционированную работу сотрудников объединения в ИС. 10. В помещениях, в которых установлены технические средства АПО или осуществляется работа в ИС, ведение конфиденциальных переговоров запрещается. В нерабочее время помещение АПО сдается под охрану в установленном порядке. 11. При создании абонентского пункта объединения рекомендуется: размещать МЭ для связи с ИС, Web-серверы и почтовые серверы в отдельном защищенном помещении, доступ в которое имеет администратор и абоненты АПО; периодически проверять работу межсетевого экрана сканером, имитирующим внешние атаки сервер АПО; использовать имеющиеся средства разграничения доступа, включающие контроль по списку доступа и идентификацию пользователей; для контроля правомерности использования АПО и выявления нарушений работы СЗИ осуществлять анализ обрабатываемой информации, в т.ч. на наличие вирусов; направлять копии отсылаемых файлов и исходящей электронной почты в архив АПО для последующего анализа отправленных сообщений администратором АПО. проводить постоянный контроль за содержанием информации, помещаемой на Web-сервер предприятия, на предмет соответствия ее для открытой публикации. 12. Доступ в ИС предоставляется, исходя из принципа минимальной достаточности: абонент, работающий с информацией, имеет доступ только к серверу информации; абонент, работающий с E-mail, имеет доступ только к почтовому серверу; сотрудник, которому не требуются услуги ИС, не имеет допуск к ресурсам сети. 13. Организационные вопросы обеспечения безопасности информации на АПО должны быть отражены в инструкции, определяющей: порядок подключения и регистрации абонентов в ИС; порядок установки на АПО программного обеспечения и его новых версий; порядок применения СЗИ НСД при взаимодействии абонентов с ИС; порядок работы абонентов с электронной почтой E-mail; порядок доступа к внутренним и внешним Web-серверам; порядок оформления разрешений на отправку сообщений в ИС; обязанности администратора и абонентов по обеспечению безопасности на АПО; порядок контроля за обеспечением безопасности информации и работой абонентов 14. К самостоятельной работе на АПО допускаются абоненты, ознакомленные с требованиями по обеспечению безопасности информации при взаимодействии с другими абонентами ИС и сдавшие соответствующие зачеты по правилам работы и требованиям по обеспечению безопасности информации при работе в сети. 15. Абоненты абонентского пункта объединения обязаны: знать порядок регистрации и взаимодействия пользователей в ИС; знать инструкцию по обеспечению безопасности информации при работе на АПО; знать правила работы с техническими средствами защиты информации от НСД; уметь пользоваться программными средствами антивирусной защиты; по окончанию работы в ИС проверить свое рабочее место на отсутствие вирусов. 16. Входящие и исходящие сообщения, а также используемые при работе в ИС носители информации учитываются в журналах несекретного делопроизводства, при этом на каждый носитель информации наносится маркировка «Допуск использования только в сети ……….....................................…….. ». 17. Для приемки АПО в эксплуатацию приказом по объединению назначается аттестационная комиссия, проверяющая выполнение требований и рекомендаций, установленных статьями настоящего положения. 18. По результатам работы аттестационной комиссии оформляется заключение, в котором отражаются следующие сведения: состав, конфигурация и номера выделенных технических средств АПО; состав программного обеспечения, в том числе IP-адреса доступа в ИС; состав СЗИ НСД, антивирусных средств, средств по защите информации от утечки; содержание инструкции по обеспечению безопасности информации на АПО. 19. При работе в информационной сети общего пользования запрещается: подключать технические средства, имеющие выход в ИС, к другим техническим средствам или сетям, не включенным в перечень оборудования АПО; изменять состав и конфигурацию программных и технических средств АПО без письменного разрешения (санкции) администратора АПО; производить отправку или прием данных без соответствующего разрешения; использовать носители информации с маркировкой «Допуск использования только в сети …….........................……….. » на рабочих местах других систем. в т. ч. и автономных ПЭВМ без соответствующей санкции администратора АПО. 20. Ведение учета абонентов АПО организуется в порядке, установленном администратором АПО по согласованию с отделом режима и безопасности. 21. Контроль за выполнением мероприятий по обеспечению безопасности информации на АПО возлагается на администраторов АПО, а также начальника отдела режима и безопасности объединения. Глава 7. Лист внесения изменений.
|