Методический документ. Меры защиты информации в государствен. Методический документ. Меры защиты информации в государственных информационных системах
 Скачать 1.36 Mb.
|
|
а) контроль доступа к временным файлам; б) удаление временных файлов по завершении сеанса работы с ними. Содержание базовой меры ОПС.4:
3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ) ЗНИ.1 УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ Требования к реализации ЗНИ.1: Оператором должен быть обеспечен учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации. Учету подлежат: съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства); портативные вычислительные устройства, имеющие встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства); машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках). Учет машинных носителей информации включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера. Учет съемных машинных носителей информации ведется в журналах учета машинных носителей информации. Учет встроенных в портативные или стационарные технические средства машинных носителей информации может вестись в журналах материально-технического учета в составе соответствующих технических средств. При использовании в составе одного технического средства информационной системы нескольких встроенных машинных носителей информации, конструктивно объединенных в единый ресурс для хранения информации, допускается присвоение регистрационного номера техническому средству в целом. Регистрационные или иные номера подлежат занесению в журналы учета машинных носителей информации или журналы материально-технического учета с указанием пользователя или группы пользователей, которым разрешен доступ к машинным носителям информации. Раздельному учету в журналах учета подлежат съемные (в том числе портативные) перезаписываемые машинные носители информации (флэш-накопители, съемные жесткие диски). Требования к усилению ЗНИ.1: 1) оператором обеспечивается маркировка машинных носителей информации (технических средств), дополнительно включающая: а) информацию о возможности использования машинного носителя информации вне информационной системы; б) информацию о возможности использования машинного носителя информации за пределами контролируемой зоны (конкретных помещений); в) атрибуты безопасности, указывающие на возможность использования этих машинных носителей информации для обработки (хранения) соответствующих видов информации; 2) оператором обеспечивается маркировка машинных носителей информации (технических средств), дополнительно включающая неотторгаемую цифровую метку носителя информации для обеспечения возможности распознавания (идентификации) носителя в системах управления доступом; 3) оператором обеспечиваться маркировка машинных носителей информации (технических средств), дополнительно включающая использование механизмов распознавания (идентификации) носителя информации по его уникальным физическим характеристикам. Содержание базовой меры ЗНИ.1:
ЗНИ.2 УПРАВЛЕНИЕ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ ИНФОРМАЦИИ Требования к реализации ЗНИ.2: Оператором должны быть реализованы следующие функции по управлению доступом к машинным носителям информации, используемым в информационной системе: определение должностных лиц, имеющих физический доступ к машинным носителям информации, а именно к следующим: съемным машинным носителям информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства); портативным вычислительным устройствам, имеющим встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства); машинным носителям информации, стационарно устанавливаемым в корпус средств вычислительной техники (например, накопители на жестких дисках); предоставление физического доступа к машинным носителям информации только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций); Правила и процедуры доступа к машинным носителям информации регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.2: 1) применение автоматизированной системы контроля физического доступа в помещения, в которых осуществляется хранение машинных носителей информации; 2) опечатывание корпуса средства вычислительной техники, в котором стационарно установлен машинный носитель информации; 3) в информационной системе должно обеспечиваться применение программных (программно-технических) автоматизированных средств управления физическим доступом к машинным носителям информации; 4) контроль физического доступа лиц к машинным носителям информации в соответствии с атрибутами безопасности, установленными для этих носителей. Содержание базовой меры ЗНИ.2:
ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ Требования к реализации ЗНИ.3: Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны. При контроле перемещения машинных носителей информации должны осуществляться: определение должностных лиц, имеющих права на перемещение машинных носителей информации за пределы контролируемой зоны; предоставление права на перемещение машинных носителей информации за пределы контролируемой зоны только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функций); учет перемещаемых машинных носителей информации в соответствии с ЗНИ.1; периодическая проверка наличия машинных носителей информации. Правила и процедуры контроля перемещения машинных носителей информации регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.3: 1) оператором информационной системы определяются задачи (виды деятельности, функции), для решения которых необходимо перемещение машинных носителей информации за пределы контролируемой зоны; 2) применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации, хранимой на носителе, при перемещении машинных носителей информации за пределы контролируемой зоны; 3) оператором определяется должностное лицо, ответственное за перемещение машинных носителей информации; 4) оператором информационной системы осуществляется периодическая проверка машинных носителей информации после их возврата в пределы контролируемой зоны. Содержание базовой меры ЗНИ.3:
ЗНИ.4 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ НЕСАНКЦИОНИРОВАННОГО ОЗНАКОМЛЕНИЯ С СОДЕРЖАНИЕМ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА МАШИННЫХ НОСИТЕЛЯХ, И (ИЛИ) ИСПОЛЬЗОВАНИЯ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ИНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ Требования к реализации ЗНИ.4: Оператором должно обеспечиваться исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах. Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах должно предусматривать: определение типов машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации); физический контроль и хранение машинных носителей информации в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации); защита машинных носителей информации до уничтожения (стирания) с них данных и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов) с использованием средств стирания данных и остаточной информации. Правила и процедуры управления, направленные на исключение несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах, регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.4: 1) оператором должны применяться средства контроля съемных машинных носителей информации; 2) оператором должны применяться в соответствии с законодательством Российской Федерации криптографические методы защиты информации, хранящейся на машинных носителях; 3) оператором должен быть определен перечень машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации). Содержание базовой меры ЗНИ.4:
ЗНИ.5 КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ИНТЕРФЕЙСОВ ВВОДА (ВЫВОДА) Требования к реализации ЗНИ.5: В информационной системе должен осуществляться контроль использования интерфейсов ввода (вывода). Контроль использования (разрешение или запрет) интерфейсов ввода (вывода) должен предусматривать: определение оператором интерфейсов средств вычислительной техники, которые могут использоваться для ввода (вывода) информации, разрешенных и (или) запрещенных к использованию в информационной системе; определение оператором категорий пользователей, которым предоставлен доступ к разрешенным к использованию интерфейсов ввода (вывода); принятие мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода); контроль доступа пользователей к разрешенным к использованию интерфейсов ввода (вывода). В качестве мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода), могут применяться: опечатывание интерфейсов ввода (вывода); использование механических запирающих устройств; удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода); применение средств защиты информации, обеспечивающих контроль использования интерфейсов ввода (вывода). Правила и процедуры контроля использования интерфейсов ввода (вывода) регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.5: 1) в информационной системе должна быть обеспечена регистрация использования интерфейсов ввода (вывода) в соответствии с РСБ.3; 2) оператором обеспечивается конструктивное (физическое) исключение из средства вычислительной техники запрещенных к использованию интерфейсов ввода (вывода); 3) оператором информационной системы обеспечивается программное отключение запрещенных к использованию интерфейсов ввода (вывода). Содержание базовой меры ЗНИ.5:
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||