Add to collection(s) Add to saved
  1. No category

4. Защита информации в Московской области

advertisement 
Для служебного пользования
Экз. № ___
УТВЕРЖДАЮ
Вице-губернатор Московской области Председатель Московской областной комиссии
по информационной безопасности
А.Б. Пантелеев
«____ »___________2005 г.
Методические рекомендации
по защите информации в органах государственной
власти Московской области и муниципальных
образованиях Московской области
Одобрены на заседании Московской областной комиссии по информационной
безопасности 19 июля 2005 года.
Москва 2005
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
Методические рекомендации предназначены для практической работы по защите
информации в
органах государственной власти Московской области и муниципальных
образованиях Московской области.
Методические рекомендации разработаны на основе действующих в Российской
Федерации законодательных и руководящих документов по защите информации.
2
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
Оглавление
Оглавление ........................................................................................................................................3
Введение .............................................................................................................................................4
1.
Информационные ресурсы Московской области ..............................................................5
2.
Объекты защиты информации в Московской области ....................................................7
3.
Угрозы информационной безопасности Московской области ........................................9
4.
Защита информации в Московской области ....................................................................12
4.1.
4.2.
4.3.
4.4.
Цели защиты информации ..............................................................................................12
Задачи защиты информации............................................................................................13
Организационная структура системы защиты информации ........................................15
Организация работ по защите информации ..................................................................17
5.
Условные обозначения ..........................................................................................................20
6.
Руководящие документы по защите информации...........................................................21
6.1.
6.2.
6.3.
6.4.
7.
Основные Федеральные законы, постановления, положения .....................................21
Законы Московской области ...........................................................................................21
Постановление Губернатора Московской области .......................................................22
Постановления Правительства Московской области ...................................................22
Организация работ по защите информации в Московской области ...........................23
Основные мероприятия по защите информации...........................................................23
Основные направления деятельности органов государственной власти Московской
области и муниципальных образований Московской области по технической
защите информации.........................................................................................................24
7.2.1.
Постановка задачи ....................................................................................................24
7.2.2.
Организационные мероприятия и подготовка документов ..................................24
7.2.3.
Подготовка организационно-распорядительных документов .............................25
7.2.4.
Организация защиты выделенных помещений .....................................................27
7.2.5.
Организация защиты информации на объектах вычислительной техники ........27
7.2.6.
Эффективность организации работ по защите информации от НСД..................28
7.2.7.
Эффективность организации работ по защите информации, обрабатываемой в
локальных вычислительных сетях ..........................................................................29
7.2.8.
Эффективность организации работ по защите информации, обрабатываемой
АС, при их подключении к международным информационным системам ........29
7.2.9.
Эффективность организации работ по защите информации при использовании
цифровых АТС ..........................................................................................................30
7.2.10. Организация защиты средств изготовления и размножения документов .........30
7.2.11. Типовые недостатки в общей организации работ по защите информации ........30
7.2.12. Типовые недостатки в организации работ по защите
объектов информатизации .......................................................................................31
7.1.
7.2.
8. Приложение .................................................................................................................................32
3
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
Введение
Защита информации является видом основной деятельности органов государственной
власти
Московской области и муниципальных образований Московской области и
достигается путем проведения комплекса правовых, организационно-технических и
методических мероприятий, направленных на предотвращение или преодоление угроз
безопасности информации в зависимости от условий функционирования и решаемых задач.
Проведение указанного комплекса мероприятий по защите информации должно
основываться на определении:
-
источников угроз безопасности информации, вероятности реализации угроз на
конкретных объектах (от кого защищать информацию);
-
перечней объектов защиты (что защищать);
-
средств и методов защиты информации (как защищать).
4
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
1. Информационные ресурсы Московской области
Информационное обеспечение деятельности органов управления Московской
области осуществляется на основе:
-
информации, создаваемой, обрабатываемой и накапливаемой в процессе
деятельности органов управления Московской области;
-
информации, приобретаемой за счет средств областного бюджета;
-
информации, полученной по договорам об информационном обмене;
-
информации, полученной органами управления Московской области на иных
основаниях, предусмотренных законодательством Российской Федерации и
законодательством Московской области.
На территории Московской области формируются и используются следующие
информационные ресурсы:
-
государственные информационные ресурсы (в том числе составляющие
государственную
тайну
и
содержащие
конфиденциальную
информацию) - это информационные ресурсы, право собственности, на
которые принадлежит Российской Федерации или Московской области,
как субъекту Российской Федерации;
-
муниципальные информационные ресурсы - это информационные ресурсы, право
собственности на которые принадлежит муниципальным образованиям;
-
информационные ресурсы организаций и общественных объединений;
-
информационные ресурсы физических лиц;
-
информационные ресурсы, находящиеся в смешанной собственности двух или
более собственников, управление которыми осуществляется в соответствии
с действующим законодательством.
В соответствии со статьей 10 Федерального закона «Об информации,
информатизации и защите информации» государственные информационные ресурсы
Российской Федерации являются открытыми и общедоступными. Исключение составляет
документированная информация, отнесенная законом к категории - информация с
ограниченным доступом.
Документированная информация с ограниченным доступом по условиям ее
правового режима подразделяется на информацию, отнесенную к государственной тайне, и
конфиденциальную.
5
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
Вышеуказанная информация (информационные ресурсы)
накапливается
и
обрабатывается в служебных помещениях, информационных системах и сетях органов
государственной власти Московской области и муниципальных образований Московской
области. Системы и средства формирования, распространения и использования
информационных ресурсов в Московской области включают в себя информационные
системы различного класса и назначения, библиотеки, архивы, базы и банки данных,
информационные технологии, регламенты и процедуры сбора, обработки, хранения и
передачи информации, научно-технический и обслуживающий персонал.
В соответствии с требованиями Федерального закона «Об информации,
информатизации и защите информации» для определения состава государственных
информационных ресурсов, режима их защиты и использования необходимо провести
инвентаризацию всех государственных информационных ресурсов.
6
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
2. Объекты защиты информации в Московской области
К объектам защиты информации в Московской области относятся:
-
сведения, составляющие государственную тайну, в соответствии с выписками из
перечней сведений, подлежащих засекречиванию в министерствах, ведомствах и
организациях, с которыми осуществляется взаимодействие;
-
информационные ресурсы, содержащие документированную информацию, в
соответствии с перечнем сведений конфиденциального характера;
-
ключевые системы информационной инфраструктуры (автоматизированные
системы, участвующие в управлении экологически опасными объектами, а также
комплексами жизнеобеспечения Московской области);
-
а также другая информация, защита которой предусмотрена законодательными
актами
Российской Федерации
в целях обеспечения ее целостности и
достоверности;
-
средства и системы информатизации (средства вычислительной техники,
информационные системы и сети), программные средства (операционные
системы, системы управления базами данных, другое общесистемное и
прикладное программное обеспечение), автоматизированные системы управления,
системы связи и передачи данных, осуществляющие прием, обработку, хранение и
передачу информации с ограниченным доступом, их информативные физические
поля;
-
информационные услуги, информационные технологии, а также средства их
обеспечения;
-
технические средства и системы, обрабатывающие открытую информацию, но
размещенные
в
помещениях,
в
которых
обрабатывается
информация
с
ограниченным доступом, а также сами помещения, предназначенные для
обработки такой информации;
-
помещения, предназначенные для ведения переговоров, в ходе которых
обсуждается информация с ограниченным доступом.
Субъектами правоотношений в информационной сфере являются:
-
юридические и физические лица, производящие и потребляющие информацию;
-
юридические
и
физические
лица,
разрабатывающие
и
применяющие
информационные системы, технологии и средства их обеспечения;
7
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
-
органы государственной власти и местного самоуправления;
-
граждане,
организации,
предприятия,
учреждения,
формирующие
информационные ресурсы и предоставляющие пользователям информацию из них;
-
государственные структуры и должностные лица, обеспечивающие безопасность
информации.
8
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
3. Угрозы информационной безопасности Московской области
Основными угрозами информационной безопасности Московской области являются:
1.
Деятельность
человека,
непосредственно
и
опосредовано
влияющая
на
информационную безопасность и являющаяся основным источником угроз.
2. Отказы и неисправности средств информатизации.
3. Стихийные бедствия и катастрофы.
Источники угроз информационной безопасности делятся на внешние и внутренние.
Внешние угрозы исходят от природных явлений (стихийных бедствий), катастроф, а
также от субъектов, не входящих в состав пользователей и обслуживающего персонала
системы,
разработчиков
системы,
и
не
имеющих
непосредственного
контакта
с
информационными системами и ресурсами.
Внутренние угрозы исходят от пользователей и обслуживающего персонала системы,
разработчиков системы, других субъектов, вовлеченных в информационные процессы, и
имеющих непосредственный контакт с информационными системами и ресурсами, как
допущенных, так и не допущенных к секретным (конфиденциальным) сведениям.
Реализуются угрозы по отношению к защищаемым объектам возможными способами
нарушения информационной безопасности, которые могут быть разделены на:
-
информационные;
-
программно-математические;
-
физические;
-
радиоэлектронные;
-
организационно-правовые.
К информационным способам нарушения информационной безопасности относятся:
-
противозаконный сбор, распространение и использование информации;
-
манипулирование информацией (дезинформация, сокрытие или искажение
информации);
-
незаконное копирование данных и программ;
-
незаконное уничтожение информации;
-
хищение информации из баз и банков данных;
-
нарушение адресности и оперативности информационного обмена;
9
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
-
нарушение технологии обработки данных и информационного обмена.
К программно-математическим способам нарушения информационной безопасности
относятся:
-
внедрение программ-вирусов;
-
внедрение программных закладок на стадии проектирования или эксплуатации
системы и приводящих к компрометации системы защиты информации.
К физическим способам нарушения информационной безопасности относятся:
-
уничтожение, хищение и разрушение средств обработки и защиты информации,
средств связи, целенаправленное внесение в них неисправностей;
-
уничтожение, хищение и разрушение машинных или других оригиналов
носителей информации;
-
хищение ключей (ключевых документов) средств криптографической защиты
информации, программных или аппаратных ключей средств защиты информации
от несанкционированного доступа;
-
воздействие на обслуживающий персонал и пользователей системы с целью
создания благоприятных условий для реализации угроз информационной
безопасности;
-
диверсионные действия по отношению к объектам информационной безопасности.
К радиоэлектронным способам нарушения информационной безопасности относятся:
-
перехват информации за счет её утечки по техническим каналам;
-
перехват и дешифрование информации в сетях передачи данных и линиях связи;
-
внедрение электронных устройств перехвата информации в технические средства
и помещения;
-
навязывание ложной информации по сетям передачи данных и линиям связи;
-
радиоэлектронное подавление линий связи и систем управления.
К организационно-правовым способам нарушения информационной безопасности
относятся:
-
закупка
несовершенных,
устаревших
или
неперспективных
средств
информатизации и информационных технологий;
10
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
-
невыполнение требований законодательства и задержки в разработке и принятии
необходимых нормативных правовых и технических документов в области
информационной безопасности.
Результатами реализации угроз информационной безопасности и осуществления
воздействия на информационные ресурсы, информационные системы и процессы в общем
случае являются:
-
нарушение секретности (конфиденциальности) информации (разглашение, утрата,
хищение, утечка, перехват и т.д.);
-
нарушение целостности информации (уничтожение, искажение и т.д.);
-
нарушение доступности информации и работоспособности информационных
систем (блокирование данных и информационных систем, разрушение элементов
информационных систем, компрометация системы зашиты информации и т.д.).
11
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
4. Защита информации в Московской области
4.1.
Цели защиты информации
Главной целью обеспечения защиты информации Московской области является
создание благоприятных условий для социальной стабильности и экономического развития
области, обеспечения законности и правопорядка, формирования современных систем
электронного взаимодействия органов власти и населения, обеспечивающих целостность,
доступность и достоверность информации, а также защиту информации ограниченного
доступа от утечки.
Основными целями обеспечения информационной безопасности Московской области
являются:
-
обеспечение безопасности информационных ресурсов органов государственной
власти, организаций, предприятий
и населения Московской
области
от
несанкционированного доступа, обеспечение их целостности, доступности и
достоверности, в том числе информационных ресурсов, содержащих сведения,
составляющих государственную тайну и конфиденциальную
информацию
в
соответствии с федеральным законодательством;
-
содействие
экономическому,
научно-техническому
прогрессу
Московской
области, обеспечению ее безопасности и устойчивого развития;
-
обеспечение органов управления Московской области, предприятий, организаций
и
граждан
Московской
области
достоверной, полной
и своевременной
информацией для принятия решений в процессах повседневной деятельности и в
кризисных ситуациях.
-
обеспечение
защиты
информационных
технологий,
защищенности
информационных и телекоммуникационных систем от преступлений и актов
терроризма, совершаемых с использованием уязвимостей информационных
технологий;
-
обеспечение конституционных прав граждан на сохранение личной тайны и
конфиденциальности персональных данных, имеющихся в информационных
системах органов управления Московской области. Предотвращение угроз
безопасности личности, общества, государства;
12
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
-
предотвращение несанкционированных действий по уничтожению, модификации,
искажению,
копированию,
блокированию
и
подделки
информации;
предотвращение других форм незаконного вмешательства в информационные
ресурсы и информационные системы.
Разработка
и
осуществление
мероприятий,
направленных
на
достижение
вышеуказанных целей должны проводиться в соответствии с принципами: всеобщей
обязательности, правовой обусловленности, универсальности, превентивности, разумной
достаточности, дифференцированности, разграничения функций и разделения полномочий.
4.2.
Задачи защиты информации
Задачами защиты информации в Московской области являются:
-
исключение
или
существенное
затруднение
добывания
информации
циркулирующей в органах управления Московской области путем предотвращения
утечки информации по техническим каналам, несанкционированного доступа к
ней, специальных воздействий на информацию с целью ее разрушения,
уничтожения, искажения и блокирования;
-
защита государственных информационных ресурсов в органах управления
Московской области. Координация деятельности органов управления Московской
области по защите информации;
-
сохранение и эффективное использование информационных ресурсов Московской
области;
-
разработка и реализация сбалансированной политики информационной безопасности
Московской области;
-
создание механизмов прогнозирования, выявления и оценки источников угроз
информационной безопасности Московской области, анализа возможностей
технических средств разведки, несанкционированного доступа к информации;
разработка предложений по совершенствованию нормативной и правовой базы
обеспечения
информационной
безопасности
Московской
области
при
осуществлении повседневной деятельности и в кризисных ситуациях, обеспечение
правовой защиты субъектов информационных отношений;
13
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
-
определение и учет информационных ресурсов, баз данных, систем и средств
формирования, передачи, хранения, обработки и распространения информации,
подлежащей защите;
-
подготовка предложений по совершенствованию правового, нормативного,
методического, научно-технического и организационного обеспечения защиты
информации на объектах Московской области. Создание необходимой четкой,
непротиворечивой и достаточной нормативной правовой базы защиты информации
Московской области. Принятие в пределах компетенции нормативных правовых
актов, регулирующих отношения в области защиты информации;
-
создание
технологической,
материально-технической
базы
информационной
безопасности;
-
унификация требований к обеспечению информационной безопасности. Создание
типовых
технологий
защиты
информационных
ресурсов
и
объектов
информатизации, обеспечивающих установленные требования безопасности;
-
создание комплексной системы информационной безопасности и контроля
эффективности применяемых мер и средств защиты; Разработка механизмов
своевременного выявления, прогнозирования, локализации и блокирования угроз
безопасности, оперативного реагирования на проявления негативных тенденций в
использовании информационных ресурсов и систем;
-
обеспечение надежного функционирования информационных систем органов
управления
Московской
области.
Предупреждение
посягательств
на
информационные ресурсы Московской области;
-
защита информационных систем органов управления Московской области при
осуществлении
международного
информационного
обмена
посредством
информационных систем, сетей и сетей связи, включая международную ассоциацию
сетей «Интернет».
-
разработка областных целевых программ по защите информационных ресурсов и
средств информатизации;
-
выявление ключевых проблем и определение приоритетных направлений развития
системы защиты информации в Московской области;
-
проведение практических мероприятий по созданию и развитию системы защиты
информации в Московской области. Обеспечение развития систем защиты
14
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
информации одновременно с процессом совершенствования информационной
инфраструктуры Московской области, совершенствование ее организации, форм,
а также экономически обоснованных методов и средств предотвращения и
нейтрализации угроз информационной безопасности и ликвидации последствий
ее нарушения;
источника
формирование
экономии
единого информационного пространства
бюджетных
средств,
за
счет
создания
-
единой
технологической платформы, оптимизации и централизации информационных
ресурсов
-
контроль и анализ состояния защиты информации в государственных и
муниципальных органах и организациях;
-
совершенствование и развитие системы подготовки специалистов по защите
информации.
4.3.
Организационная структура системы защиты информации
Реализация единой государственной политики в области защиты информации, а также
обеспечение выполнения требований законодательных и руководящих документов по защите
информации в Московской области достигается с помощью созданной системы защиты
информации.
Организационную структуру системы защиты информации на региональном уровне
образуют:
-
Московская областная комиссия по информационной безопасности (председатель
комиссии – Вице-губернатор Московской области);
-
отдел
по
координации
мер
защиты
информации
и
безопасности
автоматизированных систем Главного управления региональной безопасности
Московской области, являющийся рабочим органом Московской областной
комиссии по информационной безопасности;
-
руководители исполнительных органов государственной власти
Московской
области и органов местного самоуправления муниципальных образований
Московской области и их подразделения по защите информации (штатные
специалисты по защите информации);
-
руководители территориальных органов федеральных органов исполнительной
власти в Московской области, которые в пределах компетенции обеспечивают
15
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
исполнение законодательства Российской Федерации, положений, нормативноправовых и организационно-распорядительных документов вышестоящих органов
исполнительной власти в области защиты информации;
-
система
аккредитации
специализированных
организаций,
имеющих
соответствующие лицензии для проведения работ по защите информации в
Московской области;
-
система аттестованных объектов информатизации и сертифицированных средств
защиты информации;
-
учебные
заведения,
осуществляющие
подготовку,
профессиональную
переподготовку и повышение квалификации специалистов в области защиты
информации;
-
система нормативных правовых документов по защите информации;
Организационную
структуру
системы
защиты
информации
в
органах
государственной власти и муниципальных образований Московской области образуют:
-
руководители исполнительных органов государственной власти
Московской
области и органов местного самоуправления муниципальных образований
Московской области и их подразделения по защите информации (штатные
специалисты по защите информации);
-
руководители
и
подразделения
по
защите
информации
организаций
и
предприятий, подведомственных Московской области, выполняющих работы со
сведениями, составляющими государственную тайну и (или) допущенных к работе
с информационными ресурсами Московской области (входят в структуру системы
по согласованию).
-
подразделения по технической защите информации (штатные и нештатные
специалисты по защите информации) организаций, имеющих ключевые системы
информационной инфраструктуры (автоматизированные системы, участвующие в
управлении
экологически
опасными
объектами,
а
также
комплексами
жизнеобеспечения Московской области).
Общее руководство деятельностью по обеспечению защиты информации Московской
области осуществляет Губернатор Московской области.
16
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
Непосредственное руководство деятельностью по обеспечению защиты информации в
Московской области осуществляет Вице-губернатор Московской области - председатель
Московской областной комиссии по информационной безопасности.
Ответственность за организацию и состояние обеспечения безопасности информации
в органах управления Московской области, на предприятиях и в организациях области
возлагается на их руководителей. Ответственность за проведение работ по защите
информации с ограниченным доступом возлагается на руководителей подразделений,
эксплуатирующих информационные системы.
Функции, права и полномочия структурных подразделений (штатных специалистов) и
коллегиальных органов, отвечающих за организацию и осуществление мероприятий по
защите информации в государственных и муниципальных органах и организациях,
определяются положениями об этих подразделениях и органах.
4.4.
Организация работ по защите информации
Для организации работ по развитию в Московской области эффективной системы
защиты информации, в Главном управлении региональной безопасности Московской
области создан отдел по координации мер защиты информации и безопасности
автоматизированных систем. Деятельность отдела определяется требованиями Конституции
РФ, федерального законодательства и законодательства Московской области в сфере
информационной безопасности, распоряжениями Губернатора Московской области, а также
требованиями руководящих документов Федеральной службы по техническому и
экспортному контролю.
На
отдел
по
координации
мер
защиты
информации
и
безопасности
автоматизированных систем возложены задачи методического руководства и контроля за
выполнением требований по защите информации в органах государственной власти
Московской области и муниципальных образованиях Московской области.
В целях осуществления единой политики информационной безопасности в
Московской области,
использования эффективных
мер защиты информации, а также
минимизации расходов на их реализацию все работы по защите информации, выполняемые в
органах государственной власти Московской области и муниципальных образованиях
Московской области, подлежат согласованию с Главным управлением
региональной
безопасности Московской области (отделом по координации мер защиты информации и
безопасности автоматизированных систем).
17
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
Для выполнения работ по защите информации в органах государственной власти
Московской области и муниципальных образованиях Московской области необходимо:
1. Создать структурное подразделение (назначить штатных специалистов) по защите
информации.
2. Иметь перечень сведений, составляющих государственную тайну (выписку из
перечня), подлежащих засекречиванию.
3. Иметь перечень сведений (выписку из перечня), отнесенных к конфиденциальной
информации.
4. Разработать «Руководство по защите информации от ее утечки по техническим
каналам».
5. Разработать «Положение о порядке организации и проведения работ по защите
конфиденциальной информации».
6. Разработать «Положение о подразделении по защите информации».
7. Разработать функциональные обязанности сотрудников подразделения по защите
информации.
8. Назначить должностных лиц, ответственных за обеспечение защиты информации
в подразделениях.
9. Разработать (внести необходимые дополнения) функциональные обязанности
должностных лиц, ответственных за обеспечение защиты информации в
подразделениях.
10. Организовать учет лиц, получивших доступ к конфиденциальной информации и
лиц, которым эта информация была предоставлена и передана.
11. Соблюдать учет, размножение и уничтожение
носителей секретной (при
наличии) и конфиденциальной информации в соответствующем подразделении.
12. По решению руководителя создать постоянно действующую техническую
комиссию по защите государственной тайны. Разработать положение о постоянно
действующей технической комиссии.
13. Разработать перечень защищаемых информационных ресурсов и баз данных.
14. Разработать инструкцию о порядке размножения документов с использованием
копировально-множительной техники.
15. Разработать документы по описанию технологического процесса обработки
информации в автоматизированных системах (АС).
18
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
16. Разработать
инструкцию, определяющую порядок представления информации
сторонним организациям по их запросам.
17. Определить
перечень
выделенных
(защищаемых)
помещений,
объектов
вычислительной техники (автоматизированных систем), предназначенных для
обработки (обсуждения) информации с ограниченным доступом, перечень лиц,
ответственных за их эксплуатацию.
18. Определить границы контролируемой зоны организации.
Координаты отдела по координации мер защиты информации и безопасности
автоматизированных систем: г. Москва, ул. Петровка, д. 26.
Телефоны: 923-1923, 923-1872, 923-2802, 8-910- 406 - 4944.
19
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
5. Условные обозначения
АС
ВП
ВТ
ЛВС
НСД
ОБИ
ПД ИТР
ПДТК
СВТ
СИРД
СТР-К
ТЗИ
ФСТЭК
Автоматизированные системы
Выделенное помещение
Вычислительная техника
Локальная вычислительная сеть
Несанкционированный допуск
Обеспечение безопасности информации
Противодействие иностранным техническим разведкам
Постоянно действующая техническая комиссия по защите
государственной тайны
Средства вычислительной техники
Средства изготовления и размножения документов
Специальные требования и рекомендации по технической
защите конфиденциальной информации»
Техническая защита информации
Федеральная служба по техническому и экспортному контролю
20
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
6. Руководящие документы по защите информации
6.1.
Основные Федеральные законы, постановления, положения
-
Федеральный закон «Об информации, информатизации и защите информации» от
20 февраля 1995 г. № 24;
-
Закон РФ «О государственной тайне» от 21 июля 1993 г. № 5485-1;
-
«Положение о государственной системе защиты информации в Российской
Федерации от иностранных технических разведок и от ее утечки по техническим
каналам».
Утверждено Постановлением Совета Министров Правительства
Российской Федерации от 15 сентября 1993 г. № 912;
- «Перечень сведений конфиденциального характера». Утвержден Указом
Президента Российской Федерации от 6 марта 1997 г. № 188;
- «Инструкция по обеспечению режима секретности в Российской Федерации».
Утверждена Постановлением Правительства Российской Федерации от 5 января
2004 г. № 3-1;
- Указ
Президента
Российской
Федерации
«О
мерах
по
обеспечению
информационной безопасности Российской Федерации в сфере международного
информационного обмена» от 12 мая 2004 г. № 611;
-
«Специальные требования и рекомендации по защите информации, составляющей
государственную тайну, от утечки по техническим каналам». Утверждены
Решением Гостехкомиссии России от 23 мая 1997 г. № 55;
- «Специальные
требования
и
рекомендациями
по
технической
защите
конфиденциальной информации» (СТР-К). Утверждены приказом Гостехкомиссии
России от 30 августа 2002 г. № 282;
- Сборник
руководящих
документов
по
защите
информации
от
несанкционированного доступа. Гостехкомиссия России, 1998 г.
6.2.
Законы Московской области
-
«Об информации и информатизации в Московской области» от 12 марта 1998 г.
№ 9/98-ОЗ;
21
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
-
«О создании органами государственной власти Московской области
информационных ресурсов и систем и их использовании» от 11 февраля 2001 г.
№ 21/2001-ОЗ.
6.3.
Постановление Губернатора Московской области
-
«О
порядке
государственного
учета
информационных
ресурсов
и
информационных систем Московской области» от 19 мая 2001 г. № 145-ПГ.
6.4.
Постановления Правительства Московской области
-
«О предоставлении информации из государственных информационных ресурсов и
информационных систем Московской области» от 19 июля 2001 г. № 230/24;
-
«Об утверждении «Положения о порядке обращения с конфиденциальной
информацией в исполнительных органах государственной власти Московской
области, государственных органах и государственных учреждениях Московской
области» от 27 ноября 2002 г. № 573/46.
22
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
7. Организация работ по защите информации в Московской
области
Под информацией,
требующей защиты, понимается информация, являющаяся
предметом собственности и подлежащая защите в соответствии с требованиями правовых
документов или требованиями, устанавливаемыми собственником информации.
7.1.
Основные мероприятия по защите информации
К основным мероприятиям по защите информации в Московской области относятся:
1. Дальнейшее совершенствование нормативно-правового обеспечения защиты
информации Московской области.
2. Совершенствование организационных мероприятий, технических методов
защиты информации на объектах информатизации.
3. Реализация
основных
положений
концепции
защиты
информации
Центрального федерального округа и положений концепции защиты информации
Московской области.
4. Активизация деятельности комиссий по информационной безопасности
органов государственной власти Московской области и муниципальных образований
Московской области.
5. Проведение инвентаризации информационных ресурсов и определение
перечня информационных ресурсов, подлежащих защите.
6. Планирование мероприятий по защите информации, на этапах разработки
требований к информационно-телекоммуникационным системам.
7. Обеспечение безопасности информации в системах информационной и
телекоммуникационной
инфраструктуры,
оказывающей
существенное
влияние
на
безопасность Московской области в информационной сфере.
8. Целенаправленная
работа
по
повышению
квалификации
штатных
специалистов.
9. Организация постоянного контроля состояния системы защиты информации
органов государственной власти Московской области
и муниципальных образований
Московской области.
23
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
7.2.
Основные направления деятельности органов государственной
власти Московской области и муниципальных образований
Московской области по технической защите информации
7.2.1. Постановка задачи
1. Определить цель защиты информации (например - предотвращение ущерба
собственнику, владельцу, пользователю информации в результате возможной утечки
информации и (или) несанкционированного и непреднамеренного воздействия на
информацию).
2. Определить объекты защиты (носители информации, технические средства и
технологию обработки информации).
3. Оценить возможности иностранных технических разведок, злоумышленников,
недобросовестных пользователей, конкурентов и т.п.:
-
оценить возможности реализации отдельных угроз (физических и виртуальных) по
доступу к объекту защиты (по методикам оценки возможностей реализации угроз) в
статике и в динамике;
-
определить потенциально опасные угрозы безопасности информации; провести
анализ демаскирующих признаков и возможных технических каналов утечки
информации;
-
оценить реальную защищенность объектов от отдельных угроз (с использованием
экспертов и средств технического контроля);
-
оценить возможности угроз по несанкционированному доступу к информации
(охраняемых сведений об объектах защиты);
-
оценка влияния угроз на эффективность функционирования объекта защиты.
4. Разработать и осуществить технически и экономически обоснованные мероприятия
по защите информации.
5. Обеспечить контроль состояния защиты информации (контроль организации
защиты информации и контроль эффективности защиты информации).
7.2.2. Организационные мероприятия и подготовка документов
1.
Определить обязанности и права должностных лиц подразделений органов
государственной власти и муниципальных образований Московской области, ответственных
за разработку и обеспечения выполнения мероприятий по защите информации на объекте.
24
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
7.2.3. Подготовка организационно-распорядительных документов
1.
Запросить
«Перечень
сведений
(выписку
из
перечня),
составляющих
государственную тайну по Московской области», ведомственный перечень сведений,
подлежащих засекречиванию, и
перечень сведений, отнесенных к конфиденциальной
информации.
2. Разработать план объекта с указанием схем размещения рабочих мест и схем
организации энергоснабжения, связи и сигнализации объекта.
3. Провести категорирование объектов информатизации по степени секретности
информации, циркулирующей в них. Утвердить приказом руководителя перечень объектов
информатизации. Организовать аттестацию объектов информатизации по требованиям
безопасности информации. На основании аттестатов соответствия по требованиям
безопасности информации оформить приказ о вводе объектов информатизации в
эксплуатацию.
4. Использовать
только
сертифицированные
средства
защиты
информации,
организовать контроль эффективности принятых мер и средств защиты.
6. Создать и организовать деятельность системы технической защите информации. В
структуру системы защиты информации входят подразделение (штатный специалист) по
защите информации, а также создаваемые по решению руководителя, экспертная комиссия и
постоянно действующей технической комиссии по защите государственной тайны.
(«Положение о постоянно действующих технических комиссиях (ПДТК) по защите
государственной тайны», утверждено приказом Гостехкомиссии России и ФСБ России от 28
июля 2001 г. № 309/405).
На
ПДТК
может
быть
возложена
и
функция
экспертизы
материалов,
предназначенных для открытого опубликования, которая осуществляется в соответствии с
рекомендациями,
разрабатываемыми
Межведомственной
комиссией
по
защите
государственной тайны (т.е. функции экспертной комиссии).
Типовое положение о ПТДК прилагается (Приложение, ч. 1).
7. Создать структурное подразделение по технической защите информации.
Разработать
документы, регламентирующие его деятельность (руководящие документы
задачи подразделения, функциональные обязанности его сотрудников).
(«Типовое положение о подразделении по защите информации от иностранных
технических разведок и от ее утечки по техническим каналам в учреждении, организации,
25
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
утверждено решением Государственной технической комиссии при Президенте Российской
Федерации от 14 марта 1995 г. № 32)
Типовое положение о подразделении прилагается (Приложение, ч. 1).
8. Назначить приказом должностных лиц, ответственных за обеспечение защиты
информации на объектах информатизации органов государственной власти Московской
области и муниципальных образований Московской области.
9. Провести оценку наличия на территории объекта сторонних организаций
(арендующих строения, помещения). Наличие в зоне разведдоступности посольств
иностранных государств.
(Данные подтверждаются справкой об аренде помещений сторонними организациями
и справкой из УФСБ)
10. Разработать «Руководство по защите информации от технических разведок и от ее
утечки по техническим каналам на объекте», «Положение о порядке организации и
проведения работ по защите конфиденциальной информации». Обратить внимание на
правильность и обоснованность их содержания.
(«Типовые требования к содержанию и порядку разработки Руководства по защите
информации от технических разведок и от её утечки по техническим каналам на объекте»,
одобрено решением Гостехкомиссии России от 3.10.1995 г. № 42)
Типовые «Руководство…» и «Положение…» прилагаются (Приложение, ч. 1).
11. Подготовить инструкцию, регламентирующую порядок приема иностранных
граждан. Определить порядок участия специалистов ТЗИ в подготовке приема иностранных
граждан.
(Раздел IX «Инструкции по обеспечению режима секретности в Российской
Федерации», утвержденной постановлением Правительства Российской Федерации от 5
января 2004 г. № 3-1)
12. Производить согласование мероприятий по ТЗИ по целям, задачам, месту и
времени с мероприятиями по режиму секретности.
О приеме иностранных граждан орган безопасности уведомляется не позднее, чем за
пять дней. Для защиты информации должны согласовываться время и место проведения
встреч, маршруты передвижения иностранных граждан.
13. Согласовать порядок взаимодействия по вопросам ТЗИ с вышестоящими
службами органов исполнительной власти.
26
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
14. Определить исполнителей работ по защите информации.
15. Организовать обучение сотрудников вопросам защиты информации.
16. Разработать план мероприятий по защите информации.
17. При выявлении недостатков в организации технической защиты информации
разрабатывать план мероприятий по устранению выявленных недостатков.
7.2.4. Организация защиты выделенных помещений
1. Документально определить количество выделенных помещений (ВП),
их размещение относительно границ контролируемой зоны (охраняемой территории).
2. Выполнить необходимые мероприятия по разработке актов категорирования
выделенных помещений (ВП).
3. Привести технические паспорта на ВП в соответствие реальному составу и
размещению оборудования и технических средств.
4. Определить организационные меры защиты ВП.
Подготовить «Приказ об
организации работ по защите информации» и «Приказ об утверждении перечня выделенных
помещений».
5. Оценить правильность определения технических каналов утечки информации и
степени защищенности ВП от утечки по техническим каналам (по результатам
инструментального контроля).
6. Определить достаточность применяемых организационных и технических мер.
7.2.5. Организация защиты информации на объектах вычислительной техники
1. Подготовить и утвердить перечень объектов ВТ, предназначенных для обработки
информации с ограниченным доступом, определить их категорию и класс защищенности.
2. Утвердить акты категорирования объектов ВТ.
3.Разработать технические паспорта объектов ВТ. Подготовить схемы размещения
объектов ВТ относительно границ контролируемой зоны (охраняемой территории).
4. Утвердить обязанности лиц, ответственных за безопасность информации на
объектах ВТ:
-
инструкция администратора безопасности;
-
инструкция пользователей АС;
-
описание технологического процесса обработки информации;
27
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
-
документация
по
созданию
системы
разграничения
доступа
(матрица
разграничения доступа).
5. Оценить соответствие документации на объекты ВТ и системы защиты
информации требованиям руководящих документов.
6. Осуществлять контроль выполнения требований документов по аттестации
объекта ВТ по размещению технических средств относительно линий и цепей, выходящих за
пределы контролируемой зоны и др.
7. Осуществлять контроль учета и хранения магнитных, оптических и других
физических носителей информации с ограниченным доступом.
(«Инструкция по обеспечению режима секретности в Российской Федерации»,
утверждена Постановлением Правительства Российской Федерации от 5 января 2004 г.
№ 3-1, «Положение о порядке обращения с конфиденциальной информацией в
исполнительных органах государственной власти Московской области, государственных
органах и государственных учреждениях Московской области», утверждено Постановлением
Правительства Московской области от 27 ноября 2002 г. № 573/46)
8. Оценить обоснованность и достаточность применяемых организационных и
технических мер по защите объектов вычислительной техники (объектов ВТ).
9. Оценить эффективность организации работ по защите информации на объектах ВТ.
7.2.6. Эффективность организации работ по защите информации от НСД
Эффективность организации работ по защите информации от НСД оценивается по
наличию документов установленного образца и выполнению необходимых мероприятий:
1. Правильность проведения классификации АС и наличие актов классификации.
(В
соответствии
с
руководящим
документом
Гостехкомиссии
России
«Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации»)
2. Наличие системы разграничения доступа пользователей АС к обрабатываемой
информации.
3. Наличие комплекса программно-технических средств и поддерживающих их
организационных мер на всех этапах обработки информации и во всех режимах
функционирования АС, в том числе при проведении регламентных и ремонтных работ.
28
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
Обратить внимание на то, что регламентные и ремонтные работы на объектах,
обрабатывающих
секретную
информацию,
должны
проводиться
только
лицами,
допущенными к обработке секретной информации или допущенные к проведению такого
рода работ соответствующим приказом и имеющие соответствующую форму допуска. Если
АС классифицирована по классу 3А (однопользовательский режим), то обработка секретной
информации, регламентные и ремонтные работы проводятся исключительно пользователем
АС.
4. Наличие сертифицированных средств защиты, соответствующих установленному
классу АС, и правильность их настройки.
5. Наличие организационно-распорядительной документации по эксплуатации
системы защиты информации от НСД («Инструкция администратора безопасности»,
«Инструкция
пользователя
АС»,
«Описание
технологического
процесса
обработки
информации», «Матрица разграничения доступа»).
7.2.7. Эффективность организации работ по защите информации, обрабатываемой в
локальных вычислительных сетях
Необходимость организации работ по защите информации, обрабатываемой в ЛВС,
оценивается по наличию в ней информации с ограниченным доступом.
Для ЛВС, обрабатывающих конфиденциальную информацию, работы проводятся в
соответствии с разделом 5 СТР-К «Требования и рекомендации по защите информации,
обрабатываемой в автоматизированных системах».
7.2.8. Эффективность организации работ по защите информации, обрабатываемой
АС, при их подключении к международным информационным системам
Эффективность организации работ по защите информации, обрабатываемой АС, при
их
подключении
к
международным
информационным
системам
оценивается
по
выполнению требований ст. 4, ст.8 (п.1), ст.10 (п. 2), ст.17 (п. 2) ФЗ от 4 июля 1996г. № 85ФЗ «Об участии в международном информационном обмене», Указа Президента Российской
Федерации от 12 мая 2004 г. № 611 «О мерах по обеспечению информационной
безопасности Российской Федерации в сфере международного информационного обмена»,
Решения Гостехкомиссии России от 21 октября 1997 г. № 61 « О защите информации при
вхождении России в международную информационную систему «Интернет».
29
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
7.2.9. Эффективность организации работ по защите информации при использовании
цифровых АТС
Для исключения возможности скрытного подключения к телефонной сети и
прослушивания ведущихся в выделенных и защищаемых
помещениях разговоров не
рекомендуется устанавливать в них цифровые телефонные аппараты цифровых АТС,
имеющих выход в городскую АТС и (или) абонентов из сторонних организаций.
В случае необходимости рекомендуется использовать сертифицированные по
требованиям безопасности информации цифровые АТС либо устанавливать в эти
защищаемые помещения аналоговые аппараты или цифровые телефонные аппараты с
вмонтированными в них сертифицированными средствами защиты, либо временно
отключать аппараты от телефонной сети.
7.2.10. Организация защиты средств изготовления и размножения документов
1. Для изготовления и размножения документов с информацией, составляющей
государственную тайну, использовать только сертифицированные средства изготовления и
размножения документов (СИРД), прошедшие
специальные исследования, имеющие
предписания на их эксплуатацию и находящиеся внутри контролируемой зоны (охраняемой
территории).
2. Защита СИРД, основанных на цифровых методах обработки информации должна
проводиться в соответствии с требованиями, предъявляемыми к АС.
7.2.11. Типовые недостатки в общей организации работ по защите информации
1. Отсутствие перечней сведений (выписок из них), составляющих государственную
тайну.
2. Подразделение (штатные специалисты) по защите информации не созданы, либо
нарушен порядок их подчиненности. Отсутствуют необходимые документы.
3. «Руководство
по
защите
информации
…»
не
соответствует
«Типовым
требованиям…» (Решение Гостехкомиссии России от 3 октября 1995 г. № 42), либо не
согласовано установленным порядком.
4. «Положение о подразделении (штатных специалистах) по защите информации» не
соответствует требованиям Решения Гостехкомиссии России от 14 марта 1995 г. № 32.
5. Отсутствие руководящих и нормативных документов по защите информации.
30
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
7.2.12. Типовые недостатки в организации работ по защите
объектов информатизации
1. Использование телефонных аппаратов правительственной связи в помещениях, не
аттестованных по требованиям безопасности информации.
2. Обработка информации с ограниченным доступом в автоматизированных
системах, не аттестованных по требованиям безопасности информации.
3. Обработки (обсуждение) информации с грифом секретности, более высоким, чем
предусматривает установленная категория.
4. Использование средств изготовления и размножения документов без принятия
необходимых мер безопасности (аттестации, специальных исследований, специальных
проверок),
определённых
требованиями
раздела
8
«Специальных
требования
и
рекомендации по защите информации, составляющей государственную тайну, от утечки по
техническим каналам» (СТР), введенных в действие с 1.01.1998 г. решением Гостехкомиссии
России от 23.05.1997 г. № 55.
5. Невыполнение требований Руководящих документов Гостехкомиссии России по
защите автоматизированных систем от несанкционированного доступа (НСД).
6. Изменение состава основных и вспомогательных технических средств на объектах
информатизации.
31
Методические рекомендации по защите информации в органах государственной власти Московской области и
муниципальных образованиях Московской области
8. Приложение
Приложение содержит типовые положения, распоряжения, инструкции по вопросам
защиты информации, основные термины и определения.
Приложение состоит из трех частей:
Часть 1. Типовые положения.
Часть 2. Типовые распоряжения, инструкции, обязанности.
Часть 3. Основные термины и определения.
Начальник Главного управления
региональной безопасности
Московской области
Н.В. Бурков
32
Related documents
Информационные агентства - Министерство по делам печати и
Информационные агентства - Министерство по делам печати и
МИНИСТЕРСТВО ЭКОЛОГИИ И ПРИРОДОПОЛЬЗОВАНИЯ
МИНИСТЕРСТВО ЭКОЛОГИИ И ПРИРОДОПОЛЬЗОВАНИЯ
Download
advertisement