Администрация городского поселения
Куминский
Полезные ссылки
    Об утверждении Положения о порядке организации и проведения работ по защите конфиденциальной информации в администрации городского поселения Куминский
    153-р от 21.11.2018
    Скачать (172.5 Кб)

     

    АДМИНИСТРАЦИЯ

    ГОРОДСКОГО ПОСЕЛЕНИЯ КУМИНСКИЙ

    Кондинский район

    Ханты-Мансийского автономного округа - Югры

    РАСПОРЯЖЕНИЕ

    от 21 ноября 2018 года № 153-р

    пгт. Куминский

    Об утверждении Положения

    о порядке организации и проведения

    работ по защите конфиденциальной

    информации в администрации

    городского поселения Куминский

    В соответствии с Федеральными законами от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлением Правительства Российской Федерации от 3 ноября 1994года №1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии", нормативно-методическим документом «Специальные требования и рекомендации по технической защите конфиденциальной информации", утвержденных приказом Гостехкомиссии России от 30 августа 2002 года № 282, с целью организации и проведения работ по защите конфиденциальной информации в администрации городского поселения Куминский:

    1. Утвердить Положения о порядке организации и проведения работ по защите конфиденциальной информации в администрации городского поселения Куминский (Приложение).

    2. Контроль за выполнением распоряжения оставляю за собой.

    Глава городского поселения Куминский

    С.А.Грубцов

    Приложение 1 к распоряжению

    администрации городского

    поселения Куминский

    от 21.11.2018 г. № 153-р

    Положение о порядке организации и проведения работ по защите конфиденциальной информации в администрации городского поселения Куминский

    Статья 1.Общее положение

    1.1. Настоящее Положение о порядке организации и проведения работ по защите конфиденциальной информации в администрации городского поселения Куминский определяет цели, задачи, содержание, порядок организации и выполнения мероприятий по защите конфиденциальной информации (некриптографическими методами), направленные на предотвращение ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования (далее - защита информации), в администрации городского поселения Куминский.

    1.2. Положение является документом, обязательным для выполнения всеми работниками администрации городского поселения Куминский, и работниками, предоставленными администрации городского поселения Куминский в рамках Договора предоставления персонала при проведении работ, требующих защиты информации, на строящихся (реконструируемых) и действующих (находящихся в эксплуатации) объектах информатизации администрации городского поселения Куминский.

    1.3. Правовую основу Положения составляют Конституция Российской Федерации, законы Российской Федерации от 28 декабря 2010 года № 390-ФЗ «О безопасности», от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – СТР-К), утвержденный приказом Гостехкомиссии России от 30 августа 2002 года № 282, Приказ Федеральной службы по техническому и эксплуатационному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и другие законодательные акты Российской Федерации, определяющие права и ответственность в сфере информационных отношений. Положение разработано на основе действующих правовых, организационно-распорядительных и нормативных документов по защите информации.

    1.4. Работы по защите информации, обрабатываемой с использованием технических средств, являются составной частью управленческой деятельности и осуществляются во взаимосвязи с работами по другим направлениям обеспечения безопасности. Проведение мероприятий, связанных с обсуждением, передачей, обработкой и хранением информации, содержащей сведения конфиденциального характера, допускается только после определения необходимых мер по их защите в соответствии с требованиями настоящего Положения и других нормативно-методических документов по защите информации.

    1.5. Ответственность за обеспечение требований по защите информации на объектах информатизации возлагается на главу администрации городского поселения Куминский. Организацию и руководство работами по защите информации осуществляет заместитель главы администрации городского поселения Куминский.

    Должностные лица, организующие работу с информацией конфиденциального характера, несут персональную ответственность за соблюдение требований настоящего Положения.

    В целях руководства, разработки и осуществления мероприятий по обеспечению защиты конфиденциальной информации на объектах информатизации и проведения постоянного контроля за ее состоянием, в администрации городского поселения Куминский назначается администратор информационной безопасности - ответственный за защиту информации, подчиненный заместителю главы администрации городского поселения Куминский − ответственному за организацию и руководство работами по защите информации на объектах информатизации в администрации городского поселения Куминский.

    Функции и права администратора информационной безопасности определяются Положением об администраторе информационной безопасности администрации городского поселения Куминский.

    Администратор информационной безопасности осуществляет мероприятия по защите информации, участвует в согласовании технических заданий при разработке системы защиты информации или ее отдельных компонентов специализированными организациями на строительство (реконструкцию) объектов информатизации, создании систем информатизации и связи и организует контроль эффективности мероприятий, осуществляемых в интересах обеспечения защиты конфиденциальной информации в администрации городского поселения Куминский.

    При решении задач, связанных с защитой информации конфиденциального характера, администратор информационной безопасности взаимодействует с другими подразделениями (специалистами) по защите информации.

    1.6. Разработка системы защиты информации (далее – СЗИ) может осуществляться как администратор информационной безопасности, так и другими специализированными организациями, имеющими лицензии ФСТЭК России на соответствующий вид деятельности.

    Статья 2. Охраняемые сведения и объекты защиты

    2.1. Конфиденциальная информация хранящаяся, обрабатываемая и циркулирующая на объектах информатизации в администрации городского поселения Куминский, требует постоянного поддержания ее конфиденциальности, целостности и доступности.

    2.2. Целью мероприятий по защите конфиденциальной информации, проводимых на объектах информатизации, является снижение риска получения ущерба в условиях действия преднамеренных и непреднамеренных угроз информационной безопасности (в части технической защиты информации). Достижение требуемого уровня защиты конфиденциальной информации должно быть обеспечено системным применением организационных, организационно-технических, технических и программно-технических мер на всех этапах разработки, строительства (реконструкции), испытаний, внедрения и эксплуатации объектов информатизации.

    2.3. Указанная цель достигается путем рационального и взаимосвязанного решения на объектах информатизации следующих задач:

    - определения и документального оформления перечня сведений, информационных ресурсов и процессов, которые необходимо защитить;

    - анализа каналов утечки, хищения, несанкционированного доступа и воздействия на защищаемую информацию;

    - оценки возможностей недобросовестных клиентов и криминальных структур по получению защищаемой информации, несанкционированному доступу и воздействию на информационные ресурсы и процессы, оценки реальной опасности утечки информации, искажения, модификации, уничтожения или блокирования информационных ресурсов и процессов;

    - разработки и внедрения технически и экономически обоснованных мероприятий по защите информации с учетом выявленных возможных каналов ее утечки, воздействий и доступа;

    - организации и проведения контроля эффективности защиты конфиденциальной информации на объектах информатизации администрации городского поселения Куминский.

    2.4. К охраняемым сведениям, защищаемым информационным ресурсам и процессам на всех этапах жизненного цикла объектов информатизации администрации городского поселения Куминский относятся:

    - речевая информация, содержащая сведения конфиденциального характера;

    - информационные ресурсы, содержащие сведения конфиденциального характера, представленные в виде бумажных носителей информации, носителей на магнитной и оптической основе, информативных электрических сигналов, информационных массивов и баз данных.

    2.5. При анализе безопасности речевой информации и информационных ресурсов, содержащих сведения конфиденциального характера, должны рассматриваться все возможные виды угроз.

    2.6. К объектам информатизации администрации городского поселения Куминский, подлежащим защите по требованиям обеспечения безопасности защиты информации, относятся:

    2.6.1. защищаемые помещения, в которых обсуждается информация, содержащая сведения конфиденциального характера, утечка, которой может нанести ущерб администрации городского поселения Куминский, персоналу, материальным ценностям или отдельным гражданам.

    2.6.2. системы информатизации и связи, предназначенные для обработки информации, содержащей сведения конфиденциального характера:

    - локальные вычислительные сети (далее – ЛВС) и отдельные автоматизированные рабочие места (далее - АРМ);

    - средства изготовления, размножения и тиражирования документов;

    - программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);

    - система звукоусиления и звукозаписи, предназначенная для использования при проведении совещаний по конфиденциальным вопросам;

    - средства связи;

    2.6.3. вспомогательные технические средства и системы (далее - ВТСС), размещенные в защищаемых помещениях, а также совместно с техническими средствами и системами, обрабатывающими информацию конфиденциального характера.

    Статья 3. Организационные и технические мероприятия по защите конфиденциальной информации

    3.1. Защита информации на объектах информатизации администрации городского поселения Куминский должна осуществляться посредством выполнения комплекса мероприятий, направленных на: скрытие или существенное затруднение добывания с помощью технических средств защищаемой информации; предотвращение утечки информации или воздействия на информационные ресурсы и процессы по техническим каналам и за счет несанкционированного доступа к ним; предупреждение преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации (информационных технологий) в процессе ее обработки, передачи и хранения или нарушения работоспособности технических средств.

    3.2. Исходя из перечня основных угроз информационной безопасности, в комплексе мероприятий по защите информации на объектах информатизации администрации городского поселения Куминский определяется несколько направлений:

    - защита от утечки по техническим каналам конфиденциальной информации, обсуждаемой в помещениях объектов;

    - защита технических средств и систем от утечки информации конфиденциального характера, по техническим каналам;

    - защита конфиденциальной информации, передаваемой по каналам связи;

    - защита информации и информационных процессов (технологий) от несанкционированного доступа, в том числе от компьютерных вирусов и других программно-технических воздействий, от хищения технических средств с находящейся в них информацией или отдельных носителей информации;

    - защита информации и информационных процессов (технологий) от воздействия источников дестабилизирующих (разрушающих) электромагнитных излучений, а также от уничтожения и искажения информации через специально внедренные электронные и программные средства (закладки).

    3.3. К мероприятиям, скрывающим расположение (технические характеристики) и функциональное назначение (предназначение) помещений (технологического оборудования и технических средств) на этапе эксплуатации можно отнести:

    - затруднение возможности перехвата информации, циркулирующей в средствах технологического телевидения и оборудования, за пределами контролируемой зоны объекта информатизации путем локализации средств и оборудования (их линий) в пределах контролируемой зоны, размещения трансформаторной подстанции и контуров заземления на внутренней охраняемой территории учреждения;

    - организацию контроля допуска к проектно-сметной документации объекта информатизации (в том числе к чертежам, пояснительным запискам, макетам, электронным копиям документации и т.д.), уничтожение дополнительно размноженной документации по окончании строительства;

    - ограничением количества организаций и их представителей, привлекаемых к работам на объекте информатизации.

    3.4. Организация защиты от утечки по техническим каналам конфиденциальной информации в защищаемых помещениях предполагает проведение комплекса организационно-технических мероприятий, направленных на устранение акустических и виброакустических каналов утечки информации, а также технических каналов, возникающих при эксплуатации ВТСС и за счет внедрения электронных устройств перехвата информации.

    К таким мероприятиям относятся:

    3.4.1. Отнесение помещений администрации городского поселения Куминский, используемых для обсуждения информации конфиденциального характера, к защищаемым помещениям.

    3.4.2. Проведение специальной проверки защищаемых помещений, а также размещенных в них технических средств иностранного производства, с целью выявления возможно внедренных в них электронных устройств перехвата информации (закладок). Специальная проверка технических средств и помещений проводится организациями, имеющими соответствующие лицензии ФСТЭК. Необходимость проведения специальной проверки защищаемых помещений, а также установленных в них технических средств иностранного производства определяется соответственно решением главы городского поселения Куминский.

    3.4.3. Выполнение организационно-режимных мероприятий по допуску и охране защищаемых помещений. Указанные помещения оборудуются замками и запираются на ключ в период между проводимыми мероприятиями и в нерабочее время.

    3.4.4. Установка в защищаемых помещениях технических средств (оконечных устройств телефонной связи, радиотрансляции, сигнализации и т.д.), сертифицированных по требованиям безопасности информации либо защищенных сертифицированными средствами защиты.

    3.4.5. Исключение использования в защищаемых помещениях при проведении конфиденциальных мероприятий радиотелефонов, оконечных устройств сотовой, пейджинговой и транковой связи, незащищенных переносных магнитофонов и других средств аудио и видеозаписи, а также передачи речевой информации по открытым проводным каналам и радиоканалам связи.

    При установке в защищаемых помещениях телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также телефонных аппаратов с автоматическим определителем номера проводить их отключение от сети на время проведения этих мероприятий.

    3.4.6. Выполнение мероприятий по звукоизоляции ограждающих конструкций защищаемых помещений, их систем вентиляции и кондиционирования. Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.

    Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в защищаемых помещениях.

    Для снижения уровня виброакустического сигнала рекомендуется расположенные в защищаемом помещении элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

    Для снижения вероятности перехвата информации по виброакустическому каналу рекомендуется организационными мерами исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций защищаемых помещений и выходящих из них инженерных коммуникаций (систем отопления, вентиляции и кондиционирования).

    Если при проведении технического контроля выясняется, что указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, то рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.

    Для этого должны применяться сертифицированные средства активной защиты.

    3.4.7. Оформление технических паспортов по вопросам защиты информации на защищаемые помещения осуществляется администратором информационной безопасности с привлечением подразделений, эксплуатирующих здания, системы электроснабжения, коммуникации и технические средства, а также подразделений, располагающихся в защищаемых помещениях.

    3.4.8. Организация и проведение аттестации защищаемых помещений по требованиям безопасности информации с оформлением «Аттестата соответствия» проводится организациями, имеющими соответствующую аккредитацию ФСТЭК России.

    3.5. В целях защиты информации, обрабатываемой всеми видами основных технических средств и систем (далее - ОТСС), организуется и проводится комплекс организационно-технических мероприятий, направленный на обеспечение защиты информации от ее хищения, утраты, утечки, искажения, подделки и блокирования к ней за счет несанкционированного доступа и специальных воздействий, защиты от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

    К таким мероприятиям относятся:

    3.5.1. Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и работам, связанным с ее использованием.

    3.5.2. Ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации.

    3.5.3. Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации.

    3.5.4. Регистрация действий пользователей ЛВС и АРМ и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц.

    3.5.5. Учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение.

    3.5.6. Использование сертифицированных по требованиям безопасности информации специальных защитных знаков, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки.

    3.5.7. Резервирование технических средств, дублирование массивов и носителей информации.

    3.5.8. Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации.

    3.5.9. Применение для обработки информации, содержащей сведения конфиденциального характера, технических средств, удовлетворяющих требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности, по санитарным нормам, предъявляемым к видеодисплейным терминалам (ГОСТР51318.22-99, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2/2.4.1340-03).

    3.5.10. Классификация автоматизированных систем (далее − АС), предназначенных для обработки информации, содержащей сведения, конфиденциального характера, по требованиям защиты от несанкционированного доступа к информации. Переклассификация проводится при изменении хотя бы одного из критериев, на основании которых был установлен класс.

    3.5.11. Выполнение требований по защите автоматизированных систем, предназначенных для обработки информации, содержащей сведения, конфиденциального характера, от несанкционированного доступа к информации. Установка и эксплуатация сертифицированной системы защиты информации от несанкционированного доступа. Определение порядка допуска персонала к информации автоматизированной системы, создание системы разграничения доступа пользователей к защищаемым ресурсам, разработка комплекса организационных мер, поддерживающих программно-техническое средство защиты на всех этапах обработки информации и во всех режимах функционирования автоматизированной системы.

    Настройка сертифицированного средства защиты от несанкционированного доступа с учетом требований для соответствующего класса. Учет необходимых магнитных носителей информации. Оборудование помещения, в котором размещены средства вычислительной техники, датчиками пожарной и охранной сигнализации и дополнительным замком. Создание условий, исключающих возможность хищения технических средств с хранящейся в них информацией, или отдельных носителей информации. Оборудование окон помещений шторами или жалюзи для исключения возможности просмотра информации с экранов дисплеев и других средств ее отображения с помощью оптических средств. В полном объеме работы проводятся организациями, имеющими соответствующие лицензии ФСТЭК России.

    3.5.12. Оформление технических паспортов по вопросам защиты информации на ОТСС осуществляется администратором информационной системе совместно с подразделением, эксплуатирующим данные средства.

    3.5.13. Организация и проведение аттестации ОТСС и оформление «Аттестата соответствия» проводится организациями, имеющими соответствующую аккредитацию ФСТЭК России.

    3.6. Основными направлениями защиты конфиденциальной информации, передаваемой по каналам связи, выходящим за пределы контролируемой
    зоны, являются:

    - исключение переговоров, содержащих сведения конфиденциального
    характера, по открытым каналам связи;

    - использование при обмене информацией по радиоканалам сигнально-кодовых таблиц;

    - использование защищенных каналов связи, в том числе защищенных волоконно-оптических линий связи;

    - использование открытых каналов связи с применением криптографических средств защиты информации. Применяемые средства защиты информации должны быть сертифицированы ФСБ РФ (ФАПСИ).

    Статья 4. Защита информации автоматизированных рабочих мест на базе автономных ПЭВМ

    4.1. Автоматизированные системы могут быть выполнены в виде автоматизированных рабочих мест (АРМ) на базе автономных ПЭВМ с необходимым для решения конкретных задач периферийным оборудованием (принтер, сканер, внешние накопители и т.п.).

    Порядок разработки и эксплуатации АРМ на базе автономных ПЭВМ по составу и содержанию проводимых работ в части защиты информации, организационно – распорядительной, проектной и эксплутационной документации должны отвечать требованиям СТР-К.

    4.2. Автоматизированные рабочие места на базе автономных ПЭВМ подлежат классификации в соответствии с требованиями руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

    4.2.

    Статья 5. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

    5.1. Технология обработки информации с использованием съемных накопителей информации большой емкости предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемой информации пользователя.

    В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съемные), так и выносные накопители на магнитных, магнитно-оптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.

    Основной особенностью применения такой технологии для АРМ на базе автономных ПЭВМ, с точки зрения защиты информации, является исключение хранения информации на ПЭВМ в нерабочее время.

    Эта технология может быть использована для обработки защищаемой информации без применения сертифицированных средств защиты информации от несанкционированного доступа и использования средств физической защиты помещений.

    5.2. На стадии предпроектного обследования проводится детальный анализ технологичного процесса обработки информации, обращается внимание, прежде всего, на технологию обмена информацией (при использовании съемных накопителей информации большей емкости или гибких магнитных дисков) с другими АРМ, как использующими, так и не использующими эту технологию, на создание условий, исключающих запись информации на неучтенные носители информации, несанкционированное ознакомление с этой информацией, на организацию выдачи информации на печать.

    5.3. Обмен конфиденциальной информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей, работающих на АРМ, к передаваемой информации.

    5.4. На рабочих местах исполнителей, работающих по этой технологии, во время работы не должно быть неучтенных накопителей информации.

    В случае формирования конфиденциальных документов с использованием открытой текстовой и графической информации, представленной на накопителях информации, такие накопители информации должны быть «закрыты на запись».

    5.5. При использовании в этой технологии современных средств вычислительной техники, оснащенных энергозависимой, управляемой извне перезаписываемой памятью, перед началом работ с конфиденциальной информацией при загрузке ПЭВМ рекомендуется выполнять процедуру проверки целостности перезаписываемой памяти. При обнаружении нарушения целостности перезаписываемой памяти необходимо поставить об этом в известность руководителя подразделения и ответственного по защите информации.

    5.6. На рабочем месте должна быть разработана и утверждена первым заместителем главы администрации района, технология обработки конфиденциальной информации, использующая съемные накопители информации большой емкости и предусматривающая выполнение требований по защите информации, учитывающих условия размещения, эксплуатации АРМ, учет носителей информации, а также другие требования, вытекающие из особенностей функционирования АРМ.

    5.6.

    Статья 6. Защита информации в локальных вычислительных сетях

    6.1. Характерными особенностями ЛВС являются распределенное хранение информации, ее удаленная обработка и передача, а также сложность проведения контроля за работой пользователей и общей защищенностью ЛВС.

    6.2. Конфиденциальная информация может обрабатываться только в ЛВС, расположенных в пределах контролируемой зоны и оборудованных межсетевыми экранами.

    6.3. Средства защиты информации от несанкционированного доступа должны использоваться во всех узлах ЛВС независимо от наличия (отсутствия) сведений конфиденциального характера в данном узле ЛВС и требуют постоянного квалифицированного контроля настроек СЗИ.

    6.4. Класс защищенности ЛВС определяется в соответствии с требованиями руководящего документа ФСТЭК России (Гостехкомиссия) «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

    6.5. Для управления, контроля защищенности ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.

    6.6. Состав пользователей ЛВС устанавливается распоряжением администрации городского поселения Куминский. Все изменения состава пользователей, их прав и привилегий должны регистрироваться.

    6.7. Каждый администратор и пользователь должен иметь уникальные идентификатор и пароль.

    Статья 7. Защита информации при межсетевом взаимодействии

    7.1. Контроль взаимодействия ЛВС с другими вычислительными сетями должен быть постоянным и осуществляться с использованием сертифицированных по требованиям безопасности информации средств контроля (средств обнаружения вторжений, мониторинга сети, активного аудита и т.д.). Коммуникационное оборудование и все точки соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны объекта информатизации.

    7.2. При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и др.) рекомендуется разделять трафик отдельных сетевых фрагментов с учетом решаемых задач пользователей ЛВС.

    7.3. Подключение ЛВС к другой автоматизированной системе (локальной или распределительной вычислительной сети) должно осуществляться с использованием межсетевых экранов, требования к которым определяются документами ФСТЭК России (Гостехкомиссия).

    Статья 8. Защита информации при работе с системами

    управления базами данных

    При работе с системами управления базами данных (СУБД) и базами данных (БД) необходимо учитывать следующие особенности защиты информации от НСД:

    - в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей;

    - БД могут быть физически распределены по различным устройствам и узлам сети;

    - БД могут включать различную конфиденциальную информацию;

    - разграничение доступа пользователей к объектам БД (таблицам, схемам, процедурам, записям, полям записей в базах данных и т.п.), может осуществляться только средствами СУБД;

    - регистрация действий пользователей при работе с объектами БД может осуществляться и средствами СУБД, если таковые имеются.

    Статья 9. Возможные технические каналы утечки информации и несанкционированного воздействия на информационные ресурсы и процессы в администрации городского поселения Куминский

    9.1. Возможными каналами утечки речевой информации являются:

    9.1.1. Акустическое излучение информативного речевого сигнала, которое может быть зарегистрировано путем непосредственного прослушивания акустических сигналов, а также в результате перехвата аппаратурой на основе направленных микрофонов.

    9.1.2. Виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений, перехват которых может осуществляться контактными микрофонами-стетоскопами и оптико-электронной (лазерной) аппаратурой.

    Для перехвата акустического сигнала с передачей информации по радиоканалу, ИК-каналу, ультразвуковому каналу, линиям связи и коммуникациям в технические средства и защищаемые помещения могут внедряться специальные электронные устройства перехвата информации («закладки»). Аппаратура сбора информации с указанных автоматических средств перехвата и управления ими может функционально объединяться с портативной и стационарной аппаратурой перехвата информации.

    9.1.3. Электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации, выходящим за пределы контролируемой зоны.

    9.1.4. Радиоизлучения, модулированные информативным речевым сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации технических средств.

    9.1.5. Радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации.

    9.1.6. Радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации («закладочные устройства»).

    9.2. Возможными каналами утечки и воздействия на информацию и информационные ресурсы, представленные в виде носителей на магнитной и оптической основе, информативных электрических сигналов, информационных массивов и баз данных являются:

    - побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;

    - наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии, выходящие за пределы контролируемой зоны объектов информатизации (на линии ВТСС, на цепи заземления и электропитания);

    - изменения тока потребления, коррелированные с обрабатываемыми техническими средствами информативными сигналами;

    - радиоизлучения, модулированные информативным сигналом, возникающие при наличии паразитной генерации в узлах (элементах) технических средств;

    - радиоизлучения или электрические сигналы от внедренных в технические средства, подключенных к ним или каналам связи специальных электронных устройств перехвата информации («закладок»);

    - съем информации путем контактного или индукционного подключения к кабельным линиям связи;

    - перехват информации, передаваемой по радиоканалу;

    - несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;

    - хищение технических средств и хранящейся в них информации или отдельных носителей информации;

    - съем информации с аппаратных средств ЭВТ, автоматизированных систем при их передаче в другие организации, сдаче в ремонт и т.д.;

    - просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

    - воздействие (физическое, дистанционное, электромагнитное и т.д.) на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресованности и своевременности информационного обмена, в том числе через специально внедренные электронные и программные средства («закладки»).

    Статья 10. Обязанности и права должностных лиц

    10.1. Руководство организацией работ по защите информации в администрации городского поселения Куминский возлагается на первого заместителя главы администрации района. Для выполнения работ по защите информации могут привлекаться по договору организации, имеющие соответствующие лицензии ФСТЭК России (Гостехкомиссии) для проведения работ по данному виду деятельности.

    Постоянно действующая комиссия по технической защите информации рассматривает предложения по совершенствованию системы защиты информации и принимает по ним решения.

    10.2. Непосредственная организация и разработка мероприятий по защите информации, а также по контролю эффективности принятых мер и используемых средств защиты возлагается на администратора информационной безопасности.

    10.3. Организация и контроль выполнения мероприятий по защите информации при эксплуатации объектов информатизации сотрудниками администрации городского поселения Куминский возлагается на первого заместителя главы администрации, в ведении которого находятся объекты информатизации, подлежащие защите. Данные функции осуществляет через подчиненных им специалистов по защите информации.

    10.4. Работники, эксплуатирующие защищенный объект информатизации (пользователи автоматизированных систем и пр.), несут персональную ответственность за выполнением установленных правил и требований по обеспечению безопасности информации.

    10.5. Практическая организация работ по защите информации в администрации городского поселения Куминский, а также контролю эффективности принятых мер и используемых средств защиты, возлагается на администратора информационной безопасности. Основными его задачами являются:

    - участие в анализе и выявлении возможных каналов утечки информации и воздействия на информационные ресурсы и процессы на объектах защиты;

    - организация классификации автоматизированных систем от несанкционированного доступа к информации;

    - организация выполнения организационно-технических мер защиты информации на объектах и аттестации объектов информатизации по требованиям безопасности информации;

    - организация внедрения и эксплуатации средств защиты информации и систем информатизации и связи;

    - контроль выполнения требований по защите информации и создания системы защиты информации в ходе строительства (реконструкции) объектов;

    -разработка на базе руководящих и методических документов по защите информации организационно-распорядительных документов, определяющих порядок и мероприятия по защите информации на объектах информатизации;

    - контроль выполнения требований по защите информации при эксплуатации объектов информатизации.

    10.6. Администратор информационной безопасности выполняет следующие обязанности по:

    - руководству практическим выполнением работ по защите информации от несанкционированных действий, разрушения и воздействия на нее при эксплуатации автоматизированных систем администрации городского поселения Куминский;

    - поддержанию функционирования технических и программных средств и систем защиты информации, автоматизированных систем в установленных эксплуатационной документацией режимах;

    - контролю технологического процесса обработки защищаемой информации и соблюдения требований инструкций при эксплуатации систем защиты информации пользователями автоматизированных систем;

    - контролю целостности эксплуатируемого на средствах вычислительной техники программного обеспечения с целью выявления несанкционированных изменений в нем, а также выполнения мероприятий по антивирусной защите магнитных носителей информации и сообщений, получаемых по каналам связи;

    - формированию и распределению полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;

    - разработке методических материалов по защите информации от несанкционированного доступа к ней, а также ее искажения и разрушения;

    - обучению персонала и пользователей вычислительной техники правилам работы со средствами защиты информации;

    - проведению служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации.

    Статья 11. Контроль состояния защиты информации

    11.1. Контроль защиты информации - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях выявления и предотвращения утечки информации по техническим каналам; исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации; предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности систем информатизации.

    11.2. Основными задачами контроля являются:

    - проверка организации выполнения мероприятий по защите информации, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;

    - уточнение возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

    - проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;

    - проверка выполнения требований по защите автоматизированных систем от несанкционированного доступа;

    - проверка выполнения требований по антивирусной и парольной защите автоматизированных систем и автоматизированных рабочих мест;

    - проверка знаний работников по вопросам защиты информации и их соответствия необходимому уровню подготовки для конкретного рабочего места;

    - оперативное принятие мер по пресечению нарушений требований (норм) защиты информации на объектах;

    - разработка предложений по устранению (ослаблению) технических каналов утечки информации и воздействия на нее в деятельности объектов.

    11.3. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей на объектах. Он осуществляется, как правило, по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации.

    11.4. В ходе контроля проверяются:

    - своевременность и полнота выполнения требований настоящего Положения и других руководящих документов по защите информации;

    - полнота выявления возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

    - эффективность применения организационных и технических мероприятий по защите информации;

    - устранение ранее выявленных недостатков.

    Кроме того, проводятся необходимые измерения и расчеты.

    11.5. Основным видом технического контроля на объектах информатизации администрации городского поселения Куминский является контроль эффективности защиты информации от утечки по техническим каналам, несанкционированного доступа к ней и программно-технических воздействий на информацию. Технический контроль выполнения норм и требований по защите информации по различным физическим полям проводится по соответствующим методикам ФСТЭК России (Гостехкомиссия).

    11.6. Невыполнение предписанных мероприятий по защите конфиденциальной информации, считается предпосылкой к утечке сведений (далее - предпосылка).

    По каждой предпосылке для выяснения обстоятельств и причин не выполнения установленных требований по указанию первого заместителя главы администрации городского поселения Куминский проводится служебное расследование.

    Для проведения расследования назначается комиссия из компетентных лиц с привлечением ответственного за организацию работ по технической защите информации, ответственного по защите информации и работников подразделения, в котором произошло нарушение требований. Комиссия обязана установить, имела ли место утечка сведений конфиденциального характера и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования принимается решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.

    11.7. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов информатизации в администрации городского поселения Куминский. Периодические, плановые и внезапные проверки объектов информатизации проводятся, как правило, членами постоянно действующей технической комиссии по защите информации в соответствии с утвержденным планом или по предписаниям.

    11.8. Одной из форм контроля защиты информации является обследование объектов информатизации и связи. Оно проводится постоянно действующей технической комиссии по защите информации и работниками подразделения, в ведении которого находится объект информатизации.

    11.9. Обследование объектов информатизации проводится с целью определения соответствия защищаемых помещений, ОТСС и ВТСС требованиям по защите информации, установленным в «Аттестате соответствия».

    11.10. В ходе обследования проверяется:

    - соблюдение организационно-режимных требований и установленных требований по звукоизоляции защищаемых помещений;

    - сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;

    - наличие электробытовой, радио и телевизионной аппаратуры и устройств иностранного и непромышленного изготовления (пультов связи, устройств вызова и оповещения, усилителей, генераторов и других ВТСС), которые могут способствовать возникновению каналов утечки информации;

    - выполнение требований предписаний на эксплуатацию на основные технические средства и системы по их размещению относительно ВТСС, организации электропитания и заземления;

    - соответствие выполняемых на объекте информатизации мероприятий по защите информации данным, изложенным в техническом паспорте;

    - выполнение требований по защите автоматизированных систем от несанкционированного доступа;

    - выполнение требований по антивирусной и парольной защите автоматизированных систем и средств вычислительной техники.

    11.11. Для выявления радиоэлектронных устройств и проводов неизвестного назначения, преднамеренного нарушения защитных свойств оборудования, а также не предусмотренных правилами эксплуатации отводов от оборудования и соединительных линий, проложенных в защищаемых помещениях, а также других нарушений и способов возникновения каналов утечки информации необходимо:

    - тщательно осмотреть мебель, сувениры (особенно иностранного производства), оборудование, установленное в этом помещении, осветительную аппаратуру, ниши отопительных батарей, шторы, оконные проемы и т.д.;

    - вскрыть и осмотреть розетки, выключатели осветительной сети, люки вентиляции и каналы скрытой проводки;

    - проверить качество установки стеклопакетов оконных приемов;

    - провести аппаратурную проверку помещения на отсутствие возможно внедренных электронных устройств перехвата информации (при наличии соответствующей аппаратуры).

    11.12. Проверка организации и состояния защиты информации на объектах администрации городского поселения Куминский может осуществляться ФСТЭК России и ФСБ РФ в соответствии с действующим законодательством Российской Федерации.

    Доступ представителей указанных федеральных органов исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, а также предписания установленной формы на право проведения проверки состояния защиты информации на данном объекте.

    Статья 12. Планирование работ по защите информации и контролю

    12.1. Мероприятия по защите информации и по контролю выполнения требований руководящих и нормативно-методических документов по защите информации на объектах администрации городского поселения Куминский предусматриваются в Плане работы постоянно действующей комиссии по технической защите информации, который утверждается главой администрации городского поселения Куминский. При планировании мероприятий по контролю защиты информации отражаются: задачи контроля, перечень объектов, подлежащих контролю, сроки, ответственные исполнители, привлекаемые силы и средства контроля, порядок обобщения результатов контроля.

    12.2. По результатам выполнения мероприятий по защите информации и контролю на объектах администрации городского поселения Куминский готовится и представляется годовой отчет о состоянии работ по технической защите информации. Отчет представляется в Управление специальных мероприятий Аппарата Губернатора автономного округа – Югры (в срок до 01 декабря);

    12.3. Контроль за выполнением работ по защите информации в администрации городского поселения Куминский возлагается на главу администрации городского поселения Куминский.

    Статья 13. Аттестация объектов информатизации

    13.1. Объекты информатизации администрации городского поселения Куминский, предназначенные для обработки информации, содержащей сведения конфиденциального характера, а также ведения конфиденциальных переговоров, подлежат аттестации по требованиям защиты информации.

    Аттестация по требованиям безопасности информации предшествует началу обработки информации или ведения переговоров, и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте мер и средств защиты информации.

    13.2. Аттестация объектов информатизации проводится при вводе объектов в эксплуатацию и в дальнейшем не реже, чем через три года, а также при изменении условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации. Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным ФСТЭК России органом по аттестации из компетентных специалистов, в необходимых, для конкретного объекта информатизации, направлениях защиты информации, по согласованной программе испытаний.

    13.3. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от утечки по возможным физическим каналам и несанкционированного доступа к ней. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации.

    13.4. При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:

    -экспертно-документальный метод;

    -инструментальный метод;

    -расчетный метод;

    -расчетно-инструментальный метод;

    -попытка «взлома» систем защиты информации.

    13.5. Для проведения испытаний подразделение, ответственное за эксплуатацию аттестуемого объекта информатизации совместно с администратором информационной безопасности представляет аттестационной комиссии необходимую информацию, в зависимости от особенностей аттестуемого объекта информатизации.

    13.6. По результатам аттестационных испытаний оформляется «Заключение…», которое доводится до заявителя. На основании «Заключения…» принимается решение о выдаче специального документа - «Аттестата соответствия», подтверждающего, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России, или другими органами государственного управления в пределах их компетенции.

    13.7. На основании выданного специализированной организацией аттестата соответствия, издает распоряжение администрации городского поселения Куминский о разрешении обработки конфиденциальной информации на объекте информатизации и назначении лиц ответственных за эксплуатацию и обеспечение защиты информации при его эксплуатации.

    Статья 14. Взаимодействие с учреждениями и организациями по вопросам защиты информации

    14.1. Основной структурой, с которой взаимодействует администрация Кондинского района по вопросам защиты информации, является Управление специальных мероприятий Аппарата Губернатора автономного округа - Югры.

    Основными направлениями взаимодействия являются:

    - координация мероприятий по защите объектов информатизации;

    - разработка организационно-распорядительных документов по организации работ по защите информации;

    - организация взаимодействия с организациями, представляющими услуги по защите информации;

    - консультация сотрудников администрации городского поселения Куминский, выдача рекомендаций, осуществление контроля состояния работ по защите информации от утечки по техническим каналам;

    - предоставление и анализ отчетных документов администрации городского поселения Куминский, по обеспечению защиты информации.

    14.2. Администрация Кондинского района взаимодействует со сторонними организациями, имеющими лицензии ФСТЭК России или ФСБ РФ на деятельность в области защиты информации. Каждая из таких организаций привлекается к работам по защите информации в интересах администрации городского поселения Куминский в рамках договоров в соответствии с перечнем услуг, представляемых этой организацией, указанных в лицензии (к услугам относится и продажа средств защиты информации и поисковых приборов). Выбор организации на проведение работ в области защиты информации на объектах производится в соответствии с установленным порядком.

    14.3. Запрещается привлекать для проведения работ по защите информации на объектах иностранные организации, а также размещать на территории указанных объектов совместные с иностранными государствами предприятия.

    При подготовке решения о сдаче в аренду части территории объекта в пределах контролируемой зоны администратором информационной безопасности проводится дополнительная оценка достаточности внедренного комплекса мер защиты информации на объектах информатизации. Сформированные требования к предполагаемому арендатору, обусловленные решением задач по технической защите администрации городского поселения Куминский включаются в договор аренды.

    14.4. При организации взаимодействия с другими учреждениями и органами, по вопросам основной деятельности, меры по защите информации, представляющей интерес для администрации городского поселения Куминский, принимаются в зависимости от обстоятельств отдельным согласованным решением.

    Дата создания: 03-03-2020
    Дата последнего изменения: 03-03-2020
    © 2014-2024г. Все права защищены. Создание сайта: www.novcit.ru
    Сообщение об ошибке
    Закрыть
    Отправьте нам сообщение. Мы исправим ошибку в кратчайшие сроки.
    Расположение ошибки:
    Текст ошибки:
    Комментарий или отзыв о сайте:
    Отправить