Файл: Специальные требования и рекомендации по технической защите конфиденциальной информации.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.12.2023
Просмотров: 136
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
6.3.14. К работе в качестве абонентов Сети допускается круг пользователей, ознакомленных с требованиями по взаимодействию с другими абонентами Сети и обеспечению при этом безопасности информации и допускаемых к самостоятельной работе в Сети после сдачи соответствующего зачета.
6.3.15. Абоненты Сети обязаны:
-
знать порядок регистрации и взаимодействия в Сети; -
знать инструкцию по обеспечению безопасности информации на АП; -
знать правила работы со средствами защиты информации от НСД, установленными на АП (серверах, рабочих станциях АП); -
уметь пользоваться средствами антивирусной защиты; -
после окончания работы в Сети проверить свое рабочее место на наличие "вирусов".
6.3.16. Входящие и исходящие сообщения (файлы, документы), а также используемые при работе в Сети носители информации учитываются в журналах несекретного делопроизводства. При этом на корпусе (конверте) носителя информации наносится предупреждающая маркировка: "Допускается использование только в Сети ____".
6.3.17. Для приемки в эксплуатацию АП, подключаемого к Сети, приказом по учреждению (предприятию) назначается аттестационная комиссия, проверяющая выполнение установленных требований и рекомендаций. Аттестационная комиссия в своей работе руководствуется требованиями и рекомендациями настоящего документа.
6.3.18. По результатам работы комиссии оформляется заключение, в котором отражаются следующие сведения:
-
типы и номера выделенных технических средств АП, в т.ч. каждого абонента, их состав и конфигурация; -
состав общего и сервисного прикладного коммуникационного программного обеспечения (ОС, маршрутизаторов, серверов, межсетевых экранов, Browsers и т.п.) на АП в целом и на каждой рабочей станции абонента, в частности: логические адреса (IP-адреса), используемые для доступа в Сети; -
мероприятия по обеспечению безопасности информации, проведенные при установке технических средств и программного обеспечения, в т.ч. средств защиты информации от НСД, антивирусных средств, по защите информации от утечки по каналам ПЭМИН, наличие инструкции по обеспечению безопасности информации на АП.
6.3.19. При работе в Сети категорически запрещается:
-
подключать технические средства (серверы, рабочие станции), имеющие выход в Сеть, к другим техническим средствам (сетям), не определенным в обосновании подключения к Сети; -
изменять состав и конфигурацию программных и технических средств АП без санкции администратора и аттестационной комиссии; -
производить отправку данных без соответствующего разрешения; -
использовать носители информации с маркировкой: "Допускается использование только в Сети ____" на рабочих местах других систем (в том числе и автономных ПЭВМ) без соответствующей санкции.
6.3.20. Ведение учета абонентов, подключенных к Сети, организуется в устанавливаемом в учреждении (на предприятии) порядке.
Контроль за выполнением мероприятий по обеспечению безопасности информации на АП возлагается на администраторов АП, руководителей соответствующих подразделений, определенных приказом по учреждению (предприятию), а также руководителя службы безопасности.
Приложение № 1
Утверждаю
Руководитель предприятия
"____"__________"____"г.
А К Т
классификации автоматизированной системы обработки информации
наименование автоматизированной системы
Комиссия в составе:
председатель:
члены комиссии:
рассмотрев исходные данные на автоматизированную систему обработки информации (АС) наименование автоматизированной системы условия ее эксплуатации (многопользовательский, однопользовательский; с равными или разными правами доступа к информации), с учетом характера обрабатываемой информации (служебная тайна, коммерческая тайна, персональные данные и т.д.) и в соответствии с руководящими документами Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)",
РЕШИЛА:
Установить АС наименование автоматизированной системы
класс защищенности _______.
Председатель
Члены комиссии
Приложение № 2
АТТЕСТАТ СООТВЕТСТВИЯ
№ ____
указывается полное наименование автоматизированной системы
требованиям по безопасности информации
Выдан "____"________"_____г.
-
Настоящим АТТЕСТАТОМ удостоверяется, что:
приводится полное наименование автоматизированной системы
класса защищенности ____________ соответствует требованиям нормативной документации по безопасности информации.
Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС.
-
Организационная структура, уровень подготовки специалистов, нормативно-методическое обеспечение обеспечивают поддержание уровня защищенности АС в процессе эксплуатации в соответствии с установленными требованиями.
-
Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными руководителем предприятия (указываются номера документов).
-
С учетом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной информации.
-
При эксплуатации АС запрещается:
-
вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации; -
проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации; -
подключать к основным техническим средствам нештатные блоки и устройства; -
вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники; -
при обработке на ПЭВМ защищаемой информации подключать измерительную аппаратуру; -
допускать к обработке защищаемой информации лиц, не оформленных в установленном порядке; -
производить копирование защищаемой информации на неучтенные магнитные носители информации, в том числе для временного хранения информации; -
работать при отключенном заземлении; -
обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких либо неисправностей.
-
Контроль за эффективностью реализованных мер и средств защиты возлагается на
наименование специалиста, подразделения по защите информации
-
Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№ ___ от ____) и протоколах испытаний.
-
"Аттестат соответствия" выдан на ___ года (лет), в течение которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, могущих повлиять на характеристики защищенности АС.
Руководитель аттестационной комиссии
_______________ должность с указанием наименования предприятия, Ф.И.0.
"____"________"____ г.
==================================
Отметки органа надзора:
Приложение № 3
АТТЕСТАТ СООТВЕТСТВИЯ
№ _____
указывается наименование защищаемого помещения
требованиям по безопасности информации
Выдан "____"________"_____г.
-
Настоящим АТТЕСТАТОМ удостоверяется, что
полное наименование защищаемого помещения
и установленное в нем оборудование соответствуют требованиям нормативных документов по безопасности информации (Заключение по результатам аттестации №_____ от ____) и в нем разрешается проведение конфиденциальных мероприятий.
Схема размещения помещения относительно границ контролируемой зоны, перечень установленного в нем оборудования, используемых средств защиты информации указаны в техническом паспорте на защищаемое помещение (ЗП).
-
Установленный порядок пользования ЗП позволяет осуществлять его эксплуатацию, расположенного в нем оборудования и средств защиты в соответствии с требованиями по защите конфиденциальной информации.
-
Повседневный контроль за выполнением установленных правил эксплуатации ЗП осуществляется наименование подразделения или должностного лица, осуществляющего контроль.
-
В ЗП запрещается проводить ремонтно-строительные работы, замену (установку новых) элементов интерьера, вносить изменения в состав оборудования и средства защиты информации, без согласования с наименование подразделения или должностного лица, осуществляющего контроль.
-
Лицо, ответственное за эксплуатацию защищаемого помещения, обязано незамедлительно извещать наименование подразделения или должностного лица, осуществляющего контроль:
-
о предполагаемых ремонтно-строительных работах и изменениях в размещении и монтаже установленного оборудования, технических средств и систем, средств защиты информации, в интерьере помещения; -
о нарушениях в работе средств защиты информации; -
о фактах несанкционированного доступа в помещение.
Руководитель аттестационной комиссии
_______________ должность с указанием наименования предприятия, Ф.И.0.
"____"________"____ г.
==================================
Отметки органа надзора:
Приложение № 4
Форма технического паспорта на защищаемое помещение
ТЕХНИЧЕСКИЙ ПАСПОРТ
на защищаемое помещение № ______
Составил Подпись специалиста подразделения по защите информации
Ознакомлен Подпись лица, ответственного за помещение
Год
П А М Я Т К А
по обеспечению режима безопасности и эксплуатации
оборудования, установленного в защищаемом
помещении № _______
(Примерный текст)
-
Ответственность за режим безопасности в защищаемом помещении (ЗП) и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, или лицо, специально на то уполномоченное.
-
Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации предприятия.
-
В нерабочее время помещение должно закрываться на ключ.
-
В рабочее время, в случае ухода руководителя, помещение должно закрываться на ключ или оставляться под ответственность лиц назначенных руководителем подразделения.