Приказ Министерства финансов Республики Саха (Якутия) от 29.02.2008 N 01-04/101 "О Концепции информационной безопасности Министерства финансов Республики Саха (Якутия)"

В целях обеспечения сохранности сведений, составляющих государственную тайну и сведений конфиденциального характера, совершенствования системы защиты государственных информационных ресурсов,

приказываю:

1. Утвердить Концепцию информационной безопасности Министерства финансов Республики Саха (Якутия).

2. Отделу автоматизированных систем управления (Баишева Т.И.) до 31 марта 2008 года разработать:

2.1. "Инструкцию по антивирусной защите".

2.2. "Перечень основного программного обеспечения, используемого на средствах вычислительной техники".

2.3. "Инструкцию о порядке проведения резервного копирования информации".

3. Отделу режима секретности и безопасности информации (Смирнов И.Г.) до 24 марта 2008 года разработать:

3.1. "Перечень защищаемых информационных ресурсов автоматизированных систем управления". Проект представить на рассмотрение ПДТК.

3.2. "Инструкцию о порядке использования средств криптографической защиты информации и электронной цифровой подписи" для осуществления платежей электронным способом.

3.3.Довести требования данной Концепции до руководителей департаментов и самостоятельных отделов.

4. Контроль за исполнением настоящего приказа оставляю за собой.

Министр

В.А. Новиков

Концепция
информационной безопасности Министерства финансов Республики Саха (Якутия)
2008 год
(утв. приказом Министерства финансов Республики Саха (Якутия) от 29 февраля 2008 г. N 01-04/101)

Перечень принятых сокращений

Аббревиатура	Расшифровка
АС	Автоматизированные системы
НСД	Несанкционированный доступ
ОС	Операционные системы
АРМ	Автоматизированные рабочие места
СВТ	Средства вычислительной техники
ПО	Программное обеспечение
МНИ	Магнитные носители информации
ГМД	Гибкие магнитные диски
СКЗИ	Средства криптографической защиты информации
ПЭМИН	Побочные электромагнитные излучения и наводки
ЭЦП	Электронная цифровая подпись
ЛВС	Локальная вычислительная сеть
ФСТЭК	Федеральная служба технического и экспортного контроля
ПДТК	Постоянно действующая техническая комиссия
Отдел АСУ	Отдел автоматизированных систем управления
ОРСБИ	Отдел режима секретности и безопасности информации
Министерство	Министерство финансов Республики Саха (Якутия) и финансово - казначейские управления по Республике Саха (Якутия)

1. Общие положения

Концепция разработана в соответствии с требованиями действующих законодательных актов по защите информации и определяет основные принципы информационной безопасности в Министерстве финансов Республики Саха (Якутия) и финансово-казначейских управлениях по Республике Саха (Якутия) (далее Министерство).

Концепция информационной безопасности разработана для информации, составляющей государственную тайну, а также сведений конфиденциального характера, подлежащих защите, утечка, уничтожение или искажение которых может нанести существенный вред Министерству.

Концепция охватывает автоматизированные системы (АС) Министерства, сервера, периферийное оборудование, автоматизированные рабочие места и персональные компьютеры.

Концепция применима ко всем сотрудникам, имеющим отношение к АС и доступ к информационным ресурсам Министерства.

Организация мероприятий по защите информации в Министерстве осуществляется с помощью системы защиты информации.

Концепция является методологической базой разрабатываемых организационно-распорядительных документов по информационной безопасности.

Руководство Министерства определяет стратегию в области информационной безопасности, ежегодно рассматривает и утверждает План организационно-технических мероприятий по защите информации.

2. Цели и задачи системы защиты информации

Система защиты информации в Министерстве финансов Республики Саха (Якутия) - составная часть государственной системы защиты информации.

Главной целью системы защиты информации является предотвращение ущерба национальным и экономическим интересам Российской Федерации и Республики Саха (Якутия), наносимого в результате хищения, разглашения, утечки, утраты или искажения информации, циркулирующей в Министерстве.

Другими целями системы защиты информации являются:

- обеспечение сохранности сведений, составляющих государственную тайну и сведений конфиденциального характера;

- эффективное управление, обеспечение сохранности и защита государственных информационных ресурсов;

- обеспечение правового режима использования документов, информационных массивов, баз данных, обеспечение полноты, целостности, достоверности информации в системах обработки.

Основные задачи системы защиты информации:

- создание необходимых условий для надежного и безопасного функционирования Министерства, а также разработка механизмов оперативного реагирования на угрозы объектам обеспечения информационной безопасности;

- внедрение защищенных систем обработки, хранения и передачи информации, а также безопасных информационных технологий;

- предотвращение утечки информации по техническим каналам;

- предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации;

- разработка и принятие организационно-распорядительных документов по информационной безопасности.

3. Организационная структура системы защиты информации

Организационная структура системы защиты информации должна обеспечивать организацию работ по защите информации на всех уровнях и контролировать состояние защищенности информационных ресурсов Министерства.

Ответственность за организацию работ по защите информации несут:

- руководители Министерства, а в подчиненных подразделениях начальники департаментов и самостоятельных отделов;

- постоянно действующая техническая комиссия Министерства;

- отдел режима секретности и безопасности информации;

- отдел автоматизированных систем управления;

- администраторы безопасности и администраторы ЛВС;

- зарегистрированные пользователи автоматизированной системы (АС).

4. Ответственность и обязанности субъектов структуры защиты информации

Отдел режима секретности и безопасности информации отвечает за:

- контроль за выполнением требований нормативно-методических документов, регулирующих деятельность в области защиты информации;

- организацию защиты информации, циркулирующей в Министерстве;

- осуществление анализа угроз безопасности информации;

- разработку эффективных и обоснованных мер по ее защите, а также проведение работ по внедрению аппаратно-программных средств для защиты от несанкционированного доступа;

- взаимодействие с департаментами и отделами Министерства по вопросам обеспечения безопасности информации.

Отдел автоматизированных систем управления отвечает за:

- безопасную эксплуатацию автоматизированных систем управления Министерства;

- бесперебойную эксплуатацию телекоммуникационной сети;

- внедрение системы мер ограничения и разграничения доступа пользователей к информации в АС;

- защиту компьютерных систем от воздействия компьютерных вирусов.

Администратор безопасности отвечает за соблюдение требований организационно-распорядительной документации по информационной безопасности.

Администратор сети отвечает за обеспечение непрерывного функционирования АС и осуществление соответствующих мер защиты.

Зарегистрированные пользователи отвечают за использование информации, в соответствии с требованиями нормативно-методических документов, регламентирующих деятельность в области защиты информации.

Порядок ответственности каждого субъекта фиксируется в должностных регламентах и положениях о департаментах и отделах.

Отдел хозяйственного обеспечения Министерства отвечает за защиту охраняемых объектов от противоправных посягательств путем обеспечения на них пропускного и внутри объектового режимов;

Руководители департаментов и самостоятельных отделов обязаны:

- определять информационные ресурсы подразделения, подлежащие защите;

- обучать своих подчиненных основам обеспечения безопасности информации;

- информировать администратора сети об изменениях в статусе любого сотрудника, который использует АС.

Администратор безопасности обязан:

- осуществлять контроль за соблюдением установленных норм и требований безопасности информации в Министерстве, проводить мероприятия по защите охраняемых сведений;

- осуществлять контроль за правомерностью доступа сотрудников к информационным ресурсам АС и предотвращать необоснованный доступ к защищаемой информации;

- проводить контроль за соблюдением установленных правил разграничения доступа;

- проводить периодический анализ с целью выработки мер по совершенствованию системы безопасности информации;

- распределять между пользователями АС необходимые реквизиты криптографической защиты, формировать и распределять необходимые реквизиты защиты от НСД;

- проводить контроль технологического процесса автоматизированной обработки электронных документов специальными средствами программного контроля с целью выявления возможных угроз безопасности информации;

- принимать меры по предупреждению угроз безопасности информации при ее обработке в АС;

- принимать участие в обследовании подразделений с целью выявления угроз безопасности информации;

- осуществлять контроль за антивирусной защитой информации в АС.

Администратор ЛВС обязан:

- осуществлять администрирование и организовывать внедрение системы мер по ограничению и разграничению доступа сотрудников к информации, обрабатываемой в АС;

- предоставлять администратору безопасности надежные и доступные механизмы контроля для облегчения обнаружения нарушений обеспечения безопасности информации;

- проводить проверки журналов событий ОС серверов АС;

- своевременно создавать резервные копии всех данных и программного обеспечения на серверах АС;

- выявлять и рекомендовать пакеты программ для обнаружения и удаления злонамеренного программного обеспечения;

- осуществлять организацию и контроль антивирусной защиты АС;

- оказывать помощь при определении источника злонамеренного программного обеспечения и его удалении;

- сообщать пользователю о чтении, изменении, копировании или уничтожении его информации, ставшей доступной в ходе расследования случаев нарушения режима безопасности информации;

- соблюдать конфиденциальность информации, полученной в процессе исполнения должностных обязанностей

- предоставлять администратору безопасности всю информацию о возможных угрозах АС управления, случаях или попытках несанкционированного доступа.

Пользователи обязаны:

- соблюдать требования организационно-распорядительных документов по информационной безопасности;

- использовать доступные механизмы безопасности для защиты конфиденциальности и целостности их собственной информации;

- выполнять процедуры защиты конфиденциальной информации, а также процедуры безопасности самой АС;

- уведомлять администратора сети и непосредственного начальника о нарушении защиты или обнаруженном отказе оборудования;

- не осуществлять намеренное изменение, уничтожение, чтение, или передачу информации неавторизованным способом;

- предоставлять правильную информацию для идентификации и аутентификации;

- при необходимости выполнять резервное копирование собственной информации хранимой на жестком диске своего АРМ;

- знать способы распространения, злонамеренного программного обеспечения и уязвимые места, которые используются злонамеренным программным обеспечением и незарегистрированными пользователями;

- использовать программно-аппаратные средства защиты, которые доступны для защиты системы от злонамеренного программного обеспечения.

Пользователям запрещается:

- сообщать свои пароли кому бы то ни было и разрешать входить в сеть под своим именем;

- подбирать или отгадывать чужие пароли;

- изменять конфигурационную настройку операционной системы;

- добавлять, изменять или удалять программное обеспечение, отдельные компоненты операционной системы;

- модифицировать чужие файлы, если по каким-то причинам у них есть доступ на запись;

- использовать неучтенные дискеты и другие МНИ.

5. Защищаемые информационные ресурсы

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб Министерству или иной организации, доверившей свою информацию Министерству.

Ресурсы автоматизированных систем Министерства включают данные, информацию, программное обеспечение, аппаратные средства, средства обслуживания и телекоммуникации.

Режим защиты информации устанавливается:

- в отношении информации, содержащей государственную тайну - отделом режима секретности и безопасности информации Министерства в соответствии с Законом Российской Федерации "О государственной тайне";

- в отношении конфиденциальной документированной информации - отделом режима секретности и безопасности информации и собственником информационных ресурсов на основании Федерального закона "Об информации, информатизации и защите информации";

- в отношении персональных данных о сотрудниках Министерства - руководством Министерства.

Защищаемые информационные ресурсы, содержащие информацию, составляющую государственную тайну, формируются на основе "Перечня сведений, подлежащих засекречиванию в Министерстве финансов Российской Федерации", а также выписок из отраслевых (ведомственных) перечней сведений.

Защищаемые информационные ресурсы, содержащие информацию конфиденциального характера, формируются на основе "Перечня конфиденциальной информации Министерства финансов Республики Саха (Якутия)".

Защищаемые информационные ресурсы могут быть представлены в виде отдельных документов и отдельных массивов документов (на бумажных носителях), а также в виде документов (файлов) и массивов документов (библиотеках, архивах, фондах, банках данных и т.п.) в ЛВС.

"Перечень защищаемых информационных ресурсов автоматизированных систем управления" Министерства представляет собой перечень прикладных программных продуктов, баз данных, массивов файлов и т.п., в которых присутствует информация, составляющая государственную тайну, или конфиденциальная информация, а также архивы, библиотеки не содержащие в себе вышеуказанной информации, но уничтожение или искажение которых, может нанести существенный вред Министерству. Данный перечень разрабатывается ПДТК и утверждается министром.

6. Доступ к защищаемым информационным ресурсам

Доступ сотрудников Министерства к защищаемым информационным ресурсам осуществляется в соответствии с правами и полномочиями, установленными должностными регламентами и другими нормативными документами Министерства. Доступ сторонних организаций к защищаемым информационным ресурсам осуществляется по письменным запросам, согласованным с руководством Министерства.

7. Возможные угрозы защищаемым информационным ресурсам и меры по их предотвращению

К числу угроз к защищаемым ресурсам относятся:

1. Несанкционированный доступ;

2. Преднамеренные и непреднамеренные сбои в работе средств вычислительной техники, электрооборудования и т.п., ведущие к потере или искажению информации;

3. Перехват, искажение или изменение информации, передаваемой по каналам связи;

4. Нелегальное ознакомление с информацией посторонних лиц или сотрудников, не допущенных к определенному виду информации.

Несанкционированный доступ к информации - это доступ к информации, нарушающий установленные правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС.

К основным способам НСД относятся:

- непосредственное обращение к защищаемым информационным ресурсам;

- создание и внедрение в СВТ или АС программных и технических средств, выполняющих обращение к защищаемым информационным ресурсам в обход средств защиты или нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

- модификация средств защиты, позволяющая осуществить НСД;

Несанкционированный доступ может осуществляться:

- зарегистрированными пользователями;

- посторонними лицами, имеющими доступ в помещения, где установлены СВТ или АС;

- удаленными пользователями при их подключении к АС Министерства.

Преднамеренные и непреднамеренные сбои в работе СВТ, электрооборудования и т.п., ведущие к потере или искажению информации.

К преднамеренным сбоям относятся сбои в работе оборудования или программного обеспечения, вызванные умышленным воздействием на него с целью уничтожения или искажения информации.

Непреднамеренные сбои связаны с неисправностью СВТ, заражением программного обеспечения "вирусами", резкими колебаниями тока в электрической сети и т.п., ведущие к уничтожению или блокированию информации.

Перехват, искажение или изменение информации, передаваемой по каналам связи возможен при передаче информации по незащищенным каналам связи или при передаче незашифрованной информации по открытым каналам.

Нелегальное ознакомление с информацией посторонних лиц или сотрудников Министерства, не допущенных к определенному виду информации, возможно при посещении ими помещений, где установлены технические средства, с помощью которых обрабатывается информация, чтение которой возможно с экрана монитора, с твердой копии принтера или иного копировально-множительного аппарата, а также в результате ошибок персонала в случае неправильной адресации документа.

Предотвращение возможных угроз защищаемым информационным ресурсам осуществляется:

От несанкционированного доступа - созданием системы защиты информации от НСД, которая представляет собой комплекс программно-технических средств, организационных решений.

К организационным решениям относится:

- обеспечение охраны объекта, на котором расположена защищаемая АС с целью предотвращения хищения СВТ, информационных носителей, а также не санкционированный доступ к СВТ и линиям связи;

- выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;

- организация учета, хранения и выдачи информационных носителей, паролей, ключей, ведение служебной документации, приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации;

- разработка соответствующей организационно-распорядительной документации.

Класс защищенности АС Министерства от НСД должен устанавливаться ПДТК с привлечением специалистов соответствующих отделов в соответствии с руководящими документами ФСТЭК. Для выполнения требований по защите информации от НСД соответствующих выбранному классу защищенности, используются как собственные защитные механизмы ОС, так и специально устанавливаемые аппаратно-программные средства защиты. Основной целью их использования является возможность осуществления контроля за действиями зарегистрированных пользователей, а также предотвращение НСД к защищаемой информации.

Подключение к глобальным вычислительным сетям осуществляется только по специально выделенной сети и установлению действительной необходимости такого подключения при выполнении полного комплекса защитных мероприятий от преднамеренных и непреднамеренных сбоев в работе СВТ, электрооборудования и т.п., ведущих к потере или искажению информации.

Основное ПО, необходимые для функционирования информационной и телекоммуникационной систем Министерства оформляется в виде перечня, который утверждается руководством Министерства. К не основному ПО относятся различные программы-утилиты и т.п., используемые отделами АСУ и ОРСБИ для обслуживания основного ПО, а также для проведения сравнительного анализа и изучения возможности его применения в Министерстве.

В Министерстве может использоваться только лицензионное ПО.

Дополнения и изменения в перечень основного ПО вносятся по представлению начальника отдела АСУ по согласованию с ОРСБИ. Использование не включенного в перечень основного ПО запрещается.

Установка на рабочие места любых программ производится только специалистами отдела АСУ. Самостоятельная установка программного обеспечения категорически запрещена.

Все отчуждаемые МНИ, необходимые для работы, учитываются установленным порядком. Использование не учтенных отчуждаемых МНИ категорически запрещается. На АРМ, на которых не предусмотрено использование ГМД, дисководы отключаются.

Защита от заражения программами-вирусами организуется в соответствии с требованиями "Инструкции по антивирусной защите в Министерстве финансов Республики Саха (Якутия)".

С целью обеспечения защиты конфиденциальной информации от искажения или уничтожения в случае сбоев в работе СВТ и оборудования в Министерстве ведется резервное копирование защищаемой информации, а также используются источники бесперебойного питания. Периодичность и порядок проведения резервного копирования определяется инструкцией, разрабатываемой отделом АСУ, исходя из необходимости сохранности информации, ПО баз данных.

Перехват, искажение или изменение информации, передаваемой по каналам связи.

Передача конфиденциальной информации ограниченного распространения по открытым каналам связи с использованием электронной почты, факсимильной связи и любых других видов связи без использования средств шифрования запрещена.

Электронная почта в Министерстве используется для осуществления документооборота с Министерством финансов Российской Федерации, Федеральным казначейством, Управлением федерального казначейства по Республике Саха (Якутия), а также с взаимодействующими ведомствами и организациями. Использование электронной почты для других целей запрещается.

Для осуществления платежей электронным способом в Министерстве используются СКЗИ, с простановкой ЭЦП. Порядок использования СКЗИ и организационные мероприятия по его применению определяются отдельной инструкцией.

Места размещения коммутационного оборудования обеспечиваются пожарной и охранной сигнализацией, двери закрываются на замок, доступ в них посторонних лиц запрещен. Посторонними являются и сотрудники Министерства, которые по своим должностным обязанностям не имеют отношения к эксплуатации данного оборудования.

Нелегальное ознакомление с информацией.

С целью предотвращения нелегального ознакомления с конфиденциальной информацией вход в помещения, где она обрабатывается, должен быть ограничен.

При организации своего рабочего места сотрудник так располагает экран монитора, чтобы затруднить просмотр информации выведенной на экран посторонним лицам, в том числе и с улицы.

При оставлении по каким-либо причинам своего рабочего места сотрудник обязан выйти из сети или заблокировать экран монитора.

8. Меры по защите информации.

Для защиты интересов субъектов информационных отношений при взаимодействии с АС Министерства применяются следующие меры:

- Законодательные;

- Административные;

- Процедурные;

- Программно-технические.

8.1. Законодательные меры.

Система информационной безопасности Министерства строится в строгом соответствии с действующим законодательством Российской Федерации и Республики Саха (Якутия), нормативными актами и руководящими документами государственных органов в области защиты информации.

8.2. Административные меры.

Административные меры включают:

- мероприятия, осуществляемые при подборе и подготовке персонала;

- организацию охраны и пропускного режима;

- мероприятия, осуществляемые при проектировании, разработке, адаптации и модификации АС;

- определение обязанностей и прав пользователей по отношению к информационным ресурсам;

- наложение взысканий за нарушение установленных правил;

- порядок реагирования на события, несущие угрозу информационной безопасности;

- мероприятия по повышению квалификации должностных лиц Министерства в области создания и поддержания системы защиты информации на надлежащем уровне.

8.3. Процедурные меры.

Выделяются следующие группы процедурных мер:

- по обязанностям и правам пользователей по отношению к информационным ресурсам;

- по обучению пользователей и порядку предоставления доступов для работы с информационными ресурсами;

- по физической защите;

- по поддержанию работоспособности АС;

- по разработке и производству информационных ресурсов;

- по реагированию на нарушения режима безопасности;

- по планированию восстановительных работ.

Для каждой группы процедурных мер разрабатывается набор регламентов, определяющих действия персонала.

8.4. Программно-технические меры.

Программно-технические меры должны обеспечивать следующие механизмы безопасности:

- идентификацию и проверку подлинности пользователей;

- управление доступом;

- протоколирование и аудит;

- криптографическое закрытие информации;

- экранирование;

- обеспечение высокой готовности.

Выбор оптимальных программно-технических мер по защите информации производится по результатам анализа рисков. При этом основным критерием выбора программно-технических средств является снижение потенциальных потерь. Расходы на внедрение и поддержку мер защиты не должны превышать стоимость потенциальных потерь.

9. Контроль защищенности информационных ресурсов

Эффективность функционирования системы защиты информации Министерства - это степень соответствия результатов защиты информации поставленным целям. Функционирование системы защиты информации считается эффективным, если принятые меры соответствуют установленным требованиям и нормам.

Оценка эффективности функционирования системы защиты информации осуществляется в процессе выполнения контрольных мероприятий. Контроль состояния функционирования системы защиты информации осуществляется с целью:

1. оценки ее эффективности;

2. оценки защиты информации от иностранных технических разведок;

3. своевременного выявления и предотвращения:

- утечки информации по техническим каналам;

- НСД к информации;

- хищения технических средств и носителей информации;

- преднамеренных программно-технических воздействий на информацию, вызывающих нарушение целостности информации или работоспособности систем обработки информации.

Контроль состояния системы защиты информации и эффективности ее функционирования предусматривает:

- оценку выполнения актов законодательства России, решений Гостехкомиссии России, требований нормативных документов организационно-технического характера по защите информации;

- проверку обоснованности и эффективности принятых мер защиты;

Контроль защищенности информационных ресурсов осуществляется ОРСБИ Министерства.

Непосредственный контроль за выполнением установленных требований при обработке защищаемой информации в вычислительной сети общего пользования осуществляется администратором безопасности ОРСБИ.

Администрирование ЛВС общего пользования осуществляется администратором сети отдела АСУ.

Контроль может проводиться как гласный, в ходе различных проверок на рабочих местах, так и негласный с рабочего места администратора безопасности ОРСБИ.

В целях исследования защищенности ПО от НСД и принятия соответствующих мер, администраторами безопасности ОРСБИ могут осуществляться попытки проникновения или "взлома" существующей защиты применяемого программного обеспечения или АС в целом. Для проведения таких действий должно быть получено разрешение начальника ОРСБИ, а порядок выполнения согласован с начальником отдела АСУ. При проведении подобных исследований технологический процесс обработки информации в Министерстве не должен нарушаться или замедляться.

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

9. Реализация Концепции информационной безопасности

Реализация Концепции информационной безопасности основывается на:

- выявлении информации, содержащей сведения, составляющие государственную тайну и конфиденциального характера;

- определении государственных информационных ресурсов, где такая информация может присутствовать, и обосновании уровня их конфиденциальности;

- разработке перечней информации и информационных ресурсов, подлежащих защите;

- разработке разрешительной системы допуска исполнителей, а также сторонних организаций к информации и информационным ресурсам Министерства;

- оборудовании и аттестации объектов информатизации, где обрабатывается информация, подлежащая защите;

- осуществлении контроля эффективности принятых методов и средств защиты информации.

Защита информации достигается путем разработки и внедрения комплекса защитных мер и включает в себя:

- установление специального порядка обращения с документами ограниченного доступа, порядка доступа к охраняемым сведениям, к техническим средствам обработки и передачи информации, к информационным и программно-техническим ресурсам АС;

- обучение сотрудников основам информационной безопасности;

- предотвращение перехвата техническими средствами сведений, передаваемых по каналам связи;

- предотвращение утечки информации за счет ПЭМИН, создаваемых функционирующими техническими средствами, а также за счет электроакустических преобразований;

- предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение, блокирование доступа к информации или сбои в работе технических средств обработки информации;

- выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);

- предотвращение перехвата техническими средствами речевой информации из помещений и объектов;

- осуществление контроля за выполнением требований организационно распорядительной документации по информационной безопасности;

- внедрение технических средств защиты информации.

- исключение НСД к информации, обрабатываемой или хранящейся с использованием технических средств.