Проект приказа Федерального агентства связи "Об утверждении Положения о системе защиты информации в Федеральном агентстве связи" (подготовлен Россвязью 08.04.2015)

Проект приказа Федерального агентства связи "Об утверждении Положения о системе защиты информации в Федеральном агентстве связи"
(подготовлен Россвязью 08.04.2015 г.)

Досье на проект

Пояснительная записка

В соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223), Федеральным законом от 21 июля 1993 г. N 5485-1 "О государственной тайне" (Собрание законодательства Российской Федерации, 1997, N 41, ст. 4673; 2003, N 27, ст. 2700; N 46, ст. 4449; 2004, N 27, ст. 2711; N 35, ст. 3607; 2007, N 49, ст. 6055, ст. 6079; 2009, N 29, ст. 3617; 2010, N 47, ст. 6033; 2011, N 30, ст. 4590, ст. 4596; N 46, ст. 6407; 2013, N 51, ст. 6697), Положением о Федеральном агентстве связи, утвержденным постановлением Правительства Российской Федерации от 30 июня 2004 г. N 320 (Собрание законодательства Российской Федерации, 2004, N 27, ст. 2783; 2007, N 24, ст. 2923; N 32, ст. 4151; N 41, ст. 4902; 2008, N 23, ст. 2706; N 42, ст. 4825; N 46, ст. 5337; 2009, N 6, ст. 738; N 12, ст. 1435; 2010, N 26, ст. 3350; 2011, N 14, ст. 1935; 2014, N 45, ст. 5822; 2014, N 5, ст. 504; N 47, ст. 6554), Положением "О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденным постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. N 912-51, приказываю:

1. Утвердить прилагаемое Положение о системе защиты информации в Федеральном агентстве связи.

2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

3. Контроль за исполнением настоящего приказа оставляю за собой.

Руководитель

О.Г. Духовницкий

УТВЕРЖДЕНО

приказом Федерального агентства связи

от "___" _______ 2014 г. N ___

ПОЛОЖЕНИЕ
о системе защиты информации в Федеральном агентстве связи

I. Общие положения

1.1. Положение о системе защиты информации в Федеральном агентстве связи (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223), Федеральным законом от 21 июля 1993 г. N 5485-1 "О государственной тайне" (Собрание законодательства Российской Федерации, 1997, N 41, ст. 4673; 2003, N 27, ст. 2700; N 46, ст. 4449; 2004, N 27, ст. 2711; N 35, ст. 3607; 2007, N 49, ст. 6055, ст. 6079; 2009, N 29, ст. 3617; 2010, N 47, ст. 6033; 2011, N 30, ст. 4590, ст. 4596; N 46, ст. 6407; 2013, N 51, ст. 6697), Положением "О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденным постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. N 912-51, Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными Приказом Гостехкомиссии России от 30 августа 2002 г. N 282, Типовым положением о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации), утвержденным решением Гостехкомиссии России от 14 марта 1995 г. N 32.

1.2. Положение определяет цели защиты информации, содержащей сведения, составляющие государственную тайну и конфиденциальную информацию, организационную структуру системы защиты информации в Федеральном агентстве связи, задачи и функции указанной системы, мероприятия по защите информации и контроль за ее состоянием.

1.3. Требования Положения являются обязательными для работников Россвязи и для подведомственных организаций, на которых возлагается организация, осуществление и контроль мероприятий по защите информации.

1.4. В настоящем Положении используются следующие термины и определения:

Автоматизированная система (далее - АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Автоматизированное рабочее место (далее - АРМ) - программно-технический комплекс АС, предназначенный для автоматизации деятельности определенного вида. 

Администратор безопасности - ответственное должностное лицо, уполномоченное установленным порядком на проведение работ в области защиты информации и поддержание уровня защиты объекта информатизации и его ресурсов на этапах промышленной эксплуатации данного объекта в установленном штатном режиме работы.

Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системой от внутренних или внешних угроз.

Вредоносный код - любой программный код, приводящий к нарушению штатного функционирования СВТ. В настоящее время выделяются следующие типы вредоносного кода: "компьютерные вирусы", "трояны", "сетевые черви", "нежелательное" программное обеспечение и другие.

Документированная информация - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Закладное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

Идентификатор доступа - уникальный признак субъекта или объекта доступа.

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Интернет - глобальная информационная система, части которой логически взаимосвязаны друг с другом посредством уникального адресного пространства, основанного на протоколе IP или его последующих расширениях, способная поддерживать связь с использованием комплекса протоколов TCP/IP их последующих расширений или других IP-совместимых протоколов, и которая обеспечивает, использует или делает доступным публично или частным образом коммуникационный сервис высокого уровня.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Информационная инфраструктура - совокупность систем обработки и анализа информации, каналов информационного обмена и телекоммуникаций, линий связи, систем и средств защиты информации.

Информация ограниченного доступа - информация, для которой установлен специальный режим сбора, хранения, обработки, распространения и использования.

Локальная вычислительная сеть (далее - ЛВС) - совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС.

Машинный носитель информации - сменный носитель данных, предназначенный для записи и считывания данных, представленных в стандартных кодах.

Нарушения защиты информации по степени категории:

первая категория - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

вторая категория - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечки по техническим каналам;

третья категория - невыполнение других требований по защите информации.

Персональная ЭВМ (далее - ПЭВМ) - настольная микроЭВМ, имеющая эксплуатационные характеристики рабочего прибора и универсальные функциональные возможности.

Пользователь - лицо, которое использует действующую систему с целью выполнения своих функций.

Пользователь информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации, либо с их нарушением.

Рабочая станция - проблемно ориентированный комплекс периферийных устройств, обеспечивающий связь пользователя с центральной ЭВМ и решение прикладных задач в автономном режиме или в составе вычислительной системы.

Разрушение информации - полная потеря хранящихся в информационных системах или передаваемых по информационным сетям данных или их изменение, исключающее возможность правильной их интерпретации и восстановления.

Средства вычислительной техники (далее - СВТ) - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Утечка информации - неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.

Электронно-вычислительная машина (далее - ЭВМ) - относящаяся к классу вычислительных машин, занимающих по шкале производительности широкий диапазон и предназначенных для решения широкого класса задач с примерно одинаковой технико-экономической эффективностью. 

II. Факторы уязвимости информации, источники угроз безопасности информации, способы воздействия угроз и цели защиты информации

2.1. Основными факторами, способствующими повышению уязвимости информации, являются:

2.1.1 резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью СВТ и других средств автоматизации;

2.1.2 сосредоточение в единых базах данных информации различного назначения;

2.1.3 резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам информационной системы и находящимся в ней данных;

2.1.4 усложнение режимов функционирования технических средств вычислительных систем, широкое внедрение многопрограммного режима;

2.1.5 автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.

2.2. Источники угроз безопасности информации подразделяются на внешние и внутренние.

2.2.1. К внешним источникам относятся:

2.2.1.1 недружественная политика иностранных государств в области информационного мониторинга, распространения информации и новых информационных технологий;

2.2.1.2 деятельность иностранных разведывательных и специальных служб в сферах, относящихся к ведению Россвязи, направленная против ее интересов и интересов Российской Федерации в целом;

2.2.1.3 деятельность иностранных экономических структур, направленная против интересов Россвязи в частности и Российской Федерации в целом;

2.2.1.4 преступные действия международных групп, формирований и отдельных лиц;

2.2.1.5 стихийные бедствия и катастрофы.

2.2.2. Внутренними источниками являются:

2.2.2.1 противозаконная деятельность политических, экономических и криминальных структур и отдельных лиц в области формирования, распространения и использования информации, направленная в том числе и на нанесение экономического ущерба государству;

2.2.2.2 неправомерные действия различных структур и ведомств, приводящие к нарушению законных прав работников Россвязи в информационной сфере;

2.2.2.3 нарушения установленных регламентов сбора, обработки и передачи информации;

2.2.2.4 преднамеренные действия и непреднамеренные ошибки персонала автоматизированных систем, приводящие к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному копированию информации;

2.2.2.5 отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;

2.2.2.6 каналы побочных электромагнитных излучений и наводок технических средств обработки информации.

2.3. Способы воздействия угроз на объекты защиты информации подразделяются на информационные, аппаратно-программные, физические, радиоэлектронные и организационно-правовые.

2.3.1. К информационным способам относятся:

2.3.1.1 нарушение адресности и своевременности информационного обмена;

2.3.1.2 несанкционированный доступ к информационным ресурсам;

2.3.1.3 незаконное копирование данных в информационных системах;

2.3.1.4 хищение информации из банков и баз данных;

2.3.1.5 нарушение технологии обработки информации.

2.3.2. Аппаратно-программные способы включают:

2.3.2.1 внедрение компьютерных вирусов;

2.3.2.2 установку программных и аппаратных закладных устройств;

2.3.2.3 уничтожение или модификацию данных в информационных системах.

2.3.3. Физические способы включают:

2.3.3.1 уничтожение или разрушение средств обработки информации и связи;

2.3.3.2 уничтожение, разрушение или хищение машинных или других оригиналов носителей информации;

2.3.3.3 хищение аппаратных или программных ключей и средств криптографической защиты информации;

2.3.3.4 воздействие на персонал;

2.3.3.5 поставка "зараженных" компонентов информационных систем.

2.3.4. Радиоэлектронными способами являются:

2.3.4.1 перехват информации в технических каналах ее утечки;

2.3.4.2 внедрение электронных устройств перехвата информации в технические средства передачи информации и помещения;

2.3.4.3 перехват, дешифрование и внедрение ложной информации в сетях передачи данных и линиях связи;

2.3.4.4 воздействие на парольно-ключевые системы;

2.3.4.5 радиоэлектронное подавление линий связи и систем управления.

2.3.5. Организационно-правовые способы включают:

2.3.5.1 закупки несовершенных или устаревших информационных технологий и компьютерных средств;

2.3.5.2 невыполнение требований законодательства Российской Федерации в информационной сфере;

2.3.5.3 неправомерное ограничение доступа к документам, содержащим важную для граждан и органов государственной власти информацию.

2.4. Основными целями защиты информации в Россвязи от существующих угроз являются:

2.4.1 предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения работниками, несанкционированного доступа к ней и получения защищаемой информации разведками, криминальными и коммерческими структурами;

2.4.2 предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в информационной системе Россвязи;

2.4.3 предотвращение утрат, уничтожения или сбоев функционирования носителей информации;

2.4.4 соблюдение правового режима использования информационных ресурсов и системы, обеспечение полноты, целостности, достоверности информации в информационной системе;

2.4.5 сохранение возможности управления процессом обработки и пользования информацией работниками Россвязи.

III. Основные задачи и функции системы защиты информации в Россвязи

3.1. Систему защиты информации Россвязи образуют:

3.1.1 руководитель Россвязи;

3.1.2 Совет по информационной безопасности и защите информации Россвязи;

3.1.3 начальники структурных подразделений Россвязи;

3.1.4 руководители подведомственных организаций;

3.1.5 подразделения (штатные специалисты) по защите информации подведомственных организаций;

3.1.6 пользователи информации.

3.2. Основные задачи системы защиты информации:

3.2.1 обеспечение единого подхода к организации и осуществлению контроля за соблюдением требований федеральных норм и правил при обеспечении защиты информации;

3.2.2 организация и проведение работ по защите информации;

3.2.3 организация и осуществление контроля за проведением работ по защите информации в локальных вычислительных сетях и информационно-коммуникационной системе.

3.3. Основные функции системы защиты информации:

3.3.1 организация работ по защите информации, а также методическое руководство и контроль за эффективностью предусмотренных мер защиты информации;

3.3.2 разработка и периодическое уточнение Перечня используемых сведений конфиденциального характера;

3.3.3 анализ угроз безопасности информации и оценка реальной возможности перехвата информации техническими средствами, несанкционированного доступа, разрушения, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;

3.3.4 предотвращение проникновения к источникам информации с целью ее уничтожения, хищения или изменения;

3.3.5 защита носителей информации;

3.3.6 выявление возможных технических каналов утечки информации ограниченного доступа и фактов разглашения защищаемой информации;

3.3.7 контроль за выполнением требований законодательных, нормативно-правовых, организационно-распорядительных и методических документов в области защиты информации.

IV. Организация работы по защите информации в Россвязи

4.1. Руководство работами по защите информации осуществляет руководитель Россвязи или один из его заместителей (в соответствии с распределением обязанностей).

4.2. Совет по информационной безопасности и защите информации в Россвязи является постоянно действующим органом при руководителе Россвязи и осуществляет координацию работ по вопросам обеспечения защиты информации.

Полномочия и порядок работы Совета по информационной безопасности и защите информации в Россвязи определяются Положением о Совете по информационной безопасности и защите информации Федерального агентства связи, утвержденным приказом руководителя Россвязи от 5 августа 2014 г. N 164.

4.3. Отдел информатизации и защиты информации (далее - Отдел) организует работу по защите информации, осуществляет методическое руководство, и контроль за эффективностью предусмотренных мер защиты информации.

4.4. Отдел осуществляет контроль за выполнением пользователями мер по защиты информации, определенных общими требованиями к порядку работ (приложение N 1).

Отдел ежеквартально предоставляет руководителю Россвязи докладную записку о соблюдении пользователями мер по защите информации.

4.5. Руководители подведомственных организаций организуют проведение работ по защите информации в соответствии с пунктами 3.2. и 3.3. Положения.

4.6. В зависимости от объема работ по защите информации руководители подведомственных организаций создают структурные подразделения по защите информации или назначают штатных работников по этим вопросам.

Положение о подразделении по защите информации разрабатывается на основе типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации) с учетом особенностей конкретной подведомственной организации.

Для работников, ответственных за защиту информации в Россвязи и подведомственных организациях, на основе указанного Положения разрабатываются должностные регламенты.

Подразделения (штатные специалисты) по защите информации подведомственной организации подчиняются непосредственно руководителю подведомственной организации, заместителю руководителя подведомственной организации.

4.7. Работники подразделений (штатные специалисты) по защите информации приравниваются по оплате труда, льготам и премированию к соответствующим категориям работников основных структурных подразделений. Они имеют право на получение процентных надбавок к должностному окладу должностных лиц и граждан, допущенных к государственной тайне, установленных постановлением Правительства Российской Федерации от 18 сентября 2006 г. N 573 (Собрание законодательства Российской Федерации, 2006, N 39, ст. 4083; 2012, N 12, ст. 1410; 2013, N 13, ст. 1559).

4.8. Назначение и освобождение от должности руководителя подразделения (штатного работника) по защите информации производится руководителем подведомственной организации с уведомлением заместителя руководителя Россвязи, ответственного за защиту информации в Россвязи.

4.9. Пользователи информации при работе в ЛВС и на ПЭВМ обязаны выполнять предусмотренные меры защиты информации, определенные общими требованиями к порядку работы пользователей и осуществлению контроля со стороны Отдела за их действиями в информационных сетях Россвязи (приложение N 1).

Пользователи информации несут непосредственную ответственность за обеспечение защиты информации.

4.10. Все должностные лица, отвечающие за организацию и выполнение мероприятий по защите информации, в случае ее утечки, разрушения (уничтожения) несут в зависимости от степени возможного ущерба административную и уголовную ответственность в соответствии с законодательством Российской Федерации.

V. Объекты защиты информации Россвязи, мероприятия и методы по их защите

5.1. Объектами защиты в Россвязи являются информация, ее материальные носители и технические средства обработки информации.

5.2. Защите подлежат:

5.2.1 информационные ресурсы, содержащие сведения, отнесенные к государственной тайне или конфиденциальной информации, представленные в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных;

5.2.2 средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, используемые для обработки информации, содержащей сведения, отнесенные к государственной тайне или конфиденциальной информации);

5.2.3 технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к государственной тайне или конфиденциальной информации и средства радиотрансляции, пожарной и охранной сигнализации, часофикации;

5.2.4 выделенные (защищаемые) помещения.

5.3. Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности. Они организуются и проводятся в пределах своей компетенции всеми должностными лицами, входящими в систему защиты информации Россвязи.

5.4. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной тайне и конфиденциальной информации, без принятия необходимых мер по защите информации не допускается.

5.5. В целях предотвращения и нейтрализации угроз безопасности информации применяются правовые, аппаратно-программные методы и организационно-технические мероприятия.

Правовые методы предусматривают разработку организационно-распорядительных документов Россвязи в области защиты информации.

5.6. Аппаратно-программные методы включают:

5.6.1 аппаратные методы защиты:

5.6.1.1 предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;

5.6.1.2 исключение или существенное затруднение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов), устройств измерения индивидуальных характеристик (голоса, отпечатков) человека с целью его идентификации;

5.6.1.3 применение устройств шифрования информации;

5.6.1.4 выявление возможно внедренных в импортные технические средства специальных устройств съема (ретрансляции) или разрушения информации (закладных устройств).

5.6.2 программные методы защиты:

5.6.2.1 предотвращение специальных программно-математических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники;

5.6.2.2 идентификацию технических средств (терминалов, устройств группового управления вводом-выводом, электронных вычислительных машин, носителей информации), задач и пользователей;

5.6.2.3 определение прав пользователей (потребителей) информации (дни и время работы, разрешенные к использованию задачи и технические средства обработки информации);

5.6.2.4 контроль работы технических средств и пользователей;

5.6.2.5 регистрацию работы технических средств и пользователей при обработке информации ограниченного доступа;

5.6.2.6 уничтожение информации в записывающем устройстве после использования;

5.6.2.7 сигнализацию при несанкционированных действиях;

5.6.2.8 вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности (конфиденциальности) на выдаваемых документах;

5.6.2.9 резервное копирование (хранение копий информации на различных носителях);

5.6.2.10 криптографическое шифрование информации.

5.6.3. Организационно-технические мероприятия предусматривают:

5.6.3.1 осуществление мероприятий защиты информации при оборудовании и создании вычислительных центров, АС и автоматизированных рабочих мест;

5.6.3.2 подбор и подготовку персонала для обслуживания СВТ и АС;

5.6.3.3 разработку и утверждение функциональных обязанностей должностных лиц, отвечающих за защиту информации;

5.6.3.4 контроль за действиями персонала в защищенных автоматизированных системах;

5.6.3.5 создание и обеспечение функционирования систем защиты информации ограниченного доступа;

5.6.3.6 сертификацию этих систем по требованиям безопасности информации;

5.6.3.7 аттестацию СВТ, автоматизированных систем и помещений;

5.6.3.8 привлечение на договорной основе для проведения работ по защите информации специализированных организаций, имеющих лицензии на право проведения работ в области защиты информации;

5.6.3.9 стандартизацию способов и средств защиты информации;

5.6.3.10 организацию хранения и использования документов и носителей;

5.6.3.11 физическую защиту от внешних воздействующих факторов, вызванных явлениями природы;

5.6.3.12 физические меры защиты (изоляция помещений со СВТ, установка контролируемых зон, организация пропускного режима, установка охранной сигнализации).

VI. Контроль состояния защиты информации

6.1. Целью контроля состояния защиты информации в Россвязи является своевременное выявление и предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-математических воздействий на информацию, оценка эффективности ее защиты.

6.2. Организация и проведение контроля возлагается на Отдел.

Осуществляемый указанным Отделом контроль распространяется на структурные подразделения Россвязи, на подведомственные организации и предусматривает определение степени соответствия проводимых на местах мероприятий по защите информации положениям федеральных законов, актов Президента Российской Федерации и Правительства Российской Федерации, иных действующих в области защиты информации нормативных правовых актов, а также соответствующих организационно-распорядительных документов Россвязи.

6.3. Контроль осуществляется посредством комплексных и целевых проверок.

Комплексная проверка предусматривает проверку деятельности подведомственной организации по всем или большей части вопросов защиты информации, находящихся в компетенции Россвязи. Данная проверка проводится, комиссией, включающей специалистов по защите информации и информационных систем. К ее проведению могут привлекаться (по согласованию) представители специализированных предприятий, имеющих лицензии на право проведения работ в области защиты информации.

Комиссия Россвязи по контролю состояния защиты информации создается без образования отдельного структурного подразделения. В состав комиссии входит не менее двух человек. Комиссию возглавляет председатель. Решения о проведении проверок, утверждении постоянного состава комиссии, изменениях состава комиссии, утверждаются приказом руководителя Россвязи.

Целевая проверка предусматривает детальную проверку одного или нескольких вопросов защиты информации. Данная проверка может проводиться как комиссией, так и специалистами по защите информации.

При проведении проверок в обязательном порядке проверяется устранение недостатков, выявленных в ходе предыдущих проверок.

Проверки могут быть плановыми и внеплановыми. О плановых проверках подведомственные организации уведомляются заранее (не позднее, чем за два рабочих дня до их начала), о внеплановых - непосредственно перед их началом. Внеплановые проверки могут проводиться в связи с невыполнением требований или норм по защите информации, в результате чего в подведомственной организации Россвязи имелась или имеется реальная возможность ее утечки по техническим каналам (нарушение первой категории) и в других случаях по решению руководителя Россвязи, Совета по информационной безопасности и защите информации в Россвязи.

6.4. Плановые проверки осуществляются на основании плана проверок, утверждаемого руководителем Россвязи.

План проверок утверждается на очередной календарный год не позднее 15 декабря года, предшествующего году, на который разрабатывается такой план. Указанный план доводится под роспись до руководителей объектов ведомственного контроля установленным порядком.

Внесение изменений в план проверок допускается не позднее чем за месяц до начала проведения мероприятия ведомственного контроля, в отношении которого вносятся такие изменения.

6.5. План проверок должен содержать следующие сведения:

6.5.1 наименование подведомственной организации (наименование, ИНН, адрес местонахождения подведомственной организации, в отношении которого принято решение о проведении проверки);

6.5.2 предмет проверки (проверяемые вопросы), в том числе период времени, за который проверяется деятельность подведомственной организации;

6.5.3 вид проверки (выездная или документарная);

6.5.4 дату начала и дату окончания проведения проверки.

6.6. План проверок должен быть размещен не позднее пяти рабочих дней со дня его утверждения на официальном сайте Россвязи в сети "Интернет".

6.7. Перед проверкой члены Комиссии должны подготовить следующие документы:

6.7.1 приказ о проведении проверки, утверждаемый руководителем Россвязи;

6.7.2 уведомление о проведении проверки.

6.8. Приказ о проведении проверки должен содержать следующие сведения:

6.8.1 наименование органа ведомственного контроля, осуществляющего ведомственный контроль в сфере защиты информации.

6.8.2 фамилии, имена, отчества (при наличии), наименования должностей членов Комиссии;

6.8.3 предмет проверки;

6.8.4 основания, цели и сроки осуществления проверки;

6.8.5 дату начала и дату окончания проведения проверки;

6.8.6 наименование, адрес местонахождения подведомственной организации, в отношении которого принято решение о проведении проверки;

6.8.7 вид проверки (выездная или документарная).

6.9. Уведомление о проведении проверки должно содержать следующие сведения:

6.9.1 наименование подведомственной организации, которому адресовано данное уведомление;

6.9.2 предмет проверки (проверяемые вопросы), в том числе период времени, за который проверяется деятельность данной подведомственной организации;

6.9.3 вид проверки (выездная или документарная);

6.9.4 дату начала и дату окончания проведения проверки;

6.9.5 перечень должностных лиц, уполномоченных на осуществление проверки;

6.9.6 запрос о предоставлении документов, информации, материальных средств, необходимых для осуществления проверки;

6.9.7 информация о необходимости обеспечения условий для проведения выездного мероприятия ведомственного контроля, в том числе о предоставлении помещения для работы, средств связи и иных необходимых средств и оборудования для проведения проверки.

6.10. Изменение состава Комиссии оформляется приказами руководителя Россвязи.

6.11. Члены Комиссии при проведении проверки имеют право:

6.11.1 на беспрепятственный доступ на территорию, в помещения, здания подведомственной организации (в необходимых случаях производить фотосъемку, видеозапись, копирование документов) при предъявлении ими служебных удостоверений и уведомления с учетом требований законодательства Российской Федерации о защите государственной тайны;

6.11.2 на истребование необходимых для проведения мероприятия ведомственного контроля документов с учетом требований законодательства Российской Федерации о защите государственной тайны;

6.11.3 на получение необходимых объяснений в письменной форме, в форме электронного документа и (или) устной форме по вопросам проводимой проверки.

6.12. Основаниями для проведения внеплановых проверок являются невыполнение плана устранения нарушений в установленные сроки.

6.13. Председатель Комиссии при наличии оснований, указанных в пункте 6.12. настоящего Положения, направляет руководителю Россвязи служебную записку с приложением копий документов, содержащих сведения, являющихся основанием для принятия решения.

6.14. Руководитель Россвязи принимает решение о целесообразности проверки в течение тридцати рабочих дней с момента получения служебной записки, указанной в пункте 6.12. настоящего Положения.

6.15. При проведении внеплановой проверки Комиссия руководствуется в своей деятельности положениями настоящего Положения, устанавливающие порядок подготовки, проведения и оформления результатов плановых проверок.

6.16. При проведении внеплановой проверки уведомление вручается руководителю подведомственной организации или лицу, его замещающему, непосредственно перед началом проверки.

6.17. В случае выявления по результатам проверок действий (бездействия), содержащих признаки административного правонарушения, материалы проверки подлежат направлению в соответствующие федеральные органы исполнительной власти, уполномоченные на осуществление контроля в сфере защиты информации, а в случае выявления действий (бездействия), содержащих признаки состава уголовного преступления, - в правоохранительные органы.

6.18. Продолжительность проверки (независимо от ее вида), не должна превышать десять рабочих дней. Срок проведения проверки может быть продлен только один раз не более чем на десять календарных дней по решению руководителя Россвязи или лица его замещающего.

6.20. Результаты проверки оформляются актом.

Кроме того, при выявлении в процессе проверки нарушений установленных требований и норм по защите информации (нарушения первой и второй категорий) должно оформляться предписание об устранении этих нарушений (приложение N 2).

Акт и предписание должны быть подписаны председателем комиссии и членами комиссии (специалистами) и выданы под роспись руководителю проверяемой подведомственной организации или отправлены по почте не позднее пятнадцати рабочих дней после окончания проверки.

6.21. При обнаружении нарушений первой категории руководитель проверяемой подведомственной организации обязан:

6.21.1 немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;

6.21.2 организовать в установленном порядке расследование причин и условий появления нарушения с целью недопущения их в дальнейшем и привлечении к ответственности виновных лиц;

6.21.3 сообщить заместителю руководителя Россвязи (в соответствии с распределением обязанностей) о вскрытых нарушениях и принятых мерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности принятых мер, проводимой специалистами Россвязи или соответствующим территориальным Управлением Федеральной службы по техническому и экспортному контролю Российской Федерации.

При обнаружении нарушений второй и третьей категорий руководители проверяемых подведомственных организаций обязаны принять необходимые меры по их устранению в сроки, согласованные с комиссией, проводившей проверку.

6.22. Подведомственные организации проверяются Отделом не менее одного раза в два года.

В случае несоответствия в подведомственных организациях принимаемых мер по защите информации установленным требованиям или нормам и наличии нарушений первой и второй категорий заместитель руководителя (в соответствии с распределением обязанностей) докладывает руководителю Россвязи.

6.23. При проверках подведомственных организаций Федеральной службой безопасности Российской Федерации или Федеральной службой по техническому и экспортному контролю Российской Федерации один экземпляр акта проверки представляется их руководителями в Россвязь.

6.24. Обобщенные данные о результатах проведенных проверок и состоянии защиты информации по итогам года подведомственные организации представляют в Россвязь к 15 января года, следующего за отчетным.

6.25. Доклад о состоянии защиты информации в Россвязи и подведомственных организациях, эффективности принятых мер по ее совершенствованию по итогам года представляет руководителю Россвязи к 1 марта года, следующего за отчетным, заместитель руководителя Россвязи (в соответствии с распределением обязанностей).

В докладе отражается:

- общее состояние защиты информации в Россвязи и подведомственных организациях, в которых эти вопросы решаются неудовлетворительно;

- общее количество проведенных проверок Россвязью, Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации в отношении подведомственных организаций;

- основные недостатки, выявленные в ходе проверок;

- наличие нарушений первой и второй категорий;

- укомплектованность подведомственных организаций специалистами по защите информации;

- предложения по совершенствованию системы защиты информации в подведомственных организациях.

_____________________

Приложение N 1

ОБЩИЕ ТРЕБОВАНИЯ к порядку работы пользователей и осуществлению контроля со стороны Отдела информатизации и защиты информации за их действиями в информационных сетях Федерального агентства связи

1. Пользователь обязан:

- знать правила работы в ЛВС и меры по защите ресурсов ЛВС;

- при работе на рабочей станции ПЭВМ и в ЛВС выполнять только служебные задания;

- работать в сети только в рабочее время;

- убедиться в исправности рабочей станции, отсутствии вредоносного кода;

- при сообщениях тестовых программ о появлении вредоносного кода немедленно прекратить работу, доложить администратору безопасности и начальнику отдела информатизации и защиты информации;

- в случае необходимости использования машинных носителей информации, поступивших из других структурных подразделений Россвязи, учреждений, предприятий и организаций, прежде всего провести проверку этих носителей на отсутствие вредоносного кода;

- при решении задач с защищаемой информацией использовать только учтенные в установленном порядке магнитные носители информации;

- выполнять предписания администратора безопасности;

- представлять для контроля рабочую станцию администратору безопасности и специалисту по защите информации;

- выполнять требования организационно-распорядительных документов по применению рабочих станций сети и ЛВС;

- сохранять в тайне свой индивидуальный пароль, не сообщать его другим лицам, даже если это должностное лицо;

- вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;

- периодически в установленном порядке изменять пароль;

- при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек), нарушении или несоответствии номеров печатей на аппаратных средствах немедленно сообщить в отдел информатизации и защиты информации, осуществляющий эксплуатацию средств информатизации (администратору безопасности), и поставить в известность руководителя структурного подразделения.

2. Пользователю при работе запрещается:

- играть в компьютерные игры;

- находиться в рабочее время в социальных сетях, на порнографических сайтах и т.д.;

- отключать на рабочей станции ПЭВМ антивирусное программное обеспечение без согласования с отделом информатизации и защиты информации;

- приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления специалистов отдела информатизации и защиты информации, осуществляющего эксплуатацию средств информатизации (администратора безопасности);

- перенастраивать программное обеспечение на рабочей станции;

- самостоятельно вскрывать комплектующие рабочей станции;

- запускать на рабочей станции или другой рабочей станции сети любые системные или прикладные программы, кроме установленных специалистами отдела информатизации и защиты информации (администратором безопасности);

- передавать свой пароль другим лицам, фиксировать свои учетные данные (пароли, идентификаторы и др.) на твердых носителях;

- изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;

- оставлять включенной без присмотра рабочую станцию, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);

- оставлять без личного присмотра на рабочем месте машинные носители информации и распечатки, содержащие конфиденциальную информацию;

- допускать к подключенной в сеть рабочей станции посторонних лиц;

- использовать неучтенные машинные носители информации при работе с конфиденциальной информацией;

- производить копирование защищаемой информации на неучтенные машинные носители информации (в том числе и для временного хранения информации);

- работать на рабочей станции сети с защищаемой информацией при обнаружении неисправностей;

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации;

- отсылать по электронной почте информацию личного или коммерческого характера для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с отделом информатизации и защиты информации;

- запрашивать и получать из сети "Интернет" материалы развлекательного характера (игры, клипы и т.д.), кроме случаев их специального использования в служебных целях (только по согласованию с Отделом);

- запрашивать и получать из сети "Интернет" программные продукты, кроме случаев, связанных с производственной необходимостью. При этом необходимо согласование с отделом информатизации и защиты информации.

3. Возможность пользователей входить в другие компьютерные системы через сеть не дает им права на подключение к этим системам и на их использование, если на то не получено специальное разрешение со стороны пользователей этих систем.

4. Пользователь несет персональную ответственность за соблюдение установленных требований во время работы в ЛВС и по защите информации.

5. Отдел информатизации и защиты информации обязан:

- готовить к утверждению списки работников (пользователей ЛВС), которых по своим должностным обязанностям необходимо допустить к работе с защищаемой информацией;

- контролировать целевое использование государственными гражданскими служащими и иными работниками ресурсов сети "Интернет";

- проводить разбирательство по информации администратора безопасности по фактам несоблюдения пользователями инструкции при работе с электронной почтой и других нарушений, установленных для работы в ЛВС, а также нарушений требований защиты информации;

- выборочно лично контролировать исходящую информацию, направляемую пользователями по электронной почте другим адресатам;

- контролировать выполнение пользователями изложенных выше правил работы;

- при обнаружении нарушений установленных требований по защите информации, в результате которых вскрыты факты разглашения конфиденциальной информации, либо имелась или имеется реальная возможность ее утечки по техническим каналам, прекратить работы на рабочем месте, где обнаружены нарушения, доложить руководителю Россвязи или его заместителю, ответственному за защиту информации в Россвязи.

_____________________

Приложение N 2

Форма предписания

Герб

Министерство связи и массовых коммуникаций Российской Федерации

Федеральное агентство связи

(Россвязь)

Предписание N ________

__________________________ __________________

(населенный пункт) (дата)

Нами, (мною) ________________________________________________________________

(должности, фамилии и инициалы работников

_________________________________________________________________________ __________

Россвязи)

в соответствии с ____________________________________________________________________

(наименование, номер и дата документа, в соответствии с которым

_____________________________ в период с _______________ по _______________

проводится проверка) (дата) (дата)

в присутствии______________________________________________________________ ________

(должности, фамилии и инициалы ответственных представителей

_________________________________________________________________________ __________

проверяемой организации)

проведена ______________________ проверка ___________________________________________

(комплексная, целевая) (указать организацию,

_________________________________________________________________________ __________

ее подразделение, объект)

1. В ходе работы проверено выполнение требований действующих федеральных норм и правил, а также организационно-распорядительных документов Федерального агентства связи в области защиты информации

____________________________________________________________________ _______________

(указать наименования норм, правил и документов)

____________________________________________________________________ _______________

____________________________________________________________________ _______________

2. На основании Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и Положения о Федеральном агентстве связи, утвержденного постановлением Правительства Российской Федерации от 30 июня 2004 г. N 320,

____________________________________________________________________ _______________

(должность, фамилия и инициалы должностного лица и полное

____________________________________________________________________ _______________

наименование организации)

Предписывается устранить выявленные нарушения в установленные сроки:

N п/п	Выявленные нарушения требований по защите информации, причины и условия, приведшие к этим нарушениям	Нарушенные законодательные акты, организационно-распорядительные и руководящие документы в области защиты информации	Содержание предписаний по устранению нарушений	Срок устранения нарушений	Примеча-ние
1	2	3	4	5	6

3. Выводы и принятые меры. __________

(указать меры, которые были приняты комиссией в процессе проверки, включая:

выдачу предписаний о запрещении или приостановке обработки информации и т.п.).

4. Об устранении в установленные сроки нарушений, изложенных в разделе 2 настоящего предписания, предлагается не позднее _________________ представить информацию в Россвязь.

(дата)

Предписание выдали:

_____________________________________ _________________ _____________________

(должности лиц, подписавших предписание) (подпись) (фамилия и инициалы)

_____________________________________ _________________ _____________________

(должности лиц, подписавших предписание) (подпись) (фамилия и инициалы)

С предписанием ознакомлен и экземпляр его для исполнения получил:

_____________________________ _________________ _____________________

(должность руководителя) (подпись) (фамилия и инициалы)

________________________

(дата)

_______________________