Указание МПС РФ от 16.06.1999 N А-1076сп/у "Об утверждении Инструкции о порядке защиты от несанкционированного доступа конфиденциальной информации, составляющей коммерческую тайну, передаваемой по незащищенным техническим каналам связи" (документ не применяется)

Указание МПС РФ от 16 июня 1999 г. N А-1076сп/у
"Об утверждении Инструкции о порядке защиты от несанкционированного доступа конфиденциальной информации, составляющей коммерческую тайну, передаваемой по незащищенным техническим каналам связи"

В целях проведения единой политики по обеспечению эффективной защиты от несанкционированного доступа конфиденциальной информации, составляющей коммерческую тайну, передаваемой по незащищенным техническим каналам связи, МПС России приказывает:

1. Утвердить прилагаемую Инструкцию о порядке защиты от несанкционированного доступа конфиденциальной информации, составляющей коммерческую тайну, передаваемой по незащищенным техническим каналам связи.

2. Руководителям департаментов и управлений, начальникам железных дорог, руководителям предприятий, учреждений и организаций железнодорожного транспорта в целях обеспечения безусловного выполнения требований Инструкции о порядке защиты от несанкционированного доступа конфиденциальной информации, составляющей коммерческую тайну, передаваемой по незащищенным техническим каналам связи:

организовать ее изучение всеми причастными сотрудниками, для чего размножить ее в необходимом количестве экземпляров;

провести работу по выделению компьютеров под рабочие места для подготовки и приема-передачи конфиденциальной информации, составляющей коммерческую тайну (РМ ПКИ);

определить лиц, допущенных к работе на РМ ПКИ;

сформулировать задачи, решаемые на конкретных РМ ПКИ, с учетом подробных перечней сведений, составляющих коммерческую тайну и отражающих специфику деятельности конкретной организации (структурного подразделения организации);

назначить из числа специалистов по информационным технологиям конкретных организаций (структурных подразделений организаций) администраторов безопасности.

Доложить о результатах проведенной работы в вышестоящую организацию федерального железнодорожного транспорта в срок до 10.09.99 г.

3. Начальнику ГУП "Аттестационный центр Желдоринформзащита" МПС России Петрову М.М. по согласованию с Первым отделом МПС России и Управлением экономической защиты МПС России в срок до 10.09.99 г. подготовить технические предложения по программно-аппаратным средствам защиты от несанкционированного доступа конфиденциальной информации, составляющей коммерческую тайну.

4. Контроль за выполнением настоящего Указания возложить на Управление экономической защиты МПС России во взаимодействии с Первым отделом МПС России.

Заместитель Министра

А.С. Мишарин

Инструкция
о порядке защиты от несанкционированного доступа конфиденциальной информации, составляющей коммерческую тайну, передаваемой по незащищенным техническим каналам связи
(утв. указанием МПС РФ от 16 июня 1999 г. N А-1076сп/у)

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии с требованиями указаний МПС России от 24 марта 1999 г. N 109у и от 24 мая 1999 г. N л-906у/сп и определяет порядок использования средств защиты конфиденциальной информации, составляющей коммерческую тайну, от несанкционированного доступа при ее передаче между компьютерами в информационно-вычислительных сетях по незащищенным техническим каналам связи.

1.2. В Инструкции используются следующие понятия и сокращения:

АДМИНИСТРАТОР БЕЗОПАСНОСТИ - должностное лицо, обеспечивающее эксплуатацию средств защиты информации в информационно-вычислительных сетях организаций;

ГВЦ - главный информационно-вычислительный центр;

ГМД - гибкий магнитный диск;

ЖМД - жесткий магнитный диск;

ИВС - информационно-вычислительная сеть;

ИВЦ - информационно-вычислительный центр;

КИ - конфиденциальная информация - информация, составляющая коммерческую тайну;

МНИ - машинный носитель информации;

СЗИ - средства защиты информации;

НАСТРОЙКИ СЗИ - параметры средств защиты информации, позволяющие автоматически разграничивать доступ операторов к информации, контролировать и регулировать обмен данными между операторами в соответствии с их полномочиями, регистрировать попытки несанкционированного доступа к конфиденциальной информации и осуществлять противодействие таковым, и т.д.;

НСД - несанкционированный доступ к конфиденциальной информации;

НТКС - незащищенный технический канал связи;

ОПЕРАТОР - сотрудник, выполняющий операции по подготовке и/или приему-передаче конфиденциальной информации по незащищенным техническим каналам связи;

ОТКРЫТЫЙ КЛЮЧ, ЛИЧНЫЙ КЛЮЧ - специальные последовательности знаков, используемые операторами для шифрования/расшифрования конфиденциальной информации;

ОТКРЫТЫЙ КЛЮЧ ЭЛЕКТРОННОЙ ПОДПИСИ, ЛИЧНЫЙ КЛЮЧ ЭЛЕКТРОННОЙ ПОДПИСИ - специальные последовательности знаков, с помощью которых отправитель "подписывает" передаваемое сообщение, что дает возможность адресату убедиться в подлинности полученного сообщения;

ПЕРЕЧЕНЬ ЗАДАЧ - ресурсы информационно-вычислительных сетей, доступ к которым необходим для подготовки и/или приему-передачи конфиденциальной информации, составляющей коммерческую тайну в рамках функциональных обязанностей операторов;

РМ ПКИ - рабочее место подготовки и/или приема-передачи конфиденциальной информации;

СЕТЬ КОНФИДЕНЦИАЛЬНОЙ СВЯЗИ - часть информационно-вычислительной сети организации, предназначенная для приема-передачи и обработки конфиденциальной информации;

СЕТЕВАЯ АТАКА - попытка несанкционированного доступа к защищаемым информационным ресурсам с удаленного компьютера.

ССЗИ - сервер системы управления доступом и защиты информации;

СКЗИ - система криптографической защиты информации;

СЦУК - сервер центра управления ключами;

1.3. Все РМ ПКИ и серверы, обеспечивающие работу РМ ПКИ, должны иметь предварительно встроенные программные СЗИ.

1.4. Для обеспечения автоматической координации действий предварительно встроенных программных СЗИ РМ ПКИ в ИВЦ железных дорог и ГВЦ МПС России должны быть установлены ССЗИ.

1.5. Открытые ключи, необходимые для шифрования КИ, хранятся для использования всеми операторами ИВС федерального железнодорожного транспорта на СЦУК, установленных в ИВЦ железных дорог и ГВЦ МПС России.

1.6. Каждому оператору РМ ПКИ для шифрования КИ необходимо иметь личный ключ шифрования и доступ к открытым ключам шифрования, принадлежащим операторам сети конфиденциальной связи.

1.7. Открытые ключи электронной подписи, необходимые для подтверждения подлинности КИ, хранятся для использования всеми операторами ИВС на СЦУК, установленных в ИВЦ железных дорог и ГВЦ МПС России.

1.8. Каждому оператору РМ ПКИ, обладающему правом подписи передаваемого электронного сообщения, необходимо иметь личный ключ подписи и доступ к открытым ключам подписи операторов сети конфиденциальной связи.

1.9. ССЗИ и СЦУК должны устанавливаться на специально выделенных компьютерах. Использование для этих целей сетевых серверов и серверов систем управления базами данных федерального железнодорожного транспорта не допускается.

1.10. СЗИ и СКЗИ являются неотъемлемой составной частью единой системы управления информационной безопасностью федерального железнодорожного транспорта и должны обеспечивать:

контроль в реальном масштабе времени настроек СЗИ в ИВС федерального железнодорожного транспорта;

сбор данных о действиях операторов сети конфиденциальной связи;

постоянное получение информации о реальном состоянии защищенности сети конфиденциальной связи, ее соответствии требованиям настоящей Инструкции и других нормативных актов по защите информации;

контроль деятельности системных и сетевых администраторов, администраторов баз данных, а также операторов и специалистов, имеющих в соответствии с должностными обязанностями расширенные права доступа к ИВС и управления ей;

оптимизацию контроля руководителем организации (структурного подразделения организации) доступа операторов организации (структурного подразделения организации) федерального железнодорожного транспорта к ресурсам ИВС за счет унификации перечня управляемых объектов и автоматического разграничения прав доступа к информации;

объединение различных средств обеспечения информационной безопасности (средств криптографической защиты информации, средств анализа защищенности и оповещения о сетевых атаках, средств защиты информации от НСД) в единую систему.

1.11. Помещения, где размещаются РМ ПКИ, СКЗИ, СЗИ, в рабочее время должны постоянно находиться под наблюдением лиц, допущенных к работе на РМ ПКИ, СКЗИ, СЗИ. По окончании рабочего дня помещения сдаются под охрану в установленном в организации (структурном подразделении) порядке. Уборка и другие служебные работы в помещениях должны производиться под наблюдением лиц, допущенных к работе на РМ ПКИ, СКЗИ, СЗИ.

1.12. Допуск операторов и администраторов безопасности к работе на РМ ПКИ, СКЗИ, СЗИ осуществляется на основании Инструкции, утвержденной указанием МПС России от 24.05.1999 г. N л-906у/сп, распоряжением руководителя организации (структурного подразделения организации) федерального железнодорожного транспорта после изучения ими документов МПС России по защите информации и настоящей Инструкции под расписку в журнале инструктажа. В распоряжении указывается время действия допуска (период времени или "постоянно") и конкретное автоматизированное рабочее место. Инструктаж проводит начальник отделения (отдела) информационных технологий организации (структурного подразделения организации) федерального железнодорожного транспорта.

1.13. Соблюдение положений настоящей Инструкции обязательно при любых работах с использованием РМ ПКИ, СКЗИ, СЗИ.

1.14. При заключении договоров с организациями (контрагентами), предусматривающими передачу им для последующего использования КИ, включать в договоры условие выполнения требований настоящей Инструкции.

1.15. Контроль за выполнением данной Инструкции в организациях (структурных подразделениях организации) федерального железнодорожного транспорта осуществляют помощники начальников железных дорог по вопросам экономической защиты, а в МПС России - Управление экономической защиты МПС России во взаимодействии с Первым отделом МПС России.

1.16. Не допускается использование программных или программно-технических средств защиты и шифрования информации, не сертифицированных ФАПСИ или Гостехкомиссией при Президенте Российской Федерации.

2. Осуществление защиты КИ, передаваемой по незащищенным техническим каналам связи

2.1. Общее руководство организацией работ по защите КИ, передаваемой по техническим каналам связи при эксплуатации РМ ПКИ, СКЗИ и СЗИ возлагается на руководителя ИВЦ железных дорог (ГВЦ МПС России) или начальника отделения (отдела) информационных технологий организации (структурного подразделения организации) федерального железнодорожного транспорта.

2.2. Начальник отделения (отдела) информационных технологий организации (структурного подразделения организации) федерального железнодорожного транспорта обеспечивает:

оснащение РМ ПКИ, сетевых серверов и серверов баз данных программными СЗИ и своевременный ввод в эксплуатацию указанных СЗИ, включая документальное оформление в рамках единой технической политики МПС России в области информационной безопасности;

организацию эксплуатации СЗИ, СКЗИ, РМ ПКИ с учетом требований настоящей Инструкции и других нормативных актов МПС России, регламентирующих порядок защиты информации;

организацию подготовки лиц, допущенных к работе с СЗИ, СКЗИ по вопросам защиты информации;

организацию информационного подключения дополнительных РМ ПКИ структурных подразделений организаций к ИВС с учетом требований настоящей Инструкции и других нормативных актов МПС России по вопросам защиты информации;

осуществление доступа РМ ПКИ организаций федерального железнодорожного транспорта, их структурных подразделений и сторонних организаций (в соответствии с п. 1.14. настоящей Инструкции) к СКЗИ ИВЦ железных дорог (ГВЦ МПС России) и регистрацию операторов РМ ПКИ на СЗИ и СКЗИ;

проведение работ по выявлению возможных каналов утечки КИ и их своевременное закрытие;

разработку перечня задач операторов по подготовке КИ и его согласовывание с руководителем организации (структурного подразделения организации) федерального железнодорожного транспорта.

2.3. Для проведения текущих мероприятий по обеспечению эксплуатации СЗИ в ИВС руководителями организаций (структурных подразделений организаций) назначаются администраторы безопасности.

2.4. Администратор безопасности назначается по согласованию с подразделением либо помощником начальника железной дороги по экономической защите из числа специалистов отделений (отделов) информационных технологий организаций (структурных подразделений организаций) федерального железнодорожного транспорта, эксплуатирующих вычислительную технику. Администратор безопасности подчиняется руководителю организации (структурного подразделения организации), а также подотчетен вышестоящему администратору безопасности в соответствии со структурой федерального железнодорожного транспорта.

2.5. Контроль соблюдения требований настоящей Инструкции по защите КИ, передаваемой по НТКС, осуществляется руководителями организаций (структурных подразделений организаций), подразделениями (помощниками начальников железных дорог) по экономической защите, начальниками отделений (отделов) информационных технологий и администраторами безопасности организаций федерального железнодорожного транспорта, их структурными подразделениями во взаимодействии с Первым отделом МПС России и его режимно-секретными органами на местах.

2.6. Администратор безопасности:

на основании письменного разрешения руководителя организации (структурного подразделения организации) федерального железнодорожного транспорта производит разграничение доступа к информации (осуществляет настройки СЗИ, СКЗИ) в соответствии с пунктом 1.12. настоящей Инструкции и перечня задач;

несет ответственность за соблюдение установленного порядка хранения машинных носителей информации (МНИ) и технических средств РМ ПКИ, СЗИ, СКЗИ;

осуществляет проверку программных журналов регистрации действий операторов на РМ ПКИ и СЗИ, СКЗИ;

разрабатывает предложения по конфигурации СКЗИ, СЗИ, РМ ПКИ и их подключению к ИВС организации (структурного подразделения);

разрабатывает предложения по совершенствованию настроек системы защиты информации при эксплуатации СЗИ, СКЗИ и РМ ПКИ, согласовывает их с начальником отделения (отдела) информационных технологий и вышестоящим администратором безопасности организаций (структурных подразделений организаций) федерального железнодорожного транспорта;

осуществляет контроль выполнения операторами требований настоящей Инструкции и документов, определяющих порядок эксплуатации СКЗИ и СЗИ;

регулярно (не реже одного раза в сутки) проводит проверки журналов регистрации действий операторов с целью выявления возможных несанкционированных изменений ключей и осуществляет другие регламентные мероприятия в соответствии с должностными обязанностями;

обеспечивает централизованное обновление используемых сертифицированных средств антивирусной защиты, готовит и передает операторам ключи, необходимые для передачи КИ по НТКС;

ведет учет изменений перечня задач операторов; согласовывает перечень с вышестоящим администратором безопасности, начальником отделения (отдела) информационных технологий, руководителем организации (структурного подразделения организации) федерального железнодорожного транспорта и подразделением (помощником начальника железной дороги) по экономической защите;

передает администраторам баз данных, системным и сетевым администраторам имена и пароли, необходимые для регистрации операторов.

2.7. Операторы, работающие с КИ, обязаны:

при работе на РМ ПКИ и СКЗИ регистрироваться под присвоенными им именами и паролями;

проверять вводимую на РМ ПКИ с МНИ или полученную по каналам связи информацию на наличие в ней программ-репликаторов (вирусов). Проверка производится при помощи средств контроля, имеющихся в программном обеспечении рабочих мест РМ ПКИ, и специализированными программами-антивирусами, предоставляемыми администратором безопасности;

при выявлении фактов нарушения требований настоящей Инструкции и других документов по защите КИ прекратить работу на РМ ПКИ и письменно доложить о сложившейся ситуации администратору безопасности, начальнику отделения (отдела) информационных технологий организации (структурного подразделения организации) федерального железнодорожного транспорта, подразделению (помощнику начальника железной дороги) по экономической защите.

3. Порядок регистрации операторов РМ ПКИ и СКЗИ

3.1. Всем операторам для работы на РМ ПКИ администратором безопасности присваиваются индивидуальные имена и пароли. Не допускается указание в имени служебных сведений (наименование отдела, фамилии и т.д.). Не допускается использование в качестве пароля осмысленной последовательности знаков.

3.2. В каждом помещении, оборудованном РМ ПКИ и СКЗИ должен быть список лиц, допущенных к работе с конкретного рабочего места, составленный в соответствии с пунктом 1.12. настоящей Инструкции.

4. Порядок использования программного обеспечения, конфигурирования и ввода в эксплуатацию РМ ПКИ, СКЗИ, СЗИ

4.1. Для проведения работ на РМ ПКИ используются сертифицированные средства общего программного обеспечения и специальное программное обеспечение для защиты КИ. Все РМ ПКИ и СКЗИ должны быть снабжены регулярно обновляемыми сертифицированными средствами антивирусной защиты.

4.2. Конфигурации РМ ПКИ, СЗИ, СКЗИ разрабатываются начальниками отделений (отделов) информационных технологий с привлечением администраторов безопасности организаций (структурных подразделений организаций) федерального железнодорожного транспорта, между которыми будет происходить обмен КИ и отражаются в акте приема РМ ПКИ, СЗИ, СКЗИ в эксплуатацию в организации (структурном подразделении организации) федерального железнодорожного транспорта.

4.3. Вновь устанавливаемые и обновляемые СЗИ, СКЗИ вводятся в эксплуатацию только при их соответствии требованиям настоящей Инструкции, централизованно и согласовываются с Департаментом информатизации и связи МПС России и Управлением экономической защиты МПС России.

4.4. Запрещается отключать или подавлять СЗИ, встроенные в РМ ПКИ, сетевые серверы, серверы управления базами данных и СКЗИ.

5. Порядок передачи/приема информации по ИВС общего пользования

5.1. Операторы, допущенные, в соответствии с пунктом 1.12. настоящей Инструкции, к работе на РМ ПКИ осуществляют подготовку и прием/передачу КИ по ИВС общего пользования в соответствии с настоящей Инструкцией и своими должностными обязанностями.

5.2. Для приема/передачи КИ операторы выполняют следующие действия:

получают, согласно инструкции, прилагаемой к СКЗИ, комплект ключей - открытый и личный;

помещают на СЦУК свой открытый ключ;

сообщают, при необходимости, оператору РМ ПКИ, получающему КИ, имя своего открытого ключа на СЦУК;

получают со СЦУК открытый ключ оператора РМ ПКИ, которому предназначено сообщение;

с помощью своего личного ключа и открытого ключа оператора-получателя шифруют КИ и отправляют получателю;

оператор РМ ПКИ, получивший КИ, с помощью своего личного ключа и открытого ключа оператора-отправителя расшифровывает КИ.

5.3. Операторам запрещается вносить изменения в автоматически ведущиеся программными средствами защиты информации журналы регистрации событий, происходящих во время сеансов работы РМ ПКИ.

5.4. При передаче/приеме КИ через ИВС общего пользования запрещается:

передавать КИ, не прошедшую шифрование на РМ ПКИ;

переносить файлы, полученные из ИВС общего пользования, на МНИ, использующиеся во внутренних локальных вычислительных сетях организации (структурного подразделения организации), без их предварительной проверки антивирусными программными средствами;

работать с отключенными или неисправными штатными СЗИ.

5.5. Все МНИ, в том числе жесткие магнитные диски (ЖМД), должны быть зарегистрированы в соответствии с Инструкцией, утвержденной указанием МПС России от 24.05.1999 г. N л-906у/сп.

5.6. Съемные МНИ хранятся в опечатываемых сейфах (металлических шкафах), а несъемные ЖМД - в системном блоке. При этом системный блок персональной ЭВМ (его задняя панель) должен быть опечатан сотрудником, на которого зарегистрирован данный системный блок. Опечатывание должно производиться таким образом, чтобы исключить возможность извлечения ЖМД из системного блока без повреждения оттиска печати. Как правило, опечатывается один из винтов крепления кожуха к корпусу системного блока.

5.7. Запрещается передача МНИ любым лицам, не допущенным к работе на РМ ПКИ, а также лицам, не допущенным к информации, хранящейся на передаваемом МНИ.

5.8. Пришедшие в негодность (неисправные) МНИ снимаются с учета в качестве носителей КИ с разрешения начальника отделения (отдела) информационных технологий организации (структурного подразделения организации) федерального железнодорожного транспорта с соответствующей отметкой в журнале учета МНИ. При этом на ГМД (оптическом диске) делается надрез (надлом), а ЖМД вскрывается, и его ферромагнитные пластины физически деформируются. Далее МНИ передаются материально-ответственному лицу для списания с материального учета.

5.9. При работе на РМ ПКИ запрещается:

допускать к работе с КИ лиц, не имеющих прав доступа к ней;

записывать на МНИ информацию, не имеющую отношения к производственной деятельности (в частности игровые программы), а также программные средства, не предназначенные для решения технологических задач;

просматривать, уничтожать, копировать, изменять информацию других операторов без их разрешения;

отключать программные средства разграничения доступа, предпринимать попытки нарушения работоспособности этих средств;

производить какие-либо изменения в электрических схемах, монтаже и размещении РМ ПКИ, изменять конфигурацию РМ ПКИ, определенную актом приема РМ ПКИ в эксплуатацию в организации (структурном подразделении организации) федерального железнодорожного транспорта, подключать не входящие в состав РМ ПКИ блоки и устройства;

записывать и хранить КИ и личные ключи на неучтенных машинных носителях;

оставлять на рабочем месте документы и МНИ, а также рабочую информацию на экране дисплея при выходе из помещения;

оставлять свои личные ключи на МНИ, доступных другим операторам.

6. Мероприятия по контролю эффективности защиты информации

6.1. С целью контроля эффективности защиты информации администратором безопасности и/или начальником отдела (отделения) информационных технологий организации (структурного подразделения организации) федерального железнодорожного транспорта ежедневно проводится:

проверка информации из файлов автоматической регистрации активности операторов на соответствие их рабочим заданиям и полномочиям;

периодическая сверка текущей и утвержденной конфигурации РМ ПКИ.

Удаленное управление и настройка РМ ПКИ проводятся по мере необходимости.

6.2. При внеплановых выборочных проверках контролируется:

соответствие применяемых операторами МНИ требованиям настоящей Инструкции;

порядок действий операторов при доступе к ресурсам ИВС общего пользования и соблюдение операторами РМ ПКИ требований настоящей Инструкции.

6.3. По результатам проверок, в случае выявления нарушений требований по обеспечению безопасности информации, администратор безопасности и/или начальник отделения (отдела) информационных технологий имеют право заблокировать с помощью СЗИ соответствующее РМ до выявления и устранения причин, приведших к нарушениям с составлением соответствующего акта, утверждаемого руководителем организации (структурного подразделения организации) федерального железнодорожного транспорта. В этом случае, назначаемой комиссией (в комиссию обязательном порядке включаются администратор безопасности и сотрудники, отвечающие за защиту КИ) проводится служебное расследование.