Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства экономического развития и промышленности Ульяновской области от 4 сентября 2020 г. N 49-п "Об организации и проведении работ по защите конфиденциальной информации в Министерстве экономического развития Ульяновской области" (с изменениями и дополнениями)
- Приложение N 1. Положение о порядке организации и проведении работ по защите конфиденциальной информации в Министерстве цифровой экономики и конкуренции Ульяновской области
Приложение N 1. Положение о порядке организации и проведении работ по защите конфиденциальной информации в Министерстве цифровой экономики и конкуренции Ульяновской области
Приложение N 1
к приказу Министерства
цифровой экономики и конкуренции
Ульяновской области
от 4 сентября 2020 г. N 49-п
Положение
о порядке организации и проведении работ по защите конфиденциальной информации в Министерстве цифровой экономики и конкуренции Ульяновской области
1. Общие положения
1.1. Настоящее Положение определяет порядок организации и проведения работ по защите конфиденциальной информации в Министерстве цифровой экономики и конкуренции Ульяновской области.
1.2. Мероприятия по защите конфиденциальной информации являются составной частью управленческой и иной служебной деятельности и осуществляются во взаимосвязи с мерами по обеспечению установленной конфиденциальности проводимых работ.
1.3. Информационные системы и ресурсы, являющиеся собственностью государства, подлежат обязательному учёту и защите.
1.4. Конфиденциальная информация должна обрабатываться (передаваться) с использованием защищённых систем и средств информатизации и связи или с использованием технических и программных средств технической защиты конфиденциальной информации, сертифицируемых в установленном порядке. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для технической защиты конфиденциальной информации.
1.5. Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано по результатам обследования объекта информатизации, с учётом соотношения затрат на организацию технической защиты конфиденциальной информации и величины ущерба, который может быть нанесён при её разглашении, утрате, уничтожении и искажении. Для сведений, составляющих служебную тайну уровень технической защиты устанавливается не ниже требований, установленных настоящим Положением и государственными стандартами Российской Федерации.
Системы и средства информатизации и связи, предназначенные для обработки (передачи) конфиденциальной информации должны быть аттестованы в реальных условиях эксплуатации на предмет соответствия принимаемых мер и средств защиты требуемому уровню безопасности информации.
Проведение любых мероприятий и работ с конфиденциальной информацией, без принятия необходимых мер технической защиты информации не допускается.
1.6. Объектами защиты являются:
основные технические средства и системы (далее - ОТСС) - средства и системы информатизации и связи (средства вычислительной техники, локальная вычислительная сеть (далее - ЛВС), средства и системы связи и передачи информации, средства звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления и тиражирования документов), используемые для обработки, хранения и передачи информации, содержащей конфиденциальную информацию;
вспомогательные технические средства и системы (далее - ВТСС) - технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается конфиденциальная информация;
защищаемые помещения (далее - ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.п.), специально предназначенные для проведения конфиденциальных мероприятий.
1.7. Ответственность за выполнение требований настоящего Положения возлагается на помощника Министра цифровой экономики и конкуренции Ульяновской области, а также на специалистов допущенных к обработке, передаче и хранению в технических средствах информации, содержащей конфиденциальную информацию.
1.8. Непосредственное руководство работами по защите конфиденциальной информации осуществляет помощник Министра цифровой экономики и конкуренции Ульяновской области.
2. Охраняемые сведения
2.1. Сведения, составляющие конфиденциальную информацию, определяются Перечнем сведений конфиденциального характера, утверждённых распоряжением Губернатора Ульяновской области от 18.12.2019 N 1506-р "Об утверждении Перечня сведений конфиденциального характера в Правительстве Ульяновской области".
3. Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на неё
3.1. Доступ к конфиденциальной информации, нарушение её целостности и доступности возможно реализовать за счёт:
несанкционированного доступа к конфиденциальной информации при её обработке в информационных системах и ресурсах;
утечки конфиденциальной информации по техническим каналам.
3.2. Детальное описание возможных технических каналов утечки информации, несанкционированного доступа к информации и специальных воздействий на неё содержится в Указе Губернатора Ульяновской области от 27.02.2018. N 21 "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных в Правительстве Ульяновской области, исполнительных органах государственной власти Ульяновской области и подведомственных им организациях".
4. Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации
4.1. Для добывания конфиденциальных сведений могут использоваться:
портативная возимая (носимая) аппаратура радио, акустической, визуально-оптической и телевизионной разведки, а также разведки побочных электромагнитных излучений и наводок (далее - ПЭМИН);
автономная автоматическая аппаратура акустической и телевизионной разведки, а также разведки ПЭМИН;
компьютерная разведка, использующая различные способы и средства несанкционированного доступа к информации и специальных воздействий на неё.
Угроза компьютерной разведки объектам защиты возможна в случае подключения автоматизированных систем (далее - АС), обрабатывающих информацию ограниченного доступа к внешним, в первую очередь - глобальным сетям.
Портативная возимая аппаратура разведки может применяться из ближайших зданий и автомобилей на стоянках вблизи зданий.
Портативная носимая аппаратура имеет ограниченные возможности и может быть использована лишь для уточнения данных или перехвата информации в непосредственной близости от защищаемых объектов.
Автономная автоматическая аппаратура радио, акустической, телевизионной, а также разведки ПЭМИН используется для длительного наблюдения за объектом защиты.
4.2. Несанкционированный доступ (далее - НСД) к информации и специальные воздействия на неё могут осуществляться при её обработке на отдельных автоматизированных рабочих местах, в локальных вычислительных сетях, в распределённых телекоммуникационных системах.
4.3. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, недопущенным к ней. Это возможно, например, вследствие:
непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;
случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;
некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;
просмотра информации с экранов дисплеев и других средств её отображения.
4.4. Оценка возможностей средств технической разведки осуществляется с использованием нормативных документов Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России).
Наиболее опасной является аппаратура портативной (возимой и носимой) разведки электромагнитных излучений и аппаратура акустической речевой разведки, которая может применяться с прилегающей к зданиям, используемых Министерством цифровой экономики и конкуренции Ульяновской области территорий, а также автономная автоматическая аппаратура акустической речевой разведки, скрытно устанавливаемая внутри помещений.
4.5. Оценка возможности НСД к информации в средствах вычислительной техники и автоматизированных системах осуществляется с использованием следующих руководящих документов ФСТЭК России:
Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по технической защите конфиденциальной информации;
НСД к информации и специальные воздействия на неё реально возможны, если не выполняются требования перечисленных выше документов, дифференцированные в зависимости от степени конфиденциальности обрабатываемой информации, уровня полномочий пользователей по доступу к конфиденциальной информации и режимов обработки данных в автоматизированных системах.
5. Организационные и технические мероприятия по технической защите конфиденциальной информации
5.1. Разработка мер, и обеспечение защиты конфиденциальной информации осуществляются помощником Министра цифровой экономики и конкуренции Ульяновской области или отдельными специалистами, назначаемыми Министерством цифровой экономики и конкуренции Ульяновской области для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии ФСТЭК России и ФСБ России на право осуществления соответствующих работ.
5.2. Для защиты конфиденциальной информации, используются сертифицированные по требованиям безопасности технические средства защиты.
5.3. Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.
5.4. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителя, эксплуатирующего объекты информатизации.
5.5. Техническая защита информации в защищаемых помещениях. К основным мероприятиям по технической защите конфиденциальной информации в ЗП относятся:
5.5.1. Определение перечня ЗП по результатам анализа циркулирующей в них конфиденциальной информации и условий ее обмена (обработки), в соответствии с нормативными документами ФСТЭК России.
5.5.2. Назначение сотрудников, ответственных за выполнение требований по технической защите конфиденциальной информации в ЗП (далее - сотрудники ответственные за безопасность информации).
5.5.3. Разработка инструкций по обеспечению безопасности информации в ЗП.
5.5.4. Обеспечение эффективного контроля за доступом в ЗП, а также в смежные помещения.
5.5.5. Инструктирование сотрудников, работающих в ЗП о правилах эксплуатации персональных электронно-вычислительных машин, других технических средств обработки информации, средств связи с соблюдением требований по технической защите конфиденциальной информации.
5.5.6. Проведение в ЗП обязательных визуальных (непосредственно перед совещаниями) и инструментальных (перед ответственными совещаниями и периодически раз в квартал) проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в ЗП.
5.5.7. Исключение неконтролируемого доступа к линиям связи, управления и сигнализации в ЗП, а также в смежных помещениях и в коридоре.
5.5.8. Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.
5.5.9. Отключение при проведении совещаний в ЗП всех неиспользуемых электро- и радиоприборов от сетей питания и трансляции.
5.5.10. Выполнение перед проведением совещаний следующих условий:
окна должны быть плотно закрыты и зашторены;
двери плотно прикрыты.
5.6. Защита информации, циркулирующей в ОТСС и наводящейся в ВТСС.
5.6.1. При эксплуатации ОТСС и ВТСС необходимо неукоснительное выполнение требований, определённых в предписании на эксплуатацию.
5.6.2. Техническая защита информации в средствах вычислительной техники (далее - СВТ) и АС от несанкционированного доступа в соответствии с требованиями руководящих документов Гостехкомиссии России должна обеспечиваться путём:
проведения классификации СВТ и АС;
выполнения необходимых организационных мер защиты;
установки сертифицированных программных и аппаратно-технических средств защиты информации от НСД;
защита каналов связи, предназначенных для передачи конфиденциальной информации;
защиты информации от воздействия программ - закладок и компьютерных вирусов.
5.7. Организация и проведение работ по антивирусной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при её обработке техническими средствами определяются настоящим Положением, действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.
Организации антивирусной защиты информации на объектах информатизации достигается путём:
установки и применения средств антивирусной защиты информации;
обновления баз данных средств антивирусной защиты информации;
действий должностных лиц при обнаружении заражения информационно-вычислительных ресурсов программными вирусами.
5.7.1. Организация работ по антивирусной защите информации возлагается на руководителей структурных подразделений Министерства цифровой экономики и конкуренции Ульяновской области и должностных лиц, осуществляющих контроль за антивирусной защитой, а методическое руководство и контроль над эффективностью предусмотренных мер защиты информации на ответственного по защите конфиденциальной информации органа исполнительной власти.
5.7.2. Защита информации от воздействия программных вирусов на объектах информатизации должна осуществляться посредством применения средств антивирусной защиты. Порядок применения средств антивирусной защиты устанавливается с учётом следующих требований:
обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации носителей информации, информационных массивов, программных средств общего и специального назначения;
периодическая проверка пользователями жестких магнитных дисков (не реже одного раза в неделю) и обязательная проверка используемых в работе носителей информации перед началом работы с ними на отсутствие программных вирусов;
внеплановая проверка носителей информации на отсутствие программных вирусов в случае подозрения на наличие программного вируса;
восстановление работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами.
5.7.3. К использованию допускается только лицензированные, сертифицированные по требованиям ФСТЭК России антивирусные средства.
5.7.4. Порядок применения средств антивирусной защиты во всех случаях устанавливается с учётом следующих требований:
входной антивирусный контроль всей поступающей на внешних носителях информации и программных средств любого назначения;
входной антивирусный контроль всей информации поступающей с электронной почтой;
входной антивирусный контроль всей поступающей информации из информационно-коммуникационной сети "Интернет";
входной антивирусный контроль всей исходящей информации на любых внешних носителях и/или передаваемой по локальной сети на другие рабочие станции/сервера, а так же передача информации посредством электронной почты;
периодическая антивирусная проверка на отсутствие компьютерных вирусов на жестких дисках рабочих станций и серверов;
обязательная антивирусная проверка используемых в работе внешних носителей информации;
постоянный антивирусный контроль на рабочих станциях и серверах с использованием резидентных антивирусных мониторов в автоматическом режиме;
обеспечение получения обновлений антивирусных программ в автоматическом режиме, включая обновления вирусных баз и непосредственно новых версий программ;
внеплановая антивирусная проверка внешних носителей и жёстких дисков рабочих станций и серверов на отсутствие компьютерных вирусов в случае подозрения на наличие компьютерного вируса;
восстановление работоспособности программных и аппаратных средств, атак же непосредственно информации в случае их повреждения компьютерными вирусами.
5.7.5. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации конкретного антивирусного программного продукта.
5.7.6. При обнаружении на носителе информации или в полученных файлах программных вирусов пользователи докладывают об этом ответственному сотруднику, и принимают меры по восстановлению работоспособности программных средств и данных.
О факте обнаружения программных вирусов сообщается в орган, от которых поступили зараженные файлы, для принятия мер по локализации и устранению программных вирусов.
Перед отправкой массивов информации и программных средств, осуществляется её проверка на наличие программных вирусов.
При обнаружении программных вирусов пользователь обязан немедленно прекратить все работы на автоматизированном рабочем месте (далее - АРМ), поставить в известность подразделение информационно-технической службы органа власти по защите конфиденциальной информации и принять меры к их локализации и удалению с помощью имеющихся антивирусных средств защиты.
При функционировании АРМ в качестве рабочей станции вычислительной сети производится её отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.
Ликвидация последствий воздействия программных вирусов осуществляется ответственным, либо специалистом по защите конфиденциальной информации.
5.7.7. Организация антивирусной защиты конфиденциальной информации должна быть направлена на предотвращение заражения рабочих станций, входящих в состав локальных компьютерных сетей, и серверов различного уровня и назначения вирусами.
5.7.8. Необходимо постоянно осуществлять обновление вирусных баз. Частоту обновления установить в зависимости от используемых антивирусных средств и частоты выпуска обновления указанных баз.
5.7.9. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке, руководством по эксплуатации конкретного антивирусного программного продукта и инструкцией по антивирусной защите.
5.8. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в информационных системах возлагается на системного администратора.
5.8.1. Личные пароли должны генерироваться и распределяться централизованно с учётом следующих требований:
длина пароля должна быть не менее 8 символов;
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименов