Приказ Федеральной службы по экологическому, технологическомуи атомному надзору от 6 октября 2006 г. N 873
"Об утверждении и введении в действие Типовой инструкции о защитеинформации в автоматизированных средствах центрального аппарата,территориальных органов и организаций Федеральной службы по экологическому,технологическому и атомному надзору"

Приказываю:

Утвердить и ввести в действие с 1 ноября 2006г. прилагаемую Типовую инструкцию о защите информации в автоматизированных средствахцентрального аппарата, территориальных органов и организаций Федеральной службыпо экологическому, технологическому и атомному надзору (РД-21-02-2006).

Руководящие документы РД-21-02-2006
"Типовая инструкция о защите информации в автоматизированных средствахцентрального аппарата, территориальных органов и организаций федеральной службыпо экологическому, технологическому и атомному надзору".

Введена в действие с 1ноября 2006 г.

Содержание

1. Общие положения

1.1. Типовая инструкция о защите информации вавтоматизированных средствах центрального аппарата, территориальных органов иорганизаций Федеральной службы по экологическому, технологическому и атомномунадзору (далее - Инструкция) разработана в соответствии с федеральными законамиот 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологияхи о защите информации", от 21 июля 1993 г. N 5485-1 "Огосударственной тайне", Положением о государственной системе защитыинформации в Российской Федерации от иностранных технических разведок и от ееутечки по техническим каналам, утвержденным постановлением ПравительстваРоссийской Федерации от 15 сентября 1993 г. N 912-51, государственнымстандартом Российской Федерации ГОСТ Р 50922-96"Защита информации. Основные термины и определения", Специальнымитребованиями и рекомендациями по технической защите конфиденциальнойинформации, утвержденными приказом Государственной технической комиссииРоссийской Федерации от 30 августа 2002 г. N 282 и Положением о системе защитыинформации в компьютерных и телекоммуникационных сетях Федеральной службы поэкологическому, технологическому и атомному надзору (РД-21-01-2006).

1.2. Инструкция определяет основные меры позащите информации, типовые обязанности пользователей и должностных лиц,входящих в систему защиты информации в компьютерных и телекоммуникационныхсетях Федеральной службы по экологическому, технологическому и атомному надзору(далее - Служба), которые уточняются применительно к конкретным условиям деятельностицентрального аппарата и территориальных органов Службы, а также находящихся вее ведении организаций далее - подведомственные организации).

1.3. Требования Инструкции являютсяобязательными для работников центрального аппарата, территориальных органовСлужбы и подведомственных организаций, которые допущены к работе с информациейограниченного доступа и сведениями, составляющими государственную тайну.

При приеме на службу (работу) работники, которыебудут допущены к сведениям конфиденциального характера, должны быть подрасписку ознакомлены с требованиями настоящей Инструкции, в части ихкасающейся, а также с ответственностью за их нарушение.

1.4. В Инструкции используются термины и ихопределения, установленные в актах, указанных в ее п. 1.1 и приведенные в приложении N 1 кней.

2. Существующие угрозы информационной системе службы

2.1. Информационной системе Службы характерныследующие особенности:

- возрастающий удельный вес автоматизированныхпроцедур в общем объеме процессов обработки данных в Службе;

- нарастающая важность и ответственностьрешений, принимаемых в автоматизированном режиме и на основе автоматизированнойобработки информации;

- увеличивающаяся концентрация вавтоматизированных системах (далее - АС) информации, зачастую носящей конфиденциальныйхарактер;

- большая территориальная распределенностькомпонентов АС Службы;

- усложнение режимов функционированиятехнических средств АС;

- накопление на технических носителяхзначительных объемов информации, для многих видов которой становится все болеетрудным (и даже невозможным) изготовление немашинных аналогов (дубликатов);

- интеграция в единых базах данных информацииразличного назначения и различной принадлежности;

- долговременное хранение больших массивовинформации на машинных носителях;

- непосредственный и одновременный доступ кресурсам (в том числе и к информации) большого числа пользователей (операторовинформационных систем) различных категорий и различных организаций;

- интенсивная циркуляция информации между компонентамиАС, в том числе и расположенных на больших расстояниях друг от друга;

- возрастающая стоимость информации.

В связи с этим существует необходимость вобеспечении сохранности и установленного статуса использования информации,циркулирующей и обрабатываемой в АС Службы.

2.2. В настоящей Инструкции в основномрегламентируются вопросы защиты конфиденциальной информации. При работе синформацией, содержащей государственную тайну, к средствам вычислительнойтехники (далее - СВТ), автоматизированным системам и персоналу предъявляютсядополнительные требования, изложенные в документах по защите государственнойтайны.

2.3. В центральном аппарате, территориальныхорганах Службы и подведомственных организациях на основе требований настоящейИнструкции разрабатываются в необходимом объеме и с учетом их особенностейинструкции и организационно-распорядительные документы по защите информации длявсех категорий должностных лиц, допущенных к информации ограниченного доступа.

2.4. Угрозы для информации, циркулирующей в АССлужбы (приложениеN 2 к настоящей Инструкции), исходят от утечки по техническим каналам, отвнедренных специальных электронных устройств, от специальных программ-вирусов,от несанкционированного доступа (далее - НСД).

2.5. К основным способам НСД к информацииотносятся:

- непосредственное обращение к объектам доступа;

- воздействие на АС программных и техническихсредств, позволяющих выполнить обращение к объектам доступа в обход средствзащиты;

- модификация средств защиты, позволяющаяосуществить НСД;

- внедрение заинтересованными лицами в СВТ илиАС программных или технических механизмов, нарушающих предполагаемую структуруи функции СВТ или АС, и позволяющих осуществить НСД.

2.6. Несанкционированный доступ к информации,находящейся в АС Службы, может быть косвенным - без физического доступа кэлементам АС и прямым - с физическим доступом.

Существуют следующие пути несанкционированногодоступа к информации:

- применение подслушивающих устройств;

- дистанционное фотографирование;

- перехват электромагнитных излучений;

- хищение информации;

- считывание данных в массивах другихпользователей;

- копирование носителей информации;

- несанкционированное использование терминалов;

- маскировка под зарегистрированногопользователя с помощью хищения паролей и других реквизитов разграничениядоступа;

- использование программных ловушек;

- получение защищаемых данных с помощью серииразрешенных запросов;

- использование недостатков языковпрограммирования и операционных систем;

- преднамеренное включение в библиотеки программспециальных блоков типа "троянских коней";

- незаконное подключение к аппаратуре или линиямсвязи информационной системы;

- злоумышленный вывод из строя механизмовзащиты.

3. Основные направления и методы защиты информации

3.1. Конфиденциальная информация Службы подлежитобязательной защите.

3.2. Обеспечение надежной защиты информацииявляется одной из важнейших обязанностей операторов (пользователей)информационной системы Службы и должностных лиц, входящих в систему защитыинформации Службы (приложениеN 3 к настоящей Инструкции).

3.3. Межрегиональный территориальный округ поинформатизации и защите информации Федеральной службы по экологическому,технологическому и атомному надзору (далее - МТОИЗИ) организует работу по защитеинформации в центральном аппарате Службы, осуществляет методическое руководствепроведением мероприятий по защите информации в территориальных органах иподведомственных организациях, а также контроль за эффективностьюпредусмотренных мер защиты информации в Службе. Планы устранения недостатков,выявленных представителями МТОИЗИ при проведении проверок, руководителитерриториальных органов и подведомственных организаций Службы представляют вМТОИЗИ (приложениеN 4 к настоящей Инструкции).

3.4. Начальники управлений центрального аппаратаСлужбы контролируют в подчиненных подразделениях выполнение работникамиустановленных общих требований по организации работы АС и предусмотренных мерпо защите информации (приложениеN 5 к настоящей Инструкции).

3.5. Руководители территориальных органов иподведомственных организаций Службы организуют проведение работ по защитеинформации в своих органах и организациях.

3.6. Операторы информационной системы(пользователи) соблюдают правила обработки информации в АС и отвечают заобеспечение защиты информации.

3.7. Должностные лица, отвечающие забезопасность информации и входящие в систему защиты информации в компьютерных ителекоммуникационных сетях Службы, контролируют в пределах своей компетенциисостояние защиты информации с целью своевременного выявления и предотвращенияутечки информации по техническим каналам, несанкционированного доступа к ней,преднамеренных программно-технических воздействий на информацию и оценки еезащищенности.

3.8. Повседневный и периодический (не режеодного раза в год) контроль за состоянием защиты информации в территориальныхорганах и подведомственных организациях проводится силами их подразделений(штатных работников) по защите информации.

3.9. Отчеты о состоянии защиты информации поитогам года руководители территориальных органов и подведомственных организацийСлужбы представляют в МТОИЗИ (приложение N 6 к настоящей Инструкции).

Ежегодно о состоянии защиты информации в Службе,а также о случаях невыполнения в территориальных органах и подведомственныхорганизациях требований и норм по защите информации, в результате которыхимелись или имеются реальные возможности к ее утечке, МТОИЗИ докладываетруководителю Службы.

3.10. В целях предотвращениянесанкционированного доступа к техническим средствам обработки, хранения ипередачи информации (далее - ТСПИ), их хищения и нарушения работоспособностиорганизуется охрана и физическая защита помещений объектов информатизации.

3.11. Защита информации в АС и СВТтерриториальных органов и подведомственных организаций должна предусматриватькомплекс организационных, программных и технических мероприятий по защитеинформации при ее автоматизированной обработке, хранении и передаче по каналамсвязи.

В целях реализации организационных мерподразделением (штатным работником) по защите информации совместно сподразделением, осуществляющим эксплуатацию объектов информатизации,разрабатываются организационно-распорядительные документы по защите информации(приложениеN 7 к настоящей Инструкции).

В качестве программных средств используютсяспециальные программы, предназначенные для выполнения функций, связанных сзащитой информации.

К техническим средствам защиты информацииотносятся различные электрические, электромеханические и электронныеустройства, которые подразделяются на аппаратные средства - устройства,встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаютсяс СВТ по стандартному интерфейсу и физические средства - автономные устройства(электронно-механическое оборудование охранной сигнализации и наблюдения,запоры и решетки на окнах).

3.12. На объекты информатизации, задействованныев обработке конфиденциальной информации, составляются технические паспорта* иони должны быть аттестованы по требованиям безопасности информации в соответствиис Положением по аттестации объектов информатизации по требованиям безопасностиинформации **.

_________________________

* Специальные требования и рекомендации потехнической защите конфиденциальной информации. Утверждены приказомГостехкомиссии России от 30 августа 2002 г. N 282.

** Утверждено Председателем Гостехкомиссии приПрезиденте Российской Федерации 25.11.1994 г.

3.13. Защите подлежат все компонентыинформационной структуры Службы: документы, сети связи, ТСПИ, персонал и т.д.

3.14. Защита информации в АС Службы осуществляетсяпо следующим основным направлениям:

- от утечки по техническим каналам;

- от внедренных специальных электронныхустройств;

- от специальных программ-вирусов;

- от несанкционированного доступа;

- от несанкционированного воздействия;

- от непреднамеренного воздействия;

- от разглашения;

- от технически средств разведки (далее - TCP).

3.15. В качестве основных мер защиты информациив Службе должностными лицами, входящими в систему защиты информации,подразделениями, осуществляющими эксплуатацию объектов информатизации, должнывыполняться:

а) документальное оформление перечня сведенийконфиденциального характера с учетом ведомственной специфики этих сведений.Перечень сведений конфиденциального характера Службы, утвержденный ееруководителем, может быть дополнен руководителем территориального органа(подведомственной организации) в зависимости от характера информации,циркулирующей в их информационной сети;

б) разграничение доступа пользователей и обслуживающегоперсонала к информационным ресурсам, программным средствам обработки (передачи)и защиты информации;

в) ограничение доступа персонала и постороннихлиц в защищаемые помещения и помещения, где размещены средства информатизации икоммуникационное оборудование, а также хранятся носители информации;

г) регистрация действий пользователей АС,обслуживающего персонала, контроль несанкционированного доступа и действийпользователей, обслуживающего персонала и посторонних лиц;

д) учет и надежное хранение бумажных и машинныхносителей конфиденциальной информации и их обращение, исключающее хищение,подмену и уничтожение;

е) резервирование технических средств,дублирование массивов и носителей информации;

ж) использование сертифицированных серийновыпускаемых в защищенном исполнении технических средств обработки, передачи ихранения информации;

з) использование технических средств,удовлетворяющих требованиям стандартов по электромагнитной совместимости;

и) использование сертифицированных средствзащиты информации;

к) размещение объекта защиты внутриконтролируемой зоны на максимально возможном удалении от ее границ;

л) защита цепей электропитания объектовинформации:

- размещение понижающих трансформаторныхподстанций электропитания и контуров заземления объектов защиты в пределахконтролируемой зоны;

использование сертифицированных системгарантированного электропитания (источников бесперебойного питания);

- развязка цепей электропитания объектов защитыс помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих)информативный сигнал;

м) электромагнитная развязка междуинформационными цепями, по которым циркулирует защищаемая информация, и линиямисвязи, другими цепями ВТСС, выходящими за пределы контролируемой зоны;

н) использование защищенных каналов связи;

о) размещение дисплеев и других средствотображения информации, исключающее ее несанкционированный просмотр;

п) организация физической защиты помещений исобственно технических средств обработки информации с использованиемтехнических средств охраны, предотвращающих или существенно затрудняющихпроникновение в здания, помещения посторонних лиц, хищение документов иносителей информации, самих средств информатизации;

р) предотвращение внедрения в АСпрограмм-вирусов, программных закладок;

с) противодействие TCP.

3.16. Объем принимаемых мер защиты информации, взависимости от возможного ущерба в случае ее утечки, определяют должностныелица, отвечающие за организацию и руководство работами по защите информации вСлужбе, ее территориальных органах и подведомственных организациях.

3.1. Защита информации от утечки по техническим каналам

3.1.1. При выявлении технических каналов утечкиинформации технические средства обработки, хранения и передачи информациирассматриваются как система, включающая основное (стационарное) оборудование,оконечные устройства, соединительные линии (совокупность проводов и кабелей,прокладываемых между отдельными ТСПИ и их элементами), распределительные икоммуникационные устройства, системы электропитания, системы заземления.

Обобщенная классификация технических каналовутечки информации (далее - ТКУИ) представлена в приложенииN 8 к настоящей Инструкции.

3.1.2. Отдельные технические средства или группатехнических средств, предназначенных для обработки информации, вместе спомещениями, в которых они размещаются, составляют объект ТСПИ. Под объектамиТСПИ понимаются также выделенные помещения, предназначенные для проведенияконфиденциальных мероприятий.

Наряду с ТСПИ, в помещениях могут находитьсявспомогательные технические средства и системы (далее - ВТСС), не применяемые вобработке информации, но используемые совместно с ТСПИ и находящиеся в зонеэлектромагнитного поля, создаваемого ими. К ним относятся: технические средстваоткрытой телефонной, громкоговорящей связи, системы пожарной и охраннойсигнализации, электрификации, радиофикации, часофикации, электробытовые приборыи т.д.

3.1.3. В качестве канала утечки информацииосновное внимание необходимо уделять ВТСС, имеющим выход за пределыконтролируемой зоны.

Кроме соединительных линий ТСПИ и ВТСС запределы контролируемой зоны могут выходить провода и кабели, к ним неотносящиеся, но проходящие через помещения, где установлены техническиесредства, а также металлические трубы систем отопления, водоснабжения и другиетокопроводящие металлоконструкции. Такие провода, кабели и токопроводящиеэлементы называются посторонними проводниками.

Возможные ТКУИ на объектах защиты показаны в приложенииN 9 к настоящей Инструкции.

3.1.4. Основные способы защиты информации от утечкипо техническим каналам:

- использование сертифицированных по требованиямзащиты информации основных технических средств и систем, предназначенных дляпередачи, обработки и хранения конфиденциальной информации (далее - ОТСС) иВТСС;

использование сертифицированных техническихсредств защиты информации;

- размещение объекта защиты внутриконтролируемой зоны на максимально возможном удалении от ее границ;

- защита цепей электропитания объектов защиты;

- документальное оформление перечня защищаемыхпомещений (далее - ЗП) и лиц, ответственных за их эксплуатацию;

- выполнение рекомендованных мероприятий пооборудованию ЗП: стены, полы и потолки не должны быть смежными с помещениямидругих организаций; окна закрываются шторами (жалюзи); проведение специальныхпроверок помещений; применение технических средств защиты информации и т.д.);

- выполнение пожарной и охранной сигнализациитолько по проводной схеме сбора информации;

- применение при необходимости активных средствзащиты речевого сигнала (генераторы шума и т.п.);

- выполнение требований по монтажу и применениюВТСС в ЗП согласно Специальным требованиям и рекомендациям по техническойзащите конфиденциальной информации;

- проведение на объектах защиты специальныхисследований специализированными организациями, имеющими лицензии на проведениеработ по защите информации.

3.2. Защита информации от внедренных специальных электронныхустройств

3.2.1. Информация, обрабатываемая в ТСПИ, можетсниматься путем установки в них электронных устройств перехвата информации -закладных устройств (мини-передатчики, излучение которых модулируетсяинформационным сигналом).

3.2.2. Выявление внедренных на объектыэлектронных устройств перехвата информации достигается специальными проверками,которые проводятся при аттестации помещений, предназначенных для ведениясекретных и конфиденциальных переговоров, а также по решению соответствующегоруководителя - периодически. Для помещений, предназначенных для ведениясекретных переговоров, аттестация является обязательной, а для веденияконфиденциальных переговоров - добровольной.

3.2.3. Специальные проверки проводятся также сцелью выявления и изъятия специальных электронных устройств перехватаинформации, внедренных в ОТСС и ВТСС. Специальные проверки должны проводитьспециалисты организаций, имеющих лицензии, выданные уполномоченными органами.

В зависимости от целей, задач и используемыхсредств устанавливаются следующие виды специальных проверок:

- специальное обследование объектов защиты;

- визуальный осмотр ЗП;

- комплексная специальная проверка ЗП;

- визуальный осмотр и специальная проверка новыхпредметов (подарков, предметов интерьера, бытовых приборов и т.п.) и мебели,размещаемых или устанавливаемых в ЗП;

- специальная проверка применяемойрадиоэлектронной аппаратуры;

- периодический радиоконтроль (радиомониторинг)ЗП;

- постоянный (непрерывный) радиоконтроль ЗП;

- специальная проверка проводных линий;

- проведение тестового "прозвона" всехтелефонных аппаратов, установленных в проверяемом помещении, с контролем (наслух) прохождения всех вызывных сигналов АТС.

Периодичность и виды проверок помещений в целяхвыявления в них закладных устройств зависят от степени важности помещений ипорядка допуска в них посторонних лиц.

3.2.4. Специальное обследование и визуальныйосмотр ЗП проводятся, как правило, без применения технических средств.Остальные же виды проверок требуют использования тех или иных специальныхсредств контроля.

Специальные обследования помещений проводятсяпосле окончания строительства объекта или после проведения капитального ремонтав них, а также периодически. Для проведения специальных обследований должныпривлекаться соответствующие специалисты.

Визуальный осмотр помещений проводится передначалом и после завершения служебных совещаний, а также в начале и после завершениярабочего дня. Если проверка проводится вечером, то после ее завершенияпомещение должно быть закрыто и опечатано, а ключи в опечатанном тубусе должнысдаваться под охрану. Данный вид проверки кабинетов руководящего составацелесообразно поручать их секретарям, так как они могут наиболее быстро выявитьновые предметы, появившиеся в кабинете. Проверку помещений для проведенияслужебных совещаний целесообразно поручать работникам подразделения,осуществляющего эксплуатацию объектов информатизации, с привлечением работникапо защите информации и лица, ответственного за помещение.

При проведении визуального осмотра ЗП особоевнимание уделяется местам, куда можно быстро и скрыто установить закладноеустройство. Этот вид контроля позволяет выявить закладки, оставляемыепосетителями в легко доступных местах: под столешницами, под сидениями стульев,в различных щелях, за картинами, за батареями, за мебелью, за шторами и т.д.

3.2.5. Специальная проверка радиоэлектроннойаппаратуры, в том числе ПЭВМ и телефонных аппаратов, проводится после ихзакупки или ремонта. Специальная проверка проводных линий осуществляется послеокончания строительства объекта или после проведения его капитального ремонта,а также периодически в целях обнаружения несанкционированных подключений клиниям средств съема информации. Для проведения проверки должны привлекатьсясоответствующие специалисты.

3.2.6. Радиоконтроль выделенных помещенийпроводится в целях обнаружения активных радиозакладок с использованиемсканерных приемников или программно-аппаратных комплексов контроля. Онорганизуется периодически при проведении наиболее важных мероприятий(совещаний, заседаний и т.п.) или непрерывно (постоянно).

3.2.7. Тестовый "прозвон" телефонныхаппаратов проводится при установке нового телефонного аппарата или телефонногоаппарата после ремонта, а также периодически. "Прозвон" необходимопроводить с радиотелефона или телефонного аппарата, установленного в другомпомещении. При наборе номера проверяемого телефонного аппарата осуществляетсяконтроль (на слух) прохождения всех вызывных сигналов АТС. Если обнаруженоподавление (непрохождение) одного - двух вызывных звонков у контролируемоготелефонного аппарата, то, возможно, что в его корпусе или телефонной линииустановлено закладное устройство, и необходимо проводить специальную проверкутелефонной линии и телефонного аппарата.

3.2.8. Комплексная специальная проверкапомещений проводится после окончания строительства объекта или после проведениякапитального ремонта в них, при проведении аттестации помещений, а такжепериодически. Это наиболее полный вид проверки. Для проведения такихспециальных проверок используется весь арсенал технических средств контроля.

3.3. Защита информации от специальных программ-вирусов

3.3.1. В целях съема информации, ее разрушения,нарушения нормального функционирования СВТ и АС создаются специальныепрограммы-вирусы.

3.3.2. Пути проникновения вирусов в СВТ и АС:

- проникновение вирусов на рабочие станции прииспользовании на рабочей станции инфицированных файлов с переносимых источников(флоппи-диски, компакт-диски и т.п.);

- заражение вирусами с помощью инфицированногопрограммного обеспечения, полученного из Интернет и проинсталлированного налокальной рабочей станции;

- проникновение вирусов при подключении к локальнойвычислительной сети (далее - ЛВС) инфицированных рабочих станций удаленных илимобильных пользователей;

- заражение вирусами с удаленного сервера,подсоединенного к ЛВС и обменивающегося инфицированными данными с ее серверами;

- распространение электронной почты, содержащейв приложениях файлы Excel и Word, инфицированные макровирусами.

3.3.3. Организация антивирусной защитыинформации на объектах информатизации достигается путем:

- внедрения и применения средств антивируснойзащиты информации;

- обновления баз данных средств антивируснойзащиты информации;

- спланированных действий должностных лиц приобнаружении заражения информационных ресурсов программными вирусами.

3.3.4. Система антивирусной защиты должнаразрабатываться с учетом особенностей конкретных ЛВС и, в общем случае, должнавключать в себя:

- антивирусную защиту рабочих станций;

- антивирусную защиту серверов;

- возможность автоматического обновленияантивирусных баз и версий.

3.3.5. Организация работ по антивирусной защитеинформации возлагается на руководителей структурных подразделений и должностныхлиц, осуществляющих эксплуатацию объектов информатизации, а методическоеруководство и контроль за эффективностью предусмотренных мер защиты информации- на руководителя подразделения по защите информации (штатного работника).

3.3.6. Порядок применения средств антивируснойзащиты устанавливается с учетом необходимости выполнения следующих требований:

а) операторами (пользователями) информационнойсистемы:

- периодическая проверка жестких магнитныхдисков (не реже одного раза в неделю) и обязательная проверка используемых вработе гибких магнитных дисков перед началом работы с ними на отсутствиепрограммных вирусов;

- внеплановая проверка магнитных носителейинформации на отсутствие программных вирусов в случае подозрения на наличиепрограммного вируса;

б) работниками подразделения, осуществляющегоэксплуатацию объектов информатизации:

- обязательный входной контроль на отсутствие программныхвирусов всех поступающих на объект информатизации машинных носителейинформации, информационных массивов, программных средств общего и специальногоназначения;

- восстановление работоспособности программныхсредств и информационных массивов в случае их повреждения программнымивирусами.

3.3.7. К использованию допускаются тольколицензированные антивирусные средства, централизованно закупленные уразработчиков указанных средств либо их официальных дилеров. Порядок установкии использования средств антивирусной защиты определяется инструкцией поустановке и руководством по эксплуатации конкретного антивирусного программногопродукта.

3.3.8. Порядок применения средств антивируснойзащиты, учитывающий особенности объекта информатизации и выполняемых на данномобъекте работ, определяется инструкцией по антивирусной защите конфиденциальнойинформации, разрабатываемой совместно подразделением, осуществляющимэксплуатацию объектов информатизации, и работником по защите информации.

В общем случае инструкция по антивирусной защитеконфиденциальной информации должна включать в себя разделы, определяющиепорядок защиты конфиденциальной информации на рабочих станциях и порядок защитыуказанной информации на почтовых серверах, файл-серверах, серверах ЛВС.

3.3.9. При обнаружении программных вирусовпользователь обязан прекратить все работы на ПЭВМ, поставить в известностьподразделение, осуществляющее эксплуатацию объектов информатизации, и совместнос его специалистами принять меры к локализации и удалению вирусов с помощьюимеющихся антивирусных средств защиты.

При функционировании ПЭВМ в качестве рабочейстанции вычислительной сети производится ее отключение от локальной сети,локализация и удаление программных вирусов в вычислительной сети.

Ликвидация последствий воздействия программныхвирусов осуществляется подготовленными представителями подразделения,осуществляющего эксплуатацию объектов информатизации.

Программные средства общего и специальногоназначения объекта информатизации, осуществляющего обработку служебнойинформации ограниченного доступа, подлежат обязательной переустановке с рабочихкопий эталонных дискет независимо от результатов по удалению выявленныхпрограммных вирусов имеющимися средствами антивирусной защиты.

3.4. Защита информации от несанкционированного доступа

3.4.1. Существуют два относительносамостоятельных направления защиты информации от НСД: направление, связанное сСВТ, и направление, связанное с АС.

Защита СВТ обеспечивается комплексомпрограммно-технических средств. Защита АС обеспечивается комплексомпрограммно-технических средств и поддерживающих их организационных мер.

3.4.2. Организационные меры в АС, обрабатывающихили хранящих информацию, являющуюся собственностью государства и отнесенную ккатегории секретной, должны осуществляться в соответствии с требованиямиСпециальных требований и рекомендаций по защите информации, составляющейгосударственную тайну, от утечки по техническим каналам, утвержденными РешениемГосударственной технической комиссии при Президенте Российской Федерации от 23мая 1997 г. N 55.

3.4.3. При обработке или хранении в АСконфиденциальной информации для ее защиты проводятся следующие организационныемероприятия:

- документальное оформление конфиденциальнойинформации в виде перечня сведений, подлежащих защите;

- определение порядка установления уровняполномочий субъекта доступа, а также круга лиц, которым это правопредоставлено;

- установление и оформление правил разграничениядоступа, т.е. совокупности правил доступа субъектов к данным;

- ознакомление субъекта доступа с перечнемзащищаемых сведений и его уровнем полномочий, а также сорганизационно-распорядительной и рабочей документацией, определяющейтребования и порядок обработки конфиденциальной информации;

- получение от субъекта доступа расписки онеразглашении доверенной ему конфиденциальной информации;

- обеспечение охраны объекта, на которомрасположена защищаемая АС, путем установления соответствующих постов,технических средств охраны или любыми другими способами, предотвращающими илисущественно затрудняющими хищение СВТ, информационных носителей, а также НСД кСВТ и линиям связи;

- выбор класса защищенности АС в соответствии сособенностями обработки информации и уровнем ее конфиденциальности;

- назначение должностных лиц, осуществляющихучет, хранение и выдачу информационных носителей, паролей, ключей, ведениеслужебной информации системы защиты информации от НСД, приемку включаемых в АСпрограммных средств, а также контроль за ходом технологического процессаобработки конфиденциальной информации и т.д.;

- разработка системы защиты информации от НСД,включая соответствующую организационно-распорядительную документацию.

3.4.4. В целях дифференцированного подхода кзащите информации комиссией территориального органа (подведомственнойорганизации), назначенной его руководителем (начальником), проводитсяклассификация АС по требованиям защищенности от НСД к информации (приложенияN 10, 11)с составлением акта классификации*.

__________________

* Специальныетребования и рекомендации по технической защите конфиденциальной информации. Утвержденыприказом Гостехкомиссии России от 30 августа 2002 г. N 282.

3.4.5. Допуск пользователей и обслуживающегоперсонала к информационным ресурсам, содержащим конфиденциальную информацию,осуществляется на основании приказа руководителя территориального органа(подведомственной организации) с указанием прав и обязанностей пользователей.

3.4.6. Защита доступа к компьютеруосуществляется программными, программно-аппаратными средствами и чистоаппаратными комплексами. Это обеспечивает:

- наличие в компьютерах территориального органа(подведомственной организации) только той информации и тех программ, которыенеобходимы работникам для повседневной деятельности;

- невозможность передачи посторонним лицамконфиденциальной информации неблагонадежными работниками;

- постоянный контроль за конфиденциальнойинформацией, всегда можно узнать, кто и когда к ней обратился;

- ознакомление с историей работы пользователя накомпьютере;

- обеспечение защиты в незащищенных операционныхсистемах аналогичной защите в серверной операционной системе, не повышаятребований к аппаратной части компьютера;

- получение администратором сети информации отом, что происходит на компьютерах сети.

В территориальных органах (подведомственныхорганизациях) Службы используются сертифицированные средства защиты информации.

3.4.7. Основные мероприятия по предотвращениюНСД к информации:

а) контроль эффективности принятых мер защитыконтролирующими органами (МТОИЗИ, Федеральная служба безопасности РоссийскойФедерации, Федеральная служба по техническому и экспортному контролю РоссийскойФедерации);

б) разграничение доступа к информации;

в) управление потоками данных в целяхпредотвращения записи данных на носители несоответствующего грифа;

г) идентификация пользователей (субъектов) иподтверждение их права на работу с запрашиваемой информацией;

д) регистрация действий пользователей в АС;

е) реакция на попытки НСД, например,сигнализация, блокировка, восстановление после НСД;

ж) тестирование с помощью специальныхпрограммных средств;

з) очистка оперативной памяти и рабочих областейна магнитных носителях после завершения работы пользователя с защищаемымиданными;

и) учет выходных печатных, графических форм итвердых копий в АС.

3.5. Защита информации от несанкционированного инепреднамеренного воздействия

3.5.1. Защита информации от несанкционированногои непреднамеренного воздействия осуществляется по следующим направлениям:

а) соблюдение порядка разработки, ввода вдействие и эксплуатации объектов информатизации;

б) определение условий размещения объектаинформатизации относительно границ контролируемой зоны;

в) определение технических средств и систем, предполагаемыхк использованию в АС и системах связи, условий их расположения;

г) определение режимов обработки информации в АСв целом и в отдельных компонентах;

д) установление правил разграничения доступа дляпользователей с целью минимизации их воздействия на программные и аппаратныесредства автоматизации обработки информации;

е) повышение уровня квалификации пользователей иобслуживающего персонала;

ж) контроль, техническое обслуживание иобеспечение установленных режимов работы ТСПИ в целях предупреждения их сбоев,аварий, неисправностей;

з) применение постоянно обновляемогоантивирусного программного обеспечения;

и) защита от природных и техногенных явлений истихийных бедствий (пожары, наводнения, землетрясения, грозовые разряды,грызуны и т.п.);

к) предупреждение передачи конфиденциальнойинформации по открытым линиям связи и ее обработки в незащищенных АС;

л) строгое выполнение работниками установленныхв организации требований по защите информации;

м) организация эффективного контроля за выполнениемпредусмотренных мер защиты информации;

н) использование АС в защищенном исполнении.

3.6. Защита информации от разглашения

3.6.1. С увеличением масштабов распространения ииспользования ПЭВМ и информационных систем усиливается роль различных факторов,способствующих возможности разглашения информации. К ним относятсянесанкционированные и злоумышленные действия персонала и пользователя, а такжеих ошибки.

3.6.2. Разглашение может происходить поформальным и неформальным каналам распространения информации.

К формальным каналам относятся деловые встречи,совещания, переговоры и тому подобные формы общения, а также обмен официальнымиделовыми и научными документами с использованием средств передачи официальнойинформации (почта, телефон, телеграф и др.).

Неформальные каналы включают:

- личное общение (встречи, переписка и др.);

- выставки, семинары, конференции и другиемассовые мероприятия;

- средства массовой информации (печать, газеты,интервью, радио, телевидение и др.).

3.6.3. Условиями, способствующими неправомерномудоступу к конфиденциальной информации, являются также отсутствие трудовойдисциплины, психологическая несовместимость, случайный подбор кадров, слабаяработа по сплочению коллектива территориального органа (подведомственнойорганизации).

3.6.4. Предупреждение противоправных действий сконфиденциальной информацией обеспечивается различными мерами и средствами,начиная с создания климата осознанного отношения работников к проблемебезопасности и защиты информации.

3.6.5. Причиной разглашения конфиденциальнойинформации, как правило, является недостаточное знание работниками правил еезащиты и непонимание (или недопонимание) необходимости их тщательногособлюдения.

3.6.6. Правовой основой работы с работниками,допущенными к конфиденциальной информации, являются:

- наличие в служебном контракте пункта о работесо сведениями, составляющими конфиденциальную информацию;

- наличие в должностном регламенте работникапункта о том, что он работает с конфиденциальной информацией и несетответственность за ее разглашение;

- наличие перечня сведений конфиденциальногохарактера и инструкции по защите информации, с которыми должен быть ознакомленработник;

- наличие в положении о территориальном органеСлужбы (уставе подведомственной организации) функции об обеспечениибезопасности информации;

- создание работникам условий для работы синформацией ограниченного доступа.

3.6.7. В целях предупреждения разглашенияинформации руководитель территориального органа (подведомственной организации)организует также проведение мероприятий ограничительного характера, сводящихся,в основном, к регламентации доступа и использования технических средствобработки информации, а также организует через работника по защите информациипостоянный контроль за эффективностью и выполнением предусмотренных мер защитыинформации.

3.7. Защита информации от технических разведок

3.7.1. Противодействие техническим разведкамдолжно быть комплексным и активным.

3.7.2. В соответствии с Положением огосударственной системе защиты информации в Российской Федерации от иностранныхтехнических разведок и от ее утечки по техническим каналам* в территориальноморгане (подведомственной организации) разрабатывается Руководство по защитеинформации от технических разведок и от ее утечки по техническим каналам (далее- Руководство), содержание которого приведено в приложенииN 12 к настоящей Инструкции.

__________________

*Постановление Совета Министров - Правительства Российской Федерации от15.09.1993 г. N 912-51.

3.7.3. Руководство должно определять содержаниеи порядок осуществления мероприятий по защите информации, содержащей сведения,отнесенные в установленном порядке к государственной тайне или конфиденциальнойинформации. Мероприятия по защите информации должны быть увязаны смероприятиями по обеспечению в территориальном органе (подведомственнойорганизации) режима секретности.

3.7.4. До начала разработки Руководстваподразделением (штатным работником) по защите информации совместно сподразделением, осуществляющим эксплуатацию объектов информатизации, вовзаимодействии с территориальными органами Федеральной службы безопасностиРоссийской Федерации и Федеральной службы по техническому и экспортномуконтролю Российской Федерации определяется частная модель угроз информации,имеющейся в территориальном органе (подведомственной организации), котораядолжна включать в себя следующие пункты:

а) перечисление различного рода объектов,находящихся на определенном удалении от территориального органа(подведомственной организации), потенциально представляющих для него угрозу.Указанное перечисление должно включать наименование данных объектов, их краткуюхарактеристику и расстояние до них (по прямой);

б) установление возможных видов техническихразведок иностранных государств (далее - ИТР или ТР) на потенциально опасныхобъектах;

в) определение (уточнение) демаскирующихпризнаков в территориальном органе (подведомственной организации), которыемогут быть зафиксированы средствами разведки и взаимосвязанных с нимиохраняемых сведений об объектах защиты на всех циклах их функционирования(внутренние угрозы);

г) определение технических каналов утечки информации,через которые возможно проявление демаскирующих признаков в аппаратуреразведки;

д) проведение анализа и оценки выделенныхдемаскирующих признаков, возможности их утечки через имеющиеся техническиеканалы;

е) оценка возможностей средств разведки порегистрации демаскирующих признаков защищаемых сведений, проявляющихся черезсоответствующие технические каналы утечки информации.

ж) разработка и реализация практических мер позащите информации;

з) разработка системы мер по контролюэффективности системы защиты информации от ИТР;

и) разработка необходимых документов по защитеобъектов информатизации от ТР.

3.7.5. При разработке Руководства используютсяданные компетентных органов по вопросам осведомленности разведок в отношенииконкретного территориального органа (подведомственной организации).

3.7.6. Руководство разрабатываетсяподразделением (штатным работником) по защите информации совместно соструктурными подразделениями территориального органа (подведомственнойорганизации).

Руководство подписывается должностным лицом,ответственным за защиту информации в территориальном органе (подведомственнойорганизации) и утверждается ее руководителем по согласованию с представителемподразделения по защите информации МТОИЗИ.

3.7.7. Изменения в Руководство вносятся,согласовываются и утверждаются в том же порядке и на том же уровне, что и самоРуководство.

3.7.8. К ознакомлению с Руководством в полномобъеме допускается строго ограниченный круг лиц по решению руководителятерриториального органа (подведомственной организации). Исполнители мероприятийпо защите информации должны быть ознакомлены с Руководством, в части ихкасающейся.

ПриложениеN 1
(справочное)

Термины и их определения

Автоматизированнаясистема- система, состоящая из персонала и комплекса средств автоматизации егодеятельности, реализующая информационную технологию выполнения установленныхфункций.

Аттестация - комплекс организационно-техническихмероприятий, в результате которых посредством специального документа -"Акта соответствия" подтверждается, что объект соответствуеттребованиям стандартов или иных нормативно-технических документов побезопасности информации.

Абонентский пунктинформационной сети общего пользования (АП ИВС ОП) - автоматизированная система,подключаемая к информационной сети общего пользования (Интернет) с помощьюкоммутационного оборудования и предназначенная для работы абонентов.

Безопасность информации - состояние защищенности информации,обрабатываемой средствами вычислительной техники или автоматизированнойсистемой от внутренних или внешних угроз.

Доступ к информации - возможность получения информации и ееиспользования.

Закладное устройство - элемент средства съема информации,скрытно внедряемый (закладываемый или вносимый) в места возможного съемаинформации (в том числе в ограждение, конструкцию, оборудование, предметыинтерьера, транспортные средства, а также в технические средства и системыобработки информации).

Защита информации - деятельность, направленная на предотвращениеутечки защищаемой информации, несанкционированных и непреднамеренныхвоздействий на защищаемую информацию.

Защищаемая информация - информация, являющаяся предметомсобственности и подлежащая защите в соответствии с требованиями правовыхдокументов или требованиями, устанавливаемыми собственником информации.

Защищаемые помещения - помещения (служебные кабинеты,актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальныхмероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

Информация - сведения (сообщения, данные),независимо от формы их представления.

Информационные ресурсы - отдельные документы и отдельныемассивы документов, документы и массивы документов в информационных системах(библиотеках, архивах, фондах, банках данных, других информационных системах).

Информационная система - совокупность содержащейся в базахданных информации и обеспечивающих ее обработку информационных технологий итехнических средств.

Информационнаяинфраструктура- совокупность систем обработки и анализа информации, каналов информационногообмена и телекоммуникаций, линий связи, систем и средств защиты информации.

Информация ограниченногодоступа- информация, для которой установлен специальный режим сбора, хранения,обработки, распространения и использования.

Конфиденциальнаяинформация -информация с ограниченным доступом, не содержащая сведений, составляющихгосударственную тайну, доступ к которой ограничивается в соответствии сзаконодательством Российской Федерации.

Конфиденциальностьинформации- обязательное для выполнения лицом, получившим доступ к определеннойинформации, требование не передавать такую информацию третьим лицам безсогласия ее обладателя.

Контролируемая зона - пространство (территория, здание,часть здания), в котором исключено неконтролируемое пребывание сотрудников ипосетителей организации, а также транспортных средств, технических и иныхматериальных средств.

Локальная вычислительнаясеть- совокупность основных технических средств и систем, осуществляющих обменинформацией между собой и с другими информационными системами, в том числе сЛВС, через определенные точки входа/выхода информации, которые являютсяграницей ЛВС.

Несанкционированныйдоступ- доступ к информации, нарушающий правила разграничения доступа, сиспользованием штатных средств, предоставляемых средствами вычислительнойтехники или автоматизированными системами.

Непреднамеренноевоздействие на информацию - воздействие ошибок пользователя информацией,сбоя технических и программных средств информационных систем, а также природныхявлений или иных нецеленаправленных на изменение информации воздействий,связанных с функционированием технических средств, систем или с деятельностьюлюдей, приводящих к искажению, уничтожению, копированию, блокированию доступа кинформации, а также к утрате, уничтожению или сбою функционирования носителяинформации.

Несанкционированноевоздействие на информацию - воздействие на защищаемую информацию снарушением установленных прав и (или) правил на изменение информации,приводящее к ее искажению, уничтожению, блокированию доступа к информации, атакже к утрате.

Обладатель информации - лицо, самостоятельно создавшееинформацию либо получившее на основании закона или договора права разрешать илиограничивать доступ к информации, определяемой по каким-либо признакам.

Объект доступа - единица информационного ресурсаавтоматизированной системы, доступ к которой регламентируется правиламиразграничения доступа.

Объект защиты информации - информация или носитель информации,или информационный процесс, которые необходимо защищать в соответствии споставленной целью защиты информации.

Оператор информационнойсистемы- гражданин или юридическое лицо, осуществляющие деятельность по эксплуатацииинформационной системы, в том числе по обработке информации, содержащейся в еебазах данных.

Пользователь информации - субъект, обращающийся к информационнойсистеме за получением необходимой ему информации и пользующийся ею.

Разглашение - умышленные или неосторожные действия сконфиденциальными сведениями, приведшие к ознакомлению с ними лиц, недопущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении,пересылке, опубликовании, утере и в других формах обмена и действий синформацией.

Система защитыинформации- комплекс организационных мер и программно-технических средств обеспечениябезопасности информации в автоматизированных системах.

Средство защитыинформации- техническое, программное средство, вещество и (или) материал, предназначенныеили используемые для защиты информации.

Субъект доступа - лицо или процесс, действия которогорегламентируются правилами разграничения доступа.

Технический канал утечкиинформации- совокупность объекта технической разведки, физической среды распространенияинформационного сигнала и средств, которыми добывается защищаемая информация.

Технические средстваприема, обработки, хранения и передачи информации - технические средства, непосредственнообрабатывающие информацию, к средствам относятся: электронно-вычислительнаятехника, режимные АТС, системы оперативно-командной и громкоговорящей связи,системы звукоусиления, звукового сопровождения и звукозаписи и т.д.

ПриложениеN 2
(справочное)

Угрозы безопасности информации в автоматизированных системах(средствах вычислительной техники)

ПриложениеN 3
(справочное)

Система защиты информации в федеральной службе поэкологическому, технологическому и атомному надзору

ПриложениеN 4
(обязательное)

УТВЕРЖДАЮ

Руководитель _________

__________ И.О. Фамилия

"___"__________ 200_ г.

Типовая форма плана устранения недостатков и замечаний,выявленных представителями МТОИЗИ Ростехнадзора (Федеральной службы потехническому и экспортному контролю Российской Федерации, Федеральной службыбезопасности Российской Федерации) в ходе изучения организации и состояниятехнической защиты информации в территориальном органе
(подведомственной организации)

Рассмотрен и одобрен на заседании постоянно-действующей техническойкомиссии. Протокол от ___ __________ 200___ N ______

Руководитель подразделения (штатный работник) позащите информации ________________________

(подпись,фамилия и инициалы)

ПриложениеN 5
(обязательное)

Инструкция о порядке обращенияс конфиденциальной информацией в центральном аппарате Федеральной службы поэкологическому, технологическому и атомному надзору

1. Общие положения

1.1. Настоящая Инструкция определяет общийпорядок обращения с конфиденциальной информацией в управлениях центральногоаппарата (далее - ЦА) Службы при ее создании, хранении, обработке и передаче сиспользованием технических средств автоматизации.

1.2. Настоящая Инструкция не распространяется напорядок обращения со сведениями, составляющими государственную тайну.

1.3. Информационные ресурсы, содержащиеконфиденциальную информацию, созданные, приобретенные, накопленные в Службе, атакже полученные путем иных установленных законом способов, являютсясобственностью Службы и не могут быть использованы иначе, как с разрешенияначальника управления или в установленных законом случаях.

Для определения конфиденциальности сведенийиспользуется Перечень сведений конфиденциального характера, составленный всоответствии с действующим законодательством и утвержденный руководителемСлужбы.

1.4. Работник ЦА Службы, допущенный к работе сконфиденциальной информацией, должен быть под расписку ознакомлен стребованиями настоящей Инструкции и ответственностью за ее нарушение.

1.5. Защита информации конфиденциальногохарактера осуществляется на основании федеральных законов, стандартов,нормативно-методических документов Федеральной службы по техническому иэкспортному контролю Российской Федерации, организационно-распорядительныхдокументов Службы по защите информации.

1.6. Организацию работы по защите информации иконтроль за эффективностью предусмотренных мер по ее защите в ЦА Службыосуществляет Межрегиональный территориальный округ по информатизации и защитеинформации Федеральной службы по экологическому, технологическому и атомномунадзору (далее - МТОИЗИ).

Начальники управлений ЦА Службы в соответствии сПоложением о системе защиты информации в компьютерных и телекоммуникационныхсетях Федеральной службы по экологическому, технологическому и атомному надзору(РД-21-01-2006)контролируют в своих управлениях выполнение предусмотренных мер защитыинформации и отвечают за ее состояние перед руководителем Службы.

В этих целях начальник управления назначаетработника, на которого возлагает обязанности по обеспечению выполненияпредусмотренных мер защиты информации в управлении.

1.7. В случае ликвидации управления уничтожениеили передача различных носителей конфиденциальной информации осуществляется всоответствии с решением руководителя Службы и Инструкцией по делопроизводству вцентральном аппарате Федеральной службы по экологическому, технологическому иатомному надзору.

2. Обязанности работников по защите информацииконфиденциального характера и ответственность за разглашение конфиденциальнойинформации

2.1. Начальники управлений, работники ЦА(пользователи информации) обязаны контролировать и выполнять предусмотренные вСлужбе меры по защите информации конфиденциального характера.

2.2. Начальники управлений обязаны:

- участвовать в подготовке Перечня сведенийконфиденциального характера Службы, принимать решение об отнесении информации впорученной сфере ответственности к категории ограниченного доступа;

- готовить к утверждению списки работников,которых по своим должностным обязанностям необходимо допустить к работе сзащищаемой информацией в информационной системе Службы;

- назначать в управлении работника, отвечающегоза обеспечение выполнения в управлении предусмотренных мер защиты информации суточнением его обязанностей в должностном регламенте;

- контролировать целевое использованиеработниками ресурсов сети "Интернет";

- проводить по информации администратора сети(работника подразделения МТОИЗИ по защите информации) разбирательство по фактамнарушений пользователями правил, установленных для работы в локальнойвычислительной сети Службы (далее - ЛВС), а также нарушений требований позащите информации;

- контролировать выполнение пользователями общихправил работы на ПЭВМ и в ЛВС;

- выборочно, лично или через своих заместителей,контролировать характер исходящей информации, направляемой пользователями поэлектронной почте другим адресатам и принимать оперативные меры к соблюдениюими установленных требований по защите информации;

- при обнаружении нарушений установленныхтребований по защите информации, в результате которых вскрыты факты разглашенияконфиденциальной информации, прекратить работы на рабочем месте, где обнаруженынарушения, доложить вышестоящему руководителю и поставить в известностьруководителя МТОИЗИ;

- назначать служебные расследования фактов разглашенияконфиденциальной информации или утери документов, содержащих такую информацию;

- обеспечивать условия для работы представителяподразделения МТОИЗИ по защите информации при проверке в управленииэффективности предусмотренных мер защиты информации;

- определять порядок передачи информацииконфиденциального характера другим управлениям, организациям и органам.

2.3. Начальники управлений, принявшие решение оботнесении информации к категории ограниченного доступа, несут персональную ответственностьза обоснованность принятого решения.

2.4. При приеме на работу работникпредупреждается об ответственности за разглашение сведений конфиденциальногохарактера, которые станут ему известными в связи с предстоящим выполнениемсвоих служебных обязанностей.

2.5. Допуск к конфиденциальной информациипредусматривает оформленные в служебном контракте обязательства работника понераспространению доверенной конфиденциальной информации.

2.6. Пользователь обязан:

- знать правила работы в ЛВС и принятые меры позащите ресурсов ЛВС (в части, его касающейся);

- при работе на своей рабочей станции (ПЭВМ) и вЛВС выполнять только служебные задания;

- перед началом работы на ПЭВМ проверить своирабочие папки на жестком магнитном диске, рабочие дискеты и CD-диски наотсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться висправности своей рабочей станции;

- при сообщениях тестовых программ о появлениивирусов немедленно прекратить работу, доложить администратору сети и своемунепосредственному начальнику;

- при обработке конфиденциальной информациииспользовать только машинные носители информации (далее - МНИ),зарегистрированные и полученные у работника, отвечающего за обеспечениевыполнения в управлении предусмотренных мер защиты информации;

- при необходимости использования магнитныхносителей, поступивших из других подразделений, учреждений, предприятий иорганизаций, прежде всего, провести проверку этих носителей на отсутствиевирусов;

- выполнять предписания администратора сети;

- представлять для контроля свою рабочую станциюруководителю подразделения, администратору сети и специалисту подразделенияМТОИЗИ по защите информации;

- сохранять в тайне свой индивидуальный пароль,периодически изменять его и не сообщать другим лицам;

- вводить пароль и другие учетные данные,убедившись, что клавиатура находится вне поля зрения других лиц;

- учет, размножение, обращение печатныхматериалов, содержащих сведения конфиденциального характера и имеющих гриф"Для служебного пользования", проводить в соответствии с требованиямиИнструкции по делопроизводству в центральном аппарате Федеральной службы поэкологическому, технологическому и атомному надзору;

- при обнаружении различных неисправностей вработе компьютерной техники или ЛВС, недокументированных свойств в программномобеспечении, нарушений целостности пломб (наклеек, печатей), несоответствииномеров на аппаратных средствах сообщить в подразделение, осуществляющееэксплуатацию объектов информатизации (администратору сети), и поставить в известностьруководителя подразделения.

Пользователю при работе запрещается:

- играть в компьютерные игры;

- приносить различные компьютерные программы ипытаться установить их на локальный диск компьютера без уведомленияспециалистов подразделения, осуществляющего эксплуатацию средств информатизации(администратора сети);

- перенастраивать программное обеспечениекомпьютера;

- самостоятельно вскрывать комплектующие рабочейстанции;

- запускать на своей рабочей станции или другойрабочей станции сети любые системные или прикладные программы, кромеустановленных специалистами подразделения, осуществляющего эксплуатацию средствинформатизации (администратором сети);

- изменять или копировать файл, принадлежащийдругому пользователю, не получив предварительно разрешения владельца файла;

- оставлять включенной без присмотра своюрабочую станцию, не активизировав средства защиты от несанкционированногодоступа (временную блокировку экрана и клавиатуры);

- оставлять без личного присмотра на рабочемместе или где бы то ни было свое персональное устройство идентификации (приналичии), магнитные носители и распечатки, содержащие конфиденциальнуюинформацию;

- допускать к подключенной в сеть рабочейстанции посторонних лиц;

- производить копирование для временногохранения защищаемой информации на неучтенные носители;

- работать на рабочей станции сети с защищаемойинформацией при обнаружении неисправностей станции;

- умышленно использовать недокументированные свойстваи ошибки в программном обеспечении или в настройках средств защиты информации,которые могут привести к утечке, блокированию, искажению или утере информации;

- отсылать по электронной почте информациюличного или коммерческого характера для решения личных проблем, а такжеинформацию по просьбе третьих лиц без согласования с руководствомподразделения;

- запрашивать и получать из сети"Интернет" материалы развлекательного характера (игры, клипы и т.д.),кроме случаев их специального использования в служебных целях (только посогласованию с руководством подразделения);

- запрашивать и получать из сети"Интернет" программные продукты, кроме случаев, связанных сослужебной необходимостью. При этом необходимо согласование с руководителемсвоего подразделения и обеспечение процесса техническим специалистомподразделения, осуществляющего эксплуатацию средств информатизации;

- входить в другие компьютерные системы черезсеть без разрешения операторов этих систем.

2.7. Работники не могут использовать в личныхцелях сведения конфиденциального характера, ставшие известными им вследствиевыполнения служебных обязанностей.

2.8. За разглашение информации конфиденциальногохарактера, нарушение порядка обращения с документами и машинными носителямиинформации, содержащими такую информацию, а также за нарушение режима защиты,обработки и порядка использования этой информации работник может быть привлеченк дисциплинарной или иной ответственности, предусмотренной действующимзаконодательством.

2.9. Работник, отвечающий за обеспечениевыполнения в управлении предусмотренных мер защиты информации обязан:

- знать требования настоящей Инструкции;

- хранить поступившие в управлениеорганизационно-распорядительные документы, касающиеся вопросов защитыинформации;

- иметь список работников управления, допущенныхк конфиденциальной информации, знакомить под расписку их и вновь назначенныхработников с настоящей Инструкцией;

- выдавать работникам управления машинныеносители информации, учтенные по Журналу учета машинных носителей,предварительно проставив на них учетные реквизиты;

- собирать у пользователей неисправные МНИ и, помере накопления, уничтожать их по акту, утверждаемому начальником управления;

- вести ведомость закрепления за работникамиуправления ПЭВМ, предназначенных для обработки конфиденциальной информации;

- контролировать стирание пользователямиконфиденциальной информации с жестких дисков ПЭВМ, которые передаются в другиеуправления или в ремонт;

- иметь контактные телефоны администратора сети,подразделений МТОИЗИ, осуществляющих эксплуатацию средств информатизации иконтроль за выполнением предусмотренных мер защиты информации в ЦА Службы.

2.10. При смене работника, отвечающего заобеспечение выполнения в управлении предусмотренных мер защиты информациисоставляется акт приема- передачи документов, указанных в п. 2.9настоящей Инструкции, который утверждается соответствующим начальникомуправления.

3. Порядок обращения с носителями конфиденциальной информации

3.1. Общий порядок обращения со служебнымидокументами, содержащими конфиденциальную информацию, определен Инструкцией поделопроизводству в центральном аппарате Федеральной службы по экологическому,технологическому и атомному надзору.

3.2. Особенности учета машинных носителей,содержащих конфиденциальную информацию:

а) съемные машинные носители информации(дискеты, съемные накопители информации большой емкости, магнитооптическиедиски и т.д.), предназначенные для обработки конфиденциальной информации, вуправлении учитываются по журналу учета машинных носителей информацииработником, отвечающим за обеспечение выполнения в управлении предусмотренныхмер защиты информации;

б) на съемных машинных носителях информациилюбым доступным способом в удобном для просмотра месте проставляются следующиеучетные реквизиты: учетный номер и дата выдачи, пометка "Для служебногопользования", подпись работника, отвечающего за обеспечение выполнения вуправлении предусмотренных мер защиты информации;

в) учтенные машинные носители информации передаютсяработникам управления под расписку в журнале учета машинных носителейинформации;

г) машинные носители информации, пришедшие внегодность, неисправные или потерявшие практическую ценность, уничтожаются поакту;

д) порядок обращения с машинными носителямиинформации идентичен порядку, установленному для документов конфиденциальногохарактера.

4. Организация работ при обработке и подготовкеконфиденциальной информации на средствах вычислительной техники

4.1. Работники, осуществляющие обработкуинформации конфиденциального характера на средствах вычислительной техники,несут ответственность за соблюдение порядка подготовки и обработки документов,содержащих такую информацию, с помощью средств вычислительной техники.

4.2. Обеспечение защиты конфиденциальнойинформации при ее обработке на средствах вычислительной техники осуществляетсяв соответствии с требованиями настоящей Инструкции, приказов и распоряженийруководителя Службы по вопросам защиты информации.

Приложение

к Инструкции опорядке обращения

с конфиденциальной информацией в центральном

аппарате Федеральной службы по экологическому,

технологическому иатомному надзору

ЖУРНАЛ

учетамашинных носителей информации

_____________________________________

(наименование управления)

Примечание: Учетный номер, проставляемый на машинномносителе, формируется следующим порядком: N 15/1-ДСП, где: 15 - номеруправления, 1 - порядковый номер учитываемого машинного носителя информации понастоящему журналу, ДСП - отметка об отнесении информации к категорииограниченного доступа.

ПриложениеN 6
(обязательное)

Формы отчетности

Форма N 1Д/ЗИ

Доклад о состоянии защиты информации

Составляется в произвольной форме с учетом особенностейрешаемых территориальным органом или подведомственной организацией (далее -организацией) задач, но с обязательным раскрытием следующих вопросов:

1. Полное название организации.

2. Оценка состояния защиты информации иэффективности проводимой работы по ее совершенствованию.

3. Основные выполненные мероприятия по улучшениюсостояния защиты информации.

4. Количество проведенных проверок состояниязащиты информации (отдельно работниками по защите информации организации,представителями МТОИЗИ, Федеральной службы безопасности Российской Федерации иФедеральной службы по техническому и экспортному контролю РоссийскойФедерации).

5. Основные недостатки в обеспечении защитыинформации в организации.

6. Фамилия, имя и отчество руководителяорганизации и руководителя подразделения по защите информации (штатногоработника).

7. Количество локальных вычислительных сетей иПЭВМ в них.

8. Общее количество технических средств защитыинформации. Применяемые программные средства защиты информации.

9. Применяемая в автоматизированной системеорганизации операционная система.

10. Наличие выхода в ИНТЕРНЕТ (общий, наличиеабонентских пунктов).

11. Предложения по совершенствованию защитыинформации, входящие в компетенцию Федеральной службы по экологическому,технологическому и атомному надзору.

Руководитель организации

Форма N 2/ЗИ

Сведения
о штатных подразделениях (работниках) по защите информации

По состоянию на "___" _________200_ г.

Руководитель подразделения (штатный работник)

по защите информации

Форма N 3/ЗИ

Сведения
о количестве аттестованных объектов информатизации

По состоянию на "___" _________200_ г.

Руководитель подразделения (штатный работник)

по защите информации

Форма N 4/ЗИ

Сведения
о технических и программно-аппаратных средствах защиты информации

По состоянию на"___" _________ 200_ г.

Руководитель подразделения (штатный работник)

по защите информации

ПриложениеN 7
(рекомендуемое)

Перечень внутренних организационно-распорядительныхдокументов по защите информации

1. Положение о подразделении (должностнойрегламент штатного работника) по защите информации.

2. Должностные обязанности лиц, ответственных зазащиту информации.

3. План мероприятий по защите информации.

4. План проверок состояния защиты информации.

5. Модель угроз информационной безопасности.

6. Руководство по защите информации оттехнических разведок и от ее утечки по техническим каналам.

7. Перечень защищаемых объектов информатизации.

8. Акты о категорировании защищаемых объектовинформатизации.

9. Акты о категорировании ОТСС в защищаемыхпомещениях.

10. Технические паспорта на защищаемые объектыинформатизации.

11. Приказ о границе контролируемой зоны, схемаконтролируемой зоны.

12. Приказ о вводе защищаемого помещения вэксплуатацию и назначении ответственного за помещение лица.

13. Приказ о вводе в эксплуатацию средстввычислительной техники, обрабатывающих информацию ограниченного доступа, иназначении ответственных лиц.

14. Приказ (распоряжение) о хранении информацииограниченного доступа на машинных носителях информации.

15. Инструкция по защите речевой информации припроведении конфиденциальных совещаний.

16. Акты классификации автоматизированных системили отдельных ПЭВМ, обрабатывающих информацию ограниченного доступа.

17. Акты проверок защищаемых помещений на утечкупо вибро- и акустическому каналам, акты проверок вычислительной техники(основной и вспомогательной), заключение (предписание) проверяющих организацийо соответствии их требованиям руководящих документов Федеральной службы по техническомуи экспортному контролю Российской Федерации.

18. Аттестаты соответствия требованиям побезопасности информации на объекты информатизации.

19. Приказ (распоряжение) о закреплении ПЭВМ заответственными лицами.

20. Приказ о запрете использования в защищаемыхпомещениях радиотелефонов, сотовых и пейджинговых устройств при проведенииконфиденциальных совещаний.

21. Инструкция по обеспечению информационнойбезопасности при подключении к информационно-вычислительным сетям общегопользования (Интернет и т.п.), журнал учета работы на АП ИВС ОП, список лиц,допущенных к работе на АП ИВС ОП.

22. Инструкция по антивирусной защите.

23. Перечень защищаемых ресурсов в ЛВС, таблицыразграничения доступа.

24. Приказ о назначении ответственного заэксплуатацию средств защиты информации.

25. Журнал (карточки) учета средств защитыинформации.

ПриложениеN 8
(справочное)

Обобщенная классификация технических каналов утечкиинформации на объектах информатизации

ПриложениеN 9
(справочное)

Возможные технические каналы утечки информации

Рис. Возможные технические каналы утечкиинформации

1. Утечка за счет структурного звука в стенах иперекрытиях.

2. Съем информации с ленты принтера, плохостертых дискет и т.п.

3. Съем информации с использованиемвидео-закладок

4. Программно-аппаратные закладки в ПЭВМ.

5. Радио-закладки в стенах и мебели.

6. Съем информации по системе вентиляции.

7. Лазерный съем аккустической информации сокон.

8. Производственные и технологические отходы.

9. Компьютерные вирусы и т.п.

10. Съем информации за счет наводок и"навязывания".

11. Дистанционный съем видеоинформации (оптика).

12. Съем аккустической информации сиспользованием диктофонов.

13. Хищение носителей информации.

14. Высокочастотный канал утечки в бытовойтехнике.

15. Съем информации направленным микрофоном.

16. Внутренний канал утечки информации черезобслуживающий персонал.

17. Несанкционированное копирование.

18. Утечка за счет побочного излучения-терминала.

19. Съем информации за счет использования"телефонного уха".

20. Съем с клавиатуры и принтера поакустическому каналу.

21. Съем с дисплея по электромагнитному каналу.

22. Визуальный съем с дисплея и принтера.

23. Наводки на линии коммуникаций и сторонниепроводники.

24. Утечка через линии связи.

25. Утечка по цепям заземления.

26. Утечка по сети электрочасов.

27. Утечка по трансляционной сети игромкоговорящей связи.

28. Утечка по охранно-пожарной сигнализации.

29. Утечка по сети электропитания.

30. Утечка по сети отопления, газо- иводоснабжения.

ПриложениеN 10
(справочное)

Классификация автоматизированных систем по защищенностиинформации от несанкционированного доступа

Третья группа включает АС, в которых работает один пользователь,допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.Группа содержит два класса - 3А и 3Б.

Вторая группа включает АС, в которыхпользователи имеют одинаковые права доступа (полномочий) ко всей информации АС,обрабатываемой и (или) хранимой на носителях различного уровняконфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС,в которых одновременно обрабатывается и (или) хранится информация разныхуровней конфиденциальности. Не все пользователи имеют право доступа ко всейинформации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

ПриложениеN 11
(справочное)

Требования к автоматизированным системам по защищенностиинформации от НСД

Примечание: Знаком (+) отмечены обязательные длявыполнения требования по отношению к каждому классу и каждой подсистеме, знак(-) определяет отсутствие предъявленных требований или не обусловленнуюобязательность их выполнения.

ПриложениеN 12
(обязательное)

Руководство по защите информации от технических разведок и отее утечки по техническим каналам

Типовыетребования к содержанию Руководства определены в решении ГостехкомиссииРоссийской Федерации от 3.10.1995 N 42.

Основное содержание Руководства по защите информации

1. Руководство должно состоять из следующихразделов:

общие положения;

охраняемые сведения в организации;

демаскирующие признаки охраняемых сведений итехнические каналы утечки информации;

оценка возможностей технических разведок идругих источников угроз безопасности информации (в т.ч. возможностей спецтехники,используемой преступными группировками);

организационные и технические мероприятия позащите информации;

оповещение о ведении разведки (раздел включаетсяв состав Руководства при необходимости);

обязанности и права должностных лиц по защитеинформации;

планирование работ по защите информации иконтролю;

контроль состояния защиты информации;

аттестование рабочих мест;

взаимодействие с другими предприятиями(учреждениями, организациями), ГТК, ФСБ и т.д.

В зависимости от особенностей организациидопускается вводить и другие разделы.

1.1. В разделе "Общие положения"указывается назначение Руководства, приводятся общие требования по защитеинформации в организации, указывается категория организации по требованиямобеспечения защиты информации, указываются должностные лица, ответственные завыполнение требований Руководства, определяется порядок финансирования работ позащите информации в организации, приводятся сведения о полученной лицензии надопуск к работе со сведениями, составляющими государственную тайну и обимеющихся сертифицированных средствах защиты информации.

1.2. В разделе "Охраняемые сведения ворганизации" указывается конкретная цель, которая должна быть достигнута врезультате проведения мероприятий по защите информации (охраняемых сведений) ворганизации, замысел достижения этой цели и приводится перечень охраняемыхсведений (без указания конкретных числовых параметров).

1.3. В разделе "Демаскирующие признакиохраняемых сведений и технические каналы утечки информации" указываютсядемаскирующие признаки, которые раскрывают охраняемые сведения в организации, втом числе демаскирующие признаки, возникающие в связи с использованием средствобеспечения ее деятельности. Приводятся возможные технические каналы утечкиохраняемых сведений, включая каналы утечки информации в технических средствахее обработки.

1.4. В разделе "Оценка возможностейтехнических разведок и других источников угроз безопасности информации"приводится перечень видов и средств технической разведки, источников угрознесанкционированного доступа к информации, которые опасны для даннойорганизации, в том числе со стороны преступных группировок и результаты оценкиих возможностей: по обнаружению (определению) демаскирующих признаков,раскрывающих охраняемые сведения; по перехвату информации, циркулирующей втехнических средствах ее обработки; по перехвату речевой информации изпомещений; по получению, разрушению (уничтожению), искажению или блокированиюинформации в результате несанкционированного доступа к ней.

При оценке используется частная модель угроз дляорганизации, методики оценки возможностей иностранной технической разведки идругие документы по этому вопросу.

1.5. В разделе "Организационные итехнические мероприятия по защите информации" приводятся:

- организационные и технические мероприятия,обеспечивающие устранение или ослабление (искажение) демаскирующих признаков изакрытие возможных технических каналов утечки охраняемых сведений ворганизации;

- мероприятия по защите информации об инойсоздаваемой (применяемой) продукции и технологиях;

- мероприятия по защите информации припостоянном контролируемом и неконтролируемом нахождении иностранных граждан,как на территории организации, так и в непосредственной близости от нее;

- мероприятия по защите информации в системах исредствах информатизации и связи.

При нахождении на территории организации другихорганизаций (предприятий), арендующих у нее помещения, требования по защитеинформации в организации должны быть включены в договор аренды.

1.6. В разделе "Оповещение о ведении разведки"указывается порядок получения, регистрации и передачи данных о пролетахразведывательных спутников, самолетов иностранных авиакомпаний, нахождениииностранных судов в открытых портах, местах, маршрутах и времени проведенияиностранных инспекций в соответствии с международными договорами, посещенииорганизации иностранными представителями, появлении в районе ее расположенияиностранных граждан, подозреваемых в ведении разведки. А также приводятсявнутренняя схема оповещения и действия должностных лиц при оповещении.

1.7. В разделе "Обязанности и правадолжностных лиц по защите информации" определяются должностные лицаподразделений организации, ответственные за разработку, обеспечение ивыполнение мероприятий по защите информации, их функциональные обязанности иправа, приводится структурная схема взаимодействия подразделений по защитеинформации с соответствующими основными подразделениями данной организации.

1.8. В разделе "Планирование работ позащите информации и контролю" указываются руководящие документы дляпланирования работ по защите информации, требования к содержанию планов,приводится порядок разработки, согласования, утверждения и оформления планов,устанавливается порядок отчетности и контроля за выполнением планов.

1.9. В разделе "Контроль состояния защитыинформации" указываются задачи контроля, перечень органов и подразделений,имеющих право проверки состояния защиты информации в организации, привлекаемыесилы и средства контроля, порядок привлечения (при необходимости) к этой работеспециалистов основных подразделений организации, устанавливаются периодичностьи виды контроля, порядок оформления результатов контроля, определяются действиядолжностных лиц по устранению нарушений норм и требований по защите информациии порядок разработки мероприятий по устранению указанных нарушений.

1.10. В разделе "Аттестование рабочихмест" указываются подразделения или должностные лица, ответственные зааттестование рабочих мест, стендов, вычислительных комплексов, выделенныхпомещений и т.д., приводится форма документирования результатов аттестования ипорядок выдачи разрешения на проведение работ с секретной информацией, а такжепорядок и периодичность их переаттестования.

1.11. В разделе "Взаимодействие с другимипредприятиями (учреждениями, организациями)" указываются порядоквзаимодействия в области защиты информации с предприятиями (учреждениями,организациями) при выполнении совместных работ, применяемые совместныеорганизационные и технические мероприятия по защите информации, ответственность,права и обязанности взаимодействующих сторон, а также приводится структурнаясхема взаимодействия.

2. В приложения к Руководству включаются:

таблицы, схемы, графики, расчеты, исходныеданные и другие справочные материалы для оценки обстановки, определениямероприятий по защите информации;

порядок организации и проведения работ по защитеконфиденциальной информации;

перечень сведений, подлежащих защите;

план организации с указанием схем размещениярабочих мест, стендов и т.д., схем организации связи и сигнализации объекта;

структура системы защиты информации ворганизации;

перечень руководящих, нормативных и методическихдокументов по защите информации.

В приложения могут включаться и другие документы.

Зарегистрированоприказом Федеральной службы по экологическому, технологическому и атомномунадзору 6 октября 2006 г.

Регистрационный N 381