Приказ Госкомжилнадзора РБ от 12.08.2014 N 345 "О порядке организации и проведения работ по защите конфиденциальной информации в Государственном комитете Республики Башкортостан по жилищному надзору"



Зарегистрировано в Управлении РБ по организации деятельности мировых судей и ведению регистров правовых актов 17 декабря 2014 г. № 5731
-----------------------------------------------------------------------------

ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО ЖИЛИЩНОМУ НАДЗОРУ

ПРИКАЗ
от 12 августа 2014 г. № 345

О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ЗАЩИТЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОМ КОМИТЕТЕ
РЕСПУБЛИКИ БАШКОРТОСТАН ПО ЖИЛИЩНОМУ НАДЗОРУ

В соответствии с федеральными законами от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации", от 27 июля 2006 года № 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 30 мая 2005 года № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации", Указом Президента Республики Башкортостан от 21 сентября 2012 года № УП-365 "Об утверждении основ организации защиты информации в Республике Башкортостан", Указом Президента Республики Башкортостан от 7 октября 2013 года № УП-302 "О мерах по совершенствованию республиканской системы защиты информации" и во исполнение решения Совета по защите информации при Президенте Республики Башкортостан от 5 декабря 2013 года, в целях формирования системы защиты информации в Государственном комитете Республики Башкортостан по жилищному надзору приказываю:
1. Утвердить Положение о порядке организации и проведения работ по защите конфиденциальной информации в Государственном комитете Республики Башкортостан по жилищному надзору согласно приложению № 1.
2. Контроль за исполнением настоящего Приказа возложить на заместителя председателя Крылова А.Н.

Председатель
И.Г.ЗАМАЛЕТДИНОВ





Утверждено
Приказом Государственного
комитета Республики Башкортостан
по жилищному надзору
от 12 августа 2014 г. № 345

ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО ЗАЩИТЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ГОСУДАРСТВЕННОМ КОМИТЕТЕ
РЕСПУБЛИКИ БАШКОРТОСТАН ПО ЖИЛИЩНОМУ НАДЗОРУ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение определяет цели, задачи, содержание, порядок организации и проведения работ по защите конфиденциальной информации, направленные на предотвращение ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования в Государственном комитете Республики Башкортостан по жилищному надзору.
1.2. Положение является документом, обязательным для выполнения всеми должностными лицами при проведении работ, требующих защиты информации.
1.3. Правовую основу Положения составляют Конституция Российской Федерации, Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", законодательные акты Российской Федерации и Республики Башкортостан, определяющие права и ответственность граждан, общества и государства в сфере информационных отношений. Положение разработано на основе действующих правовых, организационно-распорядительных и нормативных документов по защите информации и детализирует их основные требования применительно к Государственному комитету Республики Башкортостан по жилищному надзору.
1.4. Работы по защите информации, обрабатываемой с использованием технических средств, являются составной частью управленческой деятельности Государственного комитета Республики Башкортостан по жилищному надзору (далее - комитет) и осуществляются во взаимосвязи с работами по другим направлениям обеспечения безопасности. Проведение мероприятий, связанных с обсуждением, передачей, обработкой и хранением информации, содержащей сведения конфиденциального характера, допускается только после определения необходимых мер по их защите в соответствии с требованиями настоящего Положения и других нормативно-методических документов по защите информации.
1.5. Ответственность за организацию и состояние защиты информации на объектах информатизации возлагается на администратора по защите информации. Руководство работами по защите информации осуществляется администратором по защите информации, ответственным за организацию работ по технической защите информации.
Должностные лица, организующие работу с информацией конфиденциального характера, несут персональную ответственность за соблюдение требований настоящего Положения.
В целях руководства разработкой и осуществлением мероприятий по обеспечению защиты конфиденциальной информации на объектах информатизации и проведения постоянного контроля за ее состоянием в комитете назначается ответственный по защите информации.
Ответственный по защите информации осуществляет мероприятия по защите информации, участвует в согласовании технических заданий при разработке системы защиты информации, создании систем информатизации и связи и организует контроль эффективности мероприятий, осуществляемых в интересах обеспечения защиты конфиденциальной информации в комитете. При решении задач, связанных с защитой информации конфиденциального характера, ответственный по защите информации взаимодействует с другими подразделениями (специалистами) по защите информации Республики Башкортостан.
1.6. Разработка системы защиты информации (далее - СЗИ) может осуществляться как ответственным лицом комитета, так и другими специализированными организациями, имеющими лицензии Федеральной службы по техническому и экспортному контролю на соответствующий вид деятельности.
1.7. Финансирование мероприятий по защите конфиденциальной информации в комитете предусматривается ежегодно в сметах расходов на содержание комитета. Мероприятия по обеспечению информационной безопасности могут финансироваться в соответствии с Республиканскими целевыми программами по защите информации.
1.8 Изменения в текст настоящего Положения вносятся порядком, предусмотренным для его согласования и утверждения. Изменения в приложения к Положению могут вноситься по мере необходимости за подписью Председателя Государственного комитета Республики Башкортостан по жилищному надзору.

2. ОХРАНЯЕМЫЕ СВЕДЕНИЯ И ОБЪЕКТЫ ЗАЩИТЫ

2.1. Конфиденциальная информация, хранимая, обрабатываемая и циркулирующая на объектах информатизации комитета, требует постоянного поддержания таких ее свойств как конфиденциальность, целостность и доступность, вследствие чего необходимо принятие адекватных мер по обеспечению ее безопасности.
Целью мероприятий по защите конфиденциальной информации, проводимых на объектах информатизации, является снижение риска получения ущерба в условиях действия преднамеренных и непреднамеренных угроз информационной безопасности (в части технической защиты информации). Достижение требуемого уровня защиты конфиденциальной информации должно быть обеспечено системным применением организационных, организационно-технических, технических и программно-технических мер на всех этапах разработки, строительства (реконструкции), испытаний, внедрения и эксплуатации объектов информатизации.
2.2. Указанная цель достигается путем рационального и взаимосвязанного решения на объектах информатизации следующих задач:
определения и документального оформления перечня сведений, информационных ресурсов и процессов, которые необходимо защитить;
анализа каналов утечки, хищения, несанкционированного доступа и воздействия на защищаемую информацию;
оценки возможностей недобросовестных сотрудников и криминальных структур по получению защищаемой информации, несанкционированному доступу и воздействию на информационные ресурсы и процессы, оценки реальной опасности утечки информации, искажения, модификации, уничтожения или блокирования информационных ресурсов и процессов;
разработки и внедрения технически и экономически обоснованных мероприятий по защите информации с учетом выявленных возможных каналов ее утечки, воздействий и доступа;
организации и проведения контроля эффективности защиты конфиденциальной информации на объектах информатизации комитета.
2.3. К охраняемым сведениям, защищаемым информационным ресурсам и процессам на всех этапах жизненного цикла объектов информатизации относятся информационные ресурсы, содержащие сведения конфиденциального характера, представленные в виде носителей на магнитной и оптической основе, информативных электрических сигналов, электромагнитных полей, информационных массивов и баз данных.
2.4. К объектам информатизации комитета, подлежащим защите по требованиям обеспечения безопасности защиты информации, относятся системы информатизации и связи, предназначенные для обработки информации, содержащей сведения конфиденциального характера:
локальные вычислительные сети (далее - ЛВС) и отдельные автоматизированные рабочие места (далее - АРМ);
средства изготовления, размножения и тиражирования документов;
программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение).

3. ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
ПО ЗАЩИТЕ ИНФОРМАЦИИ

3.1. Защита информации на объектах информатизации комитета должна осуществляться посредством выполнения комплекса мероприятий, направленных на:
скрытие или существенное затруднение добывания с помощью технических средств защищаемой информации;
предотвращение утечки информации или воздействия на информационные ресурсы и процессы по техническим каналам и за счет несанкционированного доступа к ним;
предупреждение преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации (информационных технологий) в процессе ее обработки, передачи и хранения или нарушения работоспособности технических средств.
3.2. Исходя из перечня основных угроз информационной безопасности, в комплексе мероприятий по защите информации на объектах информатизации комитета определяется несколько направлений:
защита технических средств и систем от утечки информации конфиденциального характера, по техническим каналам;
защита информации и информационных процессов (технологий) от несанкционированного доступа, в том числе от компьютерных вирусов и других программно-технических воздействий, от хищения технических средств с находящейся в них информацией или отдельных носителей информации.
3.3. Организация защиты от утечки по техническим каналам конфиденциальной информации в защищаемых помещениях предполагает проведение комплекса организационно-технических мероприятий, направленных на устранение акустического и виброакустического каналов утечки информации, а также технических каналов, возникающих при эксплуатации вспомогательных технических средств и за счет внедрения электронных устройств перехвата информации.
К таким мероприятиям относятся:
3.3.1. Установка в защищаемых помещениях технических средств (оконечных устройств телефонной связи, радиотрансляции, сигнализации, электрочасофикации и т.д.), сертифицированных по требованиям безопасности информации либо защищенных сертифицированными средствами защиты.
3.4. В целях защиты информации, обрабатываемой всеми видами основных технических средств и систем, организуется и проводится комплекс организационно-технических мероприятий, направленный на обеспечение защиты информации от ее хищения, утраты, утечки, искажения, подделки и блокирования к ней за счет несанкционированного доступа и специальных воздействий, защиты от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
К таким мероприятиям относятся:
реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и работам, связанным с ее использованием;
ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации.
3.5. Классификация автоматизированных систем (далее - АС), предназначенных для обработки информации, содержащей сведения конфиденциального характера, по требованиям защиты от несанкционированного доступа к информации. Переклассификация проводится при изменении хотя бы одного из критериев, на основании которых был установлен класс.
3.6. Основными направлениями защиты конфиденциальной информации, передаваемой по каналам связи, выходящим за пределы контролируемой зоны, являются использование защищенных каналов связи, в том числе защищенных волоконно-оптических линий связи.

4. ЗАЩИТА ИНФОРМАЦИИ АВТОМАТИЗИРОВАННЫХ РАБОЧИХ МЕСТ
НА БАЗЕ АВТОНОМНЫХ ПЕРСОНАЛЬНЫХ ЭЛЕКТРОННО-
ВЫЧИСЛИТЕЛЬНЫХ МАШИН

4.1. Автоматизированные системы могут быть выполнены в виде автоматизированных рабочих мест (АРМ) на базе автономных персональных электронно-вычислительных машин (далее - ПЭВМ) с необходимым для решения конкретных задач периферийным оборудованием (принтер, сканер, внешние накопители и т.п.).

5. ЗАЩИТА ИНФОРМАЦИИ ПРИ ИСПОЛЬЗОВАНИИ СЪЕМНЫХ
НАКОПИТЕЛЕЙ ИНФОРМАЦИИ БОЛЬШОЙ ЕМКОСТИ
ДЛЯ АВТОМАТИЗИРОВАННЫХ РАБОЧИХ МЕСТ НА БАЗЕ
АВТОНОМНЫХ ПЭВМ

5.1. Технология обработки информации с использованием съемных накопителей информации большой емкости предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемой информации пользователя.
Основной особенностью применения такой технологии для АРМ на базе автономных ПЭВМ, с точки зрения защиты информации, является исключение хранения информации на ПЭВМ в нерабочее время.
Эта технология может быть использована для обработки защищаемой информации без применения сертифицированных средств защиты информации от несанкционированного доступа и использования средств физической защиты помещений.
5.2. На стадии предпроектного обследования проводится детальный анализ технологичного процесса обработки информации, обращается внимание, прежде всего, на технологию обмена информацией (при использовании съемных накопителей информации большей емкости или гибких магнитных дисков) с другими АРМ как использующими, так и не использующими эту технологию, на создание условий, исключающих запись информации на неучтенные носители информации, несанкционированное ознакомление с этой информацией, на организацию выдачи информации на печать.
5.3. Обмен конфиденциальной информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей, работающих на АРМ, к передаваемой информации.
5.4. На рабочих местах исполнителей, работающих по этой технологии, во время работы не должно быть неучтенных накопителей информации.
В случае формирования конфиденциальных документов с использованием открытой текстовой и графической информации, представленной на накопителях информации, такие накопители информации должны быть "закрыты на запись".
Условия и порядок применения таких процедур должны быть отражены в технологии обработки информации.
5.5. При использовании в этой технологии современных средств вычислительной техники, оснащенных энергозависимой, управляемой извне перезаписываемой памятью, перед началом работ с конфиденциальной информацией при загрузке ПЭВМ рекомендуется выполнять процедуру проверки целостности перезаписываемой памяти. При обнаружении нарушения целостности перезаписываемой памяти необходимо поставить об этом в известность руководителя подразделения и ответственного по защите информации.
5.6. На рабочем месте должна быть разработана и по согласованию с ответственным по защите информации утверждена руководителем или его заместителем, технология обработки конфиденциальной информации, использующая съемные накопители информации большой емкости и предусматривающая выполнение требований по защите информации, учитывающих условия размещения, эксплуатации АРМ, учет носителей информации, а также другие требования, вытекающие из особенностей функционирования АРМ.

6. ЗАЩИТА ИНФОРМАЦИИ В ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ

6.1. Характерными особенностями ЛВС являются распределенное хранение информации, ее удаленная обработка и передача, а также сложность проведения контроля за работой пользователей и общей защищенностью ЛВС.
6.2. Конфиденциальная информация может обрабатываться только в ЛВС, расположенных в пределах контролируемой зоны и оборудованных межсетевыми экранами.
6.3. Средства защиты информации от несанкционированного доступа должны использоваться во всех узлах ЛВС независимо от наличия (отсутствия) сведений конфиденциального характера в данном узле ЛВС и требуют постоянного квалифицированного контроля настроек средств защиты информации (далее - СЗИ) администратором защиты информации.
6.4. Для управления, контроля защищенности ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.
6.5. Состав пользователей ЛВС должен контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться.
6.6. Каждый администратор и пользователь должен иметь уникальные идентификатор и пароль.

7. ЗАЩИТА ИНФОРМАЦИИ ПРИ МЕЖСЕТЕВОМ ВЗАИМОДЕЙСТВИИ

7.1. Контроль взаимодействия ЛВС с другими вычислительными сетями должен быть постоянным и осуществляться с использованием сертифицированных по требованиям безопасности информации средств контроля (средств обнаружения вторжений, мониторинга сети, активного аудита и т.д.). Коммуникационное оборудование и все точки соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны объекта информатизации.
7.2. При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) рекомендуется разделять трафик отдельных сетевых фрагментов с учетом решаемых задач пользователей ЛВС.
7.3. Подключение ЛВС к другой автоматизированной системе (локальной или распределительной вычислительной сети) должно осуществляться с использованием межсетевых экранов, требования к которым определяются документами Федеральной службы по техническому и экспортному контролю. Например, для защиты АС при ее взаимодействии с другой АС по каналам связи необходимо использовать:
в АС класса 1Г - МЭ не ниже класса 4;
в АС класса 1Д и 2Б, ЗБ - МЭ класса 5 или выше.

8. ЗАЩИТА ИНФОРМАЦИИ ПРИ РАБОТЕ С СИСТЕМАМИ УПРАВЛЕНИЯ
БАЗАМИ ДАННЫХ

8.1. При работе с системами управления базами данных (далее - СУБД) и базами данных (далее - БД) необходимо учитывать следующие особенности защиты информации от несанкционированного доступа (далее - НСД):
в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей;
БД могут быть физически распределены по различным устройствам и узлам сети;
БД могут включать различную конфиденциальную информацию;
разграничение доступа пользователей к объектам БД (таблицам, схемам, процедурам, записям, полям записей в базах данных и т.п.) может осуществляться только средствами СУБД;
регистрация действий пользователей при работе с объектами БД может осуществляться и средствами СУБД, если таковые имеются.

9. ВОЗМОЖНЫЕ ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
И НЕСАНКЦИОНИРОВАННОГО ВОЗДЕЙСТВИЯ НА ИНФОРМАЦИОННЫЕ
РЕСУРСЫ И ПРОЦЕССЫ В КОМИТЕТЕ

9.1. Возможными каналами утечки речевой информации являются:
акустическое излучение информативного речевого сигнала, которое может быть зарегистрировано путем непосредственного прослушивания акустических сигналов, а также в результате перехвата аппаратурой на основе направленных микрофонов;
виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений, перехват которых может осуществляться контактными микрофонами-стетоскопами и оптико-электронной (лазерной) аппаратурой. Для перехвата акустического сигнала с передачей информации по радиоканалу, ИК-каналу, ультразвуковому каналу, линиям связи и коммуникациям в технические средства и защищаемые помещения могут внедряться специальные электронные устройства перехвата информации ("закладки"). Аппаратура сбора информации с указанных автоматических средств перехвата и управления ими может функционально объединяться с портативной и стационарной аппаратурой перехвата информации;
электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации, выходящим за пределы контролируемой зоны;
радиоизлучения, модулированные информативным речевым сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации технических средств;
радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации ("закладочные устройства").
9.2. Возможными каналами утечки и воздействия на информацию и информационные ресурсы, представленные в виде носителей на магнитной и оптической основе, информативных электрических сигналов, информационных массивов и баз данных являются:
побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии, выходящие за пределы контролируемой зоны объектов (на линии вспомогательных технических средств и систем, на цепи заземления и электропитания);
изменения тока потребления, коррелированные с обрабатываемыми техническими средствами информативными сигналами;
радиоизлучения, модулированные информативным сигналом, возникающие при наличии паразитной генерации в узлах (элементах) технических средств;
радиоизлучения или электрические сигналы от внедренных в технические средства, подключенных к ним или каналам связи специальных электронных устройств перехвата информации ("закладок");
съем информации путем контактного или индукционного подключения к кабельным линиям связи;
перехват информации, передаваемой по радиоканалу;
несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;
хищение технических средств и хранящейся в них информации или отдельных носителей информации;
съем информации с аппаратных средств электронно-вычислительной техники, автоматизированных систем при их передаче в другие организации, сдаче в ремонт и т.д.;
просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
воздействие (физическое, дистанционное, электромагнитное и т.д.) на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств защиты информации, адресности и своевременности информационного обмена, в том числе через специально внедренные электронные и программные средства ("закладки").

10. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ

10.1. Общее руководство организацией работ по защите информации в Государственном комитете Республики Башкортостан по жилищному надзору возлагается на администратора по защите информации. Для выполнения работ по защите информации могут привлекаться по договору организации, имеющие соответствующие лицензии Федеральной службы по техническому и экспортному контролю для проведения работ на данный вид деятельности.
Основными задачами администратора по защите информации являются: участие в анализе и выявлении возможных каналов утечки информации и воздействия на информационные ресурсы и процессы на объектах методической работе, рассматривают предложения по совершенствованию системы защиты информации и принимают по ним обоснованные решения.
10.2. Непосредственная организация и разработка мероприятий по защите информации, а также по контролю эффективности принятых мер и используемых средств защиты возлагается на ответственного по защите информации.
10.3. Методическое руководство ответственного лица по защите информации комитета осуществляет подразделение по защите информации специальных мероприятий.
10.4. Организация и контроль выполнения мероприятий по защите информации при эксплуатации объектов информатизации сотрудниками комитета возлагается на администратора по защите информации, в ведении которого находятся объекты информатизации, подлежащие защите.
10.5. Работники, эксплуатирующие защищенный объект информатизации (пользователи автоматизированных систем), несут персональную ответственность за невыполнение установленных правил и требований по обеспечению безопасности информации.
10.6. Практическая организация работ по защите информации в комитете, а также контролю эффективности принятых мер и используемых средств защиты:
организация классификации автоматизированных систем от несанкционированного доступа к информации;
организация выполнения организационно-технических мер защиты информации на объектах и аттестации объектов информатизации по требованиям безопасности информации;
организация внедрения и эксплуатации средств защиты информации и систем информатизации и связи;
контроль выполнения требований по защите информации и создания системы защиты информации в ходе строительства (реконструкции) объектов;
разработка на базе руководящих и методических документов по защите информации в комитете организационно-распорядительных документов, определяющих порядок и мероприятия по защите информации на объектах;
контроль выполнения требований по защите информации при эксплуатации объектов информатизации.
10.7. Ответственный по защите информации комитета выполняет обязанности администратора информационной безопасности, на которого возложены:
руководство практическим выполнением работ по защите информации от несанкционированных действий, разрушения и воздействия на нее при эксплуатации автоматизированных систем комитета;
поддержание функционирования технических и программных средств и систем защиты информации, автоматизированных систем в установленных эксплуатационной документацией режимах;
контроль технологического процесса обработки защищаемой информации и соблюдения требований инструкций при эксплуатации систем защиты информации пользователями автоматизированных систем;
контроль целостности эксплуатируемого на средствах вычислительной техники программного обеспечения с целью выявления несанкционированных изменений в нем, а также выполнения мероприятий по антивирусной защите магнитных носителей информации и сообщений, получаемых по каналам связи;
формирование и распределение реквизитов полномочий пользователей, определяемых эксплуатационной документацией на средства и системы защиты информации;
разработка методических материалов по защите информации от несанкционированного доступа к ней, а также ее искажения и разрушения;
обучение персонала и пользователей вычислительной техники правилам работы со средствами защиты информации;
проведение служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации.
10.8. Административный уровень определяет взаимодействие между подразделениями (специалистами) на основе требований постановлений и распоряжений руководства на открытие работ по проведению определенного вида мероприятий по защите информации. Функциональный уровень - взаимодействие подразделений (специалистов) на основе их функций, определенных соответствующими положениями (функциональными обязанностями).

11. КОНТРОЛЬ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ

11.1. Контроль защиты информации - комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях выявления и предотвращения утечки информации по техническим каналам; исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации; предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности систем информатизации.
11.2. Основными задачами контроля являются:
проверка организации выполнения мероприятий по защите информации, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
уточнение возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;
проверка выполнения требований по защите автоматизированных систем от несанкционированного доступа;
проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;
проверка знаний работников по вопросам защиты информации и их соответствия необходимому уровню подготовки для конкретного рабочего места;
оперативное принятие мер по пресечению нарушений требований (норм) защиты информации на объектах;
разработка предложений по устранению (ослаблению) технических каналов утечки информации и воздействия на нее в деятельности объектов.
11.3. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей на объектах. Он осуществляется, как правило, по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации.
11.4. В ходе контроля проверяются:
своевременность и полнота выполнения требований настоящего Положения и других руководящих документов по защите информации;
полнота выявления возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;
эффективность применения организационных и технических мероприятий по защите информации;
устранение ранее выявленных недостатков. Кроме того, проводятся необходимые измерения и расчеты.
11.5. Основным видом технического контроля в комитете является контроль эффективности защиты информации от утечки по техническим каналам, несанкционированного доступа к ней и программно-технических воздействий на информацию. Технический контроль выполнения норм и требований по защите информации по различным физическим полям проводится по соответствующим методикам Федеральной службы по техническому и экспортному контролю.
11.6. Невыполнение предписанных мероприятий по защите конфиденциальной информации, считается предпосылкой к утечке сведений (далее - предпосылка).
По каждой предпосылке для выяснения обстоятельств и причин не выполнения установленных требований по указанию Председателя или заместителя председателя проводится служебное расследование.
Для проведения расследования формируется комиссия из компетентных лиц с привлечением ответственного за организацию работ по технической защите информации, ответственного по защите информации и работников подразделения, в котором произошло нарушение требований. В сложных случаях по согласованию привлекаются работники подразделения по защите информации. Комиссия обязана установить, имела ли место утечка сведений конфиденциального характера и обстоятельства ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования Председатель комитета принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.
11.7. Ведение контроля защиты информации осуществляется путем проведения плановых и внеплановых проверок объектов информатизации в комитете. Плановые и внеплановые проверки объектов проводятся, как правило, силами подразделения по защите информации.
11.8. Одной из форм контроля защиты информации является обследование объектов информатизации и связи. Оно проводится рабочей группой в составе ответственного за организацию работ по технической защите информации, ответственного по защите информации и работников подразделения, в ведении которого находится объект информатизации.
11.9. Обследование объектов информатизации проводится с целью определения соответствия защищаемых помещений, основных и вспомогательных технических средств и систем требованиям по защите информации.
11.10. В ходе обследования проверяется:
соблюдение организационно-режимных требований и установленных требований по звукоизоляции защищаемых помещений;
сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;
наличие электробытовой, радио и телевизионной аппаратуры и устройств иностранного и непромышленного изготовления (пультов связи, устройств вызова и оповещения, усилителей, генераторов и других вспомогательных технических средств и систем), которые могут способствовать возникновению каналов утечки информации;
выполнение требований предписаний на эксплуатацию на основные технические средства и системы по их размещению относительно вспомогательных технических средств и систем, организации электропитания и заземления;
соответствие выполняемых на объекте информатизации мероприятий по защите информации данным, изложенным в техническом паспорте;
выполнение требований по защите автоматизированных систем от несанкционированного доступа;
выполнение требований по антивирусной защите автоматизированных систем и средств вычислительной техники.
11.11. Для выявления радиоэлектронных устройств и проводов неизвестного назначения, преднамеренного нарушения защитных свойств оборудования, а также не предусмотренных правилами эксплуатации отводов от оборудования и соединительных линий, проложенных в защищаемых помещениях, а также других нарушений и способов возникновения каналов утечки информации необходимо:
тщательно осмотреть мебель, сувениры (особенно иностранного производства), оборудование, установленное в этом помещении, осветительную аппаратуру, ниши отопительных батарей, шторы, оконные проемы и т.д.;
вскрыть и осмотреть розетки, выключатели осветительной сети, люки вентиляции и каналы скрытой проводки;
проверить качество установки стеклопакетов оконных приемов;
провести аппаратурную проверку помещения на отсутствие возможно внедренных электронных устройств перехвата информации (при наличии соответствующей аппаратуры).
11.12. Кроме планового контроля, перед проведением в комитете мероприятий конфиденциального характера с использованием аппаратуры звукоусиления, ответственным по защите информации выполняются мероприятия технического контроля задействованных в мероприятиях помещений с целью выявления возможно внедренных в них электронных устройств перехвата информации, и проверка усилителей аппаратуры звукоусиления на самовозбуждение.
11.13. Контроль состояния защиты информации осуществляется при проверке.
11.14. Кроме того, проверка организации и состояния защиты информации на объектах комитета может осуществляться Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в соответствии с действующим законодательством Российской Федерации.
Доступ представителей указанных федеральных органов исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, а также предписания установленной формы на право проведения проверки состояния защиты информации на данном объекте.

12. ПЛАНИРОВАНИЕ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ И КОНТРОЛЮ

12.1. Мероприятия по защите информации и по контролю выполнения требований руководящих и нормативно-методических документов по защите информации в комитете предусматриваются в Плане работы постоянно действующей технической комиссии комитета по защите информации. При планировании мероприятий по контролю защиты информации отражаются:
задачи контроля, перечень объектов, подлежащих контролю, сроки, ответственные исполнители, привлекаемые силы и средства контроля, порядок обобщения результатов контроля.

13. АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

13.1. С целью оценки соответствия автоматизированных систем требованиям по безопасности информации может применяться аттестация систем.

14. ВЗАИМОДЕЙСТВИЕ С УЧРЕЖДЕНИЯМИ И ОРГАНИЗАЦИЯМИ
ПО ВОПРОСАМ ЗАЩИТЫ ИНФОРМАЦИИ И ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Комитет взаимодействует со сторонними организациями, имеющими лицензии Федеральной службы по техническому и экспортному контролю или Федеральной службой безопасности Российской Федерации на деятельность в области защиты информации. Каждая из таких организаций привлекается к работам по защите информации в рамках договоров в соответствии с перечнем услуг, представляемых этой организацией, указанных в лицензии (к услугам относится и продажа средств защиты информации и поисковых приборов).
14.2. Запрещается привлекать для проведения работ по защите информации на объектах иностранные организации, а также размещать на территории указанных объектов совместные с иностранными государствами предприятия.


------------------------------------------------------------------