Вы находитесь на странице: 1из 54

Приложение 1

к приказу
«Об утверждении политики
информационной безопасности в
ОГКУ «Многофункциональный
центр предоставления государственных
и муниципальных услуг
в Еврейской автономной области»
от 26.06.2012 № 73

Политика
информационной безопасности
в ОГКУ «Многофункциональный центр предоставления
государственных и муниципальных услуг в Еврейской
автономной области»

г. Биробиджан
СОДЕРЖАНИЕ
Определения ................................................................................................................. 3
Введение ..................................................................................................................... 11
1 Общие положения .................................................................................................. 13
2 Область действия .................................................................................................... 14
3 Положения политики информационной безопасности
3.1 Политика физической безопасности……………………..…………....14
3.2 Политика обеспечения управления доступом……………………...…17
3.3 Политика обеспечения сетевой безопасности……………………..…22
3.4 Политика использования программного обеспечения…………….…24
3.5 Политика парольной защиты……………………………………..……25
3.6 Политика антивирусной защиты………………………………...……27
3.7 Политика использования сети Интернет…………………………...…29
3.8 Политика использования электронной почты……………………..…32
3.9 Политика использования электронных носителей………………. …33
3.10 Политика использования средств криптографической
защиты……………………………………………………………………….34
3.11 Политика резервного копирования………………………………..…35
3.12 Политика «чистого стола» и «чистого экрана»…………………..…37
3.13 Политика повышения осведомленности в области информационной
безопасности и кадровая политика……………………………………...…38
4 Ответственность за нарушение политики информационной
безопасности……………………………………………………………………….40
5 Пересмотр политики………………………………………………………..…...40
6 Система защиты персональных данных ………………………………………41
7 Требования к подсистемам СЗИ………………………………………………..42
7.1 Подсистемы управления доступом, регистрации и учета .................... 43
7.2 Подсистема обеспечения целостности и доступности .......................... 43
7.3 Подсистема антивирусной защиты ......................................................... 44
7.4 Подсистема анализа защищенности ........................................................ 44
7.5 Подсистема обнаружения вторжений ..................................................... 45
7.6 Подсистема криптографической защиты ................................................ 45
8 Пользователи ИСПДн ............................................................................................ 45
8.1 Администратор ИСПДн............................................................................ 46
8.2 Администратор информационной безопасности ................................... 46
8.3 Оператор АРМ ........................................................................................... 47
8.4 Администратор корпоративной сети ...................................................... 47
8.5 Технический специалист по обслуживанию периферийного
оборудования ................................................................................................... 48
8.6 Программист-разработчик ИСПДн ......................................................... 48
9 Требования к персоналу по обеспечению защиты ПДн ..................................... 49
10 Должностные обязанности пользователей ИСПДн .......................................... 50
11 Ответственность сотрудников Учреждения ...................................................... 51
12 Перечень нормативно-правовых актов, во исполнение которых
предполагается реализация Политики…………………………………………...52
ОПРЕДЕЛЕНИЯ
В настоящем документе используются следующие термины и их
определения:
Автоматизированная система – система, состоящая из персонала и
комплекса средств автоматизации его деятельности, реализующая
информационную технологию выполнения установленных функций.
Аутентификация отправителя данных – подтверждение того, что
отправитель полученных данных соответствует заявленному.
Безопасность персональных данных – состояние защищенности
персональных данных, обрабатываемых и хранимых на бумажных и
электронных носителях, и в информационных системах персональных данных,
характеризуемое способностью обеспечить конфиденциальность, целостность и
доступность персональных данных.
Вирус (компьютерный, программный) – исполняемый программный
код или интерпретируемый набор инструкций, обладающий свойствами
несанкционированного распространения и самовоспроизведения. Созданные
дубликаты компьютерного вируса не всегда совпадают с оригиналом, но
сохраняют способность к дальнейшему распространению и
самовоспроизведению.
Вредоносная программа – программа, предназначенная для
осуществления несанкционированного доступа и (или) воздействия на
персональные данные или ресурсы информационной системы персональных
данных.
Вредоносный код – содержащаяся в любых файлах последовательность
символов, результат исполнения которых позволяет отнести ее к
компьютерным вирусам или вредоносным программам.
Вспомогательные технические средства и системы – технические
средства и системы, не предназначенные для передачи, обработки и хранения
персональных данных, устанавливаемые совместно с техническими средствами
и системами, предназначенными для обработки персональных данных или в
3
помещениях, в которых установлены информационные системы
персональных данных.
Доступ в операционную среду компьютера (информационной
системы персональных данных) – получение возможности запуска на
выполнение штатных команд, функций, процедур операционной системы
(уничтожения, копирования, перемещения и т.п.), исполняемых файлов
прикладных программ.
Доступ к информации – возможность получения информации и ее
использования.
Закладочное устройство – элемент средства съема информации,
скрытно внедряемый (закладываемый или вносимый) в места возможного
съема информации (в том числе в ограждение, конструкцию, оборудование,
предметы интерьера, транспортные средства, а также в технические средства и
системы обработки информации).
Защищаемая информация – информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями
правовых документов или требованиями, устанавливаемыми собственником
информации.
Идентификация – присвоение субъектам и объектам доступа
идентификатора и (или) сравнение предъявляемого идентификатора с
перечнем присвоенных идентификаторов.
Информативный сигнал – электрические сигналы, акустические,
электромагнитные и другие физические поля, по параметрам которых может
быть раскрыта конфиденциальная информация (персональные данные)
обрабатываемая в информационной системе персональных данных.
Информационная система персональных данных – информационная
система, представляющая собой совокупность персональных данных,
содержащихся в базе данных, а также информационных технологий и

4
технических средств, позволяющих осуществлять обработку персональных
данных с использованием средств автоматизации или без использования таких
средств.
Информационные технологии – процессы, методы поиска, сбора,
хранения, обработки, предоставления, распространения информации и способы
осуществления таких процессов и методов.
Информация ограниченного доступа – любая информация, отнесенная
к конфиденциальной информации, коммерческой тайне, персональным
данным, служебной тайне или иная информация, доступ к которой ограничен
согласно организационно-распорядительным документам Учреждения в
соответствии с нормативно-правовыми актами Российской Федерации.
Использование персональных данных – действия (операции) с
персональными данными, совершаемые оператором в целях принятия решений
или совершения иных действий, порождающих юридические последствия в
отношении субъекта персональных данных или других лиц либо иным
образом затрагивающих права и свободы субъекта персональных данных или
других лиц.
Источник угрозы безопасности информации – субъект доступа,
материальный объект или физическое явление, являющиеся причиной
возникновения угрозы безопасности информации.
Компьютерный вирус – разновидность компьютерных программ,
отличительной особенностью которых является способность к размножению, а
также возможность выполнения произвольных действий, без ведома
пользователя.
Контролируемая зона – пространство (территория, здание, часть здания,
помещение), в котором исключено неконтролируемое пребывание
посторонних лиц, а также транспортных, технических и иных материальных
средств.

5
Конфиденциальность персональных данных – обязательное для
соблюдения оператором или иным получившим доступ к персональным
данным лицом требование не допускать их распространение без согласия
субъекта персональных данных или наличия иного законного основания.
Нарушитель безопасности персональных данных – физическое лицо,
случайно или преднамеренно совершающее действия, следствием которых
является нарушение безопасности персональных данных при их обработке
техническими средствами в информационных системах персональных
данных.
Неавтоматизированная обработка персональных данных – обработка
персональных данных, содержащихся в информационной системе
персональных данных либо извлеченных из такой системы, считается
осуществленной без использования средств автоматизации
(неавтоматизированной), если такие действия с персональными данными, как
использование, уточнение, распространение, уничтожение персональных
данных в отношении каждого из субъектов персональных данных,
осуществляются при непосредственном участии человека.
Несанкционированный доступ (несанкционированные действия) –
доступ к информации или действия с информацией, нарушающие правила
разграничения доступа с использованием штатных средств, предоставляемых
информационными системами персональных данных.
Носитель информации – физическое лицо или материальный объект, в
том числе физическое поле, в котором информация находит свое отражение в
виде символов, образов, сигналов, технических решений и процессов,
количественных характеристик физических величин.
Обработка персональных данных – действия (операции) с
персональными данными, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование,

6
распространение (в том числе передачу), обезличивание, блокирование,
уничтожение персональных данных.
Оператор (персональных данных) – государственный орган,
муниципальный орган, юридическое или физическое лицо, организующее и
(или) осуществляющее обработку персональных данных, а также
определяющее цели и содержание обработки персональных данных.
Перехват (информации) – неправомерное получение информации с
использованием технического средства, осуществляющего обнаружение,
прием и обработку информативных сигналов.
Персональные данные – любая информация, относящаяся к
определенному или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том числе: фамилия,
имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы и другая
информация.
Побочные электромагнитные излучения и наводки –
электромагнитные излучения технических средств обработки защищаемой
информации, возникающие как побочное явление и вызванные
электрическими сигналами, действующими в их электрических и магнитных
цепях, а также электромагнитные наводки этих сигналов на токопроводящие
линии, конструкции и цепи питания.
Политика «чистого стола» – комплекс организационных мероприятий,
контролирующих отсутствие записывания на бумажные носители ключей и
атрибутов доступа (паролей) и хранения их вблизи объектов доступа,
мероприятий по предотвращению несанкционированного доступа к
персональным данным на столах, стеллажах, принтерах, экранах мониторов и
т.д.
Пользователь информационной системы персональных данных –
лицо, участвующее в функционировании информационной системы
персональных данных или использующее результаты ее функционирования.
7
Правила разграничения доступа – совокупность правил,
регламентирующих права доступа субъектов доступа к объектам доступа.
Программная закладка – код программы, преднамеренно внесенный в
программу с целью осуществить утечку, изменить, блокировать, уничтожить
информацию или уничтожить и модифицировать программное обеспечение
информационной системы персональных данных и (или) блокировать
аппаратные средства.
Программное (программно-математическое) воздействие –
несанкционированное воздействие на ресурсы автоматизированной
информационной системы, осуществляемое с использованием вредоносных
программ.
Раскрытие персональных данных – умышленное или случайное
нарушение конфиденциальности персональных данных.
Распространение персональных данных – действия, направленные на
передачу персональных данных определенному кругу лиц (передача
персональных данных) или на ознакомление с персональными данными
неограниченного круга лиц, в том числе обнародование персональных данных
в средствах массовой информации, размещение в информационно-
телекоммуникационных сетях или предоставление доступа к персональным
данным каким-либо иным способом.
Резервная копия – копия рабочей информации, полученная в результате
резервного копирования.
Резервное копирование – процесс создания копий рабочей информации
на определенный момент времени, направленный на предотвращение
нарушения целостности и/или доступности рабочей информации и на ее
восстановление после таких нарушений.
Ресурс информационной системы – именованный элемент системного,
прикладного или аппаратного обеспечения функционирования
информационной системы.

8
Сети общего пользования – любые сети передачи данных (например,
Интернет), в которых передаваемая информация может стать известна третьим
лицам.
Специальные категории персональных данных – персональные
данные, касающиеся расовой, национальной принадлежности, политических
взглядов, религиозных или философских убеждений, состояния здоровья и
интимной жизни субъекта персональных данных.
Средства вычислительной техники – совокупность программных и
технических элементов систем обработки данных, способных
функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого
регламентируются правилами разграничения доступа.
Технический канал утечки информации – совокупность носителя
информации (средства обработки), физической среды распространения
информативного сигнала и средств, которыми добывается защищаемая
информация.
Технические средства информационной системы персональных
данных – средства вычислительной техники, информационно-
вычислительные комплексы и сети, средства и системы передачи, приема и
обработки персональных данных (средства и системы звукозаписи,
звукоусиления, звуковоспроизведения, переговорные и телевизионные
устройства, средства изготовления, тиражирования документов и другие
технические средства обработки речевой, графической, видео- и буквенно-
цифровой информации), программные средства (операционные системы,
системы управления базами данных и т.п.), средства защиты информации,
применяемые в информационных системах.
Трансграничная передача персональных данных – передача
персональных данных оператором через Государственную границу Российской

9
Федерации органу власти иностранного государства, физическому или
юридическому лицу иностранного государства.
Угрозы безопасности персональных данных – совокупность условий и
факторов, создающих опасность несанкционированного, в том числе
случайного, доступа к персональным данным, результатом которого может
стать уничтожение, изменение, блокирование, копирование, распространение
персональных данных, а также иных несанкционированных действий при их
обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате
которых невозможно восстановить содержание персональных данных в
информационной системе персональных данных или в результате которых
уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам –
неконтролируемое распространение информации от носителя защищаемой
информации через физическую среду до технического средства,
осуществляющего перехват информации.
Учреждение – Областное государственное казенное учреждение
«Многофункциональный центр предоставления государственных и
муниципальных услуг в Еврейской автономной области» и его филиалы.
Уязвимость – слабость в средствах защиты, которую можно
использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной
техники или автоматизированной системы обеспечивать неизменность
информации в условиях случайного и/или преднамеренного искажения
(разрушения).
Электронная почта – любое сообщение, изображение, форма, вложение,
данные или другой способ представления информации отправляемой,
получаемой или хранящейся в системе электронной почты.

10
Электронный носитель – носитель (например, дискеты, компакт-диски,
съемные жесткие диски, дисковые хранилища, ленточные накопители и иные
носители информации), который может быть подключен к выделенным серверам
и/или автоматизированным рабочим местам Учреждения и может быть
использован для обработки, хранения и копирования на него информации.

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АС – автоматизированная система
АРМ – автоматизированное рабочее место
ИСПДн – информационная система персональных данных
КЗ – контролируемая зона
КС – корпоративная сеть Учреждения
НПА РФ – нормативные правовые акты Российской Федерации
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПО – программное обеспечение
ПЭМИН – побочные электромагнитные излучения и наводки
СЗИ – средства защиты информации
СОП – сеть общего пользования

ВВЕДЕНИЕ

Политика информационной безопасности Учреждения (далее –


Политика) – набор механизмов, посредством которых будут определены и
достигнуты цели информационной безопасности:
Конфиденциальность - обеспечение информацией только тех людей,
которые уполномочены на получение такого доступа. Хранение и просмотр
конфиденциальной информации только теми людьми, кто по своим
служебным обязанностям и полномочиям имеет на это право.

11
Целостность - поддержание целостности конфиденциальной
информации означает, что она защищена от неправомочной модификации.
Существуют множество типов информации, которые имеют ценность только
тогда, когда гарантировано, что они правильные. Реализация Политики
гарантирует, что информация не повреждена, не разрушена или не изменена
любым способом.
Пригодность - обеспечение того, что информация и АС доступны и
готовы к эксплуатации всегда, как только они потребуются. В этом случае,
реализация Политики гарантирует, что информация всегда доступна и
поддерживается в пригодном состоянии.
Основной целью Политики является обеспечение эффективного
противодействия внутренним и внешним угрозам, направленным на
нарушение процессов сбора, обработки, хранения и предоставления
информации.
Настоящая Политика разработана в соответствии с целями, задачами и
принципами обеспечения безопасности информации ограниченного доступа,
изложенными в Концепции информационной безопасности Учреждения.
Политика разработана в соответствии с требованиями Федерального
Закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» и
постановлениями Правительства Российской Федерации от 11 ноября 2007г.
№ 781 «Об утверждении Положения об обеспечении безопасности
персональных данных при их обработке в информационных системах
персональных данных» и от 15 сентября 2008г. № 687 «Об утверждении
Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации», на основании
«Рекомендаций по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных», утвержденных
Заместителем директора ФСТЭК России от 15.02.2008.
В Политике определены требования к сотрудникам Учреждения, степень
ответственности сотрудников, структура и необходимый уровень

12
защищенности, статус и должностные обязанности сотрудников,
ответственных за обеспечение безопасности персональных данных в архивах и
ИСПДн Учреждения.

1. ОБЩИЕ ПОЛОЖЕНИЯ

Целью настоящей Политики является обеспечение безопасности


объектов защиты Учреждения от всех видов угроз: внешних и внутренних,
умышленных и непреднамеренных, минимизация ущерба от возможной
реализации угроз безопасности ПДн.
Безопасность ПДн достигается путем исключения
несанкционированного, в том числе случайного, доступа к ПДн, результатом
которого может стать уничтожение, изменение, блокирование, копирование,
распространение ПДн, а также иных несанкционированных действий.
Политика устанавливает правила:
– обеспечения сохранности имущества Учреждения и его эксплуатации,
необходимого для обеспечения информационной безопасности;
– предотвращения, обнаружения и устранения последствий
компьютерных вирусов и вредоносных программ;
– получения доступа к сетям общего пользования, правил работы в них,
ограничений по их использованию, обеспечению безопасности при работе с
ними и действия при ее нарушении;
– использования электронной почты и т.д.

Информация и связанные с ней ресурсы должны быть доступны только


для авторизованных пользователей. Должно осуществляться своевременное
обнаружение и реагирование на угрозы ПДн и предотвращение
преднамеренных или случайных, частичных или полных
несанкционированных модификаций или уничтожения данных.
Состав объектов защиты определяется в Перечне персональных данных,
подлежащих защите.

13
Состав ИСПДн подлежащих защите, определен в Отчете о результатах
проведения внутренней проверки Учреждения.

2. ОБЛАСТЬ ДЕЙСТВИЯ

Требования настоящей Политики распространяются на всех сотрудников


Учреждения (штатных, временных, работающих по контракту и т.п.), а также
всех прочих лиц (подрядчики, аудиторы и т.п.).

3. ПОЛОЖЕНИЯ ПОЛИТИКИ

3.1 Политика физической безопасности

Все помещения Учреждения должны отвечать требованиям НПА РФ в


части оборудования устройствами сигнализации (например, пожарной,
охранной и т.п.).
Помещения, которые должны быть оборудованы дополнительными
устройствами регистрации, контроля и поддержания заданных характеристик
(например, система автоматического пожаротушения, контроля влажности,
принудительной вентиляции, кондиционирования воздуха, защиты от
статического электричества и т.п.), в соответствии с НПА РФ или правилами
эксплуатации оборудования, размещенного в таких помещениях, и требуемых
для соблюдения гарантийных обязательств производителя, должны быть
полностью укомплектованы подобными устройствами.

Организация охраны
В помещениях, в которых размещается имущество Учреждения, должна
иметься возможность организации круглосуточной охраны. В помещениях,
расположенных в зданиях, в которых возможно использование услуг служб
централизованной охраны здания, охрана должна осуществляться силами
таких служб. В помещениях, расположенных в зданиях без служб
централизованной охраны, охрана должна осуществляться за счет привлечения
специализированных организаций, предоставляющих услуги по

14
круглосуточной охране.
Допускается в рабочее время использование услуг служб охраны в
режиме «вызов по необходимости», в нерабочее время помещения должны
сдаваться под охрану с применением средств охранной сигнализации или с
физическим наблюдением за помещениями.

Контроль доступа
Все помещения Учреждения должны быть оборудованы дверьми,
закрываемыми на замок.
Должен быть предусмотрен механизм установления личности
осуществляющей санкционированное вскрытие помещений Учреждения
(например, проверка удостоверения личности, применение систем контроля и
управления доступом, роспись за получения ключа от помещений на посту
охраны и т.п.).
Отдельные группы помещений, нахождение в которых посторонних лиц не
требуется (например, архивные помещения), могут отделяться дополнительными
дверьми, иными средствами ограничения доступа или физически располагаться
удаленно (например, на других этажах или частях здания и т.п.).
Помещения, доступ в которые согласно НПА РФ должен быть органичен,
а также в которых хранится или обрабатывается информация ограниченного
доступа, хранятся товарно-материальные ценности и иные подобные
помещения, должны быть оборудованы механизмом ограничения доступа.
Сотрудники структурных подразделений Учреждения, имеющие право
самостоятельного вскрытия таких помещений должны быть определены
отдельными списками, утвержденными директором Учреждения.
Сотрудники Учреждения не должны оставлять свои рабочие кабинеты
без наблюдения. В случае, если помещение остается без наблюдения,
помещение должно быть закрыто на замок.
Сотрудники Учреждения не должны пытаться проникнуть в помещения,
доступ к которым ограничен, не имея на это соответствующих прав.

15
Контроль нахождения посторонних лиц в помещениях Учреждения
Нахождение посетителей или представителей сторонних организаций в
помещениях Учреждения, должно контролироваться сопровождающими лицами
из числа сотрудников Учреждения или охранником.
Сотрудники сторонних организаций (например, обслуживающий
персонал здания, специалисты, осуществляющие сопровождение
программного обеспечения и ремонт оборудования и т.п.) должны вызываться
в установленном порядке. При приходе таких сотрудников без
предварительной заявки их допуск в помещения Учреждения должен
осуществляться только по согласованию с ответственным лицом структурного
подразделения Учреждения, в ведении которого предполагаются проводимые
работы.
Сотрудники сторонних организаций должны находиться на территории
Учреждения в сопровождении уполномоченных сотрудников Учреждения.

Эксплуатация электронных устройств


Размещение экранов АРМ, обрабатывающих информацию
ограниченного доступа, должно исключать возможность их просмотра лицами,
не допущенными к данной информации.
При использовании систем видеонаблюдения, такие системы должны
быть установлены в местах, исключающих просмотр содержимого экранов
АРМ, обрабатывающих информацию ограниченного доступа, а также
исключающих просмотр вводимых паролей, кодов и т.п.
Системные блоки АРМ, периферийное оборудование должно быть
опечатано или оборудовано иным способом ограничения их
несанкционированного вскрытия.

Ограничения при эксплуатации


Сотрудникам Учреждения запрещено подключать или устанавливать
собственные компьютеры, периферийные устройства, за исключением
съемных носителей информации, комплектующие к АРМ и КС без

16
согласования с администратором безопасности Учреждения или лицом его
заменяющим.

Профилактическое обслуживание и иные правила эксплуатации


Все электронные устройства должны проходить профилактическое
обслуживание. Такое обслуживание должно проводиться регулярно, но не реже
сроков, указанных в технической документации на устройства или
нормативных актах Учреждения. Профилактическое обслуживание должно
производиться силами квалифицированных сотрудников Учреждения, если
иное не определено производителем оборудования.
Все АРМ, предназначенные для выполнения сотрудниками своих
должностных обязанностей, рекомендуется оборудовать источниками
бесперебойного питания.
Сетевые, питающие и иные кабеля должны быть проложены с
соблюдением стандартов и должно быть исключено повреждение таких
кабелей при повседневной работе, а также минимизировать вероятность
получения травмы сотрудниками Учреждения, вызванных нарушениями
укладки таких кабелей.

Прекращение эксплуатации
Перед передачей (в том числе для ремонта) сторонним организациям,
списанием или прекращением использования оборудования, участвовавшего в
обработке информации ограниченного доступа, должна быть проведена
проверка, с целью исключения попадания информации ограниченного доступа
третьим лицам.

3.2 Политика обеспечения управления доступом


Сотрудникам Учреждения запрещено осуществление противоправных
действий:
– по получению несанкционированного доступа к любой АС;
– по нанесению ущерба и нарушению работы АС;
– по перехвату паролей или иному способу получения паролей, ключевой
17
информации или иных механизмов доступа, которые могут быть использованы
для НСД.
ПО, предполагающее использование механизмов разделения доступа или
подразумевающее индивидуальную ответственность сотрудника за
осуществляемые действия, должно использовать механизм контроля доступа, с
идентификацией и авторизацией пользователя с помощью, как минимум
пароля, отвечающего требованиям политики парольной защиты.
Доступ к информации ограниченного доступа должен соответствовать
требованиям НПА РФ и организационно-распорядительных документов
Учреждения.
Меры безопасности, используемые на АРМ и в КС, должны быть просты
для использования, управления и аудита.
Настройка доступа ко всем информационным ресурсам Учреждения
должна быть по умолчанию направлена на предотвращение к ним любого
НСД.
Если система контроля доступа АРМ, КС или АС вышла из строя, то
доступ пользователей должен быть запрещен до решения проблемы.
До предоставления прав доступа к информационным ресурсам
Учреждения, пользователь должен быть ознакомлен под роспись с
организационно-распорядительными документами Учреждения,
регламентирующими работу с конкретными информационными ресурсами. В
случаях, когда это определено необходимостью или требованиями НПА РФ
или организационно-распорядительными документами Учреждения должен
быть проведен дополнительный инструктаж или обучение. Факт проведения
инструктажа или обучения должен быть закреплен в соответствии с
требованиями документов, обуславливающих их проведение.
В случаях, когда это определено НПА РФ и организационно-
распорядительными документами Учреждения, сотрудник помимо
ознакомления, должен письменно подтвердить свое обязательство выполнять
требования документов.

18
Общие правила доступа к КС Учреждения
Доступ к информационным ресурсам Учреждения должен
осуществляться согласно разработанной и утвержденной приказом «Матрицы
доступа», составленной на основании должностных обязанностей сотрудников
Учреждения и отчета о проведенной внутренней проверки.
В «Матрице доступа» должны быть отражены все пользователи
Учреждения, имеющие доступ к информационным ресурсам Учреждения.
Любое изменение в правах доступа к информационным ресурсам
Учреждения должно быть обосновано выполнением должностных
обязанностей, утверждено и направлено администраторам информационной
безопасности, корпоративной сети и АС.
В Учреждении должна вестись и своевременно обновляться «Матрица
доступа».
При увольнении сотрудников Учреждения или изменении их
должностных обязанностей, лица, уполномоченные на предоставление прав
доступа, должны быть письменно проинформированы в трехдневный срок,
после чего внести соответствующие изменения в систему контроля доступа и
«Матрицу доступа».
Идентификатор учетной записи
Идентификатор учетной записи пользователя должен быть составлен
таким образом, чтобы не позволить не уполномоченным лицам установить
личность пользователя.
Для установления персональной ответственности идентификатор
учетной записи пользователя в любой АС должен однозначно соответствовать
отдельному сотруднику.
Для доступа к АРМ и КС у каждого пользователя должны быть
уникальный набор из идентификатора учетной записи и пароля. Запрещено
создание идентификатора учетной записи, используемого группой лиц.
Использование идентификатора учетной записи пользователя после
увольнения или прекращения использования информационных ресурсов
Учреждения запрещено.
19
При предоставлении идентификатора учетной записи сторонним
организациям необходимо заключение соглашений, подтверждающих
обязательства сторонних организаций соблюдать требования НПА РФ и
организационно-распорядительных документов Учреждения, подписанные
уполномоченными лицами.
При прекращении необходимости использования сторонними
организациями идентификатора учетной записи, лица, уполномоченные на
предоставление прав доступа, должны быть письменно проинформированы в
однодневный срок, после чего должны быть внесены соответствующие
изменения в систему контроля доступа и «Матрицу доступа».
Для всех лиц, не являющихся сотрудниками Учреждения, но для
выполнения обязательств которых, необходимо предоставление доступа к АРМ
и КС Учреждения, должен быть сформирован идентификатор учетной записи,
действующий только на период выполнения лицом своих обязательств. В
случае, если срок выполнения обязательств не определен, то срок действия
идентификатора учетной записи должен составлять 15 дней.
Пользователям запрещено использование идентификаторов учетных
записей и паролей, используемых для получения доступа к информационным
ресурсам Учреждения, для идентификации и аутентификации на публичных
ресурсах сетей общего пользования.

Учетные записи специальных типов


Все АС и технические средства, используемые в них, должны
поддерживать специальный тип учетной записи, позволяющий производить
любые поддерживаемые настройки и изменения, включая изменения в системе
обеспечения безопасности.
Количество таких типов учетных записей должно быть максимально
ограничено и предоставлено только тем пользователям, которым это
необходимо для осуществления должностных обязанностей с учетом
соблюдения требований НПА РФ и организационно-распорядительных
документов Учреждения.

20
Таким лицам должны быть предоставлены как минимум два типа
учетных записей, одна – специальный тип учетной записи, другая –
ограниченный тип учетной записи для повседневной работы, не требующей
изменения настроек АС.
Удаленное администрирование любых технических устройств в КС
Учреждения, при котором осуществляется передача информации через сети
общего пользования, запрещено.

Требования по настройке системы управления доступом


АРМ должны переводиться в режим запроса пароля после
определенного периода бездействия или при отсутствии возможности контроля
пользователем доступа к АРМ.
При наличии технической возможности, средства контроля доступа
должны быть настроены на временную блокировку доступа к ним, после
трехкратной попытки получения доступа, и уведомления уполномоченных лиц
о таковых фактах.
При наличии технической возможности удаленные подключения к АС
должны автоматически отключаться после 30 минут неактивности
подключения.
Сотрудникам запрещено собирать и копировать информацию с
информационных ресурсов, если это не обусловлено выполнением
должностных обязанностей. При наличии технической возможности
используемые системы контроля доступа должны предупреждать возможность
таких действий и информировать о таких попытках.

Требования безопасности по использованию системы управления доступа


Программисты и другой технический персонал не должны устанавливать
и использовать ПО, направленное на обход установленных механизмов доступа
или получение сведений для НСД. Если использование такого ПО необходимо
для выполнения должностных обязанностей, то его использование должно
осуществляться только уполномоченными лицами.

21
3.3 Политика обеспечения сетевой безопасности

Конфигурация и настройка всех устройств подключенных к КС должны


соответствовать требованиям НПА РФ и организационно-распорядительным
документам Учреждения.
Размещение в КС информации ограниченного доступа должно
соответствовать требованиям НПА РФ и организационно-распорядительным
документам Учреждения.
Используемые внешние интерфейсы и протоколы КС должны быть
максимально ограничены необходимыми для обеспечения выполнения
Учреждением своих задач и функций.
Технические средства, обеспечивающие работу КС, должны размещаться
с соблюдением требований по контролю физического доступа к ним и
организации их сохранности. Доступ к серверам лиц, не уполномоченных для
работы с данным оборудованием, должен быть исключен или осуществляться в
сопровождении уполномоченных сотрудников Учреждения.
Использование для подключения и управления техническими средствами
протокола Telnet запрещено. Для управления техническими устройствами в
сети по возможности должен быть использован протокол SSH.

Построение КС Учреждения
Построение и управление КС должно исключать наличие «узких мест»,
нарушение работы которых приведет к нарушению работы всей КС.
Все КС Учреждения должны быть настроены для недопущения
несанкционированного подключения к ним и обнаружения попыток таких
подключений.
Подключение к КС разрешено только после выполнения требований
политик безопасности и критериев, определенных Учреждением.
Доступ к информации о системе внутренней адресации в КС,
конфигурации и иной подобной информации должен быть обусловлен только
выполнением должностных обязанностей. В отдельных случаях, подобная
информация может предоставляться третьим лицам, для проведения работ в
22
рамках договорных обязательств. При этом между сторонами должно быть
заключено соглашение о конфиденциальности.
Использование любого типа подключений (DSL-модем, dial-up модем,
модемы, использующие сети операторов мобильной связи и т.п.) технических
средств, размещенных в КС, к внешним информационным ресурсам,
запрещено без согласования с уполномоченными лицами. Такие подключения
должны соответствовать требованиям НПА РФ и организационно-
распорядительным документам Учреждения.

Обеспечение безопасности маршрутизаторов


Настройка маршрутизаторов должна осуществляться в соответствии с
рекомендациями производителя, обеспечивающими максимальный уровень
безопасности.
Доступ к настройкам маршрутизатора должен быть ограничен паролем,
отвечающим требованиям политики парольной защиты Учреждения.
Добавление прав и правил маршрутизации должны осуществляться на
основании политик безопасности Учреждения и позволять решать задачи и
функции, возложенные на Учреждение. Правила маршрутизации должны быть
утверждены руководителем Учреждения и находиться у лица,
уполномоченного на администрирование маршрутизаторов.

Ограничения по использованию КС Учреждения


Пользователям запрещен просмотр информационных ресурсов
Учреждения, содержащихся на АРМ других пользователей или в КС, если это
не обусловлено выполнением должностных обязанностей.
Пользователям запрещено выполнение команд уровня операционной
системы или предпринимать попытки их выполнения. Действия пользователя
должны быть ограничены взаимодействием с элементами экранных форм ПО,
необходимым для выполнения должностных обязанностей.
При увольнении или изменении должностных обязанностей
пользователя, файлы, содержащиеся на его АРМ, должны быть проверены его
непосредственным руководителем и, в случае необходимости, переданы
23
другим исполнителям.

3.4 Политика использования программного обеспечения


ПО, используемое для осуществления деятельности структурных
подразделений Учреждения, должно соответствовать условиям его
лицензирования (независимо от того, является ли оно коммерческим или
свободно распространяемым) и использоваться строго в соответствии с
лицензионным соглашением. Любое структурное подразделение Учреждения
должно исключить случаи хранения и использования ПО, не являющегося
лицензионным.
В случае если в НПА РФ предъявляются особые требования к ПО
(например, требование по сертификации такого ПО уполномоченными
организациям и т.п.), структурное подразделение Учреждения обязано
обеспечить выполнение подобных требований.
На каждое АРМ должен быть установлен комплект ПО, необходимый и
достаточный для выполнения на нем поставленных задач.
Учреждение предоставляет сотрудникам достаточное количество
лицензий на использование ПО, необходимого для выполнения должностных
обязанностей.
На технические средства, подключаемые к КС и подразумевающие
возможность установки прикладного ПО, должно быть установлено базовое
ПО, предусмотренное «Реестром программного обеспечения» и
предназначенное к установке на технических средствах, подключаемых к КС.
Обновление версий ПО, использующего ресурсы КС, должно
осуществляться только администраторами АС или уполномоченным лицом.
Допустимо использование функции автоматического обновления ПО,
использующего ресурсы КС.

24
3.5 Политика парольной защиты
Доступ к ПО, используемому пользователями и администраторами в
рамках должностных обязанностей и подразумевающему наличие
идентификации и аутентификации пользователя и разграничение полномочий,
без использования пароля запрещено.
Пароли доступа к различному прикладному ПО, используемому
пользователями и администраторами в рамках должностных обязанностей
должны отличаться от паролей доступа к АРМ или элементам сетевой
инфраструктуры и не должны совпадать для различного ПО.
Администраторам запрещено отклоняться от настоящей политики во имя
удобства пользования.

Порядок создания пароля


Создание пароля должно предусматривать создание первичного пароля
администратором, с последующей его сменой пользователем при первом
запуске ПО. В случае если данная возможность не поддерживается ПО,
пользователь обязан самостоятельно создать пароль пользователя при первом
запуске ПО.
Пароли не должны передаваться в электронных сообщениях или любых
иных формах электронного обмена.

Регулярность смены пароля


Системные пароли (например, пароль учетной записи Root,
администратор, а также пароли обеспечивающие возможность полного
управления) должны меняться регулярно, но не реже одного раза в три месяца.
Пароли пользователей (например, пароли учетной записи, удаленного
доступа к базам данным) должны меняться регулярно, но не реже одного раза в
3 месяца, если иное не определено НПА РФ и организационно-
распорядительными документами Учреждения.
В случае компрометации пароля необходимо его немедленное изменение,
а также оповещение о данном факте администратора информационной
безопасности.
25
Внеплановая смена паролей пользователя производится в случае
прекращения или изменения его полномочий (переход на другую работу внутри
Учреждения и т.п.) немедленно после окончания последнего сеанса работы
данного пользователя с АС.
Полная внеплановая смена всех системных паролей и паролей
пользователей должна производиться в случае прекращения полномочий
(увольнение, переход на другую работу внутри предприятия и т.п.) любого из
лиц, выполнявших должностные обязанности администратора и имевших
доступ к паролям.

Восстановление пароля
Восстановление забытых паролей пользователей осуществляется
администратором, путем сброса забытого пароля и установления первичного
пароля, в случае если установка первичного пароля не поддерживается ПО,
администратор осуществляет сброс забытого пароля, а пользователь обязан
самостоятельно создать пароль пользователя при первом запуске ПО.
Основанием для смены пароля может являться только заявка в письменной
форме.

Хранение пароля и передача его третьим лицам


Пользователи не должны сообщать свои пароли третьим лицам, включая
руководителей и лиц, осуществляющих сопровождение ПО. Администраторы АС
не должны просить пользователей сообщить им их пароли.
Хранение пользователями любых паролей в электронном или
физическом виде на любом, в том числе личном, носителе информации (в виде
отдельных файлов, записей в ежедневниках, а также с применением функций
ПО и т.п.), разрешено при условии исключения возможности получения
доступа к паролям третьих лиц.
Хранение паролей администраторами (в том числе администратором
информационной безопасности), допускается только при применении средств
криптографической защиты, при этом хранение не зашифрованных системных
паролей в электронном виде – запрещено. Использование администраторами
26
АС функций ПО, позволяющих исключить ввод пароля при повторных
запусках, возможно в исключительных случаях (например, в системе
резервного копирования, системе антивирусной защиты).
Допускается хранение пароля на индивидуальном носителе (смарт-карта,
электронный идентификатор touch memory и т.д.). В таком случае пользователь
несет персональную ответственность за сохранность данного индивидуального
носителя, а также обязуется вернуть его по запросу структурного подразделения
Учреждения, выдавшего его, или при прекращении полномочий.

3.6 Политика антивирусной защиты


Антивирусное ПО должно быть установлено и функционировать в
штатном режиме на всех компьютерах, выполняющих функции серверов КС,
на всех АРМ отдельно стоящих и подключенных к КС и на всех портативных
компьютерах.
Не допускается изменение настроек системы антивирусной защиты, в
части оповещения о нахождении компьютерных вирусов или вредоносных
программ, в результате действия которых уменьшается эффективность работы
АС.
Обновления баз системы антивирусной защиты должно производиться
регулярно. Построение системы антивирусной защиты должно
предусматривать возможность обновления ее антивирусных баз и компонентов
производителем по мере их создания. В случае невозможности такого
построения системы (например, отдельно стоящие АРМ не подключенные к
каким-либо сетям), обновление системы антивирусной защиты должно
производиться с регулярностью, обеспечивающей ее эффективное
функционирование.
Запрещается отключение системы антивирусной защиты, за
исключением случаев проведения тестирования программного обеспечения и
иных тестов, проводимых уполномоченными сотрудниками Учреждения.

27
Предотвращение выполнения вредоносного кода
Структурные подразделения Учреждения обязаны проводить
сканирование своих информационных ресурсов, а также всех подключенных
АРМ на наличие компьютерных вирусов и вредоносных программ.
Файлы, полученные любым образом, с любых носителей информации
или сетей общего пользования должны быть проверены на наличие
вредоносного кода.
Подключения к АРМ незарегистрированных электронных носителей
информации (дискеты, компакт-диски, съемные жесткие диски, сотовые
телефоны, карманные персональные компьютеры, фотоаппараты и иные
носители информации) разрешено с обязательной проверкой «по требованию»
таких носителей информации на наличие компьютерных вирусов и вредоносных
программ.
На АРМ, с установленной операционной системой Windows любых
версий, должна быть отключена функция автоматического исполнения
операционной системой файла autorun.inf на электронных носителях
информации.
В случае получения файлов, проверка которых в исходном состоянии
невозможна (например, файлы содержат архивы, не поддерживаемые системой
антивирусной защиты, файлы прошли криптографическое преобразование и
т.п.), необходимо на АРМ, не подключенном к КС, привести данные файлы к
состоянию пригодному для проверки на наличие вредоносного кода,
осуществить такую проверку, после чего принимать решение о возможности
использования данных файлов.
Пользователи, которые в соответствии с должностными обязанностями
используют служебные мобильные устройства к компьютерам, должны в
обязательном порядке соблюдать требования настоящей Политики в их
отношении.
Все файлы, передаваемые третьим лицам, должны быть проверены на
наличие вредоносного кода системой антивирусной защиты до их передачи.

28
Любые намеренные попытки написания, компиляции, хранения, запуска,
пропагандирования или распространения пользователями компьютерных вирусов
или вредоносных программ, а также иного кода, предназначенного для
саморазмножения, нанесения ущерба или снижения производительности АС
Учреждения, запрещены.

Обнаружение вредоносного кода


В случае обнаружения системой антивирусной защиты компьютерного
вируса или вредоносной программы пользователь обязан выключить
компьютер и сообщить об этом администратору информационной
безопасности.
О любом инциденте, связанном с выявлением компьютерного вируса или
вредоносных программ, на АРМ или портативном компьютере, подключаемом
к КС, должно быть сообщено администратору информационной безопасности.
Самостоятельные попытки пользователя по удалению компьютерного
вируса или вредоносной программы запрещены.
В случае обнаружения в КС компьютерных вирусов или вредоносных
программ в сообщениях электронной почты, систем обмена сообщениями и т.п.,
данные сообщения будут удалены.
Файлы, содержащие вредоносный код, должны быть удалены системой
антивирусной защиты.

3.7 Политика использования сети Интернет


Вся информация, полученная из сети Интернет, должна считаться
недостоверной, не будучи подтвержденной из других источников. Перед
использованием свободно распространяемой информации из сети Интернет для
принятия решений в рамках деятельности Учреждения, такая информация
должна быть перепроверена в других источниках.
Учреждение не несет ответственности за информацию, содержащуюся в
сети Интернет. В случае открытия пользователем ресурсов, содержание
которых может считаться незаконным или оскорбительным, например,

29
материалы сексуального характера, расистские, дискредитирующие,
оскорбительные, непристойные, уничижительные, дискриминационные,
угрожающие, пользователь обязан прекратить работу с данным ресурсом.

Обеспечение безопасности использования сети Интернет


Для получения возможности доступа пользователя в сеть Интернет
необходимо использование технологий идентификации и аутентификации, а
также должны быть обеспечены механизмы защиты информационных
ресурсов Учреждения от воздействия из сети Интернет.
Пользователям Учреждения запрещено использование любых способов
доступа в сети Интернет (например, dial-up доступ, использование для
соединения с сети Интернет операторов сотовой связи и т.п.) отличных от
установленных. В случаях, если необходимо осуществлять доступ к сети
Интернет, отличный от установленных (для работы с банковскими системами и
т.п.), то такой доступ должен быть согласован с уполномоченным лицом отдела
информационных технологий, а в случае если такой доступ необходимо
осуществлять с АРМ, подключенного к КС Учреждения – с администратором
КС.
Передача информации ограниченного доступа по сетям общего
пользования, допускается при условии соблюдения всех требований к такой
передаче.
Пользователю запрещено любое тестирование и попытки обхода
установленных механизмов защиты информации в Учреждении.

Ограничение предоставления доступа к сети Интернет


Запрещено предоставлять доступ к сети Интернет стороннему
обслуживающему персоналу, консультантам и иным лицам, состоящим в
договорных отношениях с Учреждением, за исключением случаев, когда такой
доступ необходим для решения данными лицами задач в интересах
структурных подразделений Учреждения. Доступ может быть предоставлен
только по согласованию с уполномоченным лицом отдела информационных
технологий, а в случае использования КС Учреждения – с администратором
30
КС.
Получение доступа пользователя к ресурсу в сети Интернет не означает,
что пользователь имеет неограниченные возможности при работе с данным
ресурсом. Учреждением могут приниматься меры по предотвращению отдельных
действий пользователя при работе с ресурсами сети Интернет (ограничение на
загрузку отдельных файлов, отображение объявлений рекламного,
порнографического и иного характера и т.п.)

Ограничения использования сети Интернет


Использование сети Интернет для личных нужд сотрудников запрещено.
Доступ к сети Интернет предоставляется сотрудникам для выполнения
должностных обязанностей. Использование сети Интернет для участия в
игровых, развлекательных и иных ресурсах (включая конкурсы, выставки,
социальные сети и иные Интернет-сообщества) запрещено.
Сотрудник обязан понимать, что при работе в сети Интернет
передаваемые данные, не прошедшие криптографическое преобразование,
доступны для просмотра третьими лицами. Передача информации
ограниченного доступа без соблюдения требований, предъявляемых к ее
передаче по сети Интернет, запрещена.
Сотрудникам запрещена загрузка любого ПО из сети Интернет. В
исключительных случаях, когда загрузка ПО продиктована соблюдением
интересов Учреждения, загрузка осуществляется уполномоченными лицами
структурных подразделений Учреждения.
Сотрудникам Учреждения запрещено участвовать в обмене пиратским
программным обеспечением, серийными номерами программного
обеспечения, номерами украденных кредитных карт и ином обмене,
нарушающем и ущемляющем права правообладателей обмениваемой
информации.

31
3.8 Политика использования электронной почты

Электронная почта должна быть использованы сотрудниками


Учреждения только для выполнения должностных обязанностей, выполнения
договорных обязательств Учреждения и выполнения требований НПА РФ.
Запрещено использовать электронную почту для отправления писем
следующего содержания:
- писем, содержание которых может считаться незаконным или
оскорбительным, например, материалы сексуального характера, расистские,
дискредитирующие, непристойные, уничижительные, угрожающие, или иные
подобные сообщения;
- любых подрывных, неэтичных, незаконных или недопустимых
материалов, включая оскорбительные комментарии по поводу расы, пола,
цвета, инвалидности, возраста, сексуальной ориентации, порнографии,
терроризма, религиозных убеждений и верований, политических убеждений
или о национальном происхождении, гиперссылок или других ссылок на
неприличные или очевидно оскорбительные веб-сайты и подобные материалы;
- писем, написанных таким образом, который может быть
интерпретирован как официальная позиция или высказывание Учреждения,
если это не разрешено директором в соответствии с нормативно-
методическими документами Учреждения.
Запрещено использовать электронную почту в следующих целях:
- отправки сообщения с чужого почтового ящика или от чужого
имени;
- отправки сообщений в личных или благотворительных целях, не
связанных с деятельностью Учреждения;
- отправки и пересылки писем, пересылаемых по цепочке («письма
счастья»);

32
- массовой рассылки писем, кроме случаев, когда необходимо
оповещение большого числа сотрудников Учреждения или в случаях, когда
это обусловлено выполнением задач Учреждения;
- в любых других незаконных, неэтичных и неразрешенных целях.
Сотрудники Учреждения, получившие электронную почту от другого
сотрудника Учреждения, с сообщениями, содержащими запрещенное
содержание обязаны уведомить о таком факте директора и администратора
информационной безопасности.

Безопасность при использовании системы электронной почты


Использование электронной почты должно осуществляться с
применением технологий идентификации и аутентификации пользователя.
Отправка электронной почты, содержащей информацию ограниченного
доступа, должна осуществляться в соответствии с требованиями,
предъявляемыми к такой информации.
Сотрудникам запрещено открывать вложения в электронные сообщения,
в случае если отправитель данного сообщения не известен. Открывать
вложения от неизвестных отправителей допускается только администраторам
информационной безопасности и КС.
Сотрудникам запрещено отвечать на запросы любой персональной
идентификационной информации, включая пароли, коды доступа, номера
кредитных карт и т.п. В случае получения сообщений с такими запросами
сотрудник обязан сообщить о них администратору информационной
безопасности.

3.9 Политика использования электронных носителей

Сотрудники, которым необходимо использование электронных


носителей информации для выполнения должностных обязанностей, должны
быть обеспечены Учреждением такими носителями. Использование личных
электронных носителей информации сотрудников для выполнения
должностных обязанностей разрешено, при условии выполнения требований

33
политик безопасности. Необходимость использования сотрудником личных
электронных носителей информации должна быть сведена к минимуму.
Служебные электронные носители информации должны подлежать учету
и выдаваться сотрудникам под роспись. Сотрудник несет персональную
ответственность за их сохранность. Сотрудникам запрещено создавать
предпосылки для осуществления утраты, кражи и иных противоправных
действий со служебными электронными носителями информации.
Использование электронных носителей информации для хранения
информации ограниченного доступа должно соответствовать требованиям
НПА РФ и внутренних документов Учреждения.
Использование служебных электронных носителей информации в
личных целях запрещено.
Подключение служебных электронных носителей информации к
техническим средствам, заведомо содержащим вирусы или вредоносные
программы, запрещено. В этом случае электронные носители передаются
администратору информационной безопасности.
Эксплуатация электронных носителей информации должна
осуществляться в соответствии с требованиями по их эксплуатации, и
направлена на предупреждение их неисправности.

3.10 Политика использования средств криптографической


защиты
Деятельность со средствами криптографической защиты должна
исключать нарушение законодательства Российской Федерации в области
лицензирования. В случае, если предполагаемая деятельность со средствами
криптографической защиты подразумевает необходимость получения
лицензии, то Учреждение обязано получить такую лицензию или привлекать
для подобной деятельности сторонние организации, имеющие
соответствующие лицензии.
При использовании средств криптографической защиты для защиты
информации ограниченного доступа данные криптографические средства
34
должны соответствовать требованиям НПА РФ.
Установка, настройка и техническое сопровождение средств
криптографической защиты должно осуществляться квалифицированными
специалистами и не нарушать требования НПА РФ.
Использование, в том числе хранение, средств криптографической
защиты должно отвечать требованиям законодательства Российской
Федерации.
Перед использованием средств криптографической защиты сотрудники
обязаны пройти обучение по порядку их использования.
Пользователям запрещено использование средств криптографической
защиты других пользователей, в том числе с целью выдать себя за другого
пользователя.

Компрометация ключей
Все действия по обеспечению сохранности ключей должны быть
направлены на исключение компрометации ключей.
В случае компрометации ключей или подозрения на компрометацию
пользователь обязан прекратить любое использование средств
криптографической защиты и незамедлительно сообщить о данном факте
уполномоченному лицу Учреждения.

3.11 Политика резервного копирования

Резервное копирование информации, размещенной на АРМ сотрудников


и компьютерах, выполняющих функции сервера КС, осуществляется
уполномоченным лицом Учреждения.

Порядок резервного копирования рабочей информации


Политика резервного копирования распространяется только на рабочую
информацию, хранящуюся на информационных ресурсах Учреждения.
Резервное копирование должно сочетать как минимум две технологии
резервного копирования, одной из которых должна быть технология RAID,

35
используемая для создания дисковых массивов на аппаратных ресурсах
Учреждения.
Регулярность создания резервных копий рабочей информации должна
быть достаточной для продолжения нормальной работы Учреждения, в случае
нарушения целостности или доступности рабочей информации на
информационных ресурсах Учреждения, но не реже одного раза в день для
ежедневно изменяющихся данных и одного раза в неделю для периодически
изменяющихся данных. Копирование резервных копий на электронные
носители (внешние дисковые хранилища и т.п.) должно осуществляться
регулярно, но реже одного раза в месяц.
Все резервные копии, должны быть размещены в отдельных каталогах,
название которых отражает дату последнего изменения рабочей информации и
ее краткое описание (например, 01-04-2012_Buhgalteria).
Все рабочая информация, хранящаяся на аппаратных ресурсах
Учреждения и регулярно копируемая на электронные носители, должна быть
доступна для дальнейшего восстановления.
Как минимум одна резервная копия рабочей информации должна
храниться на электронном носителе.
Процессы резервного копирования и восстановления для каждого
отдельного типа информации должны быть документированы и периодически
пересматриваться.

Порядок хранения резервных копий


Для хранения резервных копий на электронных носителях должны
выбираться такие электронные носители, характеристики которых не
изменяются в течение предполагаемого времени хранения резервных копий.
Хранение резервных копий рабочей информации на электронных
носителях должно осуществятся с организацией контролируемого доступа к
данным носителям, их защитой от воздействия окружающей среды и в разных
помещениях с компьютерами, выполняющими функции сервера в КС
Учреждения.

36
Порядок хранения резервных копий информации ограниченного доступа,
определяется отдельными требованиями по защите информации
ограниченного доступа.
Срок хранения резервных копий на внешних носителях определяется
регламентом резервного копирования, если иное не определено НПА РФ, или
организационно-распорядительными документами Учреждения.
Резервные копии, хранящиеся более полугода, должны ежеквартально
тестироваться, для подтверждения возможности их восстановления и
использования.

3.12 Политика «чистого стола» и «чистого экрана»


С целью минимизации риска неавторизованного доступа или
повреждения документов на бумажных носителях, носителей данных и средств
обработки информации, рекомендуется внедрить в Учреждении политику
«чистого стола» и «чистого экрана».
Учреждению следует применять политику «чистого стола» в отношении
документов на бумажных носителях и сменных носителей данных, а также
политику «чистого экрана» в отношении средств обработки информации с тем,
чтобы уменьшить риски неавторизованного доступа, потери и повреждения
информации как во время рабочего дня, так и при внеурочной работе. При
применении этих политик следует учитывать соответствующие риски, а также
корпоративную культуру организации.
Носители информации, оставленные на столах, также могут быть
повреждены или разрушены при бедствии, например, при пожаре, наводнении
или взрыве.
Следует применять следующие мероприятия по управлению
информационной безопасностью:
– чтобы исключить компрометацию информации, целесообразно
бумажные и электронные носители информации, когда они не используются,
хранить в надлежащих запирающихся шкафах и/или в других защищенных

37
предметах мебели, а так же в архивах Учреждения, особенно в нерабочее
время;
– носители с важной или критичной служебной информацией, когда они
не требуются, следует убирать и запирать (например, в несгораемом сейфе или
металлическом шкафу), особенно когда помещение пустует;
– персональные компьютеры и принтеры должны быть выключены по
окончании работы;
– следует применять кодовые замки, пароли или другие мероприятия в
отношении устройств, находящихся без присмотра;
– в нерабочее время фотокопировальные устройства следует запирать на
ключ (или защищать от неавторизованного использования другим способом);
– напечатанные документы с важной или конфиденциальной
информацией необходимо изымать из принтеров немедленно.

3.13 Политика повышения осведомленности в области


информационной безопасности и кадровая политика
Проведение мероприятий направленных на постоянное повышение
осведомленности сотрудников Учреждения в области информационной
безопасности, должна являться одной из задач, решаемых Учреждением.
Необходимо проведение периодического практического тестирования
готовности сотрудников к выполнению своих должностных обязанностей по
защите информации.
Конкретные требования по обеспечению информационной безопасности
должны быть внесены в должностные регламенты всех сотрудников
Учреждения, в зависимости от их должностных обязанностей.
Подбор, и порядок вступления в договорные и трудовые отношения и их
расторжения, а также ежедневное выполнение сотрудником его должностных
обязанностей, должны соответствовать требованиям НПА РФ и
организационно-распорядительной документации Учреждения.
Порядок допуска сотрудника к работе с информацией ограниченного
доступа, порядок работы с такой информацией и порядок прекращения
38
допуска к такой информации, должен соответствовать НПА РФ и
организационно-распорядительной документации Учреждения.

Требования до приема на работу


Претендентам на работу не должна раскрываться информация об
имеющейся системе защиты информации.
До начала выполнения своих должностных обязанностей до претендента
должна быть доведена вся необходимая информация и проведены все
инструктажи в соответствии с требованиями НПА РФ и организационно-
распорядительной документации Учреждения.

Требования при выполнении должностных обязанностей


Ответственное выполнение требований по информационной
безопасности является обязанностью всех сотрудников Учреждения.
Требования по информационной безопасности касаются всех сотрудников
Учреждения.
Для выполнения требований по информационной безопасности
сотрудники должны знать требования НПА РФ и организационно-
распорядительной документации Учреждения, регламентирующие данные
требования и письменно подтверждать свое согласие на их выполнение.
В зависимости от должностных обязанностей, знание требований по
информационной безопасности могут быть включены в программу проведения
аттестации персонала.
Не выполнение требований НПА РФ и организационно-
распорядительной документации Учреждения по защите информации является
поводом для проведения служебных расследований и возможному
привлечению к дисциплинарной, административной и уголовной
ответственности в соответствии с действующим законодательством
Российской Федерации и административно-правовыми нормами,
установленными в Учреждения.
Для выполнения требований по информационной безопасности
пользователям запрещено прибегать к помощи третьих лиц, без согласования с
39
руководителем Учреждения или своего филиала.

Требования при прекращении выполнения должностных обязанностей


При увольнении или прекращении договорных обязательств сотрудники
должны быть уведомлены и согласны с требованиями по неразглашению
информации ограниченного доступа и сведений о системе защиты информации
в Учреждении, в соответствии с НПА РФ и организационно-распорядительной
документацией Учреждения.
При увольнении сотрудник обязан передать уполномоченному лицу все
материальные ценности Учреждения, предоставленные ему для выполнения
должностных обязанностей.

4. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПОЛИТИКИ


ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Ответственность за нарушение требований настоящей политики


накладывается на сотрудников структурных подразделений Учреждения,
совершивших нарушения, в зависимости от категории нарушения, возникшего
в результате не обеспечения или нарушения требований настоящей политики, и
величины причиненного ущерба (нежелательных последствий).
Указанные категории лиц могут привлекаться к дисциплинарной,
административной и уголовной ответственности в соответствии с
действующим законодательством Российской Федерации и административно-
правовыми нормами, установленными в Учреждении.

5. ПЕРЕСМОТР ПОЛИТИКИ
Мониторинг выполнения политики выполняется постоянно, что должно
пресекать попытки нарушения политики. Существующие политики должны
пересматриваться по мере необходимости.
Пересмотр политики информационной безопасности может быть вызван
следующими причинами:
1. Истечение времени действия политики.

40
2. Изменения существующего технологического процесса.
3. Появление нового технологического процесса.
4. Изменение структуры или состава КС Учреждения.
5. Изменение информационных потоков.
6. Обнаружение новых уязвимостей.
7. Нарушение политик информационной безопасности.
Вследствие этого могут изменяться или создаваться новые политики,
стандарты и руководства.

6. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ


Система защиты ПДн, строится на основании:
- Отчета о результатах проведения внутренней проверки;
- Перечня персональных данных, подлежащих защите;
- Акта классификации информационной системы персональных
данных;
- Модели угроз безопасности персональных данных;
- Положения о разграничении прав доступа к обрабатываемым
персональным данным;
- Руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень


защищенности ПДн каждой ИСПДн Учреждения. На основании анализа
актуальных угроз безопасности ПДн, описанного в Модели угроз и Отчете о
результатах проведения внутренней проверки, делается заключение о
необходимости использования технических средств и организационных
мероприятий для обеспечения безопасности ПДн. Выбранные необходимые
мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн.
Для каждой ИСПДн должен быть составлен список используемых
технических средств защиты, а так же ПО, участвующего в обработке ПДн, на
всех элементах ИСПДн:
- АРМ пользователей;

41
- Сервера приложений;
- СУБД;
- Граница КС;
- Каналов передачи в сети общего пользования и (или) международного
обмена, если по ним передаются ПДн.
В зависимости от уровня защищенности ИСПДн и актуальных угроз,
средства защиты ПДн могут включать антивирусные средства для рабочих
станций пользователей и компьютеров, выполняющих функции серверов КС.
Так же в список должны быть включены функции защиты,
обеспечиваемые штатными средствами обработки ПДн: операционными
системами (ОС), прикладным ПО и специальными комплексами,
реализующими средства защиты. Список функций защиты может включать:
- управление и разграничение прав доступа пользователей;
- регистрацию и учет действий с информацией;
- обеспечивать целостность данных;
- производить обнаружения вторжений.
Список используемых технических средств отражается в Плане
мероприятий по обеспечению защиты персональных данных. Список
используемых средств должен поддерживаться в актуальном состоянии. При
изменении состава технических средств защиты или элементов ИСПДн,
соответствующие изменения должны быть внесены в Список и утверждены
директором Учреждения или лицом, ответственным за обеспечение защиты
ПДн.
7. ТРЕБОВАНИЯ К ПОДСИСТЕМАМ СЗИ
СЗИ включают в себя следующие подсистемы:
- управления доступом, регистрации и учета;
- обеспечения целостности и доступности;
- антивирусной защиты;
- анализа защищенности;
- обнаружения вторжений;
42
- криптографической защиты.
Подсистемы СЗИ имеют различный функционал в зависимости от класса
ИСПДн, определенного в Акте классификации информационной системы
персональных данных.

7.1 Подсистемы управления доступом, регистрации и учета


Подсистема управления доступом, регистрации и учета предназначена
для реализации следующих функций:
- идентификации и проверка подлинности субъектов доступа при входе
в ИСПДн;
- идентификации программ, томов, каталогов, файлов, записей, полей
записей по именам;
- регистрации входа (выхода) субъектов доступа в систему (из системы),
либо регистрация загрузки и инициализации операционной системы и ее
останова;
- регистрации попыток доступа программных средств (программ,
процессов, задач, заданий) к защищаемым файлам;
- регистрации попыток доступа программных средств к каналам связи,
программам, томам, каталогам, файлам, записям, полям записей.
Подсистема управления доступом может быть реализована с помощью
штатных средств обработки ПДн (операционных систем, приложений и
СУБД). Так же может быть внедрено специальное техническое средство или их
комплекс, осуществляющие дополнительные меры по аутентификации и
контролю. Например, применение единых хранилищ учетных записей
пользователей и регистрационной информации и другие.

7.2 Подсистема обеспечения целостности и доступности


Подсистема обеспечения целостности и доступности предназначена для
обеспечения целостности и доступности ПДн, программных и аппаратных
средств ИСПДн Учреждения, а так же СЗИ, при случайной или намеренной
модификации.
43
Подсистема реализуется с помощью организации резервного
копирования обрабатываемых данных, а так же резервированием ключевых
элементов ИСПДн.

7.3 Подсистема антивирусной защиты


Подсистема антивирусной защиты предназначена для обеспечения
антивирусной защиты компьютеров, выполняющих функции сервера, и АРМ
пользователей ИСПДн Учреждения.
Средства антивирусной защиты предназначены для реализации
следующих функций:
- резидентный антивирусный мониторинг;
- антивирусное сканирование;
- централизованную / удаленную установку / деинсталляцию
антивирусного продукта, настройку, администрирование, просмотр отчетов и
статистической информации по работе продукта;
- автоматизированное обновление антивирусных баз;
- ограничение прав пользователя на остановку исполняемых задач и
изменения настроек антивирусного программного обеспечения;
- автоматический запуск сразу после загрузки операционной системы.
Подсистема реализуется путем внедрения специального антивирусного
программного обеспечения на все элементы ИСПДн.

7.4 Подсистема анализа защищенности


Подсистема анализа защищенности должна обеспечивать выявления
уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые
могут быть использованы нарушителем для реализации атаки на систему.
Функционал подсистемы может быть реализован программными и
программно-аппаратными средствами.

44
7.5 Подсистема обнаружения вторжений
Подсистема обнаружения вторжений должна обеспечивать выявление
сетевых атак на элементы ИСПДн подключенные к сетям общего пользования
и (или) международного обмена.
Функционал подсистемы может быть реализован программными и
программно-аппаратными средствами.

7.6 Подсистема криптографической защиты


Подсистема криптографической защиты предназначена для исключения
НСД к защищаемой информации в ИСПДн Учреждения, при ее передаче по
каналам связи сети Интернет и (или) международного обмена.
Подсистема реализуется внедрением криптографических программно-
аппаратных комплексов.

8. ПОЛЬЗОВАТЕЛИ ИСПДн
В Концепции информационной безопасности определены основные
категории пользователей. На основании этих категорий должна быть
произведена типизация пользователей ИСПДн, определен их уровень доступа
и возможности.
В ИСПДн Учреждения можно выделить следующие группы
пользователей, участвующих в обработке и хранении ПДн:
- Администратор ИСПДн;
- Администратор информационной безопасности;
- Оператор АРМ;
- Администратор КС;
- Технический специалист по обслуживанию периферийного
оборудования;
- Программист-разработчик ИСПДн.
Данные о группах пользователей, уровне их доступа и
информированности должны быть отражены в Положении о разграничении
прав доступа к информации ограниченного доступа.
45
8.1 Администратор ИСПДн

Администратор ИСПДн – сотрудник Учреждения, ответственный за


настройку, внедрение и сопровождение ИСПДн. Обеспечивает
функционирование подсистемы управления доступом ИСПДн и уполномочен
осуществлять предоставление и разграничение доступа конечного
пользователя (оператора АРМ) к элементам, хранящим ПДн.
Администратор ИСПДн обладает следующим уровнем доступа и знаний:
- обладает полной информацией о системном и прикладном
программном обеспечении ИСПДн;
- обладает полной информацией о технических средствах и
конфигурации ИСПДн;
- имеет доступ ко всем техническим средствам обработки информации
и данным ИСПДн;
- обладает правами конфигурирования и административной настройки
технических средств ИСПДн.

8.2 Администратор информационной безопасности


Администратор информационной безопасности – сотрудник
Учреждения, ответственный за функционирование СЗИ, включая
обслуживание и настройку административной, серверной и клиентской
компоненты.
Администратор информационной безопасности обладает следующим
уровнем доступа и знаний:
- обладает правами Администратора ИСПДн;
- обладает полной информацией об ИСПДн;
- имеет доступ к средствам защиты информации, протоколирования и к
части ключевых элементов ИСПДн;
- не имеет прав доступа к конфигурированию технических средств сети
за исключением контрольных (инспекционных).

46
Администратор информационной безопасности уполномочен:
- реализовывать политики безопасности в части настройки СЗИ и
систем обнаружения атак, в соответствии с которыми пользователь (оператор
АРМ) получает возможность работать с элементами ИСПДн;
- осуществлять аудит СЗИ.

8.3 Оператор АРМ


Оператор АРМ – сотрудник Учреждения, осуществляющий обработку
ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод
ПДн в систему ИСПДн, формирование справок и отчетов по информации,
полученной из ИСПДн. Оператор не имеет полномочий для управления
подсистемами обработки данных и СЗИ.
Оператор ИСПДн обладает следующим уровнем доступа и знаний:
- обладает всеми необходимыми атрибутами (например, паролем),
обеспечивающими доступ к некоторому подмножеству ПДн;
- располагает конфиденциальными данными, к которым имеет доступ.

8.4 Администратор корпоративной сети


Администратор корпоративной сети – сотрудник Учреждения,
ответственный за функционирование КС Учреждения. Администратор КС не
имеет полномочий для управления подсистемами обработки данных и
безопасности.
Администратор сети обладает следующим уровнем доступа и знаний:
- обладает частью информации о системном и прикладном
программном обеспечении ИСПДн;
- обладает частью информации о технических средствах и
конфигурации ИСПДн;
- имеет физический доступ к техническим средствам обработки
информации и СЗИ;
- знает, по меньшей мере, одно легальное имя доступа.

47
8.5 Технический специалист по обслуживанию периферийного
оборудования

Технический специалист по обслуживанию периферийного


оборудования – сотрудник Учреждения, осуществляет обслуживание и
настройку периферийного оборудования. Технический специалист по
обслуживанию не имеет доступа к ПДн, не имеет полномочий для управления
подсистемами обработки данных и информационной безопасности.
Технический специалист по обслуживанию обладает следующим
уровнем доступа и знаний:
- обладает частью информации о системном и прикладном ПО ИСПДн;
- обладает частью информации о технических средствах и
конфигурации ИСПДн;
- знает, по меньшей мере, одно легальное имя доступа.

8.6 Программист-разработчик ИСПДн


Программисты-разработчики – поставщики прикладного программного
обеспечения, обеспечивающие его сопровождение на защищаемом объекте. К
данной группе могут относиться как сотрудники Учреждения, так и
сотрудники сторонних организаций.
Лицо этой категории:
- обладает информацией об алгоритмах и программах обработки
информации на ИСПДн;
- обладает возможностями внесения ошибок, программных закладок,
вредоносных программ в программное обеспечение ИСПДн на стадии ее
разработки, внедрения и сопровождения;
- может располагать любыми фрагментами информации о топологии
ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых
в ИСПДн.

48
9. ТРЕБОВАНИЯ К ПЕРСОНАЛУ ПО ОБЕСПЕЧЕНИЮ
ЗАЩИТЫ ПДн

Все сотрудники Учреждения, являющиеся пользователями ИСПДн,


должны четко знать и строго выполнять установленные правила и обязанности
по доступу к защищаемым объектам и соблюдению принятого режима
безопасности ПДн.
При вступлении в должность нового сотрудника непосредственный
начальник подразделения, в которое он поступает, обязан организовать его
ознакомление с должностной инструкцией и необходимыми документами,
регламентирующими требования по защите ПДн, а также обучить навыкам
санкционированного использования ИСПДн.
Новый сотрудник должен пройти инструктаж у администратора
информационной безопасности, должен быть ознакомлен под роспись с
требованиями настоящей Политики и положения об информационной
безопасности, с принятыми в Учреждении мерами защиты информации.
Сотрудники Учреждения, использующие технические средства
аутентификации, должны обеспечивать сохранность идентификаторов и не
допускать НСД к ним, а так же возможность их утери или использования
третьими лицами. Пользователи несут персональную ответственность за
сохранность идентификаторов.
Сотрудники Учреждения должны следовать установленным процедурам
поддержания режима безопасности ПДн при выборе и использовании паролей
(если не используются технические средства аутентификации).
Сотрудники Учреждения должны обеспечивать надлежащую защиту
оборудования, оставляемого без присмотра, особенно в тех случаях, когда в
помещение имеют доступ посторонние лица.
Сотрудникам запрещается устанавливать постороннее программное
обеспечение, подключать личные мобильные устройства и носители
информации, а так же записывать на них защищаемую информацию.

49
Сотрудникам запрещается разглашать защищаемую информацию,
которая стала им известна при работе в ИСПДн, третьим лицам.
При работе с ПДн сотрудники Учреждения обязаны обеспечить
отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ,
принтеров и бумажных носителей.
При завершении работы в ИСПДн сотрудники обязаны защитить АРМ с
помощью блокировки ключом или эквивалентного средства контроля,
например, доступом по паролю, если не используются более сильные средства
защиты.
Сотрудники Учреждения должны быть проинформированы об угрозах
нарушения режима безопасности ПДн и ответственности за его нарушение.
Они должны быть ознакомлены с утвержденной формальной процедурой
наложения дисциплинарных взысканий на сотрудников, которые нарушили
принятые политику и процедуры безопасности ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых
или подозрительных случаях работы ИСПДн, могущих повлечь за собой
угрозы безопасности ПДн, а также о выявленных ими событиях,
затрагивающих безопасность ПДн, руководству подразделения и лицу,
отвечающему за немедленное реагирование на угрозы безопасности ПДн.

10. ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЕЙ


ИСПДн УЧРЕЖДЕНИЯ

Должностные обязанности пользователей ИСПДн описаны в следующих


документах:
- Инструкция администратора ИСПДн;
- Инструкция администратора информационной безопасности;
- Инструкция пользователя ИСПДн;
- Инструкция по организации работ на случай возникновения
внештатных ситуаций.

50
11. ОТВЕТСТВЕННОСТЬ СОТРУДНИКОВ УЧРЕЖДЕНИЯ

В соответствии со ст. 24 Федерального закона Российской Федерации от


27 июля 2006г. № 152-ФЗ «О персональных данных» лица, виновные в
нарушении требований данного Федерального закона, несут гражданскую,
уголовную, административную, дисциплинарную и иную предусмотренную
законодательством Российской Федерации ответственность.
Действующее законодательство РФ позволяет предъявлять требования
по обеспечению безопасной работы с защищаемой информацией и
предусматривает ответственность за нарушение установленных правил
эксплуатации средств вычислительной техники и АС, неправомерный доступ к
информации, если эти действия привели к уничтожению, блокированию,
модификации информации или нарушению работы средств вычислительной
техники, АС или КС (статьи 272,273 и 274 УК РФ).
Администратор ИСПДн и администратор информационной безопасности
несут ответственность за все действия, совершенные от имени их учетных
записей или системных учетных записей, если не доказан факт
несанкционированного использования учетных записей.
При нарушениях пользователями ИСПДн правил, связанных с
безопасностью ПДн, они несут ответственность, установленную действующим
законодательством Российской Федерации.
Приведенные выше требования нормативных документов по защите
информации должны быть отражены в Положениях о подразделениях
Учреждения, осуществляющих обработку ПДн в ИСПДн и должностных
инструкциях сотрудников Учреждения.
Необходимо внести в Положения о подразделениях Учреждения,
осуществляющих обработку ПДн в ИСПДн сведения об ответственности их
руководителей и сотрудников за разглашение и несанкционированную
модификацию (искажение, фальсификацию) ПДн, а также за неправомерное
вмешательство в процессы их автоматизированной обработки.

51
12. ПЕРЕЧЕНЬ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ,
ВО ИСПОЛНЕНИЕ КОТОРЫХ ПРЕДПОЛАГАЕТСЯ
РЕАЛИЗАЦИЯ ПОЛИТИКИ

Правовой основой обеспечения информационной безопасности являются


положения Конституции Российской Федерации, федеральных законов, указов
Президента Российской Федерации, постановлений и распоряжений
Правительства Российской Федерации, нормативных и руководящих
документов ФСТЭК России и ФСБ России по вопросам защиты информации.
Базовыми нормативно-правовыми актами и методическими
рекомендациями в области обеспечения информационной безопасности
являются:

– Законы Российской Федерации:


o от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях
и защите информации»
o от 27.07.2006 № 152-ФЗ «О персональных данных»

– Указы Президента Российской Федерации:


o от 12 мая 2009 г. № 537 «О стратегии национальной безопасности
Российской Федерации до 2020 года»
o от 6 марта 1997 г. № 188 «Об утверждении перечня сведений
конфиденциального характера»
o от 20 января 1994 г. № 170 «Об основах государственной политики в
сфере информатизации»
o от 8 мая 1993 г. № 644 «О защите информационно-
телекоммуникационных систем и баз данных от утечки
конфиденциальной информации по техническим каналам»

– Постановления Правительства Российской Федерации:


o от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях
обработки персональных данных, осуществляемой без использования
средств автоматизации»

52
o от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении
безопасности персональных данных при их обработке в
информационных системах персональных данных»

– Руководящие документы Государственной технической комиссии при


Президенте Российской Федерации:
o «Специальные требования и рекомендации по технической защите
конфиденциальной информации (СТР-К)»
o «Концепция защиты средств вычислительной техники и
автоматизированных систем от несанкционированного доступа к
информации» (решение Председателя от 30 марта 1992 г.)
o «Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищенности от
несанкционированного доступа к информации» (решение Председателя
от 30 марта 1992 г.)
o «Автоматизированные системы. Защита от несанкционированного
доступа к информации. Классификация автоматизированных систем и
требований по защите информации» (решение Председателя от 30 марта
1992 г.)
o «Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищенности от
несанкционированного доступа к информации.» (решение председателя
от 30 марта 1992 г.)

– Приказы Федеральной службы по техническому и экспортному контролю


России:
o от 5 февраля 2010 г. N 58 «Об утверждении положения о методах и
способах защиты информации в информационных системах
персональных данных»
o 15 февраля 2008 г. «Рекомендации по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных.»

53
o 15 февраля 2008 г. «Основные мероприятия по организации и
техническому обеспечению безопасности персональных данных,
обрабатываемых в информационных системах персональных данных.»

– Стандарты по защите информации:


o ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной
безопасности в организации. Основные термины и определения
o ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология.
Методы и средства обеспечения безопасности. Часть 3. Методы
менеджмента безопасности информационных технологий
o ГОСТ Р ИСО/МЭК 13335-1 - 2006 Информационная технология. Методы
и средства обеспечения безопасности. Часть 1. Концепция и модели
менеджмента безопасности информационных и телекоммуникационных
технологий
o ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология.
Методы и средства обеспечения безопасности. Часть 5. Методы
менеджмента безопасности информационных технологий
o ГОСТ Р 51275-2006 Защита информации. Объект информатизации.
Факторы, воздействующие на информацию. Общие положения. (утв.
Приказом Ростехрегулирования от 27.12.2006 N 374-ст)
o ГОСТ Р ИСО/МЭК 17799 — 2005 Информационная технология.
Практические правила управления информационной безопасностью
o ГОСТ Р ИСО/МЭК 15408-2002 Информационные технологии. Методы
обеспечения безопасности. Критерии оценки безопасности
информационных технологий
o Международный стандарт ISO/IEC FDIS 27001 Информационные
технологии. Технологии безопасности. Система управления
информационной безопасностью. Требования.
o ГОСТ 6.38-90 Система организационно-распорядительной
документации. Требования к оформлению.

54

Оценить