Категорированию подвергаются:
используемая информация;
средства;
помещения;
сотрудники подразделений.
Категорирование производится в ходе первичного информационного обследования и уточняется при контрольных обследованиях. Настоящей Инструкцией вводятся следующие категории объектов информационной системы:
2.5. Документирование
Основной формой документа в системе информационной безопасности является двусторонний Акт, который составляется и подписывается сотрудниками подразделения, в котором проводится мероприятие, с одной стороны, и сотрудниками Управления по защите информации с другой стороны. Акт утверждается начальником этого подразделения и начальником Управления по защите информации. К Акту прилагаются необходимые в каждом конкретном случае документы: протоколы, справки, схемы и т.д., исполненные в произвольной форме.
По решению Члена Правления Директора по безопасности и защите информации Акты могут докладываться для ознакомления и принятия решения Правлению ХХХХ.
В обязательном порядке составляются Акты в следующих случаях:
при проведении первичного и контрольных информационных обследований;
при проведении проверок состояния информационной безопасности Управлением по защите информации;
при предоставлении или изменении прав доступа к информации, средствам информатизации и сотрудникам;
при выявлении нарушений информационной безопасности и их устранении.
2.6. Обучение персонала
Сотрудники ХХХХ (администратор сети, сотрудники Управления по защите информации), непосредственно принимающие участие в обеспечении информационной безопасности, могут направляться на специальное обучение. Остальные сотрудники ХХХХ проходят инструктаж.
3. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1. Общие положения
Обеспечение информационной безопасности включает комплекс повседневно проводимых мероприятий, а именно:
допуск (предоставление прав доступа) к информации, средствам информатизации и в помещения;
доступ к информации, средствам информатизации и в помещения в соответствии с предоставленными правами;
содержание средств информатизации;
обеспечение безопасности информации;
использование средств защиты информации;
контроль состояния информационной безопасности;
действия в случае выявления нарушений информационной безопасности;
инструктаж по информационной безопасности.
3.2. Допуск
Допуск это комплекс мероприятий, проводимых с целью предоставления прав доступа сотрудникам ХХХХ, представителям сторонних организаций и посетителям в помещения, к средствам информатизации и к информации ХХХХ.
Допуск заключается в предоставлении соответствующих прав доступа и документальном закреплении их за конкретным лицом, которому они предоставляются.
Право предоставления допуска имеет только руководитель подразделения, в ведении которого находятся объекты, к которым допускается указанное лицо, после обязательного согласования с Членом Правления Директором по безопасности и защите информации. Руководитель подразделения полностью отвечает за соответствие уровня допуска задачам, решаемым допускаемым лицом. При этом должен строго соблюдаться принцип предоставления сотрудникам минимальных прав, достаточных для выполнения задач.
Допуск может предоставляться:
сотрудникам своего подразделения;
сотрудникам других подразделений;
сотрудникам сторонних организаций, выполняющим работы по заказу ХХХХ с заключением контракта; сотрудникам государственных органов, имеющим соответствующие полномочия;
посетителям.
Различаются постоянный и разовый допуск. Постоянный допуск предоставляется только сотрудникам ХХХХ или представителям сторонних организаций, выполняющим работы по контракту. Разовый допуск предоставляется как сотрудникам ХХХХ, так и иным лицам, в том числе посетителям.
Порядок действий по предоставлению допуска зависит от того, к какому объекту допускается лицо, какова категория этого объекта, постоянный это допуск или разовый и кому он предоставляется: сотруднику своего подразделения, сотруднику другого подразделения, представителю сторонней организации или посетителю.
Допуск оформляется в письменной форме для объектов категорий И-0, И-1, С-0, С-1, П-0, П-3 лицам, занимающим должности категорий Д-1Д-3. Должностные лица категории Д-0 имеют допуск ко всей информации ХХХХ по положению. Лица категорий Д-5Д-7 получают ограниченный допуск к отдельным массивам информации.
Допуск к объектам категорий И-2, С-2, П-4 обеспечивается устными распоряжениями руководителей подразделений.
Допуск к объектам категории П-1 предоставляется лицам всех категорий секретарями по указанию соответствующих руководителей.
Допуск к объектам категории П-2 может быть только разовым и осуществляется лицами, ответственными за организацию заседаний, совещаний и других мероприятий.
Постоянный допуск во всех случаях оформляется Актом, который составляется в подразделении в 2-х экземплярах, подписывается его сотрудниками, согласовывается с Членом Правления Директором по безопасности и защите информации и утверждается руководителем подразделения. Допускается составление одного общего Акта сразу на нескольких сотрудников. В Акте для каждого сотрудника указываются подразделение, должность, фамилия, имя, отчество, перечень объектов, к которым предоставляется доступ, с указанием категории каждого объекта, цели доступа и предоставляемых прав, календарный период, на который предоставляется допуск. Первый экземпляр Акта хранится в Управлении по защите информации, второй экземпляр Акта хранится в подразделении.
Сотрудникам других подразделений руководитель подразделения предоставляет постоянный допуск к подведомственным объектам на основании служебных записок от руководителей соответствующих подразделений согласованных с Членом Правления Директором по безопасности и защите информации.
Максимальный срок постоянного допуска 1 год, после чего он должен переоформляться.
Постоянный допуск сотрудникам сторонних организаций, выполняющим работы по контракту, предоставляется руководителем подразделения, ответственного за сопровождение контракта, после согласования с Членом Правления Директором по безопасности и защите информации при условии, что в контракте предусмотрены обязательства партнера по выполнению требований информационной безопасности и сохранению коммерческой тайны.
Разовый допуск предоставляется руководителем подразделения после согласования с Членом Правления Директором по безопасности и защите информации и оформляется письменно:
сотрудникам своего подразделения соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;
сотрудникам других подразделений на основании служебной записки на имя начальника допускающего подразделения, соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;
сотрудникам сторонних организаций, выполняющих работы по контракту, на основании служебной записки от подразделения, ответственного за проведение работ, на имя начальника допускающего подразделения, соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;
посетителям соответствующей записью в Журнале учета доступа за подписью руководителя подразделения.
Не может быть предоставлен допуск:
постоянный и разовый сотрудникам сторонних организаций и посетителям к информации категории И-0 (посетителям также и к информации категории И-1);
постоянный и разовый сотрудникам сторонних организаций и посетителям к средствам категорий С-0, С-1, если технически не исключена возможность их несанкционированного использования;
постоянный сотрудникам сторонних организаций в помещения категорий П-0, П-1, и П-2;
постоянный и разовый посетителям в помещения категорий П-0 и П-3;
постоянный посетителям в помещения категорий П-1, П-2.
Представителям государственных органов может быть предоставлен допуск к любым объектам информационной системы, но только разовый и в строгом соответствии с имеющимися у них полномочиями. Необходимость допуска письменно в обязательном порядке согласовывается с Членом Правления Директором по безопасности и защите информации.
Сотрудникам охраны (дежурных смен) предоставляется допуск во все помещения, категорированные по информационной безопасности, для выполнения ими обязанностей по обеспечению физической безопасности объектов.