Сотрудникам охраны (дежурных смен) предоставляется допуск во все помещения, категорированные по информационной безопасности, для выполнения ими обязанностей по обеспечению физической безопасности объектов.
3.3. Доступ
Доступ это совокупность действий, выполняемых сотрудниками подразделений:
с целью получения возможности использования информации в соответствии с имеющимся у них допуском;
с целью предоставления возможности использования информации сотрудниками других подразделений, сторонних организаций, государственных органов и посетителями.
Таким образом, действия по доступу выполняются только сотрудниками допускающего подразделения, даже если допускаются иные лица.
Порядок доступа в помещения категории П-0П-2 определяется Правлением ХХХХ индивидуально. Учет доступа в помещения категории П-3 ведут сотрудники охраны (ЧОП). Доступ в помещения категории П-4 не учитывается. Учет доступа к средствам информатизации и информации в локальной вычислительной сети ведет администратор сети.
Для учета доступа в отделе информационных технологий и в охране (ЧОП) заводятся Журналы учета доступа, в которых регистрируются факты получения доступа в зависимости от вида объекта информационной системы и его категории. Учету в Журнале доступа подлежат все факты предоставления доступа всем лицам, имеющим разовый допуск к информационным объектам категорий П-0, С-0, С-1, И-0, И-1.
Общая задача доступа подразделяется на подзадачи:
доступ в помещения;
доступ к средствам информатизации;
доступ к программным продуктам и информации.
Действия по осуществлению доступа подразделяются на организационные и технические.
Ответственность за организацию доступа несет руководитель подразделения, а за правильное выполнение действий по доступу сотрудник, их выполняющий.
3.3.1. Доступ в помещения
Доступ в помещения сотрудников, чьи рабочие места находятся в этих помещениях, осуществляется в соответствии с Инструкцией о пропускном режиме охраны (ЧОП) с учетом присвоенных этим помещениям категорий информационной безопасности.
Доступ в помещения сотрудников своего подразделения и сотрудников других подразделений, чьи рабочие места расположены в других помещениях, зависит от категории помещения:
в помещения категории П-0 доступ возможен только при наличии соответствующего допуска через того из сотрудников, работающих в помещении, к которому этот посетитель прибыл;
в помещения категории П-3 и П-4 доступ свободный.
Доступ в помещения сотрудников сторонних организаций и представителей государственных органов возможен только при наличии соответствующего допуска через того из сотрудников, работающих в помещении, к которому этот посетитель прибыл.
Доступ в помещения категории П-1 контролируется в рабочее время секретарями, в нерабочее время сотрудниками охраны. Нахождение в этих помещениях кого бы то ни было, кроме владельцев кабинетов, секретарей и сотрудников охраны, без сопровождения секретарей (в рабочее время) или сотрудников охраны (в нерабочее время) строго запрещается.
Технические действия по доступу в помещения зависят от того, оборудованы ли помещения соответствующими техническими средствами и, как правило, состоят в снятии помещения с контроля системой охранной сигнализации и вскрытие помещения установленным порядком в начале рабочего дня.
Организационные действия по доступу в помещения выполняются сотрудниками, работающими в них, и заключаются в:
проверке состояния помещения и находящихся в нем средств информатизации при вскрытии помещения и перед его закрытием;
принятии мер по недопущению в помещения посторонних лиц, не имеющих допуска или нарушающих правила доступа;
учете доступа в помещения в Журнале учета доступа там, где это необходимо.
Порядок доступа в помещения сотрудников охраны:
в помещения категории П-0П-3 только в случаях прямой необходимости, в рабочее время вместе с сотрудником, работающим в данном помещении, в нерабочее время
с последующим составлением служебной записки на имя Генерального директора ЧОП за подписью начальника смены с изложением причин доступа и описанием состояния помещения; в помещения категории П-4 без ограничений.
3.3.2. Доступ к средствам информатизации
3.3.2. Доступ к средствам информатизации
Доступ к средствам информатизации, находящимся на рабочих местах сотрудников (далее «ответственные за средства информатизации»), осуществляется этими сотрудниками без ограничений.
Доступ к средствам информатизации сотрудников других подразделений, представителей сторонних организаций, представителей государственных органов и посетителей осуществляется в зависимости от категории:
к средствам информатизации категорий С-0, С-1 только при наличии допуска. При этом непосредственное использование средства информатизации осуществляется сотрудником, ответственным за него, а лицо, получившее доступ, присутствует при этом;
к средствам информатизации категории С-2 самостоятельно и без ограничений.
Для средств информатизации категорий С-0 и С-1 в отделе информационных технологий должен быть заведен Аппаратный журнал, в котором отражаются все критичные операции и события (выход из строя, ремонт, техобслуживание и т.п.), а также операции по обеспечению информационной безопасности.
Управлению информационных систем и технологий категорически запрещёно подключение средств информатизации категорий С-0 и С-1 к ресурсам и сервисам международной компьютерной сети Internet. Локальная вычислительная сеть, имеющая в своём составе средства информатизации категорий С-0 и С-1 не может иметь выход в международную сеть Internet.
Технические действия по осуществлению доступа заключаются в:
включении питания;
преодолении установленным порядком имеющихся средств защиты доступа (замок, вход по паролю, идентификация пользователя и др.). Организационные действия заключаются в:
ведении Аппаратного журнала;
ведении Журнала учета доступа.
После того, как операции по доступу к средствам категорий С-0, С-1 выполнены, ответственный за средство информатизации обязан обеспечить невозможность использования средства кем-либо, кроме него самого. Запрещается даже на короткое время оставлять без контроля средство информатизации, если такая возможность не исключена технически.
Для доступа к средствам информатизации там, где это возможно, в обязательном порядке должен использоваться пароль, а доступ должен быть организован строго в соответствии с Руководством по применению паролей.
3.3.3. Доступ к программным продуктам и информации
Порядок получения доступа к программным продуктам и информации определяется порядком доступа в помещения и к средствам информатизации. Ответственность за правильность доступа к программным продуктам и информации несут сотрудники, на рабочих местах которых используются эти программные средства и информация.
Доступ обеспечивается:
к программным продуктам и компьютерной информации имеющимися программно-аппаратными средствами защиты;
к информации на бумажных носителях принятой технологией несекретного «бумажного» делопроизводства;
к речевой, видео- и другим видам информации мерами обеспечения доступа в помещения и к средствам связи.
Технические действия по доступу к программным продуктам и информации заключаются в:
запуске программного продукта;
преодолении установленным порядком имеющихся программных и аппаратных средств защиты;
регистрации доступа средствами регистрации, если они имеются.
Организационные действия по доступу к программным продуктам и информации заключаются в ведении Журнала учета доступа.
3.4. Содержание средств информатизации
Правильное с точки зрения информационной безопасности содержание (эксплуатация и хранение) средств информатизации предполагает:
для средств информатизации категории С-0 полное предотвращение доступа (в том числе и физического) к этим средствам любых лиц, не имеющих соответствующего допуска;
для средств информатизации категории С-1 предотвращение несанкционированного их использования;
для средств информатизации категории С-2 ограничений нет.
Содержание программных продуктов средств информатизации определяется содержанием технических средств информатизации (компьютеров, сетей), на которых эти программные продукты установлены.
Средства информатизации содержатся, как правило, на рабочих местах сотрудников, за которыми эти средства закреплены. Технические средства категории С-0 могут содержаться в кладовых или в сейфах.