В рабочее время ответственность за содержание средств информатизации несут сотрудники, за которыми эти средства закреплены, а в их отсутствие их непосредственные начальники. В нерабочее время ответственность за хранение средств информатизации несет дежурная смена охраны.
Приемка в эксплуатацию средств информатизации (аппаратных, программных) категорий С-0 и С-1 проводится силами сотрудников Управления по защите информации Управления информационных систем и технологий в следующем порядке:
определяется категория средства информатизации;
средство информатизации оснащается программными продуктами, устанавливается на рабочем месте и проверяется;
производится проверка безопасности средства информатизации;
при необходимости для такой проверки могут привлекаться специализированные организации;
составляется и согласовывается с соответствующим подразделением перечень организационно-технических мероприятий, необходимых для обеспечения информационной безопасности средства информатизации, в том числе перечень средств защиты информации;
средство информатизации, при необходимости, дополняется средствами защиты информации, из него исключаются не используемые «опасные» устройства и опечатывается;
средство проверяется сотрудниками подразделения на предмет готовности к эксплуатации; составляется Акт о готовности средства информатизации по вопросам информационной безопасности, который утверждается начальниками Управления по защите информации и принимающего подразделения.
Каждое средство информатизации после приемки в эксплуатацию закрепляется письменным распоряжением руководителя подразделения за одним из сотрудников подразделения, который в дальнейшем отвечает за его содержание.
Сотрудник, ответственный за содержание средства информатизации, в части обеспечения информационной безопасности обязан:
обеспечить установленный порядок доступа к средству информатизации;
правильно использовать средства защиты информации, с которыми работает средство информатизации, если они имеются;
при обнаружении признаков несанкционированного доступа к средству информатизации немедленно прекратить все работы с ним, обеспечить сохранение его в текущем состоянии и сообщить о случившемся своему руководителю и начальнику Управления по защите информации.
Учет средств информатизации ведется отделом информационных технологий в Журнале учета средств информатизации:
технические средства информатизации учитываются в соответствии с их инвентарными номерами, которые присваиваются им при приемке в эксплуатацию;
программные продукты средств информатизации учитываются поэкземплярно.
Дистрибутивы программных продуктов хранятся администратором сети таким образом, чтобы исключить возможность использования их для инсталляции несанкционированных копий программного продукта. Инсталляцию прикладных и автономных программных продуктов выполняет администратор сети.
Рабочие копии программных продуктов должны быть защищены от несанкционированной модификации программного кода и данных, для чего должны применяться различные методы, в том числе:
установка программных продуктов на средствах информатизации соответствующей категории;
установка программных продуктов на серверах сети с разделением доступа к ним, исходя из категорий пользователей;
защита программных продуктов от копирования;
шифрование исполняемых модулей и данных программных продуктов на носителях информации;
запуск особо охраняемых программных продуктов категории С-0 и работа с информацией категории И-0 с гибких магнитных дисков, хранимых в сейфах.
Если доступ к средству информатизации защищается устройствами типа «замок» (механические замки, электронные замки, кодовые устройства и т.п.), имеющими «ключи» (обычные ключи, магнитные карты и т.п.), то оригинал ключа хранится у ответственного сотрудника, а дубликаты у руководителя соответствующего подразделения. Хранение оригинала и дубликатов должно быть обеспечено таким образом, чтобы исключить возможность попадания ключа к кому-либо, кроме этих лиц. Все экземпляры ключей учитываются отдельными позициями в Журнале учета средств информатизации. В случае утраты ключа принимаются такие же меры, как при выявлении попытки несанкционированного доступа.
3.5. Обеспечение безопасности информации
Безопасность информации обеспечивается в соответствии с присвоенными ей категориями и предполагает:
для информации категории И-0 полное исключение возможности несанкционированного доступа к ней;
для информации категории И-1 исключение возможности несанкционированной модификации, предупреждение возможности анализа и статистической оценки;
для информации категории И-2 ограничений нет.
Основой безопасности информации является изложенная в п. 3.3. система контролируемого доступа в помещения, к средствам информатизации и самой информации. Кроме этого, в зависимости от формы представления информации, с целью обеспечения ее безопасности принимаются специальные меры, изложенные ниже. Во всех случаях, за исключением специально оговоренных, ответственность за принятие этих мер несет сотрудник, использующий информацию или организующий мероприятие с ее использованием.
Безопасность информации в бумажной форме представления обеспечивается в соответствии с принятой технологией «бумажного» документооборота.
Для обеспечения безопасности речевой информации необходимо:
ограничить число лиц, участвующих в переговорах, до минимально необходимого;
проводить переговоры в местах, исключающих возможность подслушивания;
применять специальные средства, если такие имеются.
Для обеспечения безопасности телефонных переговоров необходимо:
безусловно исключить из обсуждения при ведении переговоров по открытым (незащищенным) телефонным линиям связи сведения, относящиеся к категории И-0 и ограничивать использование сведений категории И-1;
применять специальные средства, если такие имеются.
Для обеспечения безопасности информации, обрабатываемой с помощью средств информатизации необходимо:
обеспечить защиту от несанкционированного получения информации категории И-0 и защиту от модификации, а также возможность восстановления авторства доступа к информации категорий И-0, И-1, для чего в обязательном порядке применять все меры защиты, доступные на используемых программно-аппаратных средствах;
обеспечить хранение носителей информации (дискет, магнито-оптических дисков, компакт-дисков и др.) с информацией категории И-0 способом, исключающим их утрату, несанкционированное копирование и получение; обеспечить хранение применяемых средств защиты информации, в том числе средств доступа к ним, способом, исключающим их несанкционированное использование.
3.6. Использование средств защиты информации
Средства защиты информации это специальные технические средства, используемые для предупреждения несанкционированного использования всех видов информации. Разнообразие видов используемой информации, целей защиты, вариантов угроз, применяемых технологий защиты определяют широкую номенклатуру таких средств. В каждом случае необходимости защиты информации выбирается свой конкретный тип средства.
По вариантам использования различаются средства защиты информации:
коллективные, применяемые для защиты информации, используемой одновременно несколькими (многими) сотрудниками;
индивидуальные, применяемые только одним сотрудником для защиты информации, используемой им самим;
сетевые, применяемые для защиты в вычислительных сетях и сетях связи.
Необходимость применения средств защиты информации определяется при информационном обследовании, при принятии решения о применении информационной техники и в других случаях. Принятие решения на применение средств защиты, выбор способа защиты и типа средства защиты информации осуществляется совместно подразделением, которое использует защищаемую информацию, Управлением по защите информации и утверждается Членом Правления Директором по безопасности и защите информации. Выбор сетевых средств защиты осуществляют совместно Управление информационных систем и технологий, Управление по защите информации и утверждает Член Правления Директор по безопасности и защите информации.
Решение о применении средств защиты информации в подразделении оформляется совместным документом этого подразделения и Управления по защите информации, утверждается Членом Правления Директором по безопасности и защите информации и представляется руководителем подразделения, защищающего свою информацию, для утверждения и выделения необходимых финансовых и технических средств Председателю Правления ХХХХ.