ГЛАВА АДМИНИСТРАЦИИ ХАБАРОВСКОГО КРАЯ
ПОСТАНОВЛЕНИЕ
от 13 января 1999 г. N 18
О МЕРАХ ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ И ЗАЩИТЕ ЭЛЕКТРОННЫХ
ИНФОРМАЦИОННЫХ РЕСУРСОВ
В соответствии с постановлением главы администрации края от
15.05.98 N 197 "О регистрации технических средств, обрабатывающих
информацию ограниченного доступа" в структурных подразделениях
администрации края определены технические средства, обрабатывающие
информацию, отнесенную к государственной и конфиденциальной
тайнам.
В целях определения единых требований для проведения
организационно - технических мероприятий по обеспечению
сохранности и защите конфиденциальных и открытых информационных
ресурсов, обрабатываемых техническими средствами,
ПОСТАНОВЛЯЮ:
1. Утвердить прилагаемое Положение по обеспечению сохранности
и защите электронных информационных ресурсов в структурных
подразделениях администрации края.
2. Руководителям структурных подразделений администрации края
в месячный срок с момента подписания настоящего постановления в
соответствии с Положением по обеспечению сохранности и защите
электронных информационных ресурсов в структурных подразделениях
администрации края:
- назначить администратора локальной вычислительной сети
(администратора информационных ресурсов) в каждом структурном
подразделении;
- обеспечить оформление регистрационных карт на персональные
компьютеры, обрабатывающие конфиденциальные информационные
ресурсы.
3. Признать утратившим силу пункт 2 постановления главы
администрации края от 15.05.98 N 197 "О регистрации технических
средств, обрабатывающих информацию ограниченного доступа".
4. Внести изменения в подпункт 3.5 Положения о порядке
обращения со служебной информацией в органах исполнительной власти
и местного самоуправления Хабаровского края, утвержденного
постановлением главы администрации края от 07.02.97 N 44 "Об
утверждении документов по информационной безопасности", изложив
его в следующей редакции:
"3.5. Обработка служебной информации (ввод, накопление,
хранение, преобразование, вывод, отображение, прием и передача) на
персональных компьютерах производится:
- в структурных подразделениях администрации края - в
соответствии с Положением по обеспечению сохранности и защите
электронных информационных ресурсов в структурных подразделениях
администрации края;
- в администрациях городов и районов края - в соответствии с
руководящими документами, утвержденными главами муниципальных
образований".
5. Главам муниципальных образований городов и районов края в
срок до 1 апреля 1999 г. разработать и принять руководящие
документы на основе Положения по обеспечению сохранности и защите
электронных информационных ресурсов в структурных подразделениях
администрации края.
6. Методическое руководство и контроль за выполнением
настоящего постановления возложить на заместителя главы
администрации края, председателя совета по информационной
безопасности при главе администрации края Левинталя А.Б.
7. Настоящее постановление вступает в силу со дня его
подписания.
Глава администрации
В.И.Ишаев
УТВЕРЖДЕНО
Постановление
главы администрации края
от 13 января 1999 г. N 18
ПОЛОЖЕНИЕ
ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ И ЗАЩИТЕ ЭЛЕКТРОННЫХ
ИНФОРМАЦИОННЫХ РЕСУРСОВ В СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЯХ
АДМИНИСТРАЦИИ КРАЯ
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с
Федеральным Законом от 20.02.95 N 24-ФЗ "Об информации,
информатизации и защите информации", постановлением главы
администрации края от 07.02.97 N 44 "Об утверждении документов по
информационной безопасности", другими нормативными правовыми и
методическими документами в области использования и защиты
информационных ресурсов.
1.2. Положение предназначено для государственных служащих -
работников структурных подразделений администрации края,
выполнение должностных обязанностей которых связано с
использованием персональных компьютеров, и определяет их
полномочия, обязанности и ответственность по обеспечению
сохранности и защите электронных информационных ресурсов.
1.3. Положение является обязательным для выполнения всеми
государственными служащими - работниками администрации края в
части их касающейся.
1.4. В Положении используются следующие сокращения и основные
понятия:
- ПК - персональный компьютер (сервер, рабочая станция, другие
специализированные компьютеры на любых аппаратно - программных
платформах);
- ЛВС - локальная вычислительная сеть или аналогичная
информационная система любого уровня сложности и назначения;
- локальный ПК - ПК, работающий вне ЛВС;
- электронные информационные ресурсы - отдельные документы и
отдельные массивы документов, документы и массивы документов, базы
данных, другие виды информационного обеспечения в информационных
системах, использующих ПК (далее по тексту - информационные
ресурсы),
- структурное подразделение - комитеты, управления,
департаменты, службы, отделы администрации края;
- информационное подразделение - отдел, сектор и т.п.
подразделение, занимающееся обслуживанием (эксплуатацией)
локальных ПК и (или) ЛВС структурных подразделений;
- пользователь - государственный служащий - работник
администрации края, вне зависимости от замещаемой им
государственной должности государственной службы, выполнение
должностных обязанностей которого связано с обработкой информации
на ПК;
- администратор - государственный служащий - работник
информационного или структурного подразделения администрации края,
ответственный за выполнение требований по обеспечению сохранности
и защите информационных ресурсов локальных ПК и (или) ПК,
объединенных в одноранговую ЛВС, и (или) ПК, подключенных к ЛВС
другого структурного подразделения (в собственности которого
находится сервер ЛВС), и (или) ПК, объединенных в ЛВС
информационного или структурного подразделения на базе
собственного сервера этой ЛВС;
- сохранность информационных ресурсов - способность локального
ПК или ЛВС обеспечивать неизменность информационных ресурсов в
условиях случайного и (или) преднамеренного искажения, разрушения,
удаления, копирования, несанкционированного доступа, других
аналогичных действий;
- защита информационных ресурсов - организационные, правовые,
технические и технологические меры по предотвращению угроз
информационной безопасности и устранению их последствий;
- обработка информационных ресурсов - сбор, подготовка, ввод,
накопление, хранение, преобразование, вывод, отображение
информационных ресурсов;
- несанкционированный доступ - доступ к информационным
ресурсам, нарушающий правила разграничения доступа с
использованием любых средств, предоставляемых ПК или ЛВС.
1.5. Администратор назначается приказом руководителя
структурного подразделения. Не допускается возложение функций
администратора на представителя сторонней организации, не входящей
в структуру администрации края.
1.6. Руководитель структурного или информационного
подразделения назначает ответственных из числа пользователей за
использование локального ПК и (или) ПК в составе ЛВС.
1.7. Руководители подразделений, пользователи и администраторы
обязаны знать и выполнять нормативные правовые акты, затрагивающие
вопросы информатизации, защиты информации и информационной
безопасности в части соблюдения требований и ограничений по
использованию и защите информационных ресурсов различной категории
доступа.
1.8. Руководители подразделений, пользователи и администраторы
несут персональную ответственность за полноту и своевременность
выполнения требований настоящего Положения. За нарушение
требований настоящего Положения они могут быть привлечены к
административной, уголовной или иной, предусмотренной
законодательством, ответственности.
1.9. Настоящее Положение может уточняться и дополняться
установленным порядком.
2. Требования к пользователю
2.1. Данный раздел отражает полномочия и функциональные
обязанности пользователя локального ПК или ПК в составе ЛВС.
2.2. Пользователь обязан знать администратора, обращаться к
нему по вопросам использования аппаратно - программного
обеспечения своего ПК, выполнять его устные распоряжения или
письменные указания в соответствии с настоящим Положением.
2.3. Пользователь обязан уметь правильно использовать то
аппаратно - программное обеспечение, которое установлено на его
ПК, включая средства защиты информационных ресурсов.
2.4. Пользователю запрещается самостоятельно устанавливать
новое или модифицировать имеющееся прикладное, операционное,
сетевое и другие виды программного обеспечения, если эта работа не
входит в его должностные обязанности. Необходимость замены
(модификации, новой установки и т.п.) программного обеспечения
определяется руководителем информационного подразделения и (или)
администратором и проводится ими самостоятельно и (или) с
привлечением работников информационного подразделения по указанию
его руководителя.
2.5. Для исключения или существенного затруднения
несанкционированного доступа к информационным ресурсам загрузка
операционной системы на ПК пользователя может осуществляться
посредством использования пароля. В таком случае пользователь
обязан сообщить установленный им пароль своему непосредственному
руководителю и администратору.
Пользователю запрещается записывать пароли на любой носитель
информации, если доступ к нему других лиц невозможно
проконтролировать.
Пользователю запрещается передавать используемые им пароли
другому лицу, если у последнего нет на то полномочий, определенных
его должностными обязанностями или другими распорядительными,
предписывающими документами.
2.6. Пользователь обязан корректно задавать свой идентификатор
в ЛВС и пароли, не пытаться работать от имени другого
пользователя, не пытаться осуществлять несанкционированный доступ
к информационным ресурсам, ему не предназначенным, не
предпринимать других действий, приводящих к незаконному просмотру,
копированию, модификации или удалению информационных ресурсов.
2.7. Пользователь обязан определить (самостоятельно или с
помощью администратора) информационные ресурсы, функционально им
используемые или актуализируемые, требующие регулярного резервного
сохранения (архивирования). Конкретный вид, периодичность и
порядок архивирования определяется пользователем самостоятельно
или с помощью администратора.
Ответственность за проведение архивирования информационных
ресурсов, физически расположенных на ПК, возлагается на
пользователя этого ПК.
Отметку об архивировании пользователю рекомендуется отражать в
таблице (см. приложение 1, форма 1).
Пользователю рекомендуется также убедиться в возможности
восстановления информационных ресурсов с архивных копий.
2.8. Пользователь обязан знать и уметь пользоваться тем
антивирусным программным обеспечением, которое находится на его
ПК. Перед проведением любых операций с внешним носителем
информации (дискета, стримерная лента, винчестер и т.п.), -
считывание, запись, модификация, удаление информации и т.д.,
пользователь обязан произвести антивирусную проверку внешнего
носителя информации. Отметка об использовании внешнего носителя
информации отражается пользователем в журнале (см. приложение 1,
форма 2).
В случае невозможности излечения (очистки) внешнего носителя
информации от вируса пользователь ставит об этом в известность
администратора, который производит соответствующие данной ситуации
действия и делает отметку об этом в журнале (см. приложение 1,
форма 2).
Пользователю категорически запрещается производить какие-либо
действия с информацией зараженного вирусом внешнего носителя.
2.9. Пользователи обязаны осуществлять обмен данными,
расположенными на ПК или на сервере ЛВС, используя сетевые
средства обмена информацией. Запрещается использование внешних
носителей информации для обмена данными между пользователями ЛВС.
2.10. Пользователь обязан использовать предоставленное ему
дисковое пространство сервера ЛВС только для хранения
информационных ресурсов, необходимых для осуществления своих
должностных обязанностей.
2.11. Пользователи могут завести один журнал для отображения
данных в соответствии с формой 1 и (или) формой 2 (см. приложение
1) для нескольких ПК, если последние расположены в одном помещении
или принадлежат одному подразделению. В таком случае в структуру
таблицы по форме 2 между первым и вторым столбцами добавляется еще
один столбец "ПК, название и (или) инвентарный номер".
Время хранения данного журнала определяется моментом заведения
следующего аналогичного журнала при наличии двух уже имеющихся или
не должно быть менее года после его заполнения.
2.12. Пользователь обязан информировать администратора и
своего непосредственного руководителя о любых нарушениях
сохранности информационных ресурсов в соответствии с настоящим
Положением, другими нормативными правовыми документами и здравым
смыслом, и (или) о возможности появления таких нарушений, которые
могут привести к несанкционированному доступу, модификации,
разрушению, удалению информационных ресурсов или сбоям в работе ПК
и (или) ЛВС в целом.
3. Требования к администратору
3.1. Данный раздел отражает полномочия и функциональные
обязанности администратора, в части его касающейся, в зависимости
от наличия в структурном подразделении только локальных ПК и (или)
ПК, объединенных в одноранговую ЛВС, и (или) ПК, подключенных к
ЛВС другого структурного подразделения (в собственности которого
находится сервер ЛВС), и (или) ПК, объединенных в ЛВС
информационного или структурного подразделения администрации на
базе собственного сервера этой ЛВС.
Следует различать два вида администраторов: администратор
информационных ресурсов и администратор ЛВС.
Администратор информационных ресурсов структурного
подразделения несет ответственность за выполнение требований по
обеспечению сохранности и защите информационных ресурсов локальных
ПК, и (или) ПК, объединенных в одноранговую ЛВС, и (или) ПК,
подключенных к ЛВС другого структурного подразделения (в
собственности которого находится сервер ЛВС).
Администратор ЛВС структурного подразделения несет
ответственность как за выполнение требований по обеспечению
сохранности и защите информационных ресурсов всех ПК своего
структурного подразделения (локальных и объединенных в ЛВС), так и
собственно за администрирование ЛВС своего структурного
подразделения, имеющего сервер ЛВС.
Администратор ЛВС является главным по отношению к
администратору информационных ресурсов. Все его требования и
указания являются обязательными для выполнения администратором
информационных ресурсов. Администратор ЛВС по согласованию с
руководителем своего структурного подразделения может делегировать
часть своих полномочий по администрированию ЛВС администратору
информационных ресурсов.
При наличии в структурном подразделении ЛВС на базе
собственного сервера ЛВС, назначается только администратор ЛВС
структурного подразделения без назначения администратора
информационных ресурсов этого подразделения.
Примечание: В настоящем Положении под термином "администратор"
следует понимать как "администратор ЛВС", так и "администратор
информационных ресурсов", в зависимости от контекста и полномочий,
возлагаемых на администратора, по выполнению требований
организационно - технических мероприятий согласно данному пункту
настоящего Положения.
3.2. Администратором назначается один из работников
информационного подразделения, на которого возлагаются
дополнительные полномочия и обязанности по обеспечению сохранности
и защите информационных ресурсов в соответствии с его должностной
инструкцией и настоящим Положением. В зависимости от количества ПК
и (или) объемов (сегментов) и типа ЛВС могут быть назначены
несколько администраторов.
При отсутствии в составе структурного подразделения
информационного подразделения или обслуживающего его
информационного подразделения администратором назначается один из
наиболее квалифицированных работников в области использования
(эксплуатации) ПК.
Администратор может часть своих функций и полномочий,
отраженных в настоящем Положении, возложить на других работников
информационного подразделения с согласия его руководителя.
3.3. К администратору предъявляются те же требования, что и к
пользователю в соответствии с настоящим Положением.
3.4. Администратор оказывает методическую помощь пользователям
по вопросам, входящим в его компетенцию в соответствии с настоящим
Положением. Устные или письменные указания администратора, не
противоречащие его должностной инструкции и требованиям настоящего
Положения, являются обязательными для исполнения пользователями.
3.5. Администратор определяет необходимость источника
бесперебойного питания для конкретного локального ПК и (или) ПК в
составе ЛВС. Наличие источника бесперебойного питания для серверов
ЛВС является обязательным.
3.6. Администратор определяет необходимость замены
(модификации, новой установки и т.п.) прикладного, операционного,
сетевого и других видов программного обеспечения и проводит ее
самостоятельно или с привлечением работников информационного
подразделения, в функциональные обязанности которых входит данная
работа.
3.7. Для уменьшения вероятности получения ущерба от случайных
или преднамеренных действий пользователей администратор обязан
определить и предоставить пользователям ЛВС только те права
доступа к информационным ресурсам, которые необходимы им для
выполнения своих должностных обязанностей.
3.8. Для исключения или существенного затруднения
несанкционированного доступа к информационным ресурсам
администратор может по своему усмотрению или по желанию
пользователя обеспечить загрузку операционной системы на ПК
пользователя посредством использования пароля.
Пароль не должен состоять из простых общеизвестных слов, имен,
фамилий и т.п. Желательно использование в пароле цифр, символов
пунктуации, других редко используемых символов. Длина пароля не
должна быть меньше пяти символов. Периодичность смены пароля
определяется администратором и (или) руководителем подразделения
пользователя. Запрещается назначение одного и того же пароля или
его несущественных модификаций на разных ПК.
Администратору запрещается передавать список паролей или
каждый в отдельности другому лицу, если у последнего нет на то
полномочий, определенных его должностными обязанностями или
другими распорядительными, предписывающими документами.
3.9. При назначении пароля каждому пользователю для его
регистрации вхождения в ЛВС и соблюдении мер по его неразглашению
администратор должен руководствоваться правилом, изложенным в
п.3.8 настоящего Положения.
Запрещается использование одного и того же пароля для загрузки
операционной системы на ПК пользователя и для регистрации
вхождения последнего в ЛВС.
3.10. При увольнении пользователя администратор обязан сменить
пароль загрузки операционной системы в используемом им ПК, удалить
идентификатор пользователя в ЛВС, сменить криптографические ключи,
если пользователем использовались средства шифрования информации,
провести другие аналогичные организационно - технологические
мероприятия, уменьшающие возможность несанкционированного доступа
к информационным ресурсам.
Не допускается назначение идентификатора уволившегося
пользователя новому (другому) пользователю ЛВС.
3.11. Администратор обязан совместно с руководителем
подразделения пользователя определить информационные ресурсы
общего пользования, требующие регулярного резервного сохранения
(архивирования), и принять меры для обеспечения данного
архивирования пользователями и (или) проводить эту процедуру
самостоятельно. Администратор также, совместно с пользователем,
определяет периодичность (составляет график) архивирования
соответствующих информационных ресурсов.
Отметку об архивировании администратору рекомендуется отражать
в таблице (см. приложение 1, форма 1).
Администратору рекомендуется также убедиться в возможности
восстановления информационных ресурсов с архивных копий.
3.12. Для предотвращения программно - математических
воздействий (вирусов), вызывающих модификацию, разрушение,
удаление информационных ресурсов и (или) сбои в работе ПК и (или)
ЛВС в целом, администратор обязан предусмотреть наличие
антивирусного программного обеспечения на локальном ПК, на ПК в
составе ЛВС и на сервере ЛВС. Конкретный вид антивирусного
программного обеспечения зависит как от технических характеристик
ПК, так и от используемого операционного и (или) сетевого
программного обеспечения и определяется администратором.
Администратор обязан предусмотреть возможность обновления
(получения новых версий) антивирусного программного обеспечения.
Администратор обязан настроить интерфейс ПК пользователя таким
образом, чтобы последний в удобной форме смог произвести
антивирусную проверку любого внешнего носителя информации
(дискета, стримерная лента, винчестер и т.п.).
Администратор обязан периодически (зависит от вида
антивирусного программного обеспечения), но не реже одного раза в
полгода, производить тестирование ПК пользователя на наличие
вируса. Данные результата проведения антивирусного контроля
рекомендуется заносить в таблицу (см. приложение 1, форма 3).
3.13. Администратор обязан предусмотреть выделение необходимых
сетевых ресурсов, доступных всем пользователям ЛВС, для исключения
необходимости обмена данными посредством внешнего носителя
информации между пользователями ЛВС.
3.14. Для обеспечения требования неизменности информации
администратор обязан периодически, но не реже одного раза в
полгода, проводить тестирование локальных ПК, ПК в составе ЛВС,
серверов ЛВС на целостность информационных ресурсов, которая
зависит как от аппаратно - программных ошибок, так и от действий
пользователя.
Вид используемого тестового программного обеспечения зависит
как от технических характеристик ПК, так и от используемого
операционного и (или) сетевого программного обеспечения и
определяется администратором. Данные результата проведения
контроля целостности информационных ресурсов рекомендуется
заносить в таблицу (см. приложение 1, форма 3).
3.15. Администратор обязан анализировать регистрационную
информацию, относящуюся к функционированию ЛВС, на предмет
отслеживания попыток несанкционированного доступа к информационным
ресурсам, других действий пользователей, которые могут привести к
модификации, разрушению, удалению информационных ресурсов или
сбоям в работе ПК и (или) ЛВС, если это позволяет сетевое
операционное программное обеспечение.
Перечень регистрационных показателей, фиксирующих
действительное состояние ЛВС и (или) любые ненормальные ситуации в
ее работе, зависит от конкретного вида сетевого операционного
программного обеспечения.
Администратор обязан производить распечатку файла,
содержащего регистрационные показатели ЛВС, если обнаружен факт
несанкционированного доступа или другие ненормальные ситуации в
работе ЛВС. Распечатки подшиваются в специальную палку, которая
хранится у администратора.
Необходимость применения дополнительных систем управления
информационными ресурсами, контроля, защищенности, разграничения
доступа и других средств защиты информации и безопасности
функционирования ЛВС (сетевых анализаторов, сканеров безопасности,
межсетевых экранов, драйверов сетевой защиты, различных фильтров и
т.п.) определяется администратором.
3.16. Администратор должен знать и правильно использовать те
аппаратно - программные средства защиты информационных ресурсов,
которые установлены на ПК и (или) ЛВС, и обеспечивать сохранность
информационных ресурсов посредством этих средств.
3.17. Администратор обязан иметь структурную схему ЛВС с
указанием схемы соединения всех входящих в нее средств обработки
информации: серверов, ПК, концентраторов, модемов, сетевых
принтеров, других аналогичных конструктивных элементов ЛВС с
указанием их технических параметров и мест расположения.
3.18. Администратор обязан проводить проверку (не реже одного
раза в полгода) наличия и порядка ведения пользователями учетного
журнала в соответствии с разделом 2 настоящего Положения.
Результаты проверки заносятся администратором в соответствующую
графу этого журнала.
3.19. Время хранения администратором журнала (см. приложение
1, форма 1 и (или) форма 3) определяется моментом заведения
следующего аналогичного журнала при наличии двух уже имеющихся или
не должно быть менее года после его заполнения.
3.20. Администратор обязан информировать начальника
информационного подразделения, руководителя подразделения
пользователя и руководителя подразделения по информационной
безопасности (или аналогичного подразделения или сотрудника,
выполняющего данные функции) о любых нарушениях требований по
обеспечению сохранности и защите информационных ресурсов, в
соответствии с настоящим Положением, другими нормативными
правовыми документами и здравым смыслом, и (или) о возможности
появления таких нарушений, которые могут привести к
несанкционированному доступу, модификации, разрушению, удалению
информационных ресурсов или сбоям в работе ПК и (или) ЛВС.
3.21. Администратор обязан предоставлять руководителю
подразделения по информационной безопасности (или аналогичного
подразделения или сотрудника, выполняющего данные функции)
необходимую ему информацию в части возложенных на администратора
полномочий и обязанностей в соответствии с настоящим Положением.
4. Общие требования по защите конфиденциальных
электронных информационных ресурсов для руководителей
подразделений, пользователей и администраторов
4.1. Порядок обработки, обращения и использования электронных
информационных ресурсов, а следовательно и требования по их защите
определяются категорией этих информационных ресурсов: открытые и
общедоступные или ограниченного доступа. В свою очередь
информационные ресурсы с ограниченным доступом подразделяются на
две категории: информацию, отнесенную к государственной тайне и
конфиденциальную.
4.2. Сведения, отнесенные к государственной тайне, определены
в следующих нормативных правовых актах Российской Федерации и
Хабаровского края:
- Федеральном Законе от 06.10.97 N 131-ФЗ "О внесении
изменений и дополнений в Закон Российской Федерации "О
государственной тайне";
- Указе Президента Российской Федерации от 24.01.98 N 61 "О
перечне сведений, отнесенных к государственной тайне";
- постановлении главы администрации края от 08.07.97 N 274-013
"Об утверждении развернутого Перечня сведений, отнесенных к
государственной тайне по Хабаровскому краю";
- других отраслевых (ведомственных и прочих) перечнях
сведений, отнесенных к государственной тайне, на основаниях и в
порядке, установленным федеральным законодательством.
Требования по защите электронных информационных ресурсов,
составляющих государственную тайну, определены постановлением
главы администрации края от 05.01.99 N 1-01 "О выполнении
требований документа "СТР-97" и не отменяют общих требований по
защите конфиденциальных информационных ресурсов в случае
совместной обработки на одном ПК двух категорий указанных
информационных ресурсов.
4.3. Сведения, отнесенные к конфиденциальной информации,
определены в следующих нормативных правовых актах Российской
Федерации и Хабаровского края:
- Федеральном Законе от 20.02.95 N 24-ФЗ "Об информации,
информатизации и защите информации";
- Указе Президента Российской Федерации от 06.03.97 N 188 "Об
утверждении перечня сведений конфиденциального характера";
- постановлении главы администрации края от 31.12.97 N 565 "Об
утверждении Перечня сведений администрации Хабаровского края,
относящихся к служебной информации".
4.4. На каждый ПК, обрабатывающий конфиденциальные
информационные ресурсы согласно пп.4.3. настоящего Положения,
руководителем подразделения пользователя совместно с
администратором составляется регистрационная карта по типовой
форме (см. приложение 2).
За начальную основу для составления регистрационной карты
принимается "Акт регистрации технических средств, обрабатывающих
информацию ограниченного доступа" в данном структурном
подразделении согласно постановлению главы администрации края от
15.05.98 N 197 "О регистрации технических средств, обрабатывающих
информацию ограниченного доступа".
Дальнейшая регистрация (выявление) новых информационных
ресурсов конфиденциального характера (если таковые будут иметь
место), подлежащих обработке на ПК, возлагается на руководителя
подразделения пользователя и администратора.
При регистрации (выявлении) информационных ресурсов,
составляющих государственную тайну, руководитель подразделения
пользователя обязан прекратить их обработку на ПК, сообщить об
этом руководителю подразделения по информационной безопасности
(или аналогичного подразделения или сотруднику, выполняющему
данные функции) и в дальнейшем руководствоваться постановлением
главы администрации края от 05.01.99 N1-01 "О выполнении
требований документа "СТР-97".
Ответственность за своевременное составление регистрационной
карты, ее ведение и регистрацию в ней текущих изменений
возлагается на руководителя подразделения пользователя и
администратора в части их касающейся (пояснения по заполнению и
ведению регистрационной карты указаны в приложении 2).
Регистрационная карта на ПК хранится у администратора.
Запрещается обрабатывать конфиденциальные информационные
ресурсы на ПК, не имеющем должным образом заполненную
регистрационную карту.
4.5. Оформление и учет документов, содержащих конфиденциальную
информацию и полученных на печатающем устройстве ПК, производится
согласно Положению о порядке обращения со служебной информацией в
органах исполнительной власти и местного самоуправления
Хабаровского края, утвержденного постановлением главы
администрации края от 07.02.97 N 44 "Об утверждении документов по
информационной безопасности".
4.6. Передача конфиденциальных информационных ресурсов по
открытым каналам связи и телекоммуникаций разрешается только при
использовании криптографических средств защиты информации. При
отсутствии (невозможности приобретения) сертифицированных
криптографических средств защиты информации разрешается
использовать отечественные несертифицированные криптографические
средства защиты информации, если последние удовлетворяют
соответствующим ГОСТам.
4.7. Обработка персональных данных, которые относятся к
категории конфиденциальных информационных ресурсов, разрешается
только на ПК (включая любые виды подключенного к нему
периферийного и (или) специального оборудования), прошедшем
специальные исследования на предмет выявления в нем электронных
устройств перехвата информации и соответствия уровня побочных
электромагнитных излучений и наводок допустимым нормам.
4.8. Любой вид информационного обеспечения ПК (массивы
документов, электронные таблицы, базы и банки данных и т.д.),
обрабатывающего персональные данные и предназначенный для
информационного обслуживания граждан и организаций, должен быть
сертифицирован в порядке, установленном Законом Российской
Федерации от 10.06.93 N 5151-1 "О сертификации продукции и услуг".
4.9. Обработка персональных данных разрешается только на ПК,
имеющих сертифицированные аппаратно - программные средства защиты
информационных ресурсов (персональных данных) от
несанкционированного доступа.
4.10. Требования, указанные в пп.4.7 - 4.9. настоящего
Положения, рекомендуется применять для ПК, обрабатывающих другие
виды конфиденциальных ресурсов.
4.11. Использование других аппаратных и (или) программных
средств защиты информации определяется администратором согласно
нормативным правовым и методическим документам и зависит от
категории информационных ресурсов, технических характеристик ПК
и (или) ЛВС в целом, используемого операционного и (или) сетевого
программного обеспечения, наличия систем связи и телекоммуникаций
с внешними информационными системами и других организационно -
технологических факторов.
4.12. Ответственность за выполнение требований пп.4.5 - 4.11
настоящего Положения возлагается в равной степени как на
руководителя подразделения пользователя, так и на администратора
информационных ресурсов.
Приложение 1
к Положению по обеспечению сохранности
и защите электронных информационных ресурсов
в структурных подразделениях администрации края
Форма 1
--------------T--------------T-------------T-------------T-------¬
¦ Дата ¦Информационный¦ Вид и место ¦ Ф.И.О. ¦Роспись¦
¦ проведения ¦ресурс (банки ¦архивирования¦ сотрудника, ¦ ¦
¦архивирования¦ данных, ¦ ¦проводившего ¦ ¦
¦ ¦ электронные ¦ ¦архивирование¦ ¦
¦ ¦ таблицы, ¦ ¦ ¦ ¦
¦ ¦тексты и т.п.)¦ ¦ ¦ ¦
L-------------+--------------+-------------+-------------+--------
Форма 2
----T----------T-------------T----------T------------T------------T----------¬
¦ N ¦ Тип ¦ Откуда ¦ Дата ¦ Должность, ¦ Сведения о ¦Примечание¦
¦п/п¦ внешнего ¦ получено ¦проведения¦ Ф.И.О. ¦ результате ¦(действия,¦
¦ ¦ носителя ¦(организация,¦ проверки ¦ сотрудника,¦антивирусной¦отметка о ¦
¦ ¦информации¦ должность, ¦ ¦проводившего¦ проверки ¦контроле и¦
¦ ¦ ¦ Ф.И.О.) ¦ ¦ проверку ¦ ¦ т.д.) ¦
L---+----------+-------------+----------+------------+------------+-----------
Форма 3
------------T---------------T----------T------------T------------¬
¦ Тип ПК, ¦ Антивирусная ¦ Дата ¦ Должность, ¦ Примечание ¦
¦инвентарный¦ проверка ¦проведения¦ Ф.И.О. ¦ (результат ¦
¦ номер ¦(указать каким ¦ проверки ¦ сотрудника,¦ проверки, ¦
¦ ¦ средством, ¦ ¦проводившего¦ выводы, ¦
¦ ¦ версия) ¦ ¦ проверку ¦ действия, ¦
¦ ¦ или ¦ ¦ ¦ отметка о ¦
¦ ¦ Проверка ¦ ¦ ¦ контроле и ¦
¦ ¦ целостности ¦ ¦ ¦ т.д.) ¦
¦ ¦(указать каким ¦ ¦ ¦ ¦
¦ ¦ средством) ¦ ¦ ¦ ¦
L-----------+---------------+----------+------------+-------------
Приложение 2
к Положению по обеспечению сохранности
и защите электронных информационных ресурсов
в структурных подразделениях администрации края
Для служебного пользования
Экз. единственный
(по заполнению)
РЕГИСТРАЦИОННАЯ КАРТА
на персональный компьютер
(типовая форма)
1. Наименование структурного подразделения.
2. Наименование подразделения пользователя.
3. Расположение ПК (адрес, этаж, комната).
4. Ответственное лицо за использование (эксплуатацию) ПК.
5. Дата начала эксплуатации ПК в подразделении пользователя.
6. Наличие сертификата по требованиям безопасности информации
или предписания на эксплуатацию или другого аналогичного
документа.
7. Состав ПК (можно указать название ПК):
- системный блок, инвентарный (серийный) номер;
- монитор, инвентарный (серийный) номер;
- принтер, инвентарный (серийный) номер;
- сканер, инвентарный (серийный) номер;
- модем, инвентарный (серийный) номер;
- другие периферийные средства ПК, инвентарный (серийный)
номер.
8. Номера пунктов из Перечня сведений администрации
Хабаровского края, относящихся к служебной информации, содержимое
которых соответствует обрабатываемым ПК конфиденциальным
информационным ресурсам.
9. Операционная система, наличие ЛВС.
10. Информационное обеспечение, обрабатывающее
конфиденциальные информационные ресурсы.
11. Указание паролей пользователя, согласно пп.2.5 настоящего
Положения.
12. Наличие специальных аппаратно - программных средств защиты
информации от несанкционированного доступа, наличие на них
сертификата.
13. Наличие (возможность подключения) других систем связи,
телекоммуникаций (включая различные информационные системы).
14. Наличие криптографических и других средств защиты
информации согласно п.13 настоящей регистрационной карты.
15. Прочие сведения на дату заполнения регистрационной карты.
Дата
Руководитель подразделения пользователя ______________________
(Ф.И.О., подпись)
Администратор __________________________
(Ф.И.О., подпись)
Пояснения по заполнению и ведению регистрационной карты
1. Содержимое вышеперечисленных пунктов регистрационной карты
указывается по своему фактическому наличию на дату заполнения
регистрационной карты.
2. Заполненная и подписанная регистрационная карта дополняется
листом регистрации изменений и контроля, в котором указываются (в
произвольной форме):
2.1. Факт изменения содержимого любых из перечисленных выше
пунктов регистрационной карты.
2.2. Факт проведения любых конструктивных изменений
(модернизация, ремонт, замена составляющих и т.д.) ПК и
подключенного к нему периферийного оборудования.
2.3. Факт модернизации или установки нового информационного
обеспечения (массивы документов, электронные таблицы, базы и банки
данных и т.д.), обрабатывающего конфиденциальные информационные
ресурсы.
2.4. Факт проведения проверочных мероприятий (контроля)
работниками, уполномоченными проводить данное мероприятие.
2.5. Прочие сведения, которые могут затронуть вопросы
сохранности и защиты конфиденциальных информационных ресурсов.
3. Сведения, указанные в листе регистрации и контроля
визируются руководителем подразделения пользователя и (или)
администратором в части их касающейся.
4. При прекращении обработки конфиденциальных информационных
ресурсов на ПК в его регистрационной карте делается об этом
отметка. Регистрационная карта хранится после этого в течении года
у администратора и, если на ПК не возобновляется обработка
конфиденциальных информационных ресурсов, передается
администратором руководителю подразделения по информационной
безопасности (или аналогичного подразделения).
5. При передаче ПК в другое подразделение (структуру,
организацию и т.д.), конфиденциальные информационные ресурсы
уничтожаются администратором таким образом, чтобы их
восстановление было невозможным (если продолжение их обработки на
этом ПК, но уже в другом подразделении не связано с
производственной необходимостью). В регистрационной карте ПК
делается об этом отметка, и она хранится после этого в течении
года у администратора, а затем передается им руководителю
подразделения по информационной безопасности (или аналогичного
подразделения). На переданный в другое подразделения ПК заводится
новая регистрационная карта согласно пп.4.4 настоящего Положения.
6. При списании ПК (порче или других поломках, когда ПК не
подлежит восстановлению) соответствующая отметка делается в его
регистрационной карте, и она хранится после этого в течении года у
администратора, а затем передается им руководителю подразделения
по информационной безопасности (или аналогичного подразделения).
|
