Утверждаю
Заместитель Министра
путей сообщения
Российской Федерации
А.С.МИШАРИН
31 января 2000 г. N ЦИС-764
Согласовано
Руководитель Департамента
информации и связи
В.С.ВОРОНИН
27 января 2000 года
Начальник Управления
экономической защиты
П.Е.МАРТЫНОВ
27 января 2000 года
ИНСТРУКЦИЯ
О ПОРЯДКЕ ВВОДА В ЭКСПЛУАТАЦИЮ СРЕДСТВ ЭВТ МИНИСТЕРСТВА
ПУТЕЙ СООБЩЕНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ, ИСПОЛЬЗУЕМЫХ
В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ОБРАБОТКИ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Инструкция предназначена для структурных
подразделений МПС России, железных дорог и других организаций
федерального железнодорожного транспорта (далее - организации
федерального железнодорожного транспорта), использующих средства
электронно-вычислительной техники (ЭВТ) для автономных
автоматизированных рабочих мест (АРМ) и в автономных
автоматизированных системах (АС), локальных вычислительных сетях
различного уровня и назначения для обработки, передачи,
отображения и хранения конфиденциальной информации (далее -
обработка конфиденциальной информации).
1.2. Инструкция разработана в соответствии с Федеральным
законом "Об информации, информатизации и защите информации",
Указом Президента Российской Федерации от 06.03.1997 N 188 "Об
утверждении перечня сведений конфиденциального характера",
Постановлениями Правительства Российской Федерации от 15.09.1993 N
912-51, от 03.11.1994 N 1233, другими нормативными и правовыми
актами Российской Федерации, нормативно-техническими и
методическими документами Гостехкомиссии России по технической
защите информации, указаниями МПС России от 08.04.1994 N М-288/сп-
у, от 27.04.1999 N 0162, от 24.05.1999 N Л-906 у/сп, нормативными
и методическими документами МПС России.
1.3. Инструкция устанавливает единые требования и порядок
организации работ по вводу в эксплуатацию средств ЭВТ,
предназначенных для обработки конфиденциальной информации,
содержащей сведения, составляющие служебную (информация
ограниченного распространения) и коммерческую тайну, от
несанкционированного доступа и от ее утечки по техническим
каналам.
1.4. Требования настоящей Инструкции распространяются на этапы
установки, внедрения и эксплуатации средств ЭВТ.
1.5. В Инструкции использованы термины и определения,
приведенные в Приложении 1 к настоящей Инструкции.
2. СОДЕРЖАНИЕ И УСЛОВИЯ ВЫПОЛНЕНИЯ МЕРОПРИЯТИЙ
ПО ЗАЩИТЕ СРЕДСТВ ЭВТ
2.1. Защита средств ЭВТ заключается в использовании комплекса
организационных мероприятий, технических и, при необходимости,
криптографических средств с целью создания условий безопасной
обработки конфиденциальной информации.
2.2. Комплекс организационных мероприятий по защите
конфиденциальной информации при ее обработке средствами ЭВТ должен
предусматривать:
документальное оформление перечней задач и сведений
конфиденциального характера, подлежащих защите;
организацию пропускного и внутриобъектового режима,
исключающего нахождение посторонних лиц внутри контролируемой
зоны;
реализацию разрешительной системы допуска исполнителей
(пользователей, обслуживающего персонала) к конфиденциальной
информации и связанным с ее использованием работам, документам;
ограничение доступа персонала и посторонних лиц в защищаемые
помещения и помещения, где размещены средства информатизации и
коммуникации, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала
к информационным ресурсам, программным средствам обработки
(передачи) и защиты информации;
учет документов, информационных массивов, регистрация действий
пользователей АС и обслуживающего персонала, контроль за
несанкционированным доступом и действиями пользователей,
обслуживающего персонала и посторонних лиц;
надежное хранение машинных носителей информации, ключей
(ключевой документации) и их обращение, исключающее их хищение,
подмену и уничтожение;
необходимое резервирование технических средств и дублирование
массивов и носителей информации.
2.3. Организационно-режимные мероприятия проводятся с целью
предотвращения случаев съема (перехвата) конфиденциальной
информации с помощью технических средств и за счет
несанкционированного доступа в пределах контролируемой зоны (КЗ).
Организация данных мероприятий, охрана зданий и помещений,
использование технических средств охраны (ТСО) возлагается на
Первые отделы и отряды военизированной охраны организаций
федерального железнодорожного транспорта.
2.4. Защита конфиденциальной информации от утечки по каналу
побочных электромагнитных излучений и наводок (ПЭМИН)
обеспечивается:
выбором средств вычислительной техники, обладающих минимальным
уровнем ПЭМИН;
проведением специальных исследований средств ЭВТ;
выполнением требований предписаний на эксплуатацию средств ЭВТ;
использованием сертифицированных средств защиты информации;
размещением понижающих трансформаторных подстанций
электропитания и контуров заземления средств ЭВТ и АС в пределах
контролируемой зоны;
развязкой цепей электропитания средств ЭВТ и АС с помощью
защитных фильтров, блокирующих (подавляющих) информативный сигнал;
электрической развязкой линий связи и других цепей, выходящих
за пределы контролируемой зоны и остающихся внутри нее.
2.5. Защита от несанкционированного доступа к информации в
средствах ЭВТ и АС обеспечивается:
назначением администраторов безопасности из числа специалистов
по информационным технологиям подразделений организаций
федерального железнодорожного транспорта;
оснащением средств ЭВТ и АС сертифицированными средствами
защиты от несанкционированного доступа (НСД);
определением полномочий пользователей (операторов) по их
доступу к базам данных средств ЭВТ и АС;
присвоением пользователям средств ЭВТ и АС (операторам АРМ)
индивидуальных паролей;
установкой строгой периодичности смены паролей по согласованию
с подразделениями информационной безопасности (администраторами
безопасности) организаций федерального железнодорожного
транспорта;
исключением случаев допуска лиц, не имеющих прав доступа к
работе с конфиденциальной информацией на средствах ЭВТ и АС;
установлением и соблюдением порядка хранения машинных носителей
конфиденциальной информации и технических средств ее обработки;
контролем действий пользователей с целью выявления возможных
несанкционированных попыток доступа к информационным ресурсам АС.
При увольнении или перемещении пользователей или администратора
АС руководителем подразделения соответствующей организации
федерального железнодорожного транспорта по согласованию с ее
отделом (группой) информационной безопасности должны быть приняты
меры по оперативному изменению паролей, идентификаторов и ключей
шифрования.
2.6. В целях дифференцированного подхода к защите информации в
обязательном порядке производится классификация средств ЭВТ и АС
по требованиям защищенности от НСД к конфиденциальной информации.
Класс защищенности средств ЭВТ и АС от НСД к конфиденциальной
информации устанавливается:
на стадии проектирования - совместно заказчиком и разработчиком
АС и отражается в техническом задании (ТЗ) на создаваемую АС;
на действующих, но ранее не классифицированных АС -
руководителем структурного подразделения организации федерального
железнодорожного транспорта с привлечением специалистов
соответствующего подразделения информационной безопасности.
Выбор класса защищенности средств ЭВТ или АС от НСД к
информации осуществляется на основании заключения об уровне
конфиденциальности обрабатываемой информации и в соответствии с
требованиями руководящего документа (РД) Гостехкомиссии России
"Автоматизированные системы. Защита от несанкционированного
доступа к информации. Классификация автоматизированных систем и
требования по защите информации" и оформляется актом.
2.7. Средства ЭВТ иностранного производства, используемые для
обработки конфиденциальной информации, по решению руководителя
организации федерального железнодорожного транспорта, принимаемому
исходя из важности обрабатываемой информации и величины возможного
ущерба, могут быть подвергнуты специальной проверке с целью
выявления возможно внедренных в них электронных устройств
перехвата информации ("закладок").
Средства ЭВТ иностранного производства, применяемые для
обработки сведений, отнесенных МПС России к государственной тайне,
а также в случае их установки в выделенных помещениях организаций
федерального железнодорожного транспорта подлежат обязательной
спецпроверке на отсутствие "закладных" устройств.
Специальные проверки средств ЭВТ иностранного производства
организуются государственным унитарным предприятием
"Аттестационный центр "Желдоринформзащита" МПС России и его
региональными филиалами, а также подразделениями информационной
безопасности организаций федерального железнодорожного транспорта.
При этом к спецпроверкам привлекаются специализированные
организации, имеющие лицензию Федерального агентства
правительственной связи и информации при Президенте Российской
Федерации (ФАПСИ) на данный вид работ.
2.8. В помещениях, где осуществляется обработка
конфиденциальной информации, предусматриваются мероприятия по ее
защите от визуально-оптических и фотографических средств
технической разведки.
Размещение видеотерминальных устройств, средств ЭВТ и АРМ
необходимо проводить с учетом максимального затруднения
возможности визуального просмотра конфиденциальной информации с
экранов мониторов посторонними лицами, а также принимать
дополнительные меры, исключающие возможный просмотр (шторы на
окнах, жалюзи, защитные экраны и т.п.).
Кроме того, в случае размещения в одном помещении различных
технических средств одного или нескольких АРМ должен быть исключен
несанкционированный просмотр обрабатываемой конфиденциальной
информации.
2.9. Обработка конфиденциальной информации на средствах ЭВТ без
выполнения необходимых мер защиты не допускается.
Ответственность за выполнение разработанных мероприятий, а
также требований нормативных документов по защите средств ЭВТ и АС
возлагается на руководителей подразделений, использующих данные
средства для обработки конфиденциальной информации.
3. ОРГАНИЗАЦИЯ РЕЖИМА ДОСТУПА НА ОБЪЕКТЫ,
ИСПОЛЬЗУЮЩИЕ СРЕДСТВА ЭВТ
3.1. Защита от проникновения посторонних лиц на территорию КЗ
объектов организаций федерального железнодорожного транспорта
обеспечивается организацией режима доступа, а также
соответствующей инженерно-технической защитой помещений с
установленными в них средствами ЭВТ, которые предусматривают
проведение следующих мероприятий:
обеспечение пропускного и внутриобъектового режимов;
определение границ КЗ;
проверка выполнения установленного порядка доступа в помещения,
находящиеся в пределах КЗ;
инженерно-техническая защита (наличие охранной сигнализации,
охранного телевидения и т.п.);
защита технических средств ЭВТ и носителей информации от
несанкционированного доступа, повреждения или хищения.
3.2. Пропускной режим предусматривает:
обеспечение охраны КЗ, организацию контрольно-пропускных
пунктов и постов;
определение перечня должностных лиц, имеющих право давать
разрешение на выдачу соответствующего вида пропуска на объекты и в
определенные зоны (технологические, производственные,
административные и др.) организаций федерального железнодорожного
транспорта.
3.3. Внутриобъектовый режим предусматривает:
определение круга должностных лиц, имеющих право на работу с
документами конфиденциального характера, и лиц, допускаемых к той
или иной конфиденциальной информации;
определение категории и правил работы с информацией;
обеспечение установленного порядка работы с конфиденциальной
информацией;
доведение до исполнителей такого объема конфиденциальных
сведений, который необходим для выполнения конкретных служебных
заданий;
осуществление контроля за использованием технических средств,
предназначенных для обработки конфиденциальной информации.
3.4. Помещения, в которых устанавливаются средства ЭВТ, должны
надежно охраняться и иметь:
прочные двери, оборудованные замками повышенной надежности,
или, при необходимости, шифрзамками, шифры которых должны
периодически меняться;
средства защиты окон от возможного проникновения через них в
помещения, а также двойные рамы и шторы на окнах, защищающие от
визуального наблюдения;
технические средства охраны, связанные с центральным пультом
военизированной охраны организации федерального железнодорожного
транспорта.
Выдачу ключей от помещений осуществлять должностным лицам,
ответственным за данные помещения или работающим в них. Уборка
этих помещений должна производиться в присутствии лиц,
ответственных за эти помещения. В случае ухода из помещений в
рабочее время, необходимо их закрывать на ключ или оставлять под
ответственность доверенных лиц (например, секретаря).
В нерабочее время помещения должны запираться, опечатываться и
сдаваться под охрану.
3.5. Во время эксплуатации средств ЭВТ, предназначенных для
обработки конфиденциальной информации, должны быть предусмотрены
меры по исключению случаев несанкционированного вскрытия средств
ЭВТ при проведении ремонтных, профилактических и других видов
работ.
Порядок допуска к узлам, блокам и другим составным элементам
средств ЭВТ определяет руководитель подразделения, в чьем ведении
находится средство ЭВТ, по согласованию с соответствующим
подразделением информационной безопасности организаций
федерального железнодорожного транспорта.
В случае необходимости проведения ремонтных работ на средствах
ЭВТ с привлечением специализированных ремонтных организаций или
передачи им оборудования обеспечивается обязательное
гарантированное уничтожение (стирание) конфиденциальной информации
на жестких дисках под контролем соответствующего подразделения
информационной безопасности организации федерального
железнодорожного транспорта, о чем составляется протокол (акт).
4. ПОРЯДОК ПРОВЕДЕНИЯ МЕРОПРИЯТИЙ ПО ВВОДУ
В ЭКСПЛУАТАЦИЮ СРЕДСТВ ЭВТ И АС
4.1. В соответствии с требованиями нормативно-технических и
методических документов Гостехкомиссии России и МПС России
основными организационно-техническими мероприятиями при вводе
средств ЭВТ и АС в эксплуатацию являются:
4.1.1. Для действующих средств ЭВТ или АС:
классификация средств ЭВТ и АС по защите информации от НСД;
определение специальных требований (требования по
электропитанию, заземлению, размещению, по использованию средств
защиты информации от НСД и от ее утечки по каналу ПЭМИН и др.) и
выработка рекомендаций по защите средств ЭВТ или АС;
проверка выполнения специальных требований по защите на месте
эксплуатации средств ЭВТ или АС;
специальные объектовые исследования (специсследования) средств
ЭВТ;
определение состава и содержания необходимых защитных
мероприятий;
выдача предписания на эксплуатацию средств ЭВТ или АС;
приемка проведенных работ;
разработка организационно-распорядительной документации
(инструкции по эксплуатации технических и программных средств
защиты от НСД администратору АС и безопасности, журналы
установленной формы по учету гибких магнитных дисков, дискет,
съемных накопителей информации большой емкости, приказ
руководителя организации федерального железнодорожного транспорта
о разрешении (начале) обработки конфиденциальной информации на
конкретных средствах ЭВТ и АС, о назначении лиц, ответственных за
их эксплуатацию, акт классификации АС, технические паспорта на АС
и др.);
проведение периодического контроля эффективности принятых мер
защиты.
4.1.2. Для проектируемых и строящихся средств ЭВТ или АС:
заключение договора на создание рабочего места и оборудование
АРМ средствами ЭВТ;
классификация средств ЭВТ и АС по защите информации от НСД;
составление ТЗ на проектирование АС с учетом включения в него
мероприятий по защите информации;
сопровождение и контроль проведения проектных работ,
согласование проектной и рабочей документации;
приемка проведенных работ по защите средств ЭВТ или АС в
соответствии с требованиями ТЗ;
оценка защищенности средств ЭВТ и выдача предписания на их
эксплуатацию;
проведение периодического контроля за выполнением мероприятий
защиты и их эффективностью (после ввода средств в эксплуатацию).
4.2. Классификация средств ЭВТ.
4.2.1. В целях дифференцированного подхода к защите
конфиденциальной информации, обрабатываемой в АРМ на базе
автономных ПЭВМ, ЛВС и в других автоматизированных системах (АС),
проводится классификация АС.
4.2.2. Классификации подлежат все действующие, но ранее не
классифицированные, и разрабатываемые АС, предназначенные для
обработки конфиденциальной информации.
4.2.3. Выбор класса АС осуществляется в соответствии с
рекомендациями РД Гостехкомиссии России "Автоматизированные
системы. Защита от НСД к информации. Классификация АС и требования
по защите информации". В зависимости от вида сведений
конфиденциального характера классифицируются:
АС, обрабатывающие информацию, составляющую служебную тайну;
АС, обрабатывающие персональные данные и информацию,
составляющую коммерческую тайну.
4.3. Контроль защищенности средств ЭВТ в процессе его
эксплуатации.
4.3.1. Контроль эффективности принятых мер защиты проводится
подразделениями информационной безопасности МПС России (в случае
их отсутствия - ответственными за данное направление работ) не
реже одного раза в год.
Результаты контроля защищенности средств ЭВТ фиксируются в
Техническом паспорте на объект ЭВТ.
Согласовано
И.о. Начальника ГВЦ МПС
В.Ф.ВИШНЯКОВ
Начальник Первого отдела
МПС России
А.А.КРЫЛОВ
27 января 2000 года
Директор
Аттестационного центра
"Желдоринформзащита
МПС России"
М.М.ПЕТРОВ
27 января 2000 года
Приложение 1
к Инструкции
от 31 января 2000 г. N ЦИС-764
ИСПОЛЬЗУЕМЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
----------------T------------------------------------------------¬
¦Информация ¦Сведения о лицах, предметах, фактах, событиях, ¦
¦ ¦явлениях и процессах независимо от формы их ¦
¦ ¦представления ¦
+---------------+------------------------------------------------+
¦Информационные ¦Отдельные документы и отдельные массивы ¦
¦ресурсы ¦документов в электронной форме, базы данных и ¦
¦информационной ¦программное обеспечение, используемые в ¦
¦системы ¦информационных системах ¦
+---------------+------------------------------------------------+
¦Информационная ¦Приемы, способы и методы применения средств ¦
¦технология ¦вычислительной техники при выполнении функций ¦
¦ ¦хранения, обработки, передачи и использования ¦
¦ ¦данных (ГОСТ 34.003) ¦
+---------------+------------------------------------------------+
¦Информационный ¦Процесс создания, сбора, обработки, накопления, ¦
¦процесс ¦хранения, поиска, распространения и потребления ¦
¦ ¦информации ¦
+---------------+------------------------------------------------+
¦Документирован-¦Информация, зафиксированная на материальном ¦
¦ная информация,¦носителе, с реквизитами, позволяющими ее ¦
¦документ ¦идентифицировать. ¦
¦ ¦ Примечание: ¦
¦ ¦ Документированная информация с ограниченным ¦
¦ ¦доступом по условиям ее правового режима ¦
¦ ¦подразделяется на информацию, отнесенную к ¦
¦ ¦государственной тайне, и конфиденциальную ¦
+---------------+------------------------------------------------+
¦Защищаемая ¦Информация, являющаяся предметом собственности ¦
¦информация ¦и подлежащая защите в соответствии с требова- ¦
¦ ¦ниями правовых документов или требованиями, ¦
¦ ¦устанавливаемыми собственником информации ¦
+---------------+------------------------------------------------+
¦Конфиденциаль- ¦Информация, не составляющая государственную ¦
¦ная информация ¦тайну, доступ к которой ограничивается в ¦
¦ ¦соответствии с законодательством Российской ¦
¦ ¦Федерации ¦
+---------------+------------------------------------------------+
¦Служебная тайна¦Сведения служебного характера, не составляющие ¦
¦ ¦государственную тайну, доступ к которым ¦
¦ ¦ограничивается органами государственной власти ¦
¦ ¦в соответствии с Гражданским кодексом ¦
¦ ¦Российской Федерации и федеральными законами ¦
+---------------+------------------------------------------------+
¦Коммерческая ¦Сведения, связанные с коммерческой деятель- ¦
¦тайна ¦ностью, не составляющие государственную тайну, ¦
¦ ¦доступ к которым ограничен в соответствии с ¦
¦ ¦Гражданским кодексом Российской Федерации и ¦
¦ ¦федеральными законами ¦
+---------------+------------------------------------------------+
¦Доступность ¦Состояние информации, ее носителей и технологии ¦
¦информации ¦ее обработки, при котором обеспечивается ¦
¦ ¦беспрепятственный доступ к информации ¦
¦ ¦субъектов, имеющих на это надлежащие полномочия ¦
+---------------+------------------------------------------------+
¦Доступ к ¦Получение субъектом возможности ознакомления с ¦
¦информации ¦информацией и/или воздействия на нее (проникно- ¦
¦ ¦вения к защищаемой информации), в том числе при ¦
¦ ¦помощи технических средств ¦
+---------------+------------------------------------------------+
¦Разграничение ¦Способ защиты информации путем установления ¦
¦доступа ¦правил разграничения доступа к информации и/или ¦
¦ ¦объекту защиты ¦
+---------------+------------------------------------------------+
¦Правила ¦Совокупность норм и правил, регламентирующих ¦
¦разграничения ¦порядок доступа к информации и/или объекту ¦
¦доступа ¦защиты ¦
+---------------+------------------------------------------------+
¦Правило доступа¦Порядок и условия доступа субъекта к защищаемой ¦
¦к защищаемой ¦информации и ее носителям ¦
¦информации; ¦ ¦
¦правило доступа¦ ¦
+---------------+------------------------------------------------+
¦Право доступа к¦Совокупность норм, регулирующих отношение субъ- ¦
¦защищаемой ¦ектов к защищаемой информации, установленных ¦
¦информации, ¦правовыми документами или собственником, ¦
¦право доступа ¦владельцем информации ¦
+---------------+------------------------------------------------+
¦Санкционирован-¦Доступ к информации, не нарушающий право доступа¦
¦ный доступ к ¦ ¦
¦информации ¦ ¦
+---------------+------------------------------------------------+
¦Несанкциониро- ¦Доступ к защищаемой информации заинтересованным ¦
¦ванный доступ к¦субъектом с нарушением установленных норматив- ¦
¦информации ¦ными правовыми актами или собственником, вла- ¦
¦ ¦дельцем информации прав или правил доступа к ¦
¦ ¦защищаемой информации ¦
+---------------+------------------------------------------------+
¦Субъект доступа¦Лицо или процесс, действия которого регламенти- ¦
¦ ¦руются правилами разграничения доступа ¦
+---------------+------------------------------------------------+
¦Нарушитель ¦Субъект, осуществляющий несанкционированный ¦
¦правил разгра- ¦доступ к информации ¦
¦ничения доступа¦ ¦
+---------------+------------------------------------------------+
¦Уровень полно- ¦Совокупность прав доступа субъекта доступа ¦
¦мочий субъекта ¦ ¦
¦доступа ¦ ¦
+---------------+------------------------------------------------+
¦Идентификатор ¦Уникальный признак субъекта или объекта доступа ¦
¦доступа ¦ ¦
+---------------+------------------------------------------------+
¦Идентификация ¦Присвоение субъектам и объектам доступа иденти- ¦
¦ ¦фикатора и/или сравнение предъявляемого иденти- ¦
¦ ¦фикатора с перечнем присвоенных идентификаторов ¦
+---------------+------------------------------------------------+
¦Пароль ¦Идентификатор субъекта доступа, который ¦
¦ ¦является его секретом ¦
+---------------+------------------------------------------------+
¦Аутентификация ¦Проверка принадлежности субъекта доступа ¦
¦ ¦предъявленному им идентификатору, подтверждение ¦
¦ ¦подлинности ¦
+---------------+------------------------------------------------+
¦Администратор ¦Субъект доступа, ответственный за защиту авто- ¦
¦безопасности ¦матизированной системы от несанкционированного ¦
¦ ¦доступа к информации и несанкционированных ¦
¦ ¦воздействий на нее ¦
+---------------+------------------------------------------------+
¦Основные техни-¦Технические средства и системы, а также их ¦
¦ческие средства¦коммуникации, используемые для обработки, ¦
¦и системы ¦хранения и передачи защищаемой информации ¦
¦(ОТСС) ¦ ¦
+---------------+------------------------------------------------+
¦Вспомогательные¦Технические средства и системы, не предназна- ¦
¦технические ¦ченные для передачи, обработки и хранения ¦
¦средства и ¦защищаемой информации, устанавливаемые ¦
¦системы (ВТСС) ¦совместно с ОТСС или в защищаемом помещении ¦
+---------------+------------------------------------------------+
¦Защищаемые ¦Помещения (служебные кабинеты, актовые и кон- ¦
¦помещения (ЗП) ¦ференцзалы и т.д.), специально предназначенные ¦
¦ ¦для проведения конфиденциальных мероприятий ¦
¦ ¦(совещаний, обсуждений, конференций, переговоров¦
¦ ¦и т.п.) ¦
L---------------+-------------------------------------------------
|
