Акт установки и ввода в эксплуатацию пространственной системы низкочастотного зашумления.

Инструкция по эксплуатации технических средств пространственной системы низкочастотного зашумления для пользователей и ответственных за защиту КТ на объекте информатизации.

4. Установка пространственной системы высокочастотного зашумления.

Акт установки и ввода в эксплуатацию пространственной системы высокочастотного зашумления.

Инструкция по эксплуатации технических средств пространственной системы высокочастотного зашумления для пользователей и ответственных за защиту КТ на объекте информатизации.

5. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции по эксплуатации технических средств системы акустической и виброакустической защиты для пользователей и ответственных за защиту КТ на объекте информатизации.

Приказ об утверждении и вводе в действие инструкции по эксплуатации технических средств пространственной системы низкочастотного зашумления для пользователей и ответственных за защиту КТ на объекте информатизации.

Приказ об утверждении и вводе в действие инструкции по эксплуатации технических средств пространственной системы высокочастотного зашумления для пользователей и ответственных за защиту КТ на объекте информатизации.

Контроль за доступом в охраняемые зоны

1. Организация постов охраны для пропуска в контролируемую зону.

Пропуска.

Договор с подразделением вневедомственной охраны.

2. Разработка и ведение учетных документов.

Журнал учета пропусков.

Журнал учета мероприятий по контролю за соблюдением режима защиты КТ.

Технические мероприятия

1. Внедрение технической системы контроля и управления доступом в контролируемой зоне (по электронным пропускам, токену, биометрическим данным и т.п.).

Акт установки и ввода в эксплуатацию технической системы контроля и управления доступом в контролируемой зоне.

Инструкция по эксплуатации технической системы контроля и управления доступом в контролируемой зоне.

2. Внедрение технической системы охранного телевидения (систем видеонаблюдения) для защиты контролируемой зоны и защищаемых помещений.

Акт установки и ввода в эксплуатацию технической системы охранного телевидения.

Инструкция по эксплуатации технической системы охранного телевидения.

3. Внедрение системы охранного освещения.

Акт установки и ввода в эксплуатацию системы охранного освещения.

Инструкция по эксплуатации системы охранного освещения.

4. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие технической системы контроля и управления доступом в контролируемой зоне.

Приказ об утверждении и вводе в действие технической системы охранного телевидения.

Приказ об утверждении и вводе в действие системы охранного освещения.

Расположение и защита оборудования

1. Установка оборудования и АРМов в соответствии с требованиями САНПин и техническими паспортами защищаемых помещений.

2. Проведение оценки защищенности КТ от НСД и ПЭМИ в защищаемых помещениях.

Акт соответствия защищаемого помещения требованиям информационной безопасности.

Технические мероприятия

1. Внедрение систем охранной и тревожной сигнализации в защищаемых помещениях (контроль открывания двери, автоматическое взятие/снятие с охраны по идентификатору, применение обнаружителей движения и т.п.).

Акт установки и ввода в эксплуатацию системы охранной и тревожной сигнализации в защищаемых помещениях.

Инструкция по эксплуатации системы охранной и тревожной сигнализации в защищаемых помещениях.

2. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие системы охранной и тревожной сигнализации в защищаемых помещениях.

Обеспечение защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации

1. Разработка инструкции о порядке обеспечения защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации.

Инструкция о порядке обеспечения защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации.

2. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции о порядке обеспечения защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации.

Технические мероприятия

1. Установка систем бесперебойного питания на ключевые элементы АС.

Акт установки и ввода в эксплуатациюсистем бесперебойного питания на ключевые элементы АС.

2. Экранирование информационных линий связи между техническими средствами передачи информации:

- групповое размещение информационных кабелей в экранирующий распределительный короб.

- экранирование отдельных линий связи (размещение линий в экранирующую оплетку или фольгу).

- использование экранированных проводов или кабелей.

3. Отделение силовых кабелей от коммуникационных.

4. Установка технического средства фильтрации сигналов в цепях электропитания:

- установка разделительных трансформаторов.

- установка помехоподавляющих фильтров.

Акт установки и ввода в эксплуатациютехнического средства фильтрации сигналов в цепях электропитания.

5. Установка системы линейного низкочастотного зашумления.

Акт установки и ввода в эксплуатацию системы линейного низкочастотного зашумления.

Инструкция по эксплуатации технических средств системы линейного низкочастотного зашумления.

6. Установка системы линейного высокочастотного зашумления.

Акт установки и ввода в эксплуатацию системы линейного высокочастотного зашумления.

Инструкция по эксплуатации технических средств системы линейного высокочастотного зашумления.

7. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие системы линейного высокочастотного зашумления.

Приказ об утверждении и вводе в действие системы линейного высокочастотного зашумления.

Организация технического обслуживания оборудования

1. Разработка инструкции о порядке организации технического обслуживания оборудования.

Инструкция о порядке организации технического обслуживания оборудования.

2. Разработка и ведение учетных документов.

Журнал регистрации технического обслуживания оборудования.

3. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции о порядке организации технического обслуживания оборудования.

Безопасное администрирование систем и сетей (Управление передачей данных и средствами обработки КТ)

Операционные процедуры и обязанности

1. Назначение ответственного за эксплуатацию программно-аппаратных средств защиты КТ.

2. Проведение оценки защищенности АС от НСД и ПЭМИ.

Акт соответствия АС требованиям информационной безопасности.

3. Создание и утверждение организационно-распорядительных документов.

Приказ о назначении ответственного за эксплуатацию программно-аппаратных средств защиты КТ.

Защита от вредоносного программного обеспечения

1. Разработка инструкции по защите информации от компьютерных вирусов.

Инструкция по антивирусной защите.

2. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции по антивирусной защите.

Технические мероприятия

1. Установка антивирусного ПО.

Акты установки и ввода в эксплуатацию антивирусного ПО.

2. Установка системы разграничения доступа (экранирования)

Акты установки и ввода в эксплуатацию системы разграничения доступа (экранирования).

3. Установка системы анализа защищенности и антивирусной защиты.

Акты установки и ввода в эксплуатацию системы анализа защищенности и антивирусной защиты.

Резервирование информации

1. Разработка положения о порядке резервирования информации и восстановления работоспособности ТС и ПО.

Инструкция о порядке резервирования информации и восстановления работоспособности ТС и ПО.

2. Создание графика проведения резервирования.

График проведения резервирования.

3. Создание перечней резервируемой информации и сотрудников, ответственных за резервное копирование.

Перечень резервируемой информации и ПО.

Перечень сотрудников, ответственных за резервное копирование.

4. Создание и ведение учетных документов.

Журнал учета резервных копий.

5. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции о порядке резервирования информации и восстановления работоспособности ТС и ПО.

Приказ об утверждении перечня резервируемой информации.

Приказ об утверждении перечня сотрудников, ответственных за резервное копирование.

Приказ об утверждении графика проведения резервирования.

Технические мероприятия

1. Установка системы обеспечения отказоустойчивости и безопасного восстановления.

Акт установки и ввода в эксплуатацию системы обеспечения отказоустойчивости и безопасного восстановления.

Управление безопасностью сети

Разработка инструкции о порядке управления удаленным оборудованием и списка сотрудников, ответственных за поддержание сетевых ресурсов и компьютерных операций.

Акты установки и ввода в эксплуатацию системы контроля сетевого доступа и сетевых ресурсов.

Акты установки и ввода в эксплуатацию криптографических средств защиты информации.

Технические мероприятия

1. Установка системы управления информационными сервисами и сервисами безопасности.

Акты установки и ввода в эксплуатацию системы управления информационными сервисами и сервисами безопасности.

2. Установка системы криптографической защиты (шифрования).

Акты установки и ввода в эксплуатацию системы криптографической защиты.

Обмен информацией и программным обеспечением

1. Разработка инструкции о порядке обмена конфиденциальной информацией и программным обеспечением.

Договор об обмене конфиденциальной информацией и программным обеспечением со сторонней организацией.

Список зарегистрированных адресов электронной почты.

2. Разработка инструкции об обеспечении безопасности КТ при использовании речевой, факсимильной, видеосвязи и электронной почты.

Инструкция об обеспечении безопасности КТ при использовании речевой, факсимильной, видеосвязи и электронной почты.

3. Создание и ведение учетных документов.

Журнал регистрации отправленных и полученных писем.

4. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции об обеспечении безопасности КТ при использовании речевой, факсимильной, видеосвязи и электронной почты.

Приказ об утверждении списка зарегистрированных адресов электронной почты.

Управление контролем доступа пользователя

Управление контролем доступа пользователя

1. Назначение администратора и администратора безопасности АС.

2. Разработка положения о порядке предоставления доступа к информации, содержащей КТ, обрабатываемой на АРМ и в ЛВС.

Матрица доступа к информационным ресурсам АС.

Положение о разграничении прав доступа к обрабатываемой КТ.

3. Разработка инструкции по защите КТ на АРМ на базе автономных АРМ и в ЛВС для пользователя, администратора и администратора безопасности.

Руководство пользователя АС.

Руководство администратора АС.

Руководство администратора безопасности АС.

4. Создание и утверждение организационно-распорядительных документов.

Приказ о назначении администратора и администратора безопасности АС.

Приказ об утверждении матрицы доступа к информационным ресурсам АС.

Приказ об утверждении и вводе в действие положения о разграничении прав доступа к обрабатываемой КТ.

Приказ об утверждении и вводе в действие руководства пользователя АС.

Приказ об утверждении и вводе в действие руководства администратора АС.

Приказ об утверждении и вводе в действие руководства администратора безопасности АС.

Приказ об утверждении и вводе в действие положения об электронном журнале обращений пользователей информационной системы к КТ.

Технические мероприятия

1. Установка системы идентификации и аутентификации.

Акты установки и ввода в эксплуатацию системы идентификации и аутентификации.

2. Установка системы управления логическим доступом.

Акты установки и ввода в эксплуатацию системы управления логическим доступом.

3. Установка единого хранилища зарегистрированных действий пользователей с КТ.

Акты установки и ввода в эксплуатациюединого хранилища зарегистрированных действий пользователей с КТ.

Контроль сетевого доступа

1. Разработка инструкции по обеспечению информационной безопасности при удаленном доступе к АС.

Инструкция по обеспечению информационной безопасности при удаленном доступе к АС.

Список сотрудников, имеющих санкционированный доступ к сетевым сервисам.

2. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции по обеспечению информационной безопасности при удаленном доступе к АС.

Приказ об утверждении и вводе в действие списка сотрудников, имеющих санкционированный доступ к сетевым сервисам.

Технические мероприятия

1. Установка системы контроля целостности.

Акты установки и ввода в эксплуатацию системы контроля целостности.

Мониторинг доступа и использования системы

1. Разработка инструкции о порядке проведения мониторинга доступа и использования системы.

Инструкция о порядке проведения мониторинга доступа и использования АС.

2. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции о порядке проведения мониторинга доступа и использования АС.

Технические мероприятия

1. Установка системы протоколирования и аудита.

Акты установки и ввода в эксплуатацию системы протоколирования и аудита.

Работа с переносными устройствами и работа в дистанционном режиме

1. Разработка положения о работе с переносными устройствами и работе в дистанционном режиме для пользователя.

Положение о работе с переносными устройствами и работе в дистанционном режиме для пользователя.

Список сотрудников, имеющих право работать с переносными устройствами и в дистанционном режиме.

Перечень переносных устройств.

2. Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие положения о работе с переносными устройствами и работе в дистанционном режиме для пользователя.

Приказ об утверждении списка сотрудников, имеющих право работать с переносными устройствами и в дистанционном режиме.

Приказ об утверждении перечня переносных устройств.

Безопасность в процессах разработки и поддержки прикладных систем и информации

1. Приобретение и внедрение лицензионного и сертифицированного ПО.

Сертификаты наПО и средства защиты КТ.

2. Обеспечение поддержки контроля версий для всех обновлений программного обеспечения.

3. Создание и ведение учетных документов внесения изменений в ПО.

Журнал обновлений версий программного обеспечения.

9. Разработанные организационно-распорядительные и нормативные документы

Перечень разработанных организационно-распорядительных и нормативных документов:

1) Модель вероятного нарушителя;

2) Частная модель угроз АС;

3) Концепция политики информационной безопасности АС;

4) Матрица доступа к информационным ресурсам АС;

5) Политика информационной безопасности предприятия;

6) Перечень защищаемых помещений;

7) Перечень КТ, подлежащей защите;

8) Перечень документов, содержащих КТ;

9) Перечень информационных ресурсов АС;

10) Перечень АРМ, обрабатывающих КТ;

11) Инструкция о порядке учета, обработки, маркировки, хранения и уничтожения документов и носителей, содержащих КТ;

12) Акт классификации АС;

13) Технический паспорт защищаемого помещения;

14) Технический паспорт АС;

15) Руководство пользователя АС;

16) Руководство администратора АС;

17) Руководство администратора безопасности АС;

18) Акт соответствия защищаемого помещения требованиям информационной безопасности;

19) Акт соответствия АС требованиям информационной безопасности;

20) График контроля соблюдения режима защиты КТ;

21) График проведения инструктажа и обучения по обеспечению защиты КТ;

22) Соглашение о неразглашении КТ;

23) Список сотрудников, допущенных к обработке КТ.

9. 10. Рекомендуемые технические средства

Наименование оборудования	Область использования
Генератор шума «ЛГШ-503».	Предназначен для активной защиты объектов информатизации от утечки по сетям электропитания и заземления.
Генератор шума низкочастотный «Г2-59»	Используется в качестве источника низкочастотного шума для защиты, циркулирующей в выделенных помещениях речевой информации от утечки по акустическому и виброакустическому каналам.
Система защиты «SEL SP-55»	Предназначена для активной защиты циркулирующей в выделенных помещениях речевой информации от утечки по акустическому и виброакустическому каналам посредством создания шумов.
Генератор шума "SEL SP-44"	Предназначен для защиты информации от утечки по цепям электропитания и заземления, подавления устройств съёма использующих электросеть.
помехоподавляющий фильтрЛФС-40-1ф	Предназначен для защиты радиоэлектронных устройств и средств вычислительной техники от утечки информации по цепям электропитания.
помехоподавляющий фильтрЛФС-100-3ф	Предназначен для защиты радиоэлектронных устройств и средств вычислительной техники от утечки информации за счет наводок информативных сигналов в цепях электропитания.



Заключение

В результате выполнения дипломной работы решены следующие задачи:

1) На основании анализа определена классификация коммерческой тайны, подлежащей защите;

2) Проведен анализ законодательной и нормативно - правовой базы по обеспечению режима безопасности коммерческой тайны;

3) Установлены типы автоматизированных систем обработки коммерческой тайны и определены информационные ресурсы;

4) Разработан алгоритм создания модели системы защиты коммерческой тайны;

5) Составлена матрица модели угроз для типов автоматизированных систем: однопользовательской АС на базе автономного АРМ с одним уровнем доступа (классы 3Б,3А);многопользовательской АС на базе ЛВС с одинаковыми правами доступа, без выхода в сети общего пользования (класс 2Б) и с выходом в сети общего пользования (класс 2А); многопользовательские АС на базе ЛВС с разделением прав доступа, без выхода в сети общего пользования (классы 1В, 1Г, 1Д) и с выходом в сети общего пользования (классы 1А, 1Б);

6) Создана матрица вероятного нарушителя для всех типов автоматизированных систем;

7) Создана матрица мероприятий по созданию, внедрению и мониторингу системы защиты коммерческой тайны с учетом типов автоматизированных систем;

8) Созданы типовые формы нормативных и организационных документов по защите коммерческой тайны;

9) Составлен перечень рекомендуемых технических средств для инженерно-технической защиты объектов информатизации.



Список использованных источников

1) Закон РФ «О конкуренции и ограниченной монополистической деятельности на товарных рынках» от 22 марта 1991 года;

2) ФЗ РФ «О безопасности» от 5 марта 1992 года № 2446-1;

3) Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;

4) Федеральный закон от 23.06.99 № 117-ФЗ «О защите конкуренции на рынке финансовых услуг» (с изменениями от 30.12.2001);

5) Федеральный закон от 21.11.96 № 129-ФЗ «О бухгалтерском учёте» (с изменениями от 23 сентября 98 года, 28 марта, 31 декабря 2002, 10 января, 28 мая, 30 июня 2003);

6) Федеральный закон от 18.07.96 № 108-ФЗ «О рекламе» (с изменениями от 18 июня, 14 декабря, 30 декабря 2001, 21 июля 2005);

7) Федеральный закон от 20.02.96 №24-ФЗ «Об информации, информатизации и защите информации» (с изменениями от 10.01.2003, 07.03.2011);

8) Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями от 27 июля 2010 г.);

9) Закон РФ от 11.03.92 № 2490-1 « о коллективных договорах и соглашениях» ( с изменениями от 24.11.95, 1.05.99, 30.12.2001);

10) Указ Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера»;

11) Указ президента РФ «О мерах по обеспечению информационной безопасности РФ в сфере международного и информационного обмена» от 12.05.2004 № 611;

12) Постановление Правительства РФ «О сертификации средств защиты информации от 26 июня 1995 года № 608;

13) Постановление Правительства РФ «О Лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 31 августа 2006 года № 532;

14) Специальные требования и рекомендации по технической защите конфиденциальной информации. (Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г.);

15) Положение по ведению бухгалтерского учёта и бухгалтерской отчётности в РФ, утверждено приказом Минфина России от 29.07.98 № 34н;

16) Положение о сертификации средств защиты информации, утверждённое постановлением Правительства РФ от 26.06.95 № 608 ( с изменениями от 23.04.96, 29.03.99);

17) ГОСТ Р 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;

18) РД «Специальные требования и рекомендации по технической защите конфиденциальной информации», утвержденные Гостехкомиссией России;

19) ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;

20) ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

21) ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание АС»;

22) РД. 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов»;

23) ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС»;

24) ГОСТ 34.603-92. «Виды испытаний АС»;



Приложение А

Конфиденциально

Экз. единственный

До окончания исполнения

УТВЕРЖДАЮ

Директор

___________(____________)

(подпись, инициалы и фамилия руководителя предприятия)

«____» _______________2012 г.

(дата утверждения)

________

(название предприятия)

Инструкция о порядке учета, обработки, маркировки, хранения и уничтожения документов и носителей, содержащих коммерческую тайну

«__» _________ 2012 г. № _______

г. ______________________________

(город)

«________________________________»

(название ИСПДн)

1. Общие положения

1.1. Настоящая Инструкция определяет общий порядок обращения с документами и другими материальными носителями* информации (далее - документами), содержащими служебную информацию ограниченного распространения в организациях, учреждениях, предприятиях и т.д. (далее организациях).

* Требования настоящей Инструкции распространяются на порядок обращения с иными материальными носителями служебной информации ограниченного распространения (фото-, кино-, видео- и аудио- пленки, машинные носители информации).

Инструкция не распространяется на порядок обращения с документами, содержащими сведения, составляющие государственную тайну.

Правила работы с секретными документами устанавливаются Инструкцией по обеспечению режима секретности в министерствах, ведомствах, на предприятиях, в учреждениях и организациях (утверждена Постановлением Совета Министров СССР от 12.05.87 № 556-126).

1.2. К документированной служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью.

Необходимость присвоения документам грифа «Для служебного пользования» (в дальнейшем «ДСП») определяется исполнителем и должностным лицом, подписывающим или утверждающим документ, в соответствии с «Перечнем видов служебной информации, которую необходимо относить к разряду ограниченного распространения» (утверждается руководителем организации).

Документированная служебная информация, содержащаяся в подготавливаемых организацией проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, а также других служебных документах, не подлежит разглашению.

1.3. К документированной служебной информации ограниченного распространения не могут быть отнесены:

акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;

описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;

порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;

решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;

документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах, необходимые для реализации прав, свобод и обязанностей граждан.

1.4. Руководители структурных подразделений учреждений, организаций, предприятий и т.д., принявшие решение об отнесении документированной служебной информации к разряду ограниченного распространения, несут персональную ответственность за обоснованность принятого решения и соблюдение ограничений, предусмотренных п. 1.3 настоящей Инструкции, а также за обеспечение защиты носителей информации ограниченного распространения и использование средств оргтехники при подготовке этих документов.

1.5. Документированная служебная информация ограниченного распространения без санкции руководителя организации или его заместителей не подлежит разглашению (распространению).

1.6. За разглашение документированной служебной информации ограниченного распространения, а также нарушение порядка обращения с документами, содержащими такую информацию, сотрудник организации может быть привлечен к дисциплинарной или иной предусмотренной законодательством ответственности.

1.7. Контроль за осуществлением учета, размножения, хранения и использования документов, дел и изданий с грифом «Для служебного пользования» возлагается на канцелярии или другие подразделения, выполняющие такие функции (общие отделы, секретариаты и т.п.)*.

* В дальнейшем тексте делопроизводственные подразделения именуются службами документационного обеспечения.

1.8. Сотрудники организаций, имеющие отношение к работе с документами, делами и изданиями «Для служебного пользования», должны быть в обязательном порядке ознакомлены с инструкцией, устанавливающей порядок работы с документированной информацией ограниченного распространения в организации.

Сотрудникам (исполнителям), работающим с документами и изданиями «Для служебного пользования», запрещается сообщать устно или письменно кому бы то ни было сведения, содержащиеся в этих документах и изданиях, если это не вызывается служебной необходимостью.

1.9. При работе с документами «Для служебного пользования», кроме настоящей Инструкции, ведомственной инструкции, отражающей специфику работы организаций, составленной и разработанной на основе настоящей Инструкции, следует также руководствоваться ГОСТ Р 6.30-97 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов», регламентирующим требования к формам документов и правила их оформления.

2. Порядок приема и учета документов и изданий

2.1. Прием и учет (регистрация) документов и изданий «Для служебного пользования» осуществляется теми же структурными подразделениями организации, которым поручен учет несекретной документации.

2.2. Вся поступающая в организацию корреспонденция «Для служебного пользования» принимается и вскрывается сотрудниками, которым поручена работа с этими материалами. При этом проверяется количество листов и экземпляров документов и изданий, а также наличие указанных в сопроводительном письме приложений.

В случае отсутствия в конвертах (пакетах) документов «Для служебного пользования» или приложений к ним составляется акт в двух экземплярах, один из которых высылается отправителю.

Ошибочно поступившие документы и изданий «Для служебного пользования» возвращаются отправителю.

2.3. В нерабочее время документы и изданий «Для служебного пользования» принимаются дежурными по организации, которые, не вскрывая эту корреспонденцию, передают ее работникам службы документационного обеспечения.

Запрещается доставлять в нерабочее время материалы «Для служебного пользования» в организации, не имеющие постоянных дежурных.

2.4. Регистрации подлежат все входящие, исходящие и внутренние документы, а также издания «Для служебного пользования». Такие документы учитываются по количеству листов, а издания (книги, журналы, брошюры) - по экземплярам.

Документы с грифом «ДСП» учитываются отдельно от несекретной документации. При незначительном объеме таких документов, разрешается вести их учет совместно с другими несекретными документами. При этом в карточке (журнале) к регистрационному номеру документа проставляется отметка «ДСП».

Требование однократности регистрации распространяется и на документы и издания «Для служебного пользования».

Учет документов и изданий «Для служебного пользования» ведется на карточках (приложение 1) или в журналах (приложение 2). Допускается регистрировать документы с грифом «ДСП» с помощью устройств электронно-вычислительной техники.

Движение документов и изданий «Для служебного пользования» должно своевременно отражаться в журналах или на карточках.

2.5. На каждом зарегистрированном документе, а также на сопроводительном письме к изданиям «Для служебного пользования» проставляется штамп, в котором указываются наименование организации, регистрационный номер документа и дата его поступления.

2.6. Тираж издания «Для служебного пользования», полученный для рассылки, регистрируется под одним входящим номером в «Журнале учета и распределения изданий» (приложение 3).

Дополнительно размноженные экземпляры документа (издания) учитываются за номером этого документа (издания), о чем делается отметка на размножаемом документе (издании) и в учетных формах. Нумерация дополнительно размноженных экземпляров производится от последнего номера ранее учтенных экземпляров.

3. Размножение и рассылка (отправка) документов и изданий

3.1. Документы с грифом «ДСП»:

печатаются специалистом службы документационного обеспечения организации (управление делами, общий отдел, канцелярия и т.п.), ответственным за подготовку документов с грифом «ДСП», допускается использование персональной компьютерной техники, при этом работа выполняется только с использованием сменных магнитных носителей (дискет). Указанные дискеты хранятся у специалиста, ответственного за работу с документами с грифом «ДСП»;

печатаются с указанием на лицевой или оборотной стороне в левом нижнем углу последнего листа каждого экземпляра документа количества отпечатанных экземпляров, фамилии исполнителя и номера его служебного телефона. Указываются также наименование файла, дата печатания, инициалы имени и фамилии специалиста, печатавшего документ. Подписанные документы (вместе с черновиками) передаются для регистрации специалисту службы документационного обеспечения организации, осуществляющему их учет;

передаются специалистам структурных подразделений организации под расписку. Передача документов с грифом «ДСП» и дел, содержащих такие документы от одного специалиста другому, осуществляется только с разрешения руководителя структурного подразделения организации;

пересылаются сторонним организациям фельдъегерской службой, спецсвязью или заказными или ценными почтовыми отправлениями;

не могут передаваться по незащищенным каналам компьютерно-модемной, факсимильной и телеграфной связи, а также по электронной почте;

3.2. Отпечатанные и подписанные документы «Для служебного пользования» вместе с их черновиками и вариантами передаются для регистрации специалисту, осуществляющему их учет. Черновики и варианты уничтожаются этим сотрудником с подтверждением факта уничтожения записью на копии исходящего документа: «Черновик (и варианты) уничтожены. Дата. Подпись».

3.3. На исходящих документах (в необходимых случаях и на их проектах), содержащих документированную служебную информацию ограниченного распространения, гриф «ДСП» и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам.

При необходимости направления документов с грифом «ДСП» нескольким адресатам, составляется указатель рассылки, в котором проставляются номера экземпляров отправляемых документов всем адресатам.

Указатель рассылки подписывается исполнителем, руководителем структурного подразделения организации, готовившего документ (предварительно согласованный с соответствующим заместителем руководителя организации).

3.4. Размножение документов и изданий с грифом «Для служебного пользования» осуществляется только с письменного разрешения руководства организации и под контролем службы документационного обеспечения организации. Учет размноженных документов осуществляется по экземплярам.

Документы и издания «Для служебного пользования», полученные от сторонних организаций, могут быть размножены только с их согласия.

3.5. Отправляемые документы, дела и издания «Для служебного пользования» должны быть помещены в конверты либо упакованы. Запрещается использовать конверты с прозрачными «окошками» для пересылки этих документов.

3.6. На упаковке (конверте) указываются адреса и наименования получателя и отправителя, номера вложенных документов с добавлением отметки «ДСП», например:

ПОЛУЧАТЕЛЬ: 121010, Москва, К-10, Организация п/я У-087, № 378/ДСП, № 456/ДСП.

ОТПРАВИТЕЛЬ: 252898, г. Воронеж, ул. Кирова, д. 2.

Запрещается указывать фамилии и должности руководителей и сотрудников, а также наименования структурных подразделений организации на упаковке документов и изданий «Для служебного пользования».

4. Группировка исполненных документов в дела

4.1. Документы с грифом «Для служебного пользования» после исполнения группируются в дела. Порядок их группировки предусматривается номенклатурами дел несекретного делопроизводства.

В номенклатуру дел в обязательном порядке включаются все справочные картотеки и журналы на документы и издания с грифом «Для служебного пользования».

4.2. Документы с грифом «Для служебного пользования» в зависимости от производственной необходимости допускается группировать в дела отдельно или вместе с другими несекретными документами по одному и тому же вопросу.

При включении документа с грифом «Для служебного пользования» в дело с несекретными документами, не имеющими аналогичного грифа, данное дело получает гриф «Для служебного пользования» и соответствующее уточнение вносится в номенклатуру дел текущего года.

В организациях, в деятельности которых образуется небольшое количество документов «Для служебного пользования», номенклатурой дел может быть предусмотрено заведение одного дела, которое именуется «Документы «Для служебного пользования». Срок хранения такого дела не устанавливается, а в соответствующей графе номенклатуры дел проставляется отметка «ЭК» (экспертная комиссия).

4.3. По окончании делопроизводственного года дело «Документы «Для служебного пользования» просматривается экспертной комиссией полистно и, в случае необходимости, принимается решение о перегруппировке документов. Содержащиеся в деле документы постоянного срока хранения группируются в отдельное дело (дела), которое получает самостоятельный заголовок и дополнительно включается в номенклатуру дел.

Если в дело «Документы «Для служебного пользования» включены документы только временных сроков хранения, оно может не переформировываться. Срок хранения такого дела устанавливается по максимальному сроку хранения содержащихся в нем документов. Отметка «ЭК» в графе номенклатуры дел «Срок хранения» зачеркивается и заменяется уточненным сроком хранения.

4.4. Дела с документами «Для служебного пользования» постоянного и долговременного (свыше 10 лет) срока хранения должны иметь внутренние описи.

5. Использование документов, дел и изданий. Снятие с дел грифа «Для служебного пользования»

5.1. К работе с делами «Для служебного пользования» допускаются имеющие к ним непосредственное отношение должностные лица, а к документам - согласно указаниям, содержащимся в резолюциях руководителей организаций (структурных подразделений).

Категории работников, допускаемых к работе с изданиями «Для служебного пользования» (отчеты по научно-исследовательским, конструкторским или проектно-изыскательским работам и т.д.) определяются руководителями организаций (структурных подразделений).

5.2. Запрещается пользоваться сведениями из документов и изданий «Для служебного пользования» для открытых выступлений или опубликования в открытой печати, передачах по радио и телевидению, экспонировать такие документы и издания на выставках, демонстрировать их на стендах и т.д.

5.3. Представители других организаций допускаются к ознакомлению и работе с документами и изданиями «Для служебного пользования» с разрешения руководителей организаций (структурных подразделений), в ведении которых находятся эти материалы, при наличии письменного запроса тех организаций, в которых они работают, с указанием темы выполняемого задания.

5.4. Дела и издания «Для служебного пользования» выдаются исполнителям и принимаются от них под расписку в «Карточке учета выдаваемых дел и изданий» (приложение 4).

5.5. Снятие рукописных, машинописных, ксерокопий, а также производство выписок из документов и изданий «Для служебного пользования» сотрудниками данной организации производится с разрешения руководителя этой организации (структурного подразделения).

Снятие копий для сторонних организаций с документов и изданий «Для служебного пользования» производится на основании письменных запросов с разрешения руководителя организации (структурного подразделения), подготовившей эти документы или изданий.

5.6. Дела постоянного и временного сроков хранения с грифом «Для служебного пользования» периодически просматриваются с целью возможного снятия этого грифа.

Просмотр осуществляется при передаче дел из структурных подразделений в архив организации, в процессе хранения дел в ведомственном архиве, а также при подготовке дел постоянного срока хранения к передаче в государственный архив.

Решение вопроса о снятии грифа «Для служебного пользования» возлагается на создаваемую в установленном порядке специальную комиссию, в состав которой включаются представители службы документационного обеспечения организации, режимно-секретного органа (спецчасти) и руководители структурных подразделений организации.

Решение комиссии оформляется составляемым в произвольной форме актом, который утверждается руководителем организации. В акте перечисляются дела, с которых гриф «Для служебного пользования» снимается.

Один экземпляр акта вместе с делами передается в архив организации, а на дела постоянного срока хранения - в государственный архив.

5.7. На обложках дел гриф «Для служебного пользования» погашается штампом или записью от руки с указанием даты и номера акта, послужившего основанием для его снятия.

5.8. При снятии грифа «ДСП» на документах, изданиях, а также в учетных формах делаются соответствующие отметки и информируются все адресаты, которым эти документы (издания) направлялись.

6. Отбор документов, дел и изданий для хранения и к уничтожению

6.1. Проведение экспертизы научной и практической ценности документов и дел «Для служебного пользования» рассмотрение и утверждение ее результатов производится в соответствии с требованиями и порядком, установленными для несекретных материалов (Основные правила работы ведомственных архивов, раздел 3).

6.2. Дела из структурных подразделений в архив организации передаются в обработанном виде. При этом дела, содержащие документы «Для служебного пользования», вносятся в опись (приложение 5) наряду с другими делами, содержащими несекретные документы.

6.3. Дела «Для служебного пользования» постоянного хранения передаются в государственный архив в установленном порядке с обязательной полистной проверкой включенных в них документов (Основные правила работы ведомственных архивов, раздел 13).

6.4. Отобранные к уничтожению дела «Для служебного пользования», не имеющие исторической ценности и утратившие практическое значение, могут оформляться отдельным актом или включаться в общий акт вместе с другими отобранными к уничтожению несекретными делами. При этом в графе «Заголовки дел» после номеров этих дел проставляется отметка «ДСП» (приложение 6). В учетных формах об этом делается соответствующая отметка со ссылкой на соответствующий акт.

7. Обеспечение сохранности документов, дел и изданий. Проверка их наличия

7.1. Документы, дела и издания «Для служебного пользования» должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (хранилищах). При этом должны быть созданы надлежащие условия, обеспечивающие их физическую сохранность (Основные правила работы ведомственных архивов, раздел 5).

7.2. Выданные для работы дела «Для служебного пользования» подлежат возврату в службу документационного обеспечения или архив в тот же день.

Отдельные дела «Для служебного пользования» с разрешения руководителя службы документационного обеспечения могут находиться у исполнителя в течение срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.

7.3. Передача документов, дел и изданий «Для служебного пользования» другим сотрудникам, производится только через службу документационного обеспечения организации.

7.4. Запрещается изъятие из дел или перемещение документов с грифом «Для служебного пользования» из одного дела в другое без санкции службы документационного обеспечения или лица, осуществляющего их учет. Обо всех проведенных изъятиях или перемещениях делаются отметки в учетных документах, включая внутренние описи.

Запрещается выносить документы, дела и издания «Для служебного пользования» из служебных помещений для работы с ними на дому.

7.5. При смене в организации специалиста, ответственного за учет документов с грифом «ДСП» составляется акт приема-сдачи этих документов, который утверждается начальником службы документационного обеспечения организации.

7.6. Проверка наличия документов, изданий и дел, содержащих документы с грифом «ДСП» в организации, проводится не реже одного раза в год комиссиями, назначаемыми приказом руководителя организации. В состав комиссий включается специалист, ответственный за учет и хранение этих документов.

В архиве организации проверка наличия документов с грифом «ДСП» в делах проводится не реже одного раза в пять лет. Результаты проверок оформляются актом.

7.7. О фактах утраты документов, изданий с грифом «ДСП» и дел, содержащих эти документы, а также разглашения информации, содержащейся в этих документах, ставится в известность соответствующий (по подчиненности) заместитель руководителя организации и назначается комиссия для расследования обстоятельств утраты или разглашения. Результаты расследования докладываются заместителю руководителя организации, назначившему комиссию.

На утраченные документы, издания и дела, содержащие документы с грифом «ДСП» составляется акт, на основании которого делаются соответствующие отметки в учетных формах.



Приложение Б

Конфиденциально

Экз. единственный

До окончания исполнения

УТВЕРЖДАЮ

Директор

___________(____________)

(подпись, инициалы и фамилия руководителя предприятия)

«____» _______________ 2012 г.

(дата утверждения)

________

(название предприятия)

КОНЦЕПЦИЯ информационной безопасности АС

«__» _________ 2012 г. № _______

г. ______________________________

(город)

«________________________________»

(название АС)

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Назначение и правовая основа документа

2. ОБЪЕКТЫ ЗАЩИТЫ

2.1 Назначение, цели создания и эксплуатации АС ОРГАНИЗАЦИИ как объекта информатизации

2.2 Структура, состав и размещение основных элементов АС ОРГАНИЗАЦИИ, информационные связи с другими объектами

2.3 Категории информационных ресурсов, подлежащих защите

2.4 Категории пользователей АС ОРГАНИЗАЦИИ, режимы использования и уровни доступа к информации

2.5 Уязвимость основных компонентов АС ОРГАНИЗАЦИИ

3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

3.1 Интересы затрагиваемых при эксплуатации АС ОРГАНИЗАЦИИ субъектов информационных отношений

3.2 Цели защиты

3.3 Основные задачи системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ

3.4 Основные пути достижения целей защиты (решения задач системы защиты)

4. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

4.1 Угрозы безопасности информации и их источники

4.2 Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в АС ОРГАНИЗАЦИИ

4.3 Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала

4.4 Утечка информации по техническим каналам

4.5 Неформальная модель возможных нарушителей

5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

5.1 Техническая политика в области обеспечения безопасности информации

5.2 Формирование режима безопасности информации

5.3 Оснащение техническими средствами хранения и обработки информации

6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ

7.1 Меры обеспечения безопасности

7.1.1 Законодательные (правовые) меры защиты

7.1.2 Морально-этические меры защиты

7.1.3 Организационные (административные) меры защиты

7.2 Физические средства защиты

7.2.1 Разграничение доступа на территорию и в помещения

7.3 Технические (программно-аппаратные) средства защиты

7.3.1 Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей

7.3.2 Средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС

7.3.3 Средства обеспечения и контроля целостности программных и информационных ресурсов

7.3.4 Средства оперативного контроля и регистрации событий безопасности

7.3.5 Криптографические средства защиты информации

7.4 Защита информации от утечки по техническим каналам

7.5 Защита речевой информации при проведении закрытых переговоров

7.6 Управление системой обеспечения безопасности информации

7.7 Контроль эффективности системы защиты

8. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

ВВЕДЕНИЕ

Беспрецедентные темпы развития и распространения информационных технологий, обострение конкурентной борьбы и криминогенной обстановки требуют создания целостной системы безопасности информации, взаимоувязывающей правовые, оперативные, технологические, организационные, технические и физические меры защиты информации.

Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в единой информационной телекоммуникационной системе (далее автоматизированной системе - АС) ОРГАНИЗАЦИИ и представляет собой систематизированное изложение целей и задач защиты, а также основных принципов и способов достижения требуемого уровня безопасности информации в АС ОРГАНИЗАЦИИ.

Правовой базой для разработки настоящей Концепции служат требования действующих в России законодательных и нормативных документов, перечень которых приведен в Приложении 1.

Концепция является методологической основой для формирования и проведения в ОРГАНИЗАЦИИ единой политики в области обеспечения безопасности информации (политики безопасности), для принятия управленческих решений и разработки практических мер по ее воплощению.

Список основных использованных в настоящей Концепции сокращений приведен в Приложении 2. Перечень использованных специальных терминов и определений - в Приложении 3.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Назначение и правовая основа документа

Настоящая «Концепция обеспечения безопасности информации в автоматизированной системе ОРГАНИЗАЦИИ» (далее - Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС ОРГАНИЗАЦИИ, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС ОРГАНИЗАЦИИ.

Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указа, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), а также нормативно - методические материалы и организационно - распорядительными документы ОРГАНИЗАЦИИ отражающие вопросы обеспечения информационной безопасности в автоматизированных системах.

Концепция учитывает современное состояние и ближайшие перспективы развития АС ОРГАНИЗАЦИИ, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также анализа угроз безопасности для ресурсов АС ОРГАНИЗАЦИИ.

Основные положения и требования Концепции распространяются на все структурные подразделения ОРГАНИЗАЦИИ, в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую, служебную тайну или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС ОРГАНИЗАЦИИ. Основные положения Концепции могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействующие с АС ОРГАНИЗАЦИИ в качестве поставщиков и потребителей (пользователей) информации АС ОРГАНИЗАЦИИ.

Концепция является методологической основой для:

формирования и проведения единой политики в области обеспечения безопасности информации в АС ОРГАНИЗАЦИИ;

принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

координации деятельности структурных подразделений ОРГАНИЗАЦИИ при проведении работ по созданию, развитию и эксплуатации АС ОРГАНИЗАЦИИ с соблюдением требований обеспечения безопасности информации;