Категория: Инструкции
ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЮ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
Общие обязанности сотрудников ОРГАНИЗАЦИИ по обеспечению информационной безопасности при работе с АС
Каждый сотрудник подразделений ОРГАНИЗАЦИИ, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным автоматизированной системы (АС), несет персональную ответственность за свои действия и обязан:
строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции (РС);
хранить в тайне свой пароль (пароли). В соответствии с «Инструкцией по организации парольной защиты автоматизированной системы» с установленной периодичностью менять свой пароль (пароли);
передавать для хранения установленным порядком свое индивидуальное устройство идентификации Touch Memory, личную ключевую дискету и другие реквизиты разграничения доступа только руководителю своего подразделения или ответственному за информационную безопасность в подразделении (в пенале, опечатанном своей личной печатью);
если сотруднику (исполнителю) предоставлено право защиты (подтверждения подлинности и авторства) документов, передаваемых по технологическим цепочкам в АС, при помощи электронной цифровой подписи, то он дополнительно обязан соблюдать все требования «Порядка работы с ключевыми дискетами»;
надежно хранить и никому не передавать личную печать и использовать ее только для опечатывания пенала с личной ключевой дискетой (и другими реквизитами доступа) при передаче его на хранение ответственному за информационную безопасность своего технологического участка или руководителю подразделения;
выполнять требования «Инструкции по организации антивирусной защиты в АС _____» в части касающейся действий пользователей РС АС;
немедленно вызывать ответственного за безопасность информации в подразделении и ставить в известность руководителя подразделения в случае утери персональной ключевой дискеты, индивидуального устройства идентификации Touch Memory или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах РС или иных фактов совершения в его отсутствие попыток несанкционированного доступа (НСД) к защищенной РС;
несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств РС;
отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию РС, выхода из строя или неустойчивого функционирования узлов РС или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;
некорректного функционирования установленных на РС технических средств защиты;
непредусмотренных формуляром РС отводов кабелей и подключенных устройств;
присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним РС в подразделении.
Сотрудникам ОРГАНИЗАЦИИ категорически ЗАПРЕЩАЕТСЯ:
использовать компоненты программного и аппаратного обеспечения АС ОРГАНИЗАЦИИ в неслужебных целях;
самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций;
осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации (гибких магнитных дисках и т.п.);
оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
передавать кому-либо свою персональную ключевую дискету (кроме ответственного за информационную безопасность или руководителя своего подразделения установленным порядком), делать неучтенные копии ключевой дискеты (на любой другой носитель), снимать с дискеты защиту записи и вносить какие-либо изменения в файлы ключевой дискеты;
использовать свою ключевую дискету для формирования цифровой подписи любых электронных документов, кроме регламентированных технологическим процессом на его рабочем месте;
оставлять без личного присмотра на рабочем месте или где бы то ни было свою персональную ключевую дискету, персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность ответственного за безопасность информации и руководителя своего подразделения.
Выдержки из статей Уголовного кодекса РФ (в памятку пользователей АС ОРГАНИЗАЦИИ)
Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну.
1. Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказываются штрафов в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельцев, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказывается штрафом в размере от двухсот до пятисот минимальных окладов оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительным работам на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сетей, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.
Статья 283. Разглашение государственной тайны
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены - наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 284. Утрата документов, содержащих государственную тайну
Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий, - наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Статья 293. Халатность
Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок от шести месяцев до одного года, либо арестом на срок до трех месяцев.
Похожие документы:1.1. Настоящий документ разработан на основе Концепции информационной безопасности ОРГАНИЗАЦИИ и определяет комплекс организационно-технических мер по защите автоматизированной системы (подсистемы) (наименование системы) ОРГАНИЗАЦИИ
РАССМОТРЕН И РЕКОМЕНДОВАН к применению Подкомитетом 3 “Защита информации в кредитно-финансовой сфере” Технического комитета 362 “Защита информации” национального органа по стандартизации следующим составом членов подкомитета: Банк России, Ассоциация
Настоящий документ определяет рекомендации по формированию требований обеспечения информационной безопасности в информационных системах и ресурсах органах исполнительной власти города Москвы, государственных органах и учреждениях
усвоение знаний по нормативно-правовым основам организации информационной безопасности, изучение стандартов и руководящих документов по защите информационных систем;
Сборник содержит доклады и тезисы, представленные на региональную научно-практическую конференцию «Проблемы обеспечения информационной безопасности в регионе», проводимую 28 марта 2008 года в Волгоградском государственном университете.
Гостехкомиссия России, 1998 г.
Настоящий руководящий документ распространяется на электронные контрольно-кассовые машины (ККМ) и автоматизированные кассовые системы (АКС), которые осуществляют обработку информации, подлежащей контролю налоговыми органами.
Данный руководящий документ устанавливает термины и основные понятия в области защиты информации в ККМ и АКС, классификацию ККМ, АКС и требования по защите информации, связанной с налогообложением, в ККМ и АКС различных сфер применения.
Документ должен использоваться как нормативно-методический материал для производителей, разработчиков и поставщиков ККМ и АКС при формулировке и реализации требований по защите информации о денежных расчетах с населением, необходимой для правильного исчисления налогов и контроля налоговыми органами, а также испытательными лабораториями (центрами) при проведении сертификации данных устройств в Системе сертификации средств защиты информации по требованиям безопасности информации (РООС RU 0001.01БИ00).
Данный Руководящий документ разработан в соответствии с Законами Российской Федерации "О применении контрольно-кассовых машин ", "Об информации. информатизации и защите информации" и в соответствии с Указом Президента Российской Федерации от 16 февраля 1993 г. N 224 "Об обязательном применении контрольно-кассовых машин предприятиями, учреждениями и организациями всех форм собственности при осуществлении расчетов с населением".
Документ учитывает технические требования к электронным ККМ различных моделей и сфер применения, включенных в Госреестр Российской Федерации, технические требования к фискальной памяти электронных ККМ, пакетам прикладных программ в части защиты информации от несанкционированного доступа, утвержденные Государственной межведомственной экспертной комиссией по контрольно-кассовым машинам.
ККМ - контрольно-кассовая машина;
АКС - автоматизированная кассовая система;
СВТ - средство вычислительной техники;
ЗУ - запоминающее устройство;
ПЗУ - постоянное запоминающее устройство;
НСД - несанкционированный доступ;
ФД - фискальные данные;
ФП - фискальная память;
ППП - пакеты прикладных программ;
ЯЗ - ядро защиты.
Установленные термины обязательны для применения во всех видах документации по защите информации. Для каждого понятия установлен один термин. Применение синонимов термина не допускается. Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования.
Контрольно-кассовая машина (ККМ) - устройство, предназначенное для автоматизации и механизации учета, контроля и первичной обработки информации кассовых операций и регистрации ее на печатаемых документах в соответствии с принятыми нормативными и правовыми документами.
Автоматизированная кассовая система (АКС) - система, состоящая из персонала и ККМ на основе средств вычислительной техники, реализующая технологию обработки информации кассовых операций.
Фискальные данные (ФД) - информация о денежных расчетах с населением, проведенных на ККМ, необходимая для правильного исчисления налогов и контроля со стороны налоговых органов, подлежащая ежесуточной (ежесменной) регистрации и долговременному хранению.
Фискальные функции (операции с ФД):
формирование и накопление ФД в суточных (сменных) счетчиках и регистрах с оформлением и печатью финансовых документов;
запись (регистрация) ФД в фискальную память с оформлением и печатью финансовых документов;
хранение ФД в фискальной памяти;
чтение ФД из фискальной памяти с оформлением и печатью документов.
Фискальная память ККМ (ФП) - комплекс программно-аппаратных средств в составе ККМ, обеспечивающий некорректируемую, ежесуточную (ежесменную) регистрацию и энергонезависимое долговременное хранение итоговой информации о денежных расчетах с населением, проведенных на ККМ, необходимой для правильного исчисления налогов.
Защита фискальных данных - предотвращение несанкционированного доступа к ФД с целью их корректировки (умышленного искажения), модификации или уничтожения вследствие неисправности технических средств, ошибки программного обеспечения, преднамеренных и непреднамеренных действий человека.
Пакеты прикладных программ (ППП) - комплекс прикладных программ ККМ, предназначенный для решения взаимоувязанных задач реализации фискальных функций.
Системные данные - параметры системы, используемые при загрузке и определяющие конфигурацию средств вычислительной техники.
Фискализация - включение фискального режима ККМ.
Ядро защиты (ЯЗ) - технические, программные и микропрограммные элементы комплекса средств защиты фискальных данных, реализующие функцию управления доступом к фискальной памяти.
2.1. Классификация распространяется на все действующие и проектируемые ККМ зарубежного и отечественного производства.
2.2. Деление контрольно-кассовых машин и средств вычислительной техники, входящих в состав АКС на соответствующие группы по их конструктивным и функциональным особенностям с точки зрения защиты информации, подлежащей контролю налоговыми органами, проводится для выработки и применения обоснованных мер по достижению требуемого уровня защищенности фискальных данных.
2.3. Дифференциация подходов к выбору методов, средств защиты и принципов построения ядра защиты определяется различием контрольно-кассовых машин по своему составу, функциональным и конструктивным особенностям, способам хранения фискальных данных.
2.4. Устанавливаются две группы ККМ, согласно которым к ККМ предъявляются требования по защите информации, хранимой в ФП. Каждая группа характеризуется определенной совокупностью требований по защите информации.
2.5. Первая группа ККМ включает устройства, имеющие закрытую архитектуру.
Признаки закрытой архитектуры:
наличие программного обеспечения, находящегося в ПЗУ и его исполнение путем прямого считывания команд из ПЗУ;
невозможность выполнения прикладного программного обеспечения, находящегося во внешней памяти.
2.6. Вторая группа ККМ включает устройства, имеющие открытую архитектуру.
Признаки открытой архитектуры:
наличие устройства, выполненного на базе универсальных средств вычислительной техники;
прикладное программное обеспечение в виде ППП загружается в оперативную память;
наличие стандартных интерфейсов ввода/вывода с возможностью подключения периферийных устройств;
модульное конструктивное исполнение.
2.7. В пределах каждой группы ККМ классифицируются по масштабам возможных материальных потерь вследствие уклонения от налогообложения. К первому классу относятся устройства, использование которых связано с обработкой информации о денежных оборотах на сумму до 700 минимальных размеров оплаты труда в сутки, а ко второму классу - устройства, связанные с обработкой информации о денежных оборотах на сумму свыше 700 минимальных размеров оплаты труда в сутки.
3.1. ФП должна исключать возможность потери информации за счет физического старения носителя фискальных данных в период их хранения или под влиянием окружающей среды (световых и электромагнитных излучений, температуры и пр.) в соответствии с техническими требованиями, оговоренными в действующих нормативных документах, регламентирующих вопросы эксплуатации, хранения и транспортировки ККМ.
3.2. В качестве ФП запрещается использовать:
устройства, информация в которых сохраняется менее 6 лет с момента фискализации ККМ;
средства, срок службы которых до первого ремонта менее 10 лет;
микросхемы памяти, гарантированный срок хранения информации в которых менее 10 лет;
микросхемы памяти, требующие электро-, термо- тренировки для записи информации;
устройства, требующие технического обслуживания в период хранения фискальных данных;
устройства, допускающие стирание информации под воздействием внешних источников (ультрафиолетового излучения, электрических сигналов и т.п.).
3.3. ФП не должна иметь прямой электрической связи с системной магистралью процессора обработки данных.
3.4. Адреса ФП не должны находиться в области адресного пространства процессора обработки данных ККМ.
3.5. Комплекс средств защиты ФП должен обеспечивать:
защиту фискальных данных от сбоев по питанию;
защиту фискальных данных от несанкционированного изменения;
защиту от стирания (очистки) фискальных данных;
защиту от использования очищенной ФП без предварительной инициализации;
защиту от несанкционированной замены ФП;
защиту от несанкционированного отключения фискального режима;
контроль правильности записи в ФП фискальных данных;
сравнение даты записи фискальных данных с датой предыдущей записи в ФП и блокировку записи в случае, если дата осуществляемой записи более ранняя, чем дата предыдущей записи;
контроль целостности всех фискальных данных, содержащихся в ФП, при записи суточного (сменного) итога в ФП;
контроль правильности читаемых фискальных данных при снятии отчета ФП и выдачу сообщения при чтении (печати) испорченных фискальных данных.
3.6. Средства защиты должны обеспечивать следующие блокировки:
блокировку всех операций, кроме чтения ФП, при обнаружении испорченных фискальных данных в ФП;
блокировку попыток изменения местоположения десятичной точки до операции перерегистрации;
блокировку всех операций, кроме чтения ФП, при переполнении ФП;
блокировку всех операций при неисправности ФП;
блокировку всех операций при отсутствии ФП;
блокировку попыток подбора пароля доступа к фискальным данным;
блокировку попыток выполнения любых действий с ФП до записи заводского номера;
блокировку повторной записи заводского номера;
блокировку попыток выполнения любых действий с ФП, кроме чтения и записи заводского номера, до проведения фискализации;
блокировку попыток выполнения более 4-х перерегистраций;
блокировку попыток выполнения любых действий с использованием пароля доступа к ФП, до записи суточного (сменного) итога в ФП.
3.7. Программы управления работой ФП должны быть защищены от изменения.
4.1. Средства защиты ККМ первой группы устройств должны обеспечивать:
защиту системных данных от сбоев по питанию;
защиту от несанкционированной замены или изменения программного обеспечения в ПЗУ ККМ;
защиту фискальных данных от НСД не ниже 6 класса защищенности для ККМ 1 класса и не ниже 5 класса защищенности для ККМ 2 класса (согласно РД Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации).
4.2. Средства защиты ККМ второй группы устройств должны обеспечивать:
запись и хранение системных данных в энергонезависимой памяти;
защиту системных данных от сбоев по питанию;
защиту системных данных от несанкционированного изменения;
защиту от загрузки операционной системы с внешнего устройства;
защиту от замены или изменения незагружаемого программного обеспечения;
защиту от замены или изменения загружаемого программного обеспечения;
блокировку попыток записи двух суточных (сменных) итогов подряд, без промежуточного оформления платежных документов;
защиту фискальных данных от НСД не ниже 5 класса защищенности для ККМ 1 класса и не ниже 4 класса защищенности для ККМ 2 класса (согласно РД. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации);
защиту фискальных данных от НСД не ниже класса защищенности 1Г для ККМ 1 класса, объединенных в АКС и не ниже класса защищенности 1В для ККМ 2 класса, объединенных в АКС (согласно РД. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации).
5.1. Сертификация ККМ, АКС и ППП для ККМ и АКС по требованиям защиты информации производится в соответствии с требованиями "Положения о сертификации средств защиты информации по требованиям безопасности информации" и "Типовыми методиками сертификации ППП по требованиям безопасности информации от НСД".
5.2. Сертификация ККМ и АКС отечественного производства производится с последующей аттестацией производства по выпуску сертифицированной продукции и выдачей сертификационной лицензии на право применения знака соответствия.
5.3. Сертификация партии устройств производится по репрезентативной выборке из партии с последующей выдачей сертификата на всю партию. Действие сертификата соответствия распространяется на аналогичные устройства последующих партий при условии проведения дополнительной проверки выборки из последующих партий.
5.4. Сертификация единичных образцов ККМ и АКС проводится по схеме испытаний единичного образца с последующей выдачей сертификата на единичный образец с указанием заводского номера (уникального кода идентификации).
