Описание

Инструкция гш-1000

АВТОНОМНАЯ НЕКОММЕРЧЕСКАЯ ОРГАНИЗАЦИЯ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«БЕЛГОРОДСКИЙ УНИВЕРСИТЕТ
КООПЕРАЦИИ, ЭКОНОМИКИ И ПРАВА»

кафедра организации и технологии защиты информации

Практическая работа №5

Порядок оформления документов на организацию работ с конфиденциальными документами

Цель: Изучить нормативно-правовую базу по организации работ с конфиденциальными документами

Время: 2 учебных часа

Содержание отчета: отчетный материал согласно формы отчета

Порядок оформления документов следующий:

Составляется письмо на проведение проверочных мероприятий на сотрудника который будет заниматься конфиденциальными документами. Приложение №.1

Делается запрос о наличии иностранных организаций на территории города. Приложение №.3

Оформляются данные по уровню подготовки кадров, обеспечивающих защиту информации на объектах информатизации .Приложение №.4

Заказываются печати и штампы с указанием наименования организации и режимного подразделения согласно образцов. Приложение №.5

Составляется инструкция специалисту по защите информации _____________ о порядке приема – сдачи под охрану помещения секретного отделения, оснащенного охранной сигнализацией.

Согласовывается и утверждается в органах ФСБ номенклатура должностей работников, подлежащих оформлению на допуск к особой важности, совершенно секретным и секретным сведениям в ООО __________. Приложение №.7

Утверждается список лиц допущенных в РСО. Приложение №.8

Утверждается список комнат, в которых в нерабочие время разрешается хранить секретные документы. Приложение №.9

Утверждается перечень лиц, допущенных к получению ключей и вскрытию режимных помещений и хранилищ, сдающих под охрану помещения службе безопасности университета. Приложение №.10.

Составляется план эвакуации секретных документов Приложение №.11.

Настоящая инструкция разработана в соответствии с требованиями "Инструкции по обеспечению режима секретности в министерствах, ведомствах, на предприятиях, в учреждениях и организациях СССР" № 0126-87 от 12 мая 1987 года и "Инструкции …..".

Инструкция устанавливает основные требования по обеспечению сохранности секретной информации при работе на «АРМ ______» 1-го отдела (далее по тексту - АРМ) в процессе подготовки и распечатки текстовых и графических документов.

Ответственность за обеспечение режима секретности проводимых на АРМ работ, своевременную разработку и осуществление необходимых мероприятий по защите государственных секретов возлагается на ________________.

Лица виновные в нарушении требований настоящей Инструкции и других руководящих документов по вопросам обеспечения и соблюдения требований секретности, в зависимости от причиненного ущерба, привлекаются к ответственности предусмотренной Российским законодательством.

К обработке информации на АРМ допускаются исключительно сотрудники, которым в установленном порядке оформлен допуск к государственной тайне. Список сотрудников, допущенных к работе на АРМ, согласовывается с 1-ым отделом. Решение о допуске сотрудников к работе с секретной информацией на аттестованном АРМ принимает Начальник. В дальнейшем сотрудник, допущенный к обработке секретной информации на АРМ, будет именоваться пользователь.

Из числа лиц, допущенных к работе на АРМ 1-го отдела, начальник назначает уполномоченного по защите информации (администратора безопасности). Уполномоченный по защите информации отвечает за ведение и нормальное функционирование установленных на объекте систем защиты информации. При этом он в своей повседневной деятельности руководствуется документами, регламентирующими защиту конфиденциальной информации от утечки по техническим каналам и несанкционированного доступа к ней, настоящей инструкцией, утвержденной Инструкцией администратору безопасности… и эксплуатационной документацией на установленные на объекте информатизации системы защиты от несанкционированного доступа к информации и от утечки информации по техническим каналам.

Непосредственный контроль за обеспечением режима секретности выполняемых работ и требований настоящей Инструкции возлагается на начальника 1- го отдела.

Настоящая Инструкция доводится до пользователей под расписку.

Мероприятия по защите информации

2.1. Помещение № _____, в котором размещен АРМ 1-го отдела, находится на ________ этаже по адресу___, отнесено к режимным помещениям и на него распространяются требования раздела 6 Инструкции № 0126-87.

По окончании рабочего дня помещение сдается под охрану в соответствии с установленным порядком и опечатывается.

Самостоятельный вход в помещение разрешается постоянно работающим в нем сотрудникам, согласно списка. Другие лица могут находиться в помещении №___ только в присутствии постоянно работающих в нем лиц. Доступ лиц для проведения технического обслуживания ПЭВМ и других работ разрешается по списку, согласованному с 1-го отдела.

АРМ 1-го отдела имеет состав:

и отнесен к объекту информатизации 3 (третьей) категории, класс защищенности АРМ от несанкционированного доступа установлен ___.

На АРМ может обрабатываться информация с грифом «Секретно» и с пометкой «Для служебного пользования».

Во время работы с секретной информацией на АРМ в помещении могут присутствовать только сотрудники, имеющие непосредственное отношение к обработке секретной информации на АРМ, и сотрудники 1-го отдела.

Технические средства АРМ в помещении размещаются таким образом, чтобы исключить визуальный просмотр экрана видеомонитора и распечаток принтера лицами, не имеющими отношения к обрабатываемой информации. Не допускается перемещение АРМ в другие помещения и установленного размещения его компонентов внутри помещения.

При эксплуатировании АРМ должно обеспечиваться:

функционирование установленной системы защиты информации от несанкционированного доступа “SecretNet4.0.”;

длина пароля пользователя в СЗИ НСД “SecretNet4.0.” не менее 8 символов, смена пароля не реже одного раза в месяц;

функционирование генератора шума «ГШ-1000М» (зав.№___);

взаимное расположение ВТСС и ОТСС, зафиксированное в "Схеме расположения ОТСС и ВТСС в каб.___1-го отдела" (Приложение №__ к Техническому паспорту ОИ «АРМ ______»);

использование в составе АРМ технических средств, указанных в предписании на эксплуатацию АРМ.

В целях предотвращения разрушения и утери обрабатываемой на АРМ информации должно осуществляться:

копирование необходимой информации по мере ее обновления на учтенные в установленном порядке съемные носители;

проверка программой-«антивирусом» AVPмагнитных носителей информации, поступивших из других подразделений и сторонних организаций.

Техническое обслуживание АРМ (замена картриджей принтеров и др. действия, несвязанные со сборкой-разборкой АРМ и изменением ПО АРМ) должно осуществляться под наблюдением уполномоченного по защите сотрудниками согласно списка в соответствии с утвержденной Инструкцией по организации работ при производстве обслуживания и ремонта АРМ, а уборка помещений производится под контролем сотрудника, постоянно работающего в этом помещении. При проведении данных работ обработка секретной информации ЗАПРЕЩЕНА.

Ремонт, связанный с заменой отдельных узлов или устройств из состава технических средств АРМ, должен производиться по согласованию с организацией, проводившей специальную проверку и специальные исследования технических средств, в соответствии с утвержденной Инструкцией по организации работ при производстве обслуживания и ремонта АРМ.

Порядок работы с программным обеспечением АРМ.

Работа на АРМ должна осуществляться на базе общесистемного программного обеспечения, зафиксированного в «Списке ПО» (уч..№__).

Изменение рабочего программного обеспечения на АРМ проводится с санкции начальника с оформлением соответствующего протокола.

Защита АРМ, программных средств и информации от несанкционированного доступа реализуется системой защиты от НСД ”SecretNet”, эксплуатация которой должна осуществляться в соответствии с сопроводительной документацией.

Сообщение программ контроля при загрузке или в процессе работы с системой о нарушении целостности рабочего программного обеспечения является признаком его несанкционированной модификации или проникновения программы-«вируса». В этом случае уполномоченный по защите проводит разбор и анализ ситуации с принятием решения о возможности продолжения работ на АРМ. Для проведения анализа возникших ситуаций привлекаются сотрудники _________.

Обнаруженное несанкционированное изменение (модификация) программного обеспечения пользователем регистрируется как нарушение правил работы и режима секретности на АРМ, о чем уполномоченный по защите докладывает начальнику .

При установлении факта обнаружения программ-“вирусов” необходимые антивирусные процедуры проводятся уполномоченным по защите с привлечением специалистов отдела _________________.

Порядок использования магнитных носителей информации

Обработка и хранение секретной информации на АРМ разрешается только с использованием взятых на инвентарный учет накопителях на жестких и гибких магнитных дисков (далее по тексту МН).

Учет защищаемых носителей проводится с помощью маркировки. Выдача и прием защищаемых носителей регистрируются в журнале №___ (в соответствии с требованиями РД Гостехкомиссии «Защита от НСД к информации. Классификация АС и требования по защите информации»).

Гриф секретности МН должен соответствовать наивысшему грифу находящейся на нем информации.

Копирование секретной информации на МН, не взятые на инвентарный учет, ЗАПРЕЩЕНО.

Выдача пользователям МН, предназначенных для работы с секретной информацией, производится в отделе по защите гостайны, с обязательной регистрацией в карточке учета. По окончании работ на АРМ, полученные МН должны сдаваться в 1-ый отдел либо храниться у пользователя установленным порядком.

Вышедшие из строя МН подлежат сдаче в 1-ый отдел для последующего их списания и уничтожения установленным порядком.

Обязанности пользователя при подготовке документов на АРМ.

Перед началом работы на АРМ с секретной информацией следует убедиться в отсутствии в помещении посторонних лиц.

Защита АРМ от утечки информации за счет побочных электромагнитных излучений и наводок, а также от утечки по сети электропитания и заземления реализуется генератором шума «ГШ-1000М» (зав. №______) в соответствии с руководством по эксплуатации 2.211.038 РЭ.

Перед началом работы пользователь включает генератор шума «ГШ-1000М» (зав. №______) в соответствии с руководством по эксплуатации 2.211.038 РЭ.

Работу на АРМ с установленной системой защиты от НСД ”SecretNet” пользователь осуществляет в соответствии с “Руководством пользователя”.

При обработке секретной информации на АРМ следует руководствоваться требованиями настоящей инструкции (разделы 2,3,4).

Подготовка на АРМ секретных документов производится только на ГМД предназначенных для обработки секретной информации, либо в специальных каталогах для хранения и обработки секретных документов, определенных в «Матрице….».

Распечатка подготовленных на АРМ секретных документов должна производиться пользователем только на листах предварительного учета, полученных под роспись в 1-ом отделе. По окончании рабочего дня листы предварительного учета (использованные и неиспользованные) сдаются на хранение в 1-ый отдел.

Секретный документ, распечатанный на листах предварительного учета, согласованный и подписанный у руководства регистрируется и ставится на учет в 1-ом отделе. Листы с браком уничтожаются установленным порядком.

Регистрация секретных документов, распечатанных на листах предварительного учета, проводится в соответствии с требованиями РД Гостехкомиссии «Защита от НСД к информации. Классификация АС и требования по защите информации») к классу защищенности ___ в журнале №___.

При завершении работы пользователя на АРМ необходимо провести полное выключение системы.

Оставлять бесконтрольно включенную ПЭВМ, магнитные носители и листы предварительного учета.

Изменять и тиражировать программное обеспечение.

Вести разговоры с посторонними лицами о процедурах доступа к АРМ и информации.

Набирать на клавиатуре при посторонних лицах персональный пароль и записывать его.

Распечатывать секретную информацию на неучтенных листах.

Сообщать устно или письменно свой персональный пароль.

Передавать кому-либо персональный идентификатор.

6. Контроль за соблюдением режима секретности

6.1. Контроль за соблюдением режима секретности при обработке секретной информации возлагается на начальника 1-ГО ОТДЕЛА, эксплуатирующих АРМ сотрудников, уполномоченного по защите информации, сотрудников 1-ГО ОТДЕЛА.

6.2. Начальник 1-ГО ОТДЕЛА контролирует:

правильность эксплуатации пользователями АРМ;

порядок допуска пользователей к работе с секретной информацией на АРМ;

порядок соблюдения режима обработки секретной информации;

порядок хранения идентификатора «Supervisor» (хранится в сейфе в опечатанной колбе, используется только в нештатных ситуациях с привлечением сотрудников отделов __________ и уполномоченного по защите);

выполнение работ пользователями на закрепленными за ними технических средствах.

6.3. Сотрудники 1-ГО ОТДЕЛА периодически контролируют:

соблюдение требований режима секретности при выполнении работ на АРМ;

порядок хранения и обращения с секретными документами, используемыми в работе;

наличие реквизитов маркировки и их соответствие содержанию секретной информации на распечатанных документах;

соответствие грифа секретности обрабатываемой информации «Развернутому перечню сведений, подлежащих засекречиванию в системе Банка России».

6.4. Сотрудники тех. отдела не реже одного раза в полтора года осуществляют контроль эффективности внедренных на объекте защитных мер и средств защиты информации, в соответствии с требованиями предписаний на эксплуатацию технических средств и средств защиты информации.

Обязательным является контроль:

при вводе ОИ в эксплуатацию;

после ремонта технических средств, входящих в состав ОИ и средств защиты информации;

при изменении условий эксплуатации (в т.ч. программной среды) ОИ и размещения технических средств;

при изменении в составе персонала ОИ.

7. Ответственность за нарушение режима секретности при обработке секретной информации на объектах информатизации

7.1. Факт нарушения требований настоящей Инструкции является чрезвычайным происшествием и по каждому случаю проводится служебное расследование.

7.2. Лица, виновные в нарушении установленных правил работы и обращения с документами и распечатками, которые повлекли за собой их утрату или разглашение сведений, составляющих гостайну, могут быть привлечены к дисциплинарной или уголовной ответственности в соответствии с действующим законодательством.

7.3. Невыполнение лицами, допущенными к обработке секретной информации с использованием АРМ требований настоящей Инструкции, рассматривается как нарушение трудовой дисциплины и влечет за собой в соответствии с КЗОТ РФ наложения дисциплинарного взыскания в виде: замечания, выговора, строгого выговора, увольнения, а также может являться основанием для отказа в заключении соглашения о социальных льготах. Применение дисциплинарного взыскания не является препятствием для одновременного полного или частичного лишения премий и других поощрительных выплат.

7.4. Степень налагаемого на виновного сотрудника дисциплинарного взыскания зависит от обстоятельств нарушения и тяжести наступивших последствий вплоть до отстранения от работы со сведениями, составляющими государственную тайну.

Настоящая Инструкция доводится до пользователей под роспись.

Настоящая Инструкция вступает в силу с "___" _________ 2001года.

проведения аттестационных испытаний объекта информатизации

1. Объекты испытаний.

Объектами испытаний является объект информатизации (ОИ) [название ].

Объект информатизации предназначен для автоматизированной обработки секретной информации, информации с пометкой «Для служебного пользования» и несекретной информации.

2. Цель испытаний.

2.1.Целью аттестационных испытаний объекта информатизации по требованиям безопасности информации является оценка соответствия объекта требованиям стандартов и других нормативных документов по безопасности информации, утвержденных (согласованных) Гостехкомиссией России, ФАПСИ или ФСБ России в пределах их компетенции.

2.2.При аттестационных испытаниях объектов проводится оценка их соответствия требованиям по защите информации:

по проведению организационно-режимных мер;

от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) средств объекта;

по защите информации от утечки по цепям электропитания и заземления;

от утечки за счет электронных устройств перехвата информации;

от несанкционированного доступа (НСД) к информации, в том числе от компьютерных вирусов, а также иных разрушающих программных воздействий, нарушающих целостность информации или работоспособность технических средств автоматизированной системы (АС) объекта информатизации.

3. Состав нормативных документов, на соответствие которым проводятся испытания.

Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам (Постановление Совета Министров - Правительства РФ от 15.09.93 г. N 912-51).

Инструкция по обеспечению режима секретности в министерствах, ведомствах, на предприятиях, в учреждениях и организациях СССР (№556-126 от 12 мая 1987 года).

Нормы эффективности защиты АСУ и ЭВТ от утечки информации за счет ПЭМИН;

Модель иностранных технических разведок на период до 2010 года (Модель ИТР-2010) с внесенными изменениями согласно «Извещения №2001-1по корректировке Модели иностранных технических разведок на период до 2010 года (Модель ИТР-2010)» (вх.№023 от 27.11.2001г. ЦБИ «МАСКОМ»);

Гостехкомиссия России. Руководящий документ. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР), – далее по тексту СТР;

Методика контроля защищенности объектов ЭВТ.

Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники.

Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.

Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

4. Условия и порядок проведения аттестационных испытаний
объекта информатизации

4.1.Аттестационные испытания объекта проводятся аттестационной комиссией по согласованной с Заявителем программе испытаний.

4.2.Программа испытаний разрабатывается на основе анализа исходных данных об объекте на этапе предварительного ознакомления.

Программа испытаний может уточняться и корректироваться в процессе испытаний по согласованию с Заявителем и руководителем аттестационной комиссии.

4.3. Для проведения испытаний заявитель предоставляет аттестационной комиссии следующие исходные данные и документацию:

Технические паспорта на объекты информатизации;

Акты категорирования объектов информатизации;

Списки лиц, допущенных в помещение, где ведется обработка секретной информации с использованием автоматизированных рабочих мест (ОИ);

Списки лиц допущенных к обработке секретной информации на ОИ;

Списки сотрудников, допущенных к техническому обслуживанию средств вычислительной техники (ВТ) входящих в состав ОИ;

Акты классификации АС;

Состав программного обеспечения используемого при обработке секретной информации в АС в составе ОИ;

Перечни защищаемых ресурсов с документальным подтверждением уровней конфиденциальности каждого ресурса;

Технологические процессы обработки информации в АС;

Схемы информационных потоков АС;

Инструкции по обеспечению защиты секретной информации обрабатываемой на ОИ;

Эксплуатационная документация на применяемые средства защиты информации в составе ОИ;

Схемы размещения основных (ОТСС) и вспомогательных (ВТСС) технических средств и систем в помещениях, прокладки линий и коммуникаций выходящих из помещений за границы контролируемой зоны;

Схемы размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны;

Схемы прокладки коммуникаций, не выходящих за пределы контролируемой зоны;

Схемы электроснабжения и заземления ОТСС;

Схемы электропитания розеточной и осветительной сети;

Сведения об измерении сопротивления заземляющего устройства;

Предписания на эксплуатацию ОТСС;

Данные по уровню подготовки кадров, обеспечивающих защиту информации;

Данные о наличии и расположении постоянных представительств иностранных государств, обладающих правом экстерриториальности;

Сведения о проведении специальных проверок ОТСС объекта;

Акты установки на объекте систем защиты информации.

5. Программа испытаний.

Аттестационные испытания проводятся по следующей программе: