ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
АПК - Аппаратно-программный комплекс
АРМ - Автоматизированное рабочее место
АС - Автоматизированная система
ВП - Вредоносная программа
ВТСС - Вспомогательные технические средства и системы
ГУ - Государственное учреждение
ИБ - Информационная безопасность
ИСПДн - Информационная система персональных данных
КЗ - Контролируемая зона
КИС - Корпоративная информационная система
КТС - Комплекс технических средств
МЭ - Межсетевой экран
НСД - Несанкционированный доступ
ОС - Операционная система
ПДн - Персональные данные
ПО - Программное обеспечение
ПЭМИН - Побочные электромагнитные излучения и наводки
РФ - Российская Федерация
Характеристики ИБ - Конфиденциальность, целостность, доступность
СВТ - Средство вычислительной техники
СЗИ - Средство защиты информации
СЗПДн - Система защиты персональных данных
СУБД - Система управления базами данных
ТЗ - Техническое задание
ТКУИ - Технический канал утечки информации
УБПДн - Угрозы безопасности персональных данных
ФСБ - России Федеральная служба безопасности Российской Федерации
ФСТЭК - России Федеральная служба по техническому и экспортному контролю
Инструкция по организации защиты информации автоматизированной информационной системы ПФР (далее – Инструкция) разработана в соответствии с требованиями «Концепции безопасности информации автоматизированной информационной системы ПФР».
Инструкция определяет цели и основные задачи защиты информации автоматизированной информационной системы (АИС) Пенсионного фонда Российской Федерации, основные требования и единый порядок ее организации в органах ПФР.
Нормативной базой Инструкции являются федеральное законодательство, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации, регулирующие вопросы безопасности информации.
Инструкция является нормативным документом ПФР, обязательным для выполнения (в части касающейся) всеми работниками системы ПФР.
Лица, виновные в нарушении правил обеспечения защиты информации АИС, могут быть привлечены к дисциплинарной ответственности.
Лица виновные в нарушении безопасности информации АИС ПФР могут быть привлечены к административной или уголовной ответственности в соответствии с действующим законодательством Российской Федерации.
Целью защиты информации АИС ПФР является достижение ее безопасности, то есть состояния защищенности информации от внешних и внутренних угроз, характеризуемого способностью персонала, технических средств и информационных технологий обеспечить в процессе обработки ее конфиденциальность целостность, доступность и аутентичность.
Защите подлежит вся циркулирующая в АИС ПФР информация. Методы и меры защиты ресурсов определяются дифференцированно, исходя из их важности, особенностей реализации и использования. Защита общедоступной информации производится только в целях обеспечения ее целостности, доступности и аутентичности.
Цель защиты информации АИС ПФР достигается решением следующих задач:
реализация комплекса мер по предотвращению противоправного получения информации Пенсионного фонда или ее несанкционированной передачи (распространения);
своевременное обнаружение фактов несанкционированного доступа к информации и предотвращение неавторизованного (неполномочного) воздействия на информационные ресурсы;
недопущение воздействия на технические средства обработки и хранения информации, нарушающего их функционирование;
предупреждение неблагоприятных последствий нарушения порядка доступа к информации;
обеспечение восстановления в приемлемые срокиинформации после не предусмотренной технологией ее обработки модификации, в том числе уничтожения.
техническое и программное обеспечение автоматизированной информационной системы ПФР;
информационно-телекоммуникационная сеть ПФР;
информационные ресурсы, представленные в виде носителей на различной физической основе, информативных физических полей, информационных массивов и баз данных;
помещения, в которых размещаются носители или средства обработки защищаемой информации;
все технические средства и системы, размещенные в помещениях, в которых обрабатывается (циркулирует) информация ограниченного доступа;
система защиты информации.
Выполнение задач защиты информации в АИС ПФР обеспечивается организацией эффективной системы защиты информации – комплексным применением организационных и технических (программно и аппаратно реализуемых) мероприятий:
созданием системы нормативных (руководящих) документов по организации защиты;
четким распределением ответственности в вопросах защиты информации между должностными лицами и работниками органов системы ПФР;
установлением персональной ответственности работников органов системы ПФР за обеспечение безопасности обрабатываемой информации;
организацией выполнения подразделениями, должностными лицами и работниками органов ПФР требований нормативных документов по защите информации;
юридической защитой безопасности информации при ее предоставлении сторонним организациям;
своевременным выявлением угроз безопасности информации и принятием соответствующих мер защиты;
дифференцированием мер защиты в зависимости от степени угрозы и важности объекта защиты;
комплексным применением программно и аппаратно реализованных средств защиты информации от несанкционированного доступа к ней и от специальных воздействий на информационные ресурсы в целях их уничтожения, искажения, блокирования или фальсификации;
регламентированием порядка применения средств ввода-вывода информации и контролем его выполнения;
содержанием актуальных резервных копий информационных ресурсов;
применением прикладных программных продуктов, отвечающих требованиям обеспечения защиты информации;
содержанием штата специалистов по защите информации, организацией эффективной системы их профессиональной подготовки и повседневной деятельности;
организацией контроля доступа в помещения и здания ПФР, их охраной в нерабочее время;
проведением аттестации помещений, специальных исследований и специальных проверок технических средств ПФР;
систематическим анализом безопасности информации и совершенствованием системы её защиты;
эффективной противопожарной защитой;
приданием мероприятиям защиты информации характера обязательных элементов производственного процесса ПФР, а требованиям по их исполнению – элементов производственной дисциплины;
глубоким знанием и пониманием работниками требований безопасности информации.
Применение технических средств защиты информации в ПФР основано на принципах безопасности, правомочности и эффективности. Используемые средства должны соответствовать требованиям всех указанных принципов.
Безопасность. Применяемые технические средства защиты должны иметь сертификат компетентных государственных органов (организаций):
отсутствия деструктивного воздействия на защищаемую информацию или возможности их использования для такого воздействия;
обеспечения требуемого уровня защищенности.
Правомочность. Для обеспечения защиты информации ПФР используются лицензированные или свободно распространяемые программные средства защиты.
Эффективность. Защита информации должна обеспечивать положительный результат, соотносимый с затратами ресурсов на ее реализацию.
В ПФР комплексно применяются организационные и технические методы защиты информации АИС ПФР.
К числу основных организационных методов защиты информации, применяемых в ПФР, относятся:
разработка системы нормативных (руководящих) документов по защите информации;
документальное оформление требований к защите информации;
определение порядка отнесения данных к информации ограниченного доступа;
определение перечня защищаемых помещений;
минимизация перечня лиц, допущенных к информации ограниченного доступа;
учет и контроль перемещения носителей информации ограниченного доступа;
контроль допуска в здания работников и посетителей;
нормативное определение порядка обмена информацией ограниченного доступа с другими организациями;
организация допуска к информационным ресурсам;
организация контролируемой зоны и видеонаблюдения помещений и прилегающей к зданиям территории; разграничение прав доступа к информационным ресурсам;
минимизация выхода побочных излучений за пределы контролируемой зоны;
доведение до пользователей АИС ПФР требований по защите информации и обучение их правилам работы в АИС.
К числу основных технических методов защиты информации, применяемых в ПФР, относятся:
использование корпоративной информационно-телекоммуникационной сети;
шифрование данных при передаче и хранении (криптографическая защита);
использование электронной цифровой подписи;
аутентификация пользователей вычислительных средств и информационных ресурсов;
резервное копирование данных;
авторизация доступа к информации;
применение межсетевых защитных (фильтрующих) экранов;
использование протоколов, обеспечивающих маршрутизацию сообщений;
применение антивирусного мониторинга и детектирования;
мониторинг процессов и действий пользователей наиболее важных аппаратных и информационных ресурсов;
оборудование зданий и помещений системами безопасности;
применение для хранения парольной и ключевой информации электронных носителей (индивидуальных аутентификаторов);
широкое применение в архитектуре вычислительных систем технологий и средств повышения надежности их функционирования и обеспечения безопасности информации;
применение средств технической укреплённости зданий и помещений.
Общее руководство организацией защиты и контролем безопасности информации в АИС ПФР осуществляется заместителем Председателя Правления ПФР.
В отделениях ПФР и подведомственных им территориальных органах ПФР ответственность за организацию и выполнение мероприятий по обеспечению защиты информации АИС возлагается на соответствующих руководителей.
Методическое руководство, организация мероприятий по защите информации АИС ПФР, эксплуатация технических средств защиты, а также контроль безопасности информации АИС ПФР возлагается на подразделения по защите информации.
-
Практическая реализация мероприятий по защите информации АИС ПФР осуществляется работниками органов системы ПФР в соответствии с их должностными полномочиями и обязанностями.
Подразделения по защите информации в системе органов ПФР создаются в порядке, установленном в ПФР.
Задачи и права подразделения по защите информации определяются положением, разрабатываемым в соответствующем органе ПФР на основе типового положения и утверждаемым в установленном порядке.
Подразделение по защите информации подчиняется непосредственно руководителю соответствующего органа системы ПФР.
В органах ПФР, в которых штатным расписанием не предусмотрено подразделение по защите информации, назначаются работники, ответственные за организацию защиты информации – администраторы защиты (безопасности) информации. Количество назначаемых работников и круг дополнительно возлагаемых на них обязанностей определяется нормативным актом соответствующего органа системы ПФР.
организация безопасного обращения носителей информации;
недопущение несанкционированного проникновения в помещения и воздействия на технические средства обработки и хранения информации, нарушающего режимы их функционирования;
минимизация возможности перехвата информации или ее съема посредством побочных излучений и полей.
Основными мероприятиями защиты информации от НСД и вредоносных программ в ПФР являются:
учет защищаемых ресурсов;
минимизация перечня лиц, допущенных к защищаемой информации, и разграничение их прав доступа;
авторизация пользователей информационных ресурсов и вычислительных средств;
обеспечение безопасного подключения локальных вычислительных сетей (далее – ЛВС) к информационно-телекоммуникационным сетям;
использование протоколов, обеспечивающих маршрутизацию сообщений;
организация защиты от вредоносных программ;
создание и организация безопасного хранения резервных копий (дубликатов) наиболее важных информационных ресурсов;
организация учета и безопасного хранения носителей информации;
контроль конфигурации вычислительных средств и их программного обеспечения;
блокирование устройств и портов ввода-вывода информации;
пропускная система допуска в здания сотрудников и посетителей;
ограничение доступа в помещения, в которых размещаются хранилища информации и средства ее обработки;
использование корпоративной информационно-телекоммуникационной сети ПФР;
создание контролируемых зон, оборудование зданий и помещений элементами и системами безопасности и контроля.
Реализация мероприятий по защите АИС от НСД и вредоносных программ возлагается на руководителей органов ПФР, обслуживающий персонал и пользователей в соответствии с их должностными обязанностями и функциональными инструкциями.
Контроль и координация мероприятий защиты от НСД и вредоносных программ на объектах органов ПФР возлагается на администраторов защиты (безопасности) информации.
Для обеспечения защиты информации АИС ПФР от несанкционированного доступа и вредоносных программ применяются встроенные и специализированные технические (аппаратные и программные) средства защиты.
К встроенным относятся средства защиты, механизмы которых являются неотъемлемой частью функциональных программ (системных и прикладных) и реализуют их дополнительную функцию – обеспечение защиты обрабатываемой информации.
К специализированным относятся средства защиты, основным функциональным назначением которых является обеспечение безопасности информации.
Встроенные и специализированные средства защиты могут использоваться совместно.
При организации защиты АИС от несанкционированного доступа к информации и вредоносных программ учитывается фактор наличия в корпоративной сети вычислительной техники низкой производительности (морально устаревшей).
Применение средств защиты организуется без существенного потребления ими вычислительных ресурсов защищаемых вычислительных средств.
Основными специализированными средствами защиты, применяемыми для защиты АИС ПФР от несанкционированного доступа к информации и вредоносных программ, являются:
антивирусные комплексы;
межсетевые защитные (фильтрующие) экраны;
средства мониторинга состояния объектов защиты;
средства авторизации пользователей;
средства криптографической защиты информации;
средства блокирования устройств и портов вычислительных систем;
средства гарантированного уничтожения информации на носителях;
средства охранной, пожарной сигнализации и видеоконтроля.
|
