Требования по защите информации при подключении к интернету в вс рф. Требования по защите информации при подключении к интернету в вс рф

Энциклопедия

Состояние уровня защищенности информации, информационных ресурсов и информационных систем, обеспечивающее сохранение их качественных характеристик (свойств): конфиденциальность, целостность и доступность. Б.и. обеспечивается защитой информации, под которой понимается деятельность, направленная на предотвращение или значительное затруднение несанкционированного использования защищаемой информации, преднамеренных и непреднамеренных, несанкционированных воздействий на защищаемую информацию, защищаемые информационные ресурсы и информационные системы.

Защиту информации осуществляет система защиты информации, которая представляет собой совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно — распорядительными и нормативными документами в области защиты информации и определяющими способы защиты информации. В настоящее время выделяют два способа защиты информации – организационный и технический. Первый предусматривает проведение мероприятий по защите информации, которые устанавливают временные, территориальные и про-странственные ограничения на условия использования и режим работы объекта защиты, а второй способ предусматривает защиту (не криптографическими методами) сведений, отнесенных к государственной тайне или конфиденциальную информацию, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования, а также противодействие техническим средствам разведки. В настоящее время особое внимание уделяется защите информации от несанкционированного доступа к информации, информационным ресурсам и информационным системам, которая представляет собой деятельность, направленную на предотвращение получения защищаемой информации заинтересованным субъектом (государство; юридическое лицо; группа физических лиц, в том числе общественная организация; отдельное физическое лицо) с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Лит.: Гостехкомиссия России. Информационная безопасность и защита информации. Сборник терминов и определений. 2001; ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения; Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, Руководящий документ. — М., 1992; Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. Руководящий документ. Гостехкомиссия России. — М., 1992.

Требования по защите информации в единой информационно-коммуникационной инфраструктуре Свердловской области при подключении пользователей к Государственным информационным системам Свердловской области и Информационным системам персональных данных

1. Общие положения.

Технические и организационные меры по защите информации в единой информационно-коммуникационной инфраструктуре Свердловской области (далее — ИК-инфраструктура) разработаны на основании следующих Руководящих документов:

Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»; постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; приказов Федеральной службы по техническому и экспортному контролю Российской Федерации от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; постановления Правительства Свердловской области от 06.05.2013 № 578-ПП «Об утверждении Концепции развития единой информационно-коммуникационной инфраструктуры Свердловской области»; Методического документа «Меры защиты информации в государственных информационных системах», утвержден ФСТЭК России 11.02.2014 года; «Методических рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 центра ФСБ России 21.02.2008 № 149/5-144; «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 центра ФСБ России 21.02.2008 № 149/6/6-622.

2. Назначение и состав Единой информационно-коммуникационной структуры Свердловской области.

Единая информационно-коммуникационная инфраструктура Свердловской области представляет собой совокупность информационных и коммуникационных инфраструктур, в том числе единая сеть передачи данных Правительства Свердловской области (далее — ЕСПД) и центры обработки данных Правительства Свердловской области (основной и резервный) (далее – ЦОД), предназначенные для предоставления базовых инструментов информатизации и единых информационных сервисов всем пользователям ИК-инфраструктуры.

Под средством ИК-инфраструктуры предоставляется (может предоставляться) доступ к Государственным информационным системам Свердловской области.

Элементы единой информационно-коммуникационной инфраструктуры Свердловской области (ЦОД ГБУ Свердловской области «Оператор электронного правительства, коммутационные узлы для подключения исполнительных органов государственной власти Свердловской области к ЦОДу) аттестованы по 2 классу защищенности информационных систем и 2 уровню защищенности персональных данных.

Для информационных систем 2 класса защищённости меры защиты информации обеспечивают 2, 3 и 4 уровни защищённости персональных данных.

Класс защищенности Государственных информационных систем Свердловской области, оператором которых является Министерство транспорта и связи Свердловской области, представлен в таблице 1.

Наименование государственной информационной системы Номер ГИС в реестре государственных систем Свердловской области Требования по защите информации в ГИС
Класс защищенности ГИС Уровень защищенности персональных данных
1 Государственная автоматизированная информационная система «Автоматизированная система управления деятельностью исполнительных органов государственной власти Свердловской области» ИС-13/0003
от 5.07.2013
2 2
2 Государственная информационная система «Автоматизированная информационная система «Е-услуги. Образование» ИС-13/0004
от 5.07.2013
2 2
3 Региональная государственная информационная система «Реестр государственных и муниципальных услуг (функций) Свердловской области» ИС-14/0010
от 04.02.2014
3 3
4 Государственная информационная система Свердловской области «Региональная навигационно-информационная система транспортного комплекса Свердловской области на базе технологий ГЛОНАСС и ГЛОНАСС/GPS» ИС-13/0002
от 5.07.2013
3 3

3. Мероприятия по защите информации в ИК-инфраструктуре при подключении к Государственным информационным системам и системам персональных данных.

3.1 Общие требования.

При подключении к Государственным информационным системам и Информационным системам персональных данных участниками ИК-инфраструктуры должны быть реализованы следующие меры защиты информации:

идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации; регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности информации; обеспечение целостности информационной системы и информации; обеспечение доступности информации; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств и систем связи и передачи данных.

Применение беспроводных технологий связи для доступа к Государственным информационным системам и Информационным системам персональных данных возможно только при использовании средств криптографической защиты информации совместимых со средствами, использующимися в центральном сегменте ИК-инфраструктуры.

3.2 Организационные мероприятия по обеспечению безопасности информации.

Комплекс организационных мероприятий по защите информации, при подключении к Государственным информационным системам и информационным системам персональных данных в ИК-инфраструктуре Свердловской области, должен включать в себя следующие меры:

все технические средства обработки информации и носители информации должны быть размещены в пределах контролируемой зоны; все помещения, в которых происходит обработка и хранение защищаемой информации, а так же помещение с оборудованием, обеспечивающим технологический процесс обработки информации, должны быть оснащены средствами охранно-пожарной сигнализации; входные двери в помещения должны быть оснащены надежными замками; допуск в помещения вспомогательного и обслуживающего персонала (уборщиц, электромонтеров, сантехников и т.д.) должен производиться только в случае служебной необходимости в присутствии лиц, ответственных за эксплуатацию помещений; физическая охрана технических средств информационной системы должна предусматривать контроль доступа в помещения; должно проводиться резервирование технических средств, дублирование массивов и носителей информации; должен быть определен перечень лиц допущенных к обработке информации в ИС; должен быть назначен ответственный за обеспечение безопасности информации; все машинные носители информации, средства защиты информации должны быть учтены в специальных журналах.

3.3 Технические мероприятия

3.3.1 Общие требования к реализации технических мероприятий по обеспечению безопасности информации.

Применяемые технические средства защиты информации должны соответствовать требованиям к средствам защиты информации определенным в п.26 Приказа ФСТЭК России от 11 февраля 2013 г. № 17 для информационных систем 2 класса защищенности.

Выбранные для использования сертифицированные по требованиям безопасности информации средства защиты должны соответствовать:

средства вычислительной техники — не ниже 5 класса в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

системы обнаружения вторжений и средства антивирусной защиты — не ниже 4 класса защиты;

межсетевые экраны — не ниже 3 класса в соответствии с РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации»;

программное обеспечение СЗИ — не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей в соответствии с РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

3.3.2 Обеспечение безопасности информации при передаче по телекоммуникационным каналам связи.

При передаче информации по телекоммуникационным каналам связи необходимо обеспечить защиту передаваемой информации от несанкционированного доступа к ней криптографическими средствами защиты информации.

Применяемые криптографические средства защиты информации должны быть полностью совместимы с уже существующими средствами защиты каналов связи Правительства Свердловской области (ViPNet сеть № 2057, в составе: ПО ViPNet Administrator, ПАК ViPNet Coordinator HW1000, ПАК ViPNet Coordinator HW100С).

Класс применяемых криптографических средств зависит от мер, реализованных в учреждении по обеспечению безопасности информации и определяется в соответствии со следующими рекомендациями:

в случае реализации комплекса мероприятий организационного и технического характера обеспечивающего отсутствие несанкционированного доступа к автоматизированным рабочим местам (далее – АРМ) пользователей ИК-Инфраструктуры со стороны потенциально возможных внутренних нарушителей безопасности информации (сотрудников и внешних посетителей, не являющихся зарегистрированными пользователями, имеющими право постоянного или разового доступа в контролируемую зону в которой расположен АРМ Пользователя) достаточными средствами криптографической защиты информации являются средства класса КС1; в случае отсутствия комплекса мероприятий организационного и технического характера обеспечивающего отсутствие несанкционированного доступа к АРМ Пользователей ИК-Инфраструктуры со стороны потенциально возможных внутренних нарушителей безопасности информации необходимо применять средства криптографической защиты информации класса не ниже КС2.

4. Порядок проведения мероприятий по защите информации в информационных системах при подключении к Государственным информационным системам и информационным системам персональных данных в ИК–инфраструктуре Свердловской области.

Для проведения работ по защите информации при подключении к Государственным информационным системам и Информационным системам персональных данных в ИК-инфраструктуре Свердловской области необходимо руководствоваться нормативными документами перечисленными в разделе № 1 текущего документа, для проведения указанных мероприятий допускается привлечение организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 04 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности».

5. Рекомендации к средствам защиты информации.

Применяемые технические средства защиты информации должны быть сертифицированы ФСТЭК России (ФСБ России в части средств криптографической защиты информации) и соответствовать требованиям к средствам защиты информации определенным:

Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» для информационных систем 2 класса защищенности; Приказом ФСТЭК России от 6 декабря 2011 г. № 638 «Об утверждении требований к системам обнаружения вторжений»; Приказом ФСТЭК России от 20 марта 2012 г. № 28 «Требования к средствам антивирусной защиты».

Меры по защите АРМ пользователей ИК-инфраструктуры определяются пользователями ИК–инфраструктуры самостоятельно (или с привлечением организаций – лицензиатов ФСТЭК России и ФСБ России по направлениям технической и криптографической защиты информации) в зависимости от уже реализованных в учреждении мер организационного и технического характера по обеспечению безопасности информации в соответствии с требованиями федеральных законов и нормативных документов ФСТЭК России и ФСБ России, а также в соответствии с требованиями настоящего документа.

При выборе средств защиты необходимо руководствоваться следующими рекомендациями:

Средства защиты информации
1 Средства антивирусной защиты Средства антивирусной защиты должны быть лицензионными и сертифицированными ФСТЭК России с ежедневно обновляемыми базами сигнатур.
(Kaspersky Endpoint Security — медиапак)
2 Средства защиты информации при передаче по каналам связи Применяемые средства должны быть полностью совместимы с уже существующими средствами защиты каналов связи Правительства Свердловской области (ViPNet сеть № 2057)
(ViPNet Coordinator HW, ViPNet Client, или аналоги)
3 Средства межсетевого экранирования Средства межсетевого экранирования должны корректно функционировать в рамках существующей ИК-Инфраструктуры Правительства Свердловской области
(ViPNet Coordinator HW, ViPNet Client, или аналоги)
4 Системы обнаружения вторжений Системы обнаружения вторжений должны корректно функционировать в рамках существующей ИК-Инфраструктуры Правительства Свердловской области В качестве средства обнаружения вторжений допустимо использование программно – аппаратного комплекса ViPNet IDS 1000, который корректно функционирует в действующей развернутой сети ViPNet Правительства СО
5 Средства защиты от несанкционированного доступа с программным модулем доверенной загрузки Средства защиты должны быть способны корректно функционировать на рабочих стациях входящих в домен Правительства Свердловской области.
Вариант № 1
Dallas Lock 8.0-С или аналоги с программным модулем доверенной загрузки
Вариант № 2
Средство от НСД SecretNet или аналоги
Средства ДЗ ПАК Соболь или аналоги
6 Средства доверенной загрузки

1. На сегодняшний день всем требованиям Приказа ФСТЭК России № 28 «Требования к средствам антивирусной защиты» соответствует только сертифицированный продукт Kaspersky Endpoint Security 10. Остальные (Dr.Web, NOD32 и т.д) такой сертификат не получили. Закупленные ранее антивирусы годятся, но только до конца действия сертификатов соответствия ФСТЭК России.

2. Для ГИС класса К2 обязательно наличие средств обнаружения вторжений, таких как ViPNet IDS 1000 или 2000.

6. Подключение к Государственным информационным системам и Информационным системам персональных данных.

Подключение к Государственным информационным системам и Информационным системам персональных данных производится по соглашению между оператором Государственной информационной системы и руководителями учреждений и организаций, планирующих осуществить подключение к информационной системе.

Подключение АРМ пользователей к Государственным информационным системам в ИК-инфраструктуре производиться только после выполнения учреждением всех требований по обеспечению безопасности информации (в том числе и персональных данных) предусмотренных федеральными законами, нормативными документами и определенными настоящим документом.

Предоставление доступа пользователей к Государственным информационным системам должно осуществляется на основании заявок, оформленных установленным порядком, проект заявки прилагается (Приложение № 1).

Ответственными за допуск учреждений и организаций к Государственным информационным системам являются операторы данных систем.

Ответственными за допуск сотрудников к Государственным информационным системам являются руководители учреждений и организаций, подключенных к ИК-инфраструктуре.

Информационная безопасность вооруженных сил РФ

Предотвращение внутренних и внешних угроз
с помощью DLP-системы

Г ибридные способы ведения современных войн делают крайне важным обеспечение информационной безопасности вооруженных сил России. На смену войне горячего типа, предусматривающей прямые военные столкновения, приходит война гибридного характера, имеющая своей основной целью развитие гражданских войн и создание управляемого информационного хаоса на территории противника. Для этого используются все возможности – от хакерских атак на важнейшие системы жизнеобеспечения государства до целенаправленной работы СМИ.

Создание глобального пространства существенно усилило угрозы применения стратегическим противником или мировым терроризмом мер информационного характера как при разворачивании отдельных военно-политических операций, так и для развития своего стратегического потенциала в целом.

Защиту от угроз подобного характера требуют и сами вооруженные силы, и их личный состав, работа с которым средствами гибридной войны ведется в первую очередь.

Повышается и ценность информации. Степень ее защиты от преступных посягательств становится все выше, а возможностей по ее получению – все больше. Умение правильно управлять информационными массивами и их использованием становится важнейшей задачей, стоящей перед военнослужащими.

Управлять данными в информационной системе организации помогает DLP-система. «КИБ СёрчИнформ» реагирует на несоблюдение политик безопасности – правил обработки и использования конфиденциальной информации.

Типичные угрозы и их происхождение

Информационная безопасность вооруженных сил как важнейшего государственного института является и гарантией безопасности самого государства. Защита информационных ресурсов войск должна стать приоритетной задачей для специалистов по безопасности. Чтобы нейтрализовать угрозы наилучшим способом, необходимо их выявить и классифицировать по происхождению, характеру воздействия, степени опасности. Специалисты подразделяют виды источников угроз на две группы:

Иногда в одном явлении можно обнаружить и внешние, и внутренние источники угроз. Это может происходить в случае, когда направленное воздействие, имеющее внешний источник происхождения, транслируется через операторов, находящихся в стране. Сегодня такие подразделения имеют в своем распоряжении серьезные электронные средства распространения информационных потоков, иногда они привлекают к работе и профессиональных хакеров, и волонтеров из числа российских граждан.

Внутренние источники угрозы

Одним из основных источников угроз информационного характера является напряжение или дестабилизация социально-политической обстановки в местах расположения вооруженных сил. Создание искусственно накаленной атмосферы, провокация конфликтов личного состава с местным населением, иногда даже беспорядки, вызванные направленным информационным воздействием, становятся серьезными угрозами стабильности ситуации в военной части и в войсках в целом. Такие ситуации происходили и происходят на Кавказе, на российских базах, находящихся в странах СНГ, в других регионах. Противостоять им можно, только проводя целенаправленную психологическую и воспитательную работу с личным составом, при параллельном контакте с региональными властями с целью недопущения провокационной работы СМИ и других источников распространения информационных атак.

Важной угрозой является направленное воздействие на моральный дух войск путем фальсификации фактов военной истории, усиления социального напряжения, попытка задействовать личный состав в развитии политических конфликтов. Виновником возникновения таких угроз информационного характера наиболее часто становятся средства массовой информации, нацеленные на создание напряженной обстановки. В ряде случаев даже контакты личного состава с представителями прессы могут стать способом специальной обработки, которая приведет к возможной потере боевого духа.

Иногда мерами подобного воздействия достигаются не только психологические срывы, которые приводят к воинским преступлениям или дезертирству, но и создание групп внутри войск, имеющих своей целью намеренный подрыв обороноспособности страны. Серьезной угрозой информационной безопасности армии может стать и распространение радикального исламизма. Военнослужащий, прошедший специальную психологическую обработку, относит себя уже не к рядам армии, а к религиозной общине, и выполняет не приказы командования, а советы своих учителей. Такой боец становится серьезной угрозой информационной безопасности воинских частей, особенно находящихся в регионах с преимущественно мусульманским населением.

Политику безопасности для организаций военного сектора важно составлять с учетом актуальных угроз. Например, «КИБ СёрчИнформ» можно настроить на поиск в переписке, документах и браузерной истории ключевых слов, указывающих на интерес определенных сотрудников к экстремизму и терроризму.

Технические угрозы информационного характера касаются как работы используемых в войсках информационных систем, включая системы управления, так и сохранности конфиденциальной информации, передаваемой по каналам военной связи. Виды технических угроз деятельности Вооруженных сил могут носить различный характер: от намеренного повреждения систем и похищения информации до халатности отдельных сотрудников. Мерами защиты в этом случае станут и наращивание уровня защищенности систем автоматизированного управления, и обучение личного состава необходимым требованиям, связанным с защитой информации. Стандарты безопасности определяются ГОСТами и другими методиками, разрабатываемыми и утверждаемыми на государственном уровне, но часто на практике происходит задержка с внедрением новых программных и технических средств, которые могут противостоять угрозам со стороны противника. Такая задержка обусловлена особенностями функционирования системы государственных заказов и сама по себе становится угрозой безопасности.

В рамках этого типа атак может быть рассмотрено и намеренное повреждение оборудования и линий связи, иногда возникающее и по вине личного состава, и по вине местного населения, и в результате направленной деятельности противника. Нарушение систем жизнеобеспечения военного корабля, вызванное халатностью или спланированными атаками, может привести к гибели экипажа. Контроль над сохранностью воинского оборудования – одна из важнейших задач, стоящая перед ответственными сотрудниками войск. Особенно серьезными могут быть проблемы с информационными системами на объектах космических войск или относящихся к ядерным. Нарушение систем управления космическим аппаратом из-за внедренного в программный продукт неэффективного кода часто приводит не только к финансовым потерям, но и к нарушению целостности системы безопасности страны. По одной из версий, высказанных на госкомиссии, крушение аппарата Фобос-Грунт было вызвано именно вторжением в системы управления.

Крайне важной становится и угроза внедрения ложной информации в системы отслеживания вероятного нападения. Риск срабатывания систем ПВО на ложную информацию, посланную противником намеренно, сохраняется. Мнимые угрозы в прошлом едва не привели к началу атомной войны, сейчас этот риск снижен, но он сохраняется.

Серьезной проблемой на сегодняшний день является и недостаточная разработка нормативно-правовой базы, касающейся защиты информации и работы с новыми угрозами. Большое количество явлений информационного пространства еще не было классифицировано и отражено в нормативных актах, в связи с чем затруднено применение мер ответственности за реализацию каких-либо действий или организацию деятельности, которая может нанести урон информационной безопасности вооруженных сил и военнослужащих. Но эти направления развиваются, принимаются нормативно-правовые акты, законодательно регламентирующие допустимость применения той или иной техники иностранного производства, например чипов, в оборудовании, которое поставляется в войска. Доктрина информационной безопасности России, принятая в этом году, оценила и описала все возможные типы угроз, теперь на ее основе создаются новые нормативные акты, разработанные правительством.

Внешние угрозы

К внешним источникам угроз следует отнести те, чье место дислокации находится вне территории России или ее союзников. Этот тип угроз отличается разнообразием, новые меры информационно-психологического воздействия на личный состав разрабатываются и применяются противником регулярно. При этом уже достаточно реальной угрозой становится использование новых видов информационного оружия, часть из которых направлена на выведение из строя информационных систем, а часть – на прямое психологическое воздействие на личный состав. При этом механизм действия такого оружия, по данным аналитиков, основан на применении ультразвука, электромагнитных полей, микроволн различного характера. Не исключено и использование медицинских и химических средств, которые помогут целенаправленно действовать на поведение военнослужащих в мирной и боевой обстановке. Такие средства ведения психологических операций могут быть применены в тех местах, где вооруженные силы России участвуют в текущих конфликтах. Пресса называет большое количество типов психологического оружия, но пока нет официального подтверждения их применения.

Не секрет, что в составе вооруженных сил стратегического противника или организаций мирового терроризма есть специальные подразделения информационно-психологического воздействия. Их деятельность изучается на уровне специализированных НИИ, и меры борьбы с новыми угрозами разрабатываются и активно внедряются в практику.

Часто применение целенаправленного информационного воздействия заранее тщательно подготавливается работой средств массовой информации. Военнослужащие обязаны уметь классифицировать и выявлять такие угрозы, для чего необходимо проводить соответствующую подготовку.

Серьезнейшей проблемой для безопасности становятся социальные сети, с помощью которых военнослужащие могут случайно выдать важную информацию. Одной из основных задач по защите безопасности государства должно стать выявление таких угроз и своевременное их устранение.

IMController модуль «КИБ СёрчИнформ», который отслеживает переписку в социальных сетях и мессенджерах.

Меры по обеспечению информационной безопасности

Меры, которые могут быть применены в целях защиты информации и обеспечения безопасности, также делятся на две группы:

  • защита информационных систем от повреждения и информации от утечки и перехвата;
  • защита психики личного состава от намеренного информационно-психологического воздействия.
  • Эти меры должны приниматься в совокупности, опираясь на все новейшие научные разработки и программные продукты.

    Первая группа мер:

  • защита объектов дислокации войск и расположенных в них АСУ и элементов компьютерной техники от огневого поражения или иного намеренного выведения из строя;
  • защита систем от удаленного проникновения в них противника, в частности с установлением программных продуктов, обеспечивающих полную защиту периметра от проникновений, например, DLP-систем и SIEM-систем;
  • защита информации, носящей характер государственной или военной тайны, от утечек или намеренного похищения;
  • радиоэлектронная защита;
  • использование защищенных моделей компьютеров и программных средств, которые не могут быть повреждены заранее созданными проблемами в их кодах;
  • развитие средств электронной разведки;
  • использование социальных сетей для намеренного дезинформационного воздействия на противника;
  • защита систем связи.
  • Ко второй группе мер относится:

    • предохранение психики войск от намеренного психологического воздействия;
    • корректировка информации, транслируемой потенциальным противником.
    • Для разработки и реализации комплекса этих мер необходимо создание отдельных подразделений, действующих в сфере информационной безопасности.

      Защита личного состава войск от направленного психологического воздействия

      Морально-психологическое обеспечение войск включает в себя применение комплекса мероприятий, направленных на блокирование мер, применяемых в ходе гибридной войны. Сегодня существуют институты и мозговые центры, направившие все свои усилия на разработку различных способов воздействия на морально-психологическое состояние войск. В рамках этих исследований изучаются психология, психотроника, безопасность психоэнергетической деятельности.

      Противостоять направленному информационно-психологическому воздействию командование Вооруженных сил предполагает следующими способами:

    • проведение исследований способов направленного воздействия на психику;
    • использование всех доступных видов психологической работы с военнослужащими,
    • проведение целенаправленных защитных мероприятий.
    • Все эти меры нужны для того, чтобы создать устойчивую защиту от информационного воздействия и готовность военнослужащего отсечь информацию, несущую признаки направленного воздействия в целях дестабилизации его морально-психологического состояния. Нападение противника не должно становиться причиной снижения боеспособности войск, их мотивации, подавления воли. Важным будет и проведение воспитательной работы, организация досуга войск.

      Особенно важным становится контроль над теми военнослужащими, в чью зону ответственности входит работа со средствами связи, АСУ, передачей информации. Они наиболее вероятно станут мишенями для разработки противником.

      Для контроля за доступом к секретным сведениям в «КИБ СёрчИнформ» предусмотрено разграничение ролей. Руководитель службы внутренней безопасности может ограничить доступ рядовых ИБ-сотрудников к определенным функциям системы, например, к просмотру отчетов.

      Меры превентивного воздействия

      Предполагая, какой именно комплекс мер будет использовать потенциальный противник, необходимо применять и средства нападения, чтобы блокировать его возможности. Могут быть произведены такие действия, как:

    • намеренное введение противника в заблуждение касательно предполагаемых мер и способов борьбы с угрозами информационной безопасности;
    • уничтожение средств связи и информационных систем;
    • внесение намеренных искажений в работу информационных систем противника;
    • выявление точек поддержки противника, действующих на территории России, и их уничтожение;
    • получение конфиденциальной информации о намерениях противника по снижению степени безопасности войск и использование этих сведений для формирования стратегий защиты;
    • использование средств морально-психологического подавления информационных войск противника.
    • Информационное оружие

      Как отдельное направление стратегии защиты рассматривается и разработка информационного оружия. Оно должно быть призвано не только отражать угрозы, но и предвосхищать их. Противник использует информационное оружие достаточно эффективно, как можно наблюдать на примере стран, охваченных военными конфликтами. Оружие применяется не только в зонах военных действий, но и в тех регионах, которым только предстоит стать очагами дестабилизации. Такой же и больший уровень действенности должно показать и аналогичное отечественное оружие. Возможность его использования не исключена и в ближайшем будущем.

      Практически каждый объект армии сейчас находится в зоне возможного поражения, поэтому необходимо комплексно подходить к защите его безопасности. Решением этих задач государство занимается неуклонно и наращивает защитный потенциал. Разработка собственного программного обеспечения помогает избежать системных рисков, возникших, например, в Иране, когда программы, которые должны были управлять системами ПВО, отказались функционировать при начале военных действий. В них был заложен изначально неверный код.

      Также собственные каналы передачи данных в Интернете должны обеспечить возможность коммуникации при нарушении архитектуры Всемирной сети.

      Проекция задач на общество

      Дополнительно следует учитывать, что меры защиты военной информации не всегда применяются при формировании документации, на базе которой создаются массивы данных военного ведомства. Утечки могут происходить на уровне транспортных компаний, научных институтов, сервисных служб. Поэтому безопасность в полном объеме должна создаваться и на этих этапах. Отсутствие должного контроля над поставщиками и подрядчиками приводит к тому, что в войска поставляется оборудование, которое допускает удаленный доступ со стороны потенциального противника. О таких ситуациях уже писала пресса. В ряде случаев использование таких устройств запрещено законодательно, но пока не все техническое оснащение армии было модернизировано.

      Серьезная уязвимость систем АСУ армии возникает и из-за передачи информации закрытого характера по открытым линиям связи, что иногда позволяют себе гражданские специалисты. Эта угроза должна быть устранена максимально оперативно.

      Угрозы возникают и при распространении частными лицами случайно полученных ими сведений в социальных сетях. Такие риски блокируются только разъяснительной работой с населением, так как ситуации с возбуждением уголовных дел по статье «Государственная измена» за пост в Сети не являются достойной превентивной мерой.

      Комплексный подход к обеспечению информационной безопасности Вооруженных сил и личного состава должен обеспечить укрепление обороноспособности России. Опираясь на Доктрину информационной безопасности, можно разрабатывать новые комплексные способы борьбы с нарастающими угрозами.

      Документы

      I. ОБЩИЕ ПОЛОЖЕНИЯ

      1. Настоящее Руководство разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», нормативными правовыми актами Российской Федерации в области обработки персональных данных (ПДн) и определяет порядок выполнения мероприятий по защите персональных данных, обязанности должностных лиц Вооруженных Сил Российской Федерации по защите персональных данных и устанавливает методы и способы защиты персональных данных при их обработке, осуществляемой без использования средств автоматизации, и в информационных системах персональных данных (ИСПДн) в Министерстве обороны Российской Федерации*.

      2. Требования настоящего Руководства являются обязательными для выполнения во всех воинских частях, где осуществляется обработка ПДн.

      3. Действие настоящего Руководства не распространяется на порядок организации и осуществления защиты ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну*, а также с использованием криптографических методов и способов защиты информации (криптографических средств)**.

      4. Целями проводимых в воинских частях работ по защите ПДн являются:
      соблюдение прав и свобод человека и гражданина Российской Федерации при обработке его ПДн;
      защита конституционных прав граждан на сохранение личной тайны и обеспечение конфиденциальности ПДн, в том числе обрабатываемых в ИСПДн, использование ее только в служебной деятельности;
      обеспечение соблюдения правового режима использования ПДн (ИСПДн), полноты, целостности, достоверности информации при ее обработки;
      предотвращение утечки, хищения, утраты ПДн, а также неправомерных действий по их уничтожению, модификации, искажению, несанкционированному копированию, блокированию, предотвращение других форм незаконного вмешательства, в том числе в ИСПДн;
      обеспечение прав пользователей, в соответствии с их полномочиями по доступу к информационным процессам, технологиям, сервисам и средствам их обеспечения;
      сохранение возможности управления процессом обработки информации и ее использования.

      5. Обработка ПДн в воинских частях осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности военнослужащих и лиц гражданского персонала, сохранности имущества, контроля количества и качества выполняемой работы.

      Обработка ПДн осуществляется:
      без использования средств автоматизации (неавтоматизированная обработка) и в автоматизированном режиме;
      в ИСПДн и вне ИСПДн.

      При обработке ПДн в воинских частях должно обеспечиваться выполнение действующих требований и норм по защите информации в соответствии с нормативными документами Федеральной службы технического и экспертного контроля Российской Федерации и Федеральной службы безопасности Российской Федерации.

      6. Разработка мер по защите ПДн и обеспечение безопасности ПДн на объектах информатизации воинских частей осуществляется органами обеспечения безопасности информации под руководством Восьмого управления Генерального штаба.

      Обязанности по реализации необходимых организационных и технических мероприятий по защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ними, возлагаются на командира воинской части.

      7. Командирами воинских частей, организующих и осуществляющих обработку ПДн*, назначается подразделение (должностное лицо), ответственное за организацию обработки ПДн (эксплуатацию ИСПДн) и определяется круг лиц, допущенных к их обработке.

      8. К ПДн военнослужащего и (или) лица гражданского персонала воинской части, получаемым оператором и подлежащим хранению у оператора, относятся сведения и документы, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены военнослужащим (лицом гражданского персонала) при заключении (исполнении, в период действия) контракта (трудового договора), наличие которых необходимо для корректного документального оформления служебных (трудовых) правоотношений, и иные документы, содержащие сведения о военнослужащем (гражданском персонале).

      7. ПДн военнослужащих и лиц гражданского персонала воинских частей хранятся на носителях информации в специально предназначенных для этих целей подразделениях у ответственных лиц, обеспечивающих надежную их сохранность. Перечни (списки) помещений, в которых разрешено обрабатывать и хранить ПДн (установлены технические средства ИСПДн и осуществляется обработка ПДн) определяются командирами воинских частей (руководителями организаций). Приложение № 1 к настоящему Руководству.

      8. Учет, хранение и обращение с носителями информации (как документированной, так и недокументированной), содержащими ПДн, осуществляется в порядке, установленном правовыми актами Министерства обороны по делопроизводству* с учетом требований настоящего Руководства.

      9. Доступ к ПДн военнослужащих и лиц гражданского персонала имеют только те лица, которые определены в приказах соответствующих командиров и (или) лица, доступ которым разрешен их должностными обязанностями. В этом случае с этих лиц берется подписка о неразглашении сведений, составляющих ПДн (приложение № 19 к настоящему Руководству).

      Доступ к ПДн осуществляется в порядке, установленном в главе V настоящего Руководства.

      10. Трансграничная передача ПДн на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и Указом Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена**.

      II. ОБЯЗАННОСТИ ДОЛЖНОСТНЫХ ЛИЦ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

      11. Общее руководство и организацию защиты ПДн в Министерстве обороны осуществляет Генеральный штаб (Восьмое управление), на который возлагается:
      взаимодействие по вопросам защиты ПДн с Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности, ФСБ России, ФСТЭК России, Минкомсвязи России и другими федеральными органами исполнительной власти по вопросам информационной безопасности;
      разработка проектов правовых актов и нормативно-методических документов по защите ПДн в Министерстве обороны и осуществление контроля за их выполнением;
      координация работы по защите ПДн в центральных органах военного управления;
      участие в проведении классификации ИСПДн и (или) анализа классификации ИСПДн;
      руководство подразделениями, обеспечивающими защиту ПДн (органами обеспечения безопасности информации);
      согласование проектов тактико-технических (технических) заданий на создание (модернизацию) ИСПДн;
      согласование порядка подключения информационных систем к ИСПДн;
      организация антивирусной защиты информации при обработке ПДн;
      ведение реестра ИСПДн Министерства обороны;
      анализ состояния работы по защите ПДн в Министерстве обороны, оценка ее эффективности и выработка предложений по ее совершенствованию;
      участие в проведении расследований по незаконному использованию ПДн в центральных органах военного управления, а также по установленным фактам несанкционированного доступа к ПДн, компьютерных атак и воздействия компьютерных вирусов на ИСПДн.

      12. Ответственность за соблюдение требований по защите ПДн возлагается на командира воинской части, руководителя подразделения (должностное лицо), ответственного за организацию обработки ПДн (эксплуатацию ИСПДн), руководителя подразделения, обеспечивающего защиту информации (органа обеспечения безопасности информации), администратора безопасности, системных и сетевых администраторов, администраторов баз и банков данных, лиц, допущенных к обработке ПДн.

      Командиры воинских частей обеспечивают:
      планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;
      сохранность ПДн, ограничение доступа к ним;
      организацию взаимодействия подразделений, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн, защиту ПДн;
      определение должностных обязанностей лицам, ответственным за организацию обработки ПДн и за эксплуатацию ИСПДн;
      организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн;
      планирование и организацию проведения занятий по изучению требований нормативных правовых актов Российской Федерации, правовых актов Министерства обороны, других руководящих документов по вопросам обеспечения безопасности ПДн, а также ежегодную проверку их знаний;
      представление в Восьмое управление Генерального штаба (по подчиненности) предложений по текущему и перспективному планированию потребностей воинских частей (организаций), эксплуатирующих ИСПДн, в средствах защиты информации, антивирусной защиты на очередной год и обобщенных данных по их использованию за прошедший год.
      предоставление полной информации военнослужащим и лицам гражданского персонала об их ПДн и обработке этих данных.

      13. Военнослужащие и лица гражданского персонала в целях обеспечения достоверности ПДн в кадровые органы воинских частей представляют полные и достоверные ПДн о себе в соответствии с требованиями федерального законодательства, а в случае изменения сведений, составляющих ПДн, незамедлительно предоставляют данную информацию.

      14. При передаче ПДн военнослужащих и гражданского персонала другим юридическим и (или) физическим лицам оператор должен соблюдать следующие требования:
      не сообщать ПДн третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в случаях, установленных федеральными законами;
      не сообщать ПДн субъекта в коммерческих целях без его письменного согласия;
      предупреждать лиц, получающих ПДн, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и требовать от этих лиц подтверждения заявленных требований. Лица, получающие ПДн, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен ПДн военнослужащих и лиц гражданского персонала в порядке, установленном федеральными законами;
      не запрашивать информацию о состоянии здоровья военнослужащих и гражданского персонала, за исключением тех сведений, которые относятся к вопросу о возможности выполнения ими должностных обязанностей;
      передавать ПДн гражданского персонала их представителям в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», настоящим Руководством и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функций.

      III. ОРГАНИЗАЦИЯ И ОСУЩЕСТВЛЕНИЕ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

      15. Выбор и реализация методов и способов защиты информации в ИСПДн осуществляется в соответствии с нормативными методическими документами ФСТЭК России* на основе угроз безопасности ПДн (модели угроз) и в зависимости от класса ИСПДн.

      Классификация (пересмотр класса) ИСПДн проводится комиссией органа (органов) военного управления, в интересах которого создается (эксплуатируется) ИСПДн, с привлечением заказчика и специалистов по защите информации на этапе создания или в ходе эксплуатации ИСПДн. При изменении класса ИСПДн необходимо в течение месяца письменно сообщить об этом в Восьмое управление Генерального штаба.

      Класс ИСПДн определяется в соответствии с приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»* (приложение № 2 к настоящему Руководству).

      Результаты классификации ИСПДн оформляются актом (приложение № 3 к настоящему Руководству).

      16. Определение угроз безопасности ПДн и разработка модели угроз осуществляется в соответствии со следующими методическими документами ФСТЭК России:

      Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных**;

      Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных***.

      17. Для защиты ПДн в ИСПДн должна быть создана система защиты ПДн (СЗПДн), которая включает в себя совокупность подразделений автоматизации (эксплуатации) и органов обеспечения безопасности информации, используемых ими организационно-технических мер защиты, а также объектов защиты, организованная и функционирующая по правилам, установленным правовыми актами Министерства обороны, и в соответствии с нормативно-методическим документами по защите информации.

      Стадии создания (модернизации) СЗПДн в ИСПДн представлены в приложении № 4 к настоящему Руководству.

      К организационно-техническим мерам защиты относятся:
      организация работы по выполнению требований правовых актов Министерства обороны по защите ПДн;
      установление ответственности и определение обязанностей должностным лицам воинских частей (организаций) по защите ПДн;
      создание органов (назначение ответственных) для непосредственного выполнения комплекса работ по защите ПДн;
      применение средств защиты информации, поддержание их и технических средств ИСПДн в исправном состоянии.

      18. Обработка ПДн в ИСПДн разрешается после завершения работ по созданию СЗПДн, проверке ее комиссией, назначаемой приказом командира воинской части (руководителя организации), и оценки соответствия (аттестации или декларирования соответствия) ИСПДн требованиям безопасности информации*.

      Разрешением на обработку ПДн на объекте ИСПДн является приказ командира воинской части (руководителя организации) о вводе указанного объекта в эксплуатацию, который издается на основании положительных выводов акта внутренней комиссии и результатов оценки соответствия требованиям безопасности информации.

      Обработка ПДн на объектах ИСПДн воинских частей (организаций) осуществляется после направления уведомления об их обработке в Восьмое управление Генерального штаба.

      19. Технические задания на разработку и модернизацию ИСПДн подлежат согласованию с Восьмым управлением Генерального штаба.

      Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

      Средства защиты информации, в том числе криптографические, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

      При создании ИСПДн, комплексов средств автоматизации, баз и банков ПДн в состав конструкторской и эксплуатационной документации должны включаться разделы по защите информации, специальные инструкции о порядке применения и эксплуатации средств защиты информации.

      Расходы и затраты, связанные с защитой информации в ИСПДн, предусматриваются в стоимости создания, эксплуатации и модернизации указанных систем.

      20. Работы по обеспечению безопасности ПДн при их обработке в ИСПДн, а также созданию и эксплуатации СЗПДн являются неотъемлемой частью работ по созданию (модернизации) и эксплуатации ИСПДн.

      Для обеспечения безопасности ПДн в ИСПДн в зависимости от класса информационной системы должны быть реализованы мероприятия по защите информации от НСД к ПДн и по защите информации от утечки по техническим каналам.

      В состав мероприятий по защите от НСД входят:
      защита от НСД к информации в одно- и многопользовательском режимах обработки ПДн и равных или разных правах доступа к ним субъектов доступа;
      защита информации при межсетевом взаимодействии ИСПДн;
      антивирусная защита;
      обнаружение вторжений.

      Организация и выполнение работ по защите информации в ИСПДн осуществляются в соответствии со Специальными требованиями и рекомендациями по защите конфиденциальной информации* и нормативно-методическими документами ФСТЭК России по обеспечению безопасности ПДн.

      21. Заказчик, оператор и пользователь** ИСПДн несут ответственность за обеспечение защиты обрабатываемой информации в ИСПДн и выполняемые работы по защите информации на всех стадиях создания (модернизации), внедрения и использования ИСПДн.

      Для определения состава и содержания работ по созданию (модернизации) ИСПДн на предпроектной стадии проводится предпроектное (комплексное) обследование ИСПДн по результатам которого оформляется акт (приложения № 5 и № 6 к настоящему Руководству).

      По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание на разработку СЗИ ИСПДн.

      22. При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в конкретной ИСПДн оператором организуется разработка и ведение следующих документов:
      а) модели угроз и модели нарушителя ИСПДн;
      б) акта классификации ИСПДн (приложение № 3 к настоящему Руководству);
      в) положения по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн (приложение № 7 к настоящему Руководству),
      г) положения о подразделении, осуществляющем защиту информации в ИСПДн (должностные обязанности лиц, ответственных за обеспечение безопасности ПДн);
      д) руководства по защите информации на объекте ИСПДн (с отражением обязанностей и действий персонала ИСПДн (системного администратора, администратора безопасности, программистов, пользователей и т.п.), описания технологического процесса обработки информации в ИСПДн, порядка допуска в помещения и к работе на технических средствах ИСПДн, работы с машинными и материальными носителями информации, резервного копирования, использования средств защиты информации, стирания информации, удаления (изменения) персонифицированных записей из (в) ИСПДн, проведения антивирусного контроля, технического обслуживания ИСПДн);
      е) перечня (списка) помещений, в которых установлены технические средства ИСПДн и осуществляется обработка ПДн, с указанием лиц, доступ которым в данные помещения разрешен (приложение № 1 к настоящему Руководству);
      ж) перечня защищаемых информационных ресурсов в ИСПДн и таблицы разграничения доступа (приложения № 8 и № 9 к настоящему Руководству);
      з) списка лиц, ответственных за обеспечение безопасности ПДн, за разработку и проведение мероприятий, направленных на выполнение требований по защите информации (приказ об их назначении ответственными);
      и) списка должностных лиц, доступ которых к ПДн необходим для выполнения служебных обязанностей (приложение № 10 к настоящему Руководству);
      к) технического паспорта на ИСПДн (приложение № 11 к настоящему Руководству);
      л) технического паспорта на защищаемое помещение (приложение № 12 к настоящему Руководству);
      м) журнала учета машинных носителей информации (приложение № 13 к настоящему Руководству);
      н) журнала учетных записей и паролей (приложение № 14 к настоящему Руководству);
      о) журнала учета обращений субъектов ПДн о выполнении их законных прав при обработке ПДн в ИСПДн (приложение № 15 к настоящему Руководству);
      п) журнала учета фактов несанкционированного доступа и воздействия компьютерных вирусов (приложение № 16 к настоящему Руководству);
      р) журнала учета стирания информации (блокирования персональных данных) (приложение № 17 к настоящему Руководству);

      Документы, указанные в подпунктах б, е, ж, и, к, л, о, р разрабатываются (ведутся) должностными лицами подразделения, ответственного за эксплуатацию ИСПДн.

      Документы, указанные в подпунктах а, в, г, д, з, н, п разрабатываются (ведутся) специалистами органов обеспечения безопасности информации.

      Ведение журнала учета машинных носителей информации (приложение № 13 к настоящему Руководству) осуществляется служебным делопроизводством.

      По согласованию с Восьмым управлением Генерального штаба допускается ведение журналов учета в электронном виде.

      23. Полномочия разработчиков, пользователей, эксплуатирующего персонала по доступу к техническим и программным средствам ИСПДн, а также к ПДн и информационным ресурсам ИСПДн устанавливаются оператором ИСПДн. Пользователям предоставляется право работать только с теми средствами и ресурсами, которые необходимы им для выполнения должностных обязанностей.

      24. Регистрация (перерегистрация, исключение) пользователей ИСПДн организуется оператором ИСПДн на основании письменного обращения (заявки) командира воинской части, руководителя организации (подразделения), с указанием сведений о лицах, которым необходимо предоставить доступ к ПДн, и объема их полномочий по обработке ПДн. Письменные обращения (заявки) подшиваются и хранятся в отдельном деле делопроизводства.

      Оператор ИСПДн по заявкам командиров воинских частей, руководителей подразделений организует направление (выдачу) учетных записей (логинов) и паролей пользователям ИСПДн. Указанным сведениям присваивается пометка «для служебного пользования».

      Предоставление должностным лицам доступа к информационным ресурсам ИСПДн осуществляется после прохождения процедуры подтверждения подлинности (аутентификации) обычно путем ввода (предъявления) логина и индивидуального пароля.

      25. Формирование (генерация) паролей осуществляется в соответствии с требованиями безопасности информации, эксплуатационной документации на ИСПДн и используемые средства защиты информации.

      При этом должны соблюдаться следующие условия:
      перед вводом в эксплуатацию ИСПДн должны быть сменены все технологические (установленные по умолчанию) учетные записи и пароли, в том числе установленные при проведении пуско-наладочных, ремонтных (восстановительных) работ и работ по авторскому надзору;
      длина паролей для доступа к сетевому оборудованию, системных администраторов, администраторов средств защиты информации, баз и банков данных должна составлять не менее 8 буквенно-цифровых символов, а смена производиться не реже одного раза в квартал, а также в случаях компрометации (утери) паролей, увольнения (перевода) ответственного должностного лица;
      длина паролей пользователей ИСПДн должна составлять не менее 6 буквенно-цифровых символов, а смена производиться не реже одного раза в полгода, а также в случаях компрометации (утери) паролей, увольнения (перевода) пользователя.

      26. Органом обеспечения безопасности информации (администратором безопасности) ведется журнал учетных записей и паролей (приложение № 14 к настоящему Руководству).

      Журнал учетных записей и паролей хранится у ответственного должностного лица органа обеспечения безопасности информации в опечатываемом сейфе (металлическом шкафу). Он несет персональную ответственность за сохранность журнала и содержащихся в нем сведений.

      Пароли и идентификаторы выдаются ответственным за обеспечение безопасности ПДн администраторам и пользователям под роспись в указанном журнале. При этом необходимо обеспечить конфиденциальность других паролей (невозможность визуального просмотра), к которым данный администратор (пользователь) не имеет отношения.

      Выданные пользователям пароли записываются на учтенные носители информации. Указанные носители информации подлежат хранению в сейфе пользователя, опечатанном его личной номерной печатью.

      27. Для обеспечения сохранности информационных ресурсов ИСПДн должно производиться резервное копирование ПДн.

      Порядок и периодичность проведения резервного копирования и восстановления информации, а также места хранения резервных копий определяются в инструкции по защите информации на объекте ИСПДн.

      28. При межсетевом взаимодействии ИСПДн, наличии подключения ИСПДн к информационно-вычислительным сетям общего пользования* должно применяться межсетевое экранирование с использованием сертифицированных по требованиям безопасности информации межсетевых экранов.

      29. Защита информации в ИСПДн от воздействия компьютерных вирусов должна осуществляться с использованием сертифицированных по требованиям безопасности информации средств антивирусной защиты, входящих в состав ИСПДн, в соответствии с эксплуатационной и технической документацией на информационную систему.

      30. Мероприятия по обнаружению вторжений в ИСПДн проводятся в соответствии с требованиями нормативных и правовых документов ФСБ России.

      31. В случае выхода из строя технических средств ИСПДн передача в ремонт сторонним организациям осуществляется без машинных носителей информации. Вышедшие из строя машинные носители информации уничтожаются в установленном порядке с составлением акта об уничтожении (приложение № 18 к настоящему Руководству).

      IV. ОРГАНИЗАЦИЯ И ОСУЩЕСТВЛЕНИЕ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

      32. Обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.

      Неавтоматизированная обработка ПДн осуществляется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687.

      33. Неавтоматизированная обработка ПДн может осуществляться на бумажных носителях и в электронном виде (файл) на машинных носителях информации.

      Обработка ПДн на бумажных носителях осуществляется в соответствии с правовыми актами Министерства обороны по делопроизводству.

      При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.

      34. При неавтоматизированной обработке ПДн на бумажных носителях должны выполняться следующие требования:
      документы, содержащие ПДн, формируются в дела в зависимости от цели обработки ПДн. Не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы;
      дела с документами, содержащими ПДн, должны иметь внутренние описи документов с указанием цели обработки и категории ПДн;
      ПДн должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).

      35. Неавтоматизированная обработка ПДн в электронном виде должна осуществляться на съемных машинных носителях информации.

      При отсутствии технологической возможности осуществления неавтоматизированной обработки ПДн в электронном виде на съемных машинных носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к ПДн лиц, не допущенных к их обработке.

      36. Машинные носители информации, содержащие ПДн, должны быть учтены в делопроизводстве в журнале учета машинных носителей информации (приложение № 13 к настоящему Руководству).

      37. Документы (бумажные носители) и съемные машинные носители информации, содержащие ПДн, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

      38. При обработке биометрических ПДн материальные носители биометрических ПДн и технологии их хранения вне ИСПДн* должны обеспечивать:
      защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из ИСПДн;
      доступ к записанным на материальный носитель биометрическим ПДн, оператора и должностных лиц, уполномоченных на работу с биометрическими ПДн;
      возможность идентификации ИСПДн, в которую была осуществлена запись биометрических ПДн, а также оператора, осуществившего такую запись;
      отсутствие несанкционированного доступа к биометрическим ПДн, содержащимся на материальном носителе.

      39. Технологии хранения биометрических ПДн вне ИСПДн должны обеспечивать:
      доступ к информации, содержащейся на материальном носителе биометрических ПДн, для уполномоченных должностных лиц;
      применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель;
      проверку наличия письменного согласия субъекта ПДн на обработку его биометрических ПДн или наличия иных оснований обработки ПДн, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой ПДн.

      40. Если на материальном носителе биометрических ПДн содержится дополнительная информация, имеющая отношение к записанным биометрическим ПДн, то такая информация должна быть подписана электронной подписью и (или) защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель.

      41. При хранении биометрических ПДн вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из ИСПДн.

      42. На документах (изданиях), содержащих ПДн, проставляется пометка «Персональные данные».

      Необходимость проставления пометки «Персональные данные», определяется исполнителем и должностным лицом, подписывающим или утверждающим документ. Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам.

      43. Прием и учет таких документов осуществляется, как правило, структурными подразделениями, которым поручен прием и учет несекретной документации.

      Печатание (тиражирование) изданий, содержащих ПДн на полиграфических предприятиях Вооруженных Сил производится в соответствии с требованиями Положения об издательской деятельности по выпуску служебных изданий (документов) в Вооруженных Силах Российской Федерации*.

      44. Документы с пометкой «Персональные данные»:
      передаются только тем исполнителям, которые имеют к ним непосредственное отношение и только под расписку;
      пересылаются сторонним организациям фельдъегерской связью, заказными или ценными почтовыми отправлениями;
      размножаются (тиражируются) только с письменного разрешения соответствующего командира (начальника);
      хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах);
      разрешается брать для занятий (работы) в поле, на полигонах, в подразделениях, парках и т.п. Они выдаются под расписку руководителям занятий (работ) и должны переноситься и храниться в чемоданах (портфелях).

      45. Исполненные документы с пометкой «Персональные данные» группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства. При этом на обложке дела, в которое помещены такие документы, также проставляется пометка «Персональные данные».

      46. Уничтожение дел, документов с пометкой «Персональные данные», утративших свое практическое значение (по завершению цели обработки) и не имеющих исторической ценности, производится по акту (приложение № 18 к настоящему Руководству). В учетных формах об этом делается отметка со ссылкой на соответствующий акт. Сроки хранения этих дел и документов определяются в нормативных документах Министерства обороны.

      47. Передача документов и дел с пометкой «Персональные данные» от одного исполнителя другому осуществляется с разрешения их непосредственного командира.

      48. Снятие копий с документов, содержащих ПДн и изготовление выписок из них допускается только с письменного разрешения командира, подписавшего документ.

      49. При смене лица, ответственного за учет документов, содержащих ПДн, составляется акт приема-сдачи этих документов, который утверждается соответствующим командиром.

      50. Проверка наличия документов, дел и изданий, содержащих ПДн проводится не реже одного раза в год комиссиями, назначаемыми приказом командира воинской части. В состав таких комиссий обязательно включаются лица, ответственные за учет и хранение этих документов, дел и изданий.

      В библиотеках и архивах, где сосредоточено большое количество изданий, дел и других материалов, содержащих ПДн, проверка наличия проводится в соответствии с правовыми актами Министерства обороны по архивному делу.

      Результаты проверки оформляются актом.

      V. ДОПУСК И ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

      51. Допуск военнослужащих и лиц гражданского персонала к информации, содержащей ПДн, осуществляется в добровольном порядке, в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей.

      Допуск к ПДн разрешается командиром воинской части с соблюдением требований настоящего Руководства.

      Фактом ознакомления с разрешением на допуск является факт подписи работника об ознакомлении со списком должностных лиц, доступ которых к ПДн необходим для выполнения служебных обязанностей (приложение № 10 к настоящему Руководству).

      52. Порядок допуска и доступа военнослужащих и лиц гражданского персонала к информационным ресурсам ИСПДн установлен пунктом 25 настоящего Руководства.

      53. Допуск к ПДн (информационным ресурсам ИСПДн) в воинских частях может предоставляться сторонним организациям, деятельность которых не связана с выполнением функций воинской части.

      К сторонним организациям, деятельность которых не связана с выполнением функций воинской части, относятся:
      правоохранительные органы;
      судебные органы;
      органы исполнительной и законодательной власти субъектов Российской Федерации;
      средства массовой информации и организации с различной формой собственности.

      Допуск к ПДн (информационным ресурсам ИСПДн) сторонних организаций, деятельность которых не связана с исполнением функций воинской части, регламентируется законодательством Российской Федерации, договорами и соглашениями об информационном обмене и другими нормативными актами.

      54. Доступ к техническим (программно-техническим) средствам ИСПДн в воинских частях и организациях может предоставляться сторонним организациям, выполняющим работы на договорной основе.

      К организациям, выполняющим работы на договорной основе, относятся:
      организации, выполняющие строительные работы и осуществляющие ремонт зданий, систем инженерно-технического обеспечения;
      организации, осуществляющие монтаж и настройку ИСПДн, сопровождение программного обеспечения и технических средств;
      организации, оказывающие услуги в области защиты информации;
      организации, осуществляющие поставку товаров для обеспечения повседневной деятельности;
      организации и частные лица, оказывающие услуги воинской части.

      Порядок допуска указанных организаций определяется в договоре на выполнение работ (оказание услуг). Решением о допуске является подписанный в установленном порядке договор на выполнение работ (оказание услуг).

      55. Доступ должностных лиц воинской части к информации, содержащей ПДн, на бумажных носителях и в электронном виде (файл) на машинных носителях информации осуществляется:
      к информации воинской части – на основании должностных обязанностей в соответствии со списком должностных лиц, доступ которых к ПДн необходим для выполнения служебных обязанностей (приложение № 10 к настоящему Руководству);
      к другой информации – на основании письменного разрешения должностного лица, наделенного полномочиями разрешения на ознакомление с ПДн.

      56. Доступ к ПДн (информационным ресурсам ИСПДн) в воинских частях сторонних организаций регламентируется федеральными законами и настоящим Руководством.

      Основанием для доступа к информации (предоставления ПДн) служит резолюция командира воинской части на соответствующем документе.

      57. Доступ к ПДн (информационным ресурсам ИСПДн) сторонних организаций осуществляется на основании письменных запросов или письменных соглашений (договоров) сторон об обмене информацией.

      В письменном запросе (соглашении, договоре) должны быть указаны следующие сведения:
      для каких целей необходима информация;
      ее конкретное наименование;
      способ доступа (предоставления), а также сведения о регистрации в уполномоченных органах по защите прав субъектов ПДн, осуществляющих функции по контролю и надзору в сфере информационных технологий и связи.

      При наличии официального соглашения со сторонней организацией о допуске к ПДн (предоставлении информации), доступ к ПДн осуществляется в порядке, указанном в подписанном соглашении (договоре).

      58. Запрещается передача электронных копий баз (банков) данных, содержащих ПДн, любым сторонним организациям за исключением случаев, предусмотренных законодательством Российской Федерации.

      59. Правила и процедуры доступа к информационным ресурсам ИСПДн установлены пунктами 25-27 настоящего Руководства.

      60. Доступ к ПДн (информационным ресурсам ИСПДн) сторонних организаций, выполняющих работы на договорной основе, осуществляется на основании подписанного договора на оказание услуг, а также настоящего Руководства.

      В договор на оказание услуг включается условие о неразглашении сведений, составляющих ПДн, а также иной информации с ограниченным доступом, ставшей известной в ходе выполнения работ, если для их выполнения предусмотрено использование таких сведений.

      VI. КОНТРОЛЬ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

      61. Контроль обеспечения безопасности ПДн осуществляется в целях соблюдения в Министерстве обороны требований правовых актов и нормативных документов по обеспечению безопасности ПДн.

      Контроль обеспечения безопасности ПДн осуществляется по линии государственного и ведомственного (Министерства обороны) контроля.

      62. Задачами контроля являются:
      установление фактического положения дел в воинских частях и организациях по обеспечению безопасности ПДн при их обработке в ИСПДн;
      выявление проблемных вопросов в организации обеспечения безопасности ПДн;
      своевременное принятие соответствующих мер по предупреждению возможных нарушений;
      оказанию методической и практической помощи;
      повышение ответственности командиров воинских частей и руководителей организаций за выполнение возложенных задач по защите ПДн, соблюдение законности в их деятельности.

      63. По линии государственного контроля проверки и надзор за соответствием обработки ПДн требованиям действующего законодательства Российской Федерации осуществляются уполномоченным органом по защите прав субъектов ПДн, осуществляющих функции по контролю и надзору в сфере информационных технологий и связи*.

      Контроль за обеспечением безопасности ПДн в пределах своих полномочий также осуществляется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.

      64. По линии Министерства обороны контроль за организацией защиты ПДн осуществляет Генеральный штаб через Восьмое управление. Проверки состояния работы по обеспечению безопасности ПДн осуществляются Восьмым управлением Генерального штаба и службами защиты государственной тайны при проведении инспектирования, контрольных (комплексных, внезапных) проверок.

      При проведении проверок также осуществляется контроль соответствия требуемых прав доступа к ПДн и реально необходимых для выполнения должностных обязанностей военнослужащих и лиц гражданского персонала.

      При проведении проверок может осуществляться контроль и анализ защищенности ИСПДн с использованием специальных средств контроля эффективности защиты информации. В этом случае по указанию проверяющего на объекте ИСПДн выделяются вычислительные средства и необходимое время, загружаются и настраиваются средства контроля.

      65. К проведению проверок состояния работы по обеспечению безопасности ПДн, могут привлекаться должностные лица заинтересованных органов военного управления, органов (подразделений) автоматизации, связи, безопасности информации, а также организации, имеющие необходимые лицензии на право проведения работ в области защиты информации.

      НАЧАЛЬНИК 8 УПРАВЛЕНИЯ ГЕНЕРАЛЬНОГО ШТАБА ВООРУЖЕННЫХ СИЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

      * Далее в тексте настоящего Руководства, если не оговорено особо, для краткости будут именоваться: Вооруженные Силы Российской Федерации – Вооруженными Силами, Министерство обороны Российской Федерации – Министерством обороны, Генеральный штаб Вооруженных Сил Российской Федерации – Генеральным штабом, органы военного управления, объединения, соединения, воинские части, корабли, военно-учебные заведения и научно-исследовательские организации Министерства обороны Российской Федерации, полигоны, арсеналы, базы, склады, военные комиссариаты, военные представительства и другие организации Вооруженных Сил Российской Федерации – воинскими частями.

      * Требования по защите информации, содержащей сведения (в том числе персональные данные), составляющие государственную тайну, установлены соответствующими правовыми актами Министерства обороны по режиму секретности, защите информации от несанкционированного доступа и от утечки по техническим каналам.
      ** Определяется Инструкцией об организации и обеспечении безопасности хранения обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ при Президенте Российской Федерации 2001 года № 152.

      * Далее в тексте настоящей Инструкции, если не оговорено особо, указанные воинские части Министерства обороны будут именоваться «операторами». Перечень операторов в Вооруженных Силах определяется отдельными правовыми актами Министерства обороны Российской Федерации.

      * Временная инструкция по делопроизводству в Вооруженных Силах Российской Федерации, утвержденная Министром обороны Российской Федерации 19.08.2009 г. № 205/2/588.

      ** Приказ Министра обороны Российской Федерации 2008 г. № 247.

      * Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован в Министерстве юстиции Российской Федерации 19 февраля 2010 года, регистрационный № 16456).

      * Зарегистрирован в Министерстве юстиции Российской Федерации 3 апреля 2008 г., регистрационный № 11462.

      ** Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.

      *** Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.

      * Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в виде:
      для ИСПДн 1 и 2 классов – аттестации по требованиям безопасности информации;
      для ИСПДн 3 класса – декларирования соответствия требованиям безопасности информации;
      для ИСПДн 4 класса оценка соответствия проводится по решению оператора.
      Аттестация ИСПДн по требованиям безопасности информации проводится в соответствии с Положением об аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

      * Утверждены приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. № 282.

      ** Пользователь (потребитель) информации — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации (ГОСТ Р 50922-96).

      * Порядок подключения информационных (автоматизированных) систем и средств вычислительной техники воинских частей и организаций к информационным вычислительным сетям общего пользования определяется правовыми актами Министерства обороны.

      * Постановление Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

      * Приказ Министра обороны Российской Федерации 1996 года № 355.

      * Приказ Роскомнадзора от 1 декабря 2009 г. № 630 «Об утверждении Административного регламента проведения проверок федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (Зарегистрирован в Минюсте России 28 января 2010 г., № 16095).

      Читайте так же:  Налог на добавленную стоимость. Экспорт возврат ндс казахстан

      Добавить комментарий

      Ваш адрес электронной почты не будет опубликован.

      Дата начала публикации 08.12.2011 11:55:59