7.1.2.1.Формирование полигики безопасности

Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности информация ограниченного доступа в МЧС России целесообразно разбить на два уровня: верхний и нижний.

К верхнему уровню относятся решения руководства, затрагивающие деятельность МЧС России в целом. Примером таких решений Moiyr быть:

принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности информации, определение ответственных за <;е реализацию;

формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;

принятие решений по вопросам реализации программы обеспечения безопасности информация, которые рассматриваются на уровне МЧС России в целом;

обеспечение нормативной правовой базы по вопросам безопасности информации.

Политика верхнего уровня должна определять сферу влияния и ограничения при определении целей безопасности информации, какими ресурсами (материальные, организационно-штатные) они будут достигнуты.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач обеспечения безопасности информации и детализирует (регламентирует) эти правила:

область применения политики безопасности информации;

роли и обязанности должностных лиц, отвечающих за проведение политики безопасности информации;

права доступа должностных лиц, организаций и граждан к информации ограниченного доступа;

условия, выполнение которых позволяет обрабатывать и модифицировать информацию в установленном порядке.

Политика нижнего уровня:

предусматривает регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении информационных ресурсов;

определяет коалиционные и иерархические принципы и методы разделения полномочий и разграничения доступа к информации отраниченного доступа;

выбирает программно-математические, аппаратные и технические средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации нрав и ответственности субъектов информационных отношений.

35

7.1.2.2. Регламентация доступа в помещения, предназначенные для обработки или циркуляции информации ограниченного доступа

Эксплуатация защищенных автономных АРМ и серперов АС МЧС России должна осуществляться в помещениях, оборудованных надежными замками, средствами охранной и пожарной сигнализации и постоянно находящимися под охраной или наблюдением, исключающими возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающих физическую сохранность находящихся в помещении защищаемых информационных ресурсов (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка АРМ должна исключать возможность ви (уального просмотра вводимой (выводимой) информации лицами, не имеющими к ней доступа. Уборка помещений с установленными в них ПЭВМ должна производиться в присутствии ответственного должностного лица, за которым закреплены данные технические средства, или дежурного по структурному подразделению и организации МЧС России с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях по время обработки на ПЭВМ и отображения на экране монитора информации ограниченного доступа должен присутствовать только персонал, допущенный к работе с длиной информацией. Запрещается осуществлять прием посетителей '* помещениях по премя осуществления обработки защищаемой информации.

По окончании рабочего прсмени помещения с устаноапенными защищенными АРМ должны сдаваться пол охрану с включением системы (устройств) сигнализации и с отметкой в книге приема и сдачи служебных помещений.

7.1.2.3. Регламентация допуска к информационным ресурсам АС МЧС России

П рамках разрешительной системы допуска устанавливается:

кто. кому, какую информацию и для какого вида доступа может предоставить и ii|-i каких условиях;

система разграничения доступа, которая предполэд-ает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Допуск должностных лиц МЧС России к работе с автоматизированными системами и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС МЧС России должны производиться и установленном порядке. Основными пользователями информации в АС МЧС России являются сотрудники структурных подразделений и организаций МЧС России. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

общедоступная (открытая) информация и информация ограниченного доступа размещаются (по возможности) на различных серверах, что упрощает осуществление ее зашиты;

каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходимо работать в соответствии с должностными обязанностями;

наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, имеющим право ввода информации.

36

за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся и их распоряжении защищаемых ресурсов информационных систем.

7.1.2.4. Регламентация попуска к использованию ресурсов автономных АРМ

Для пользователей аптономных защищенных АРМ, на которых обрабатывается информация ограниченного доступа, решаются подлежащие защите задачи и установлены необходимые сертифицированные средства защиты, разрабатываются в соответствии с требованиями руководящих документов и утверждаются в установленном порядке технологические инструкции, включающие требования по обеспечению безопасности информации.

7.1.2.5. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных МЧС России и допуск должностных лиц МЧС России к работе с этими базами данных должны был. строго регламентированы и производиться в соответствии с утвержденными технологическими инструкциями. Любые изменения состава и полномочий пользователей баз данных АС МЧС России должны производиться в установленном порядке.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов конкретных баз данных. При этом разрешается использовать как штатные, так и дополнительные сертифицированные средства защиты систем управления базами данных и операционных систем.

7.1.2.6. Регламентация процессе'в обслуживания и осуществления модификации аппаратных в программных ресурсов АС МЧС России и автономных АРМ

Все аппаратные и программные ресурсы АС МЧС России и автономных АРМ должны быть в установленном порядке категорированы и для каждого ресурса должен быть определен требуемый уровень защищенности. Подлежащие защите ресурсы информационных систем (функциональные задачи, программы, АРМ) подлежат строгому учету на '>снове использования соответствующих формуляров или специализированных баз данных.

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация или с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе устройства ввода-вывода информации с других носителей (COM, LPT, USB порты, дисководы НГМД, CD, DVD и другие) на защищенных АРМ должны быть отключены (заблокированы), а не нужные для работы программные средства и данные с дисков АРМ должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты информации АРМ должны оснащаться программными средствами и конфигурироваться унифицировано, в соответствии с установленными правилами.

В соответствии с требованиями федерального законодательства пршраммное обеспечение (версии программных продуктов), устанавливаемое и используемое в подсистемах АИУС РСЧС, АС МЧС России и на автономных АРМ, должно быть сертифицировано в установленном порядке ФСТЭК России и ФСБ России по требованиям безопасности информации соответствующей категории доступа.

?7

Ввод в жсплу.тгацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ должны осуществляться только в установленном порядке.

Все upoipaMMtioe обеспечение, разработанное инженерами - программистами МЧС России, полученное централизованно или приобретенное у фирм-производителей в соответствии с требованиями Гражданского кодекса Российской Федерации и Федерального закона от 21 июля 2005 г. № 94-ФЗ «О размещении заказов на поставки товаров, выполнении работ, оказании услуг для государственных и муниципальных нужд», должно в установленном порядке проходить испытания и передаваться в фонд алгоритмов и программ (далее - ФАП) МЧС России.

В подсистемах АИУС РСЧС, АС МЧС России и на автономных АРМ должны устанавливатьс! и использоваться только соответствующие лицензионным соглашениям и полученные в установленном порядке из ФАП программные средства. Использование программного обеспечения (программы для электронных вычислительных машин и базы данных) d нарушение установленных федеральным законодательством авторских и смежных прав на программные продукты и не учтенного в ФАП МЧС России должно быть запрещен¹¹.

Рачрабоиса II'' (функциональных задач, комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должны осуществляться п соответствии с установленным в МЧС России порядком разработки, проведения испытаний и передачи ПО в эксплуатацию.

7.1.2-7. Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов

На всех АРМ, как автономных, так и входящих в АС МЧС России, подлежащих чанигге, должны быть установлены необходимые технические средства защиты, соответствующие категории данных АРМ.

Узлы и блоки оборудования защищенных СВТ, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, снизанных с доступом к их монтажным схемам должны закрываться и опечатываться (пломбироваться) сотрудниками специальных служб (подразделений) по защиты информации МЧС России. О вскрытии и опечатывании блоков ПЭВМ делается запись в «Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, вмполнеиия профилактических работ, установки и модификации аппаратных и программ"ых средств на АРМ».

Повседневный контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями и администраторами безопасности информации, а периодический контроль - сотрудниками специальных служб (подразделений) но защите информации МЧС России.

7.1.2.8. Кадровая рябогя (подбор и подготовка персонала, обучение пользователей)

Пользователи информационных ресурсов, а также руководящий и обслуживающий персонал информационных систем в пределах своей компетенции и в соответствии с уровнем полномочий должны быть ознакомлены с Перечнем сведений, подлежащих засекречиванию, МЧС России и Перечнем сведений, составляющих служебную информацию офаничепного распространения, МЧС России, а также с организационно-распорядителмюй, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного доступа.

Все должностные лица МЧС России, использующие при работе конкретные подсистемы АС МЧС России, а также автономные АРМ, должны:

38

быть ознакомлены с организационно-распорядительными документами по шиите информации ограниченного доступа в части, их касающейся;

знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации.

Доведение требований указанных документе»! до должностных лиц, допущенных к обработке защищаемой информации, должно осуществляться ежегодно, под роспись.

7.1.2.9. Ответственность за нарушения установленного порядка использования систем и средств информатизации и связи МЧС России

По любому факту грубого нарушения должностными лицами порядка и правил работы с системами и средствами информатизации и связи МЧС России должно быть проведено служебное расследование. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информация ограниченного доступа, должна определяться в зависимости от нанесенного ущерба, наличия злого умысла и других факторов.

Для реализации принципа персональной ответственности пользователей информационных систем МЧС России за свои действия необходимы:

индивидуальная идентификация пользователей и инициированных ими процессов, т.е. закрепление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности;

проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе, биометрических характеристик личности и т.п.;

регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего пользователя и запрашиваемых ресурсов, вида взаимодействия и его результата;

реакция на попытки несанкционированного доступа (срабатывание сигнализации, блокировка Я т.д.).