Приказ Минспорта КБР от 14.10.2015 N 83 "О мерах по обеспечению защиты информации в Министерстве спорта Кабардино-Балкарской Республики"

МИНИСТЕРСТВО СПОРТА КАБАРДИНО-БАЛКАРСКОЙ РЕСПУБЛИКИ

ПРИКАЗ
от 14 октября 2015 г. № 83

О МЕРАХ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
В МИНИСТЕРСТВЕ СПОРТА КАБАРДИНО-БАЛКАРСКОЙ РЕСПУБЛИКИ

В соответствии с Федеральными законами от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 № 152-ФЗ "О защите персональных данных", Указом Президента Российской Федерации от 06.03.1997 № 188 "Об утверждении сведений конфиденциального характера", постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также в целях организации и проведения работ по защите конфиденциальной информации в Министерстве спорта Кабардино-Балкарской Республики приказываю:
1. Утвердить прилагаемые:
- Положение о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности в Министерстве спорта Кабардино-Балкарской Республики (приложение № 1);
- Положение об организации защиты конфиденциальной информации в автоматизированных системах Министерства спорта Кабардино-Балкарской Республики (приложение № 2);
- Инструкцию о порядке определения категорий ресурсов автоматизированных систем Министерства спорта Кабардино-Балкарской Республики (приложение № 3);
- Перечень сведений конфиденциального характера Министерства спорта Кабардино-Балкарской Республики (приложение № 4).
2. Назначить ответственным за организацию работ и обеспечение безопасности конфиденциальной информации заместителя министра спорта Кабардино-Балкарской Республики Анаева Аслана Хусеиновича.
3. Возложить выполнение работ по обеспечению безопасности конфиденциальной информации при ее обработке в информационных системах Министерства спорта Кабардино-Балкарской Республики на главного специалиста-эксперта информационно-аналитического отдела Тюбеева Мурата Абдуллаховича.
4. Ответственному за выполнение работ по обеспечению безопасности конфиденциальной информации в информационных системах организовать учет носителей персональных данных.
5. Запретить сотрудникам, имеющим доступ к персональным данным, использовать для хранения и обработки персональных данных носители информации, не поставленные на учет в установленном порядке.
6. Отделу государственной службы, кадров, делопроизводства и правового обеспечения (Хафизова М.А.) ознакомить государственных гражданских служащих и работников Министерства спорта Кабардино-Балкарской Республики, осуществляющих обработку персональных данных, с настоящим приказом под роспись.
7. Контроль за исполнением настоящего приказа оставляю за собой.

Министр
А.ХУШТОВ





Приложение № 1
Утверждено
приказом
Министерства спорта
Кабардино-Балкарской Республики
от 14 октября 2015 г. № 83

ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОБРАЩЕНИЯ С КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ
И МЕРАХ ПО ОБЕСПЕЧЕНИЮ ЕЕ ЗАЩИТЫ И СОХРАННОСТИ
В МИНИСТЕРСТВЕ СПОРТА КАБАРДИНО-БАЛКАРСКОЙ РЕСПУБЛИКИ

1. Общие положения

1.1. Настоящее Положение о порядке обращения с конфиденциальной информацией и мерах по обеспечению ее защиты и сохранности в Министерстве спорта Кабардино-Балкарской Республики (далее - Положение) определяет общие требования по защите информации, содержащей сведения конфиденциального характера (далее - конфиденциальная информация), обрабатываемой в Министерстве спорта Кабардино-Балкарской Республики (далее - Министерство), и порядок организации работы по обеспечению ее защиты.
1.2. Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации.
1.3. К конфиденциальной информации в Министерстве относится информация, не являющаяся сведениями, составляющими государственную тайну, используемая в повседневной деятельности Министерства, к которой нет свободного доступа на основании требований федеральных законов, обладающая действительной или потенциальной ценностью в силу ее неизвестности лицам, не имеющим права доступа к ней, и по отношению к которой в Министерстве принимаются правовые, организационные, технические и иные меры защиты.
1.4. Конфиденциальная информация фиксируется на бумажных (документы, журналы, брошюры, буклеты и др.), магнитных (дискеты, магнитные диски, цифровые запоминающие устройства, аудио-, видеопленки и др.), оптических (лазерные диски и др.) и других носителях информации.
1.5. Электронный документ, электронное сообщение, подписанные электронной подписью или иным аналогом собственноручной подписи, признаются равнозначными документу, подписанному собственноручной подписью, в случаях, если иное не установлено федеральными законами.

2. Порядок работы с конфиденциальной информацией

2.1. Сотрудники Министерства, обрабатывающие конфиденциальную информацию, обязаны соблюдать конфиденциальность информации в соответствии с требованиями законодательства.
2.2. Министром спорта Кабардино-Балкарской Республики (далее - Министр) утверждается перечень сведений конфиденциального характера (далее - Перечень).
При составлении Перечня необходимо учитывать:
- не составляют ли сведения государственную тайну;
- не относятся ли сведения к информации о деятельности Министерства, доступ к которой не может ограничиваться в соответствии с федеральным законом;
- иные установленные законодательством случаи, когда не могут быть установлены требования конфиденциальности информации.
2.3. Носителям конфиденциальной информации присваивается пометка "Для служебного пользования".
Необходимость проставления пометки "Для служебного пользования" определяется в соответствии с утвержденным Перечнем.
2.4. Конфиденциальный документ на бумажном носителе, создаваемый в Министерстве, должен отвечать следующим требованиям:
- первая страница основного документа и первая страница каждого из его приложений должны иметь в правом верхнем углу пометку "Для служебного пользования", а под ней номер экземпляра;
- при наличии приложений к основному документу на каждом приложении должны быть указаны: номер приложения, его наименование, номер экземпляра и количество листов в нем;
- на обороте последнего листа каждого экземпляра основного документа и на обороте последнего листа каждого экземпляра всех его приложений ближе к левому краю указываются: количество отпечатанных экземпляров, адрес рассылки каждого экземпляра, фамилия исполнителя и номер его телефона, дата печатания документа.
Сведения, указанные в настоящем пункте, указываются также в конфиденциальных документах в электронном виде, создаваемых в Министерстве.
2.5. Распечатывание конфиденциальных документов производится исполнителем документа.
После распечатывания или сканирования конфиденциального документа исполнитель должен убедиться в невозможности получения повторных, несанкционированных копий.
2.6. Все конфиденциальные документы подлежат регистрации. Распечатанные документы регистрируются в установленном порядке в соответствующих журналах учета или электронной базе данных. При регистрации входящих конфиденциальных документов в порядковый номер документа добавляются индекс в соответствии с утвержденной номенклатурой дел и пометка "Для служебного пользования".
2.7. Прием входящих и отправка исходящих конфиденциальных документов осуществляются отделом государственной службы, кадров, делопроизводства и правового обеспечения.
2.8. При обнаружении недостачи вложений поступившего конфиденциального документа составляется акт, в котором перечисляются все вложения, оказавшиеся в наличии, а также недостающие, их тематика, наличие или отсутствие повреждений на конверте, другие необходимые, по мнению составителей акта, сведения.
2.9. При необходимости направления конфиденциального документа нескольким адресатам составляется указатель рассылки, в котором поадресно проставляются номера экземпляров. Указатель рассылки подписывается исполнителем и руководителем структурного подразделения Министерства и подшивается в дело вместе с основным документом.
2.10. Отправка конфиденциальных документов средствами факсимильной связи не допускается.
Пересылка конфиденциальных документов на материальных носителях может осуществляться только заказными почтовыми отправлениями, спецсвязью и фельдсвязью.
2.11. Пересылка конфиденциальных документов в электронном виде в Министерстве может осуществляться с использованием системы автоматизированного делопроизводства и электронного документооборота "Дело".
При пересылке конфиденциальных документов в электронном виде по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, а при использовании открытых каналов связи применять сертифицированные криптографические средства.
2.12. Передача конфиденциальных документов и их копий на бумажных носителях сотрудникам Министерства для использования в работе, а также передача их в другие органы исполнительной власти осуществляются под роспись в журнале выдачи-приема конфиденциальных документов.
2.13. Сотрудник Министерства, получивший для работы конфиденциальный документ на бумажном носителе, обязан располагать его так, чтобы исключить возможность ознакомления с ним других лиц.
2.14. Сотрудник Министерства, обрабатывающий конфиденциальный документ, обязан принимать меры для обеспечения его сохранности и не разглашать содержащиеся в нем сведения, за исключением случаев, установленных законодательством.
Сотрудники Министерства не могут использовать в личных целях конфиденциальную информацию, ставшую им известной вследствие выполнения служебных обязанностей.
2.15. При обработке конфиденциальных документов на средствах вычислительной техники, то есть совокупности программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), они должны располагаться таким образом, чтобы исключить возможность ознакомления с ними посторонних лиц.
2.16. При отлучении с рабочего места сотрудник Министерства обязан закрывать все конфиденциальные документы в электронном виде. В нерабочее время, а также в случае временного неиспользования конфиденциальных документов и (или) съемных носителей, содержащих конфиденциальные документы в электронном виде, они должны храниться в местах, недоступных для посторонних лиц (в запираемых шкафах, сейфах и т.п.).
2.17. При увольнении, переводе в другое подразделение сотрудник Министерства обязан сдать все числящиеся за ним конфиденциальные документы, в том числе в электронном виде, руководителю своего структурного подразделения. Указанные действия должны быть произведены до наступления дня увольнения (перевода).
2.18. Копирование (размножение) конфиденциальных документов осуществляется сотрудником Министерства с разрешения руководителя структурного подразделения на основании бланка-заказа установленной формы с указанием количества экземпляров (копий) (приложение № 1 к настоящему Положению). Новые экземпляры (копии) конфиденциальных документов регистрируются в установленном порядке с присвоением копиям очередных номеров экземпляров основного документа. Копирование (размножение) производится на специально предназначенных для этих целей СВТ.
2.19. Копирование (размножение) конфиденциальных документов для сторонних организаций производится в случаях, предусмотренных законодательством, только при наличии от них обоснованного (мотивированного) письма, регистрационный номер которого указывается в бланке-заказе в соответствующей графе, и разрешения Министра. Копия письма с разрешением прилагается к бланку-заказу.
2.20. Конфиденциальные документы группируются для хранения согласно номенклатуре дел по функциональному направлению. На обложке каждого дела (тома), в котором подшит хотя бы один конфиденциальный документ, проставляется пометка "Для служебного пользования".
2.21. Уничтожение конфиденциальных документов, утративших практическую ценность, производится комиссией, назначенной приказом Министра и состоящей не менее чем из трех человек, с составлением акта уничтожения. При этом в регистрационных документах делается соответствующая ссылка на акт уничтожения, который хранится по правилам, применяемым к документам с пометкой "Для служебного пользования". Письменное разрешение на уничтожение по представляемому списку документов дает Министр. Уничтожение конфиденциальных документов на бумажных носителях производится путем их резки на бумагорезательной машине.

3. Особенности обработки персональных данных

3.1. Обработка персональных данных в Министерстве осуществляется в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций с учетом соблюдения прав и свобод человека и гражданина, в том числе на неприкосновенность частной жизни, личную и семейную тайну. Перечень персональных данных, обрабатываемых в Министерстве, утверждается приказом Министра.
3.2. Обработка документов, содержащих персональные данные, в Министерстве осуществляется в соответствии с Федеральными законами от 27 июля 2006 г. № 152-ФЗ "О персональных данных", от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации", от 2 мая 2006 г. № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Указами Президента Российской Федерации от 30 мая 2005 г. № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", от 7 сентября 2010 г. № 1099 "О мерах по совершенствованию государственной наградной системы Российской Федерации", иными нормативными правовыми актами Российской Федерации.
3.3. В случае обработки документов, содержащих персональные данные, допускается не проставлять на них пометку "Для служебного пользования".
3.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) проводятся в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119. Используемые для обеспечения безопасности персональных данных в ИСПДн средства защиты информации должны иметь действующие сертификаты соответствия по требованиям безопасности информации. Обеспечение функционирования средств защиты информации ИСПДн осуществляется лицом, назначенным ответственным за обеспечение безопасности персональных данных в информационной системе.
3.5. Приказом министра утверждается перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к ним.
3.6. Хранение документов, содержащих персональные данные, должно быть организовано так, чтобы был исключен доступ и ознакомление с ними посторонних лиц.

4. Передача конфиденциальной информации третьим лицам

4.1. Передача конфиденциальной информации третьим лицам (юридическим лицам и физическим лицам, не являющимся сотрудниками Министерства) запрещается, за исключением случаев, предусмотренных законодательством Российской Федерации.
4.2. В случаях и порядке, установленных законодательством Российской Федерации, допускается использование конфиденциальной информации в документах открытого доступа, в интервью, публикациях, на выступлениях, конференциях, презентациях, проходящих вне помещений, предназначенных для обработки такой информации, исключительно с разрешения Министра.
4.3. В случае наличия разрешения Министра на передачу конфиденциальной информации для публикации (оглашения) в открытых источниках, пометка "Для служебного пользования" снимается.

5. Требования к помещениям, в которых обрабатывается
и хранится конфиденциальная информация

5.1. Размещение помещений, в которых обрабатывается и хранится конфиденциальная информация, и их оборудование должны исключать возможность бесконтрольного проникновения в эти помещения посторонних лиц и гарантировать сохранность находящихся в них носителей конфиденциальной информации.
5.2. Помещения должны отвечать правилам техники безопасности, санитарным нормам, требованиям пожарной безопасности.
5.3. Входные двери оборудуются замками, гарантирующими надежное закрытие помещений в нерабочее время.
5.4. Доступ в помещения, в которых обрабатывается и хранится конфиденциальная информация, осуществляется в порядке, утвержденном приказом Министра.
5.5. По окончании работ помещения закрываются, опечатываются и сдаются службе охраны с указанием времени приема (сдачи) под охрану помещений.

6. Особенности обращения и учета машинных
носителей информации, содержащих конфиденциальные
документы в электронном виде

6.1. Машинные носители информации (дискеты, магнитооптические диски, CD и DVD-диски, жесткие магнитные диски, флеш-накопители и т.д.), содержащие конфиденциальные документы в электронном виде, регистрируются в подразделении, которому поручен учет документов с пометкой "Для служебного пользования", с проставлением учетных реквизитов по журналу учета машинных носителей информации. Учетные реквизиты (учетный номер, дата регистрации, пометка "Для служебного пользования" и т.д.) проставляются на машинных носителях информации в удобном для просмотра месте.
6.2. Порядок рассылки машинных носителей информации, проведения проверок наличия учтенных машинных носителей, служебных проверок по фактам их утраты, снятия пометки "Для служебного пользования" с машинных носителей является таким же, как и для конфиденциальных документов на бумажных носителях.
6.3. При осуществлении ремонта или передачи СВТ в другое подразделение (иной орган исполнительной власти) с машинных носителей необходимо произвести стирание конфиденциальной информации. Стирание информации производится таким образом, чтобы ее невозможно было восстановить.
6.4. Уничтожение машинных носителей или стирание конфиденциальной информации производится с составлением акта (приложение № 2 к настоящему Положению).

7. Порядок передачи конфиденциальной информации
в электронном виде

7.1. Передача конфиденциальной информации в электронном виде осуществляется с использованием машинных носителей, учтенных в несекретном делопроизводстве Министерства, имеющих пометку "Для служебного пользования".
7.2. Передача конфиденциальной информации в электронном виде с использованием накопителей на магнитных дисках (дискетах, флеш-носителях и т.д.) между сотрудниками одного структурного подразделения и между сотрудниками структурных подразделений Министерства осуществляется с письменного разрешения руководителя структурного подразделения или Министра с записью в журнале передачи информации (файлов) (приложение № 3 к настоящему Положению).
7.3. Передача конфиденциальной информации в электронном виде между органами исполнительной власти путем пересылки учтенных машинных носителей информации осуществляется через отдел государственной службы, кадров, делопроизводства и правового обеспечения в порядке, установленном для отправки конфиденциальных документов на бумажных носителях.

8. Контроль за соблюдением установленного порядка
обращения с конфиденциальной информацией
и конфиденциальными документами

8.1. Осуществление систематического контроля за соблюдением в Министерстве установленного порядка обращения с конфиденциальной информацией и конфиденциальными документами возлагается на отдел государственной службы, кадров, делопроизводства и правового обеспечения.
8.2. В случае утраты конфиденциального документа на бумажном носителе или установленного факта утечки конфиденциальной информации, ставится в известность Министр.
8.3. Для расследования обстоятельств утраты конфиденциального документа на бумажном носителе, утечки конфиденциальной информации и определения возможного ущерба Министром назначается служебная проверка.

9. Ответственность

9.1. Требования настоящего Положения обязательны для исполнения всеми сотрудниками Министерства, которые несут персональную ответственность за сохранность конфиденциальной информации.
9.2. Сотрудники Министерства, допустившие разглашение конфиденциальной информации либо нарушившие требования настоящего Положения и других распорядительных документов, устанавливающих порядок обращения с конфиденциальной информацией, а также по вине которых произошла утрата носителей конфиденциальной информации, несут ответственность, предусмотренную законодательством Российской Федерации.





Приложение № 1
к Положению
о порядке обращения с конфиденциальной
информацией и мерах по обеспечению
ее защиты и сохранности в Министерстве
спорта Кабардино-Балкарской Республики

Форма

БЛАНК-ЗАКАЗ
на копирование (размножение) документа с грифом
"Для служебного пользования"

Подразделение (отдел) _____________________________________________________
___________________________________________________________________________
Ф.И.О. исполнителя или заказчика на копирование, должность ________________
___________________________________________________________________________
Наименование документа (полностью) ________________________________________
___________________________________________________________________________
___________________________________________________________________________
Основание _________________________________________________________________
(для сторонних организаций: дата и номер письма)
Номера страниц ____________________________________________________________
Количество экз. ____________________ Дата _______________________________
Подпись исполнителя или заказчика на копирование ____________________
Разрешаю (подпись должностного лица) ______________________________________
Ф.И.О. оператора, производящего копирование документа _____________________
Дата ________________________ Подпись оператора ____________________





Приложение № 2
к Положению
о порядке обращения с конфиденциальной
информацией и мерах по обеспечению
ее защиты и сохранности в Министерстве
спорта Кабардино-Балкарской Республики

УТВЕРЖДАЮ

Министр спорта
Кабардино-Балкарской Республики
________________ (инициалы, фамилия)
"____" ______________ 20___ г.

Акт
об уничтожении (машинных, бумажных)
носителей конфиденциальной информации (персональных данных)

Комиссия в составе:
Председатель - ____________________________________________________________
Члены комиссии - __________________________________________________________
провела отбор (машинных, бумажных) носителей персональных данных и
установила, что в соответствии с требованиями руководящих документов по
защите информации ___________________________________________ информация,
записанная на них в процессе эксплуатации, подлежит гарантированному
уничтожению:

№ п/п
Тип машинного носителя информации, документа
Учетный номер
Пометка
Количество экземпляров
Номера экземпляров
Всего уничтожается (стирается информации) (штук, дисков)
Примечание
1
2
3
4
5
6
7
8









Всего подлежит уничтожению (стиранию) информации ________наименований.
Записи акта с учетными данными сверены.

Председатель
комиссии ________________ _____________________
(подпись) (И.О. Фамилия)

Члены
комиссии: ________________ ______________________
(подпись) (И.О. Фамилия)
________________ ______________________
(подпись) (И.О. Фамилия)
________________ ______________________
(подпись) (И.О. Фамилия)

После утверждения акта на уничтожение перечисленные машинные носители
информации перед уничтожением (стиранием) информации сверили с записями в
акте и полностью уничтожили (стерли) путем _______________________________.

Председатель
комиссии _______________ _____________________
(подпись) (И.О. Фамилия)

Члены
комиссии: ______________ _____________________
(подпись) (И.О. Фамилия)
______________ _____________________
(подпись) (И.О. Фамилия)
______________ _____________________
(подпись) (И.О. Фамилия)

Уничтоженные машинные носители информации (со стертой информацией) и
документы в журналах и книгах учета списаны.


Ответственный
за учет ______________ _____________________
(подпись) (И.О. Фамилия)





Приложение № 3
к Положению
о порядке обращения с конфиденциальной
информацией и мерах по обеспечению
ее защиты и сохранности в Министерстве
спорта Кабардино-Балкарской Республики

ОБРАЗЕЦ
ЗАПОЛНЕНИЯ ЖУРНАЛА ПЕРЕДАЧИ ИНФОРМАЦИИ (ФАЙЛОВ)


№ Учетный Имя файла, Пометка Дата Структурное Ф.И.О.
п/п номер краткое передачи подразделение, лица,
носителя содержание файла Ф.И.О. и ответствен-
информации, информации роспись лица, ного
на который получившего за передачу
записывается файл файла
информация


1 2 3 4 5 6 7

1. 18 Titul, ДСП 18.11.2015 Отдел развития Перов М.А.
данные о спорта высших
работниках достижений


Передачу информации разрешаю в __________________________________________
________________________________________________________________________.
(наименование структурного подразделения)

Руководитель
структурного
подразделения Е.Е. Морозов
________________ _________________
(подпись) (И.О.Фамилия)

2. 22 План на ДСП 18.19.2015 Волохов М.Н. Баков В.Е.
2015 год


--------------------------------
Примечание. Журнал заводится несекретным порядком с регистрацией его в номенклатуре дел, книг и журналов на текущий год в делопроизводстве и выдается представителю объекта вычислительной техники. По окончании заполнения журнала он ставится на архивный учет и хранится в несекретном делопроизводстве 1 год, после чего уничтожается в установленном порядке.
В примере № 1 представлена регистрация передачи информации (файл "Titul") между пользователями одного структурного подразделения.
В примере № 2 представлена регистрация передачи информации (файл "План на 2015 год") между различными структурными подразделениями Министерства, которая производится с письменного разрешения руководителя.





Приложение № 2
Утверждено
приказом
Министерства спорта
Кабардино-Балкарской Республики
от 14 октября 2015 г. № 83

ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ МИНИСТЕРСТВА СПОРТА
КАБАРДИНО-БАЛКАРСКОЙ РЕСПУБЛИКИ

1. Общие положения

1.1. Настоящее Положение об организации защиты конфиденциальной информации в автоматизированных системах Министерства спорта Кабардино-Балкарской Республики (далее - Министерство) определяет виды информационных ресурсов ограниченного доступа, содержащих конфиденциальную информацию (далее также - охраняемые сведения), организационные и технические мероприятия по технической защите конфиденциальной информации, а также порядок организации доступа пользователей к информационным ресурсам.
1.2. Мероприятия по защите конфиденциальной информации, проводимые в Министерстве, являются составной частью управленческой и иной служебной деятельности.
1.3. Целями настоящего Положения являются:
- создание условий для соблюдения установленных законодательством ограничений доступа к конфиденциальной информации;
- защита информационных ресурсов Министерства от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем Министерства.
1.4. Настоящее Положение основывается на Конституции Российской Федерации, Гражданском кодексе Российской Федерации, Федеральном законе от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральном законе от 27.07.2006 № 152-ФЗ "О защите персональных данных", а также иных нормативных правовых актах в сфере защиты конфиденциальной информации.
1.5. Действие Положения не распространяется на автоматизированные информационные системы хранения и обработки информации, содержащей сведения, составляющие государственную тайну.

2. Защита конфиденциальной информации

2.1. Конфиденциальная информация должна обрабатываться (передаваться) с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств технической защиты конфиденциальной информации, сертифицируемых в установленном порядке.
2.2. Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяются дифференцированно по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию технической защиты конфиденциальной информации и величины ущерба, который может быть нанесен собственнику конфиденциальной информации при ее разглашении, утрате, уничтожении и искажении.
2.3. Объектами защиты в Министерстве являются:
а) средства и системы информатизации и связи (средства вычислительной техники, локальная вычислительная сеть, средства и системы связи и передачи информации), используемые для обработки, хранения и передачи информации, содержащей конфиденциальную информацию;
б) технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается конфиденциальная информация;
в) помещения (служебные кабинеты, конференц-зал и т.п.), специально предназначенные для проведения конфиденциальных мероприятий, далее именуемые также "защищаемые помещения";
г) документы, содержащие конфиденциальную информацию.
2.4. Ответственность за выполнение требований настоящего Положения возлагается на руководителей структурных подразделений Министерства, а также на специалистов, допущенных к обработке, передаче и хранению в технических средствах информации, содержащей конфиденциальную информацию.
2.5. Непосредственный контроль за организацией работы по защите конфиденциальной информации осуществляет министр спорта Кабардино-Балкарской Республики (далее - Министр).

3. Охраняемые сведения

3.1. В Министерстве разрабатывается перечень сведений конфиденциального характера в соответствии с Указом Президента Российской Федерации от 06.03.1997 № 188 "Об утверждении Перечня сведений конфиденциального характера".
3.2. К сведениям, подлежащим защите в Министерстве, относятся:
- сведения, определенные перечнем сведений конфиденциального характера Министерства;
- иные сведения, составляющие охраняемую законодательством тайну;
- иные сведения, определенные собственником информации при ее передаче Министерству в соответствии с соглашениями о конфиденциальности в рамках совместной деятельности.

4. Организационные и технические мероприятия
по технической защите конфиденциальной информации

4.1. Разработка мер и обеспечение защиты конфиденциальной информации осуществляются отдельными сотрудниками Министерства, назначаемыми Министром для проведения таких работ.
4.2. Защита информации в автоматизированных системах Министерства осуществляется по следующим основным направлениям:
- от утечки по техническим каналам;
- от внедренных специальных электронных устройств;
- от специальных программ-вирусов;
- от несанкционированного доступа;
- от несанкционированного воздействия;
- от непреднамеренного воздействия;
- от разглашения.
4.3. Должностные лица, отвечающие за безопасность конфиденциальной информации Министерства, контролируют в пределах своей компетенции состояние защиты информации с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки ее защищенности.
В качестве программных средств используются специальные программы, предназначенные для выполнения функций, связанных с защитой информации.
К техническим средствам защиты информации относятся различные электрические, электромеханические и электронные устройства, которые подразделяются на аппаратные средства - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются со средствами вычислительной техники по стандартному интерфейсу, и физические средства - автономные устройства (электронно-механическое оборудование охранной сигнализации и наблюдения, запоры и решетки на окнах).
4.4. Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности технические средства защиты.
4.5. Объекты информатизации (средства вычислительной техники, локальные вычислительные сети, средства и системы связи и передачи информации) должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Федеральной службы по техническому и экспортному контролю России (далее - ФСТЭК России).
4.6. К основным мероприятиям по технической защите конфиденциальной информации в защищаемых помещениях относятся:
а) определение перечня защищаемых помещений по результатам анализа циркулирующей в них конфиденциальной информации и условий ее обмена (обработки) в соответствии с нормативными документами ФСТЭК России;
б) назначение сотрудников Министерства, ответственных за выполнение требований по технической защите конфиденциальной информации в защищаемых помещениях;
в) разработка частных инструкций по обеспечению безопасности информации в защищаемых помещениях;
г) обеспечение эффективного контроля за доступом в защищаемые помещения, а также в смежные помещения;
д) инструктирование сотрудников, работающих в защищаемых помещениях, о правилах эксплуатации персональных ЭВМ, других технических средств обработки информации, средств связи с соблюдением требований по технической защите конфиденциальной информации;
е) проведение в защищаемых помещениях визуальных проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в защищаемых помещениях;
ж) исключение неконтролируемого доступа к линиям связи, управления и сигнализации в защищаемых помещениях, а также в смежных помещениях и в коридоре;
з) осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах;
и) демонтирование или заземление (с обеих сторон) лишних (незадействованных) проводников и кабелей;
к) отключение при проведении совещаний в защищаемом помещении всех неиспользуемых электро- и радиоприборов от сетей питания и трансляции.

4.5. При эксплуатации необходимо неукоснительное выполнение требований, определенных в предписании на эксплуатацию технических средств и систем.
4.6. Организация работ по выполнению требований по технической защите конфиденциальной информации в Министерстве возлагается на ответственного сотрудника Министерства (далее - ответственный за защиту конфиденциальной информации).
4.7. Операторы информационной системы (далее - Пользователи) обязаны соблюдать правила обработки информации в автоматизированных системах и отвечают за обеспечение защиты информации.

5. Организация парольной защиты

5.1. Парольная защита при работе на средствах вычислительной техники осуществляется с целью предотвращения несанкционированного доступа к защищаемой информации.
5.2. К основным видам (категориям) паролей относятся:
- пароли BIOS;
- пароль доступа средств защиты информации от несанкционированного доступа;
- пароли систем доступа, встроенные в используемых операционных системах;
- пароли доступа к прикладным программам, обеспечивающим доступ к защищаемой информации;
- пароли доступа к специализированному программному обеспечению, предназначенному для работы с защищаемой информацией.
5.3. Общие требования к паролям:
5.3.1. Минимальное требование: буквенно-цифровой пароль. Желательно использовать буквы в верхнем или нижнем регистрах, цифры или специальные символы (например: ~ ! @ # $ % & * () _ - + = \ ? / . , : ; ' ] [ { } < > и т.п.).
5.3.2. Минимальная длина пароля: не менее 6 (шести) символов.
5.3.3. Максимальный срок действия пароля: 90 суток.
5.3.4. Запрет использования трех ранее использовавшихся паролей.
5.3.5. Пароль Пользователя не должен включать в себя легко вычисляемые сочетания символов, общепринятые сокращения, имена, фамилии, должности, дни рождения и другие памятные даты, номер паспорта, табельный номер, номер телефона, автомобиля, адрес местожительства, общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP, GUEST, ADMINISTRATOR и т.д.) и другие данные, которые могут быть подобраны путем анализа информации о Пользователе, доступной другим лицам.
5.3.6. Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов.
5.3.7. Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например: 1234567, qwerty и т.п.).
5.3.8. При смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях.
5.3.9. В числе символов пароля могут присутствовать латинские буквы в верхнем и нижнем регистрах, цифры.
5.3.10. Не использовать ранее использовавшиеся пароли.
5.4. Правила использования паролей:
5.4.1. Пользователь обязан хранить в тайне свой пароль, не сообщать его другим лицам.
5.4.2. Не давать доступ в информационные системы другим лицам под своей учетной записью и паролем.
5.4.3. Изменять свой пароль при первом требовании политики паролей операционной системы (информационной системы).
5.4.4. Во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами или техническими средствами (видеокамеры и др.).
5.4.5. Немедленно сообщить ответственному за защиту конфиденциальной информации об утере, компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей.
5.4.6. Запрещается записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе персонального ЭВМ, на обратной стороне клавиатуры и т.д.
5.4.7. Запрещается хранить пароли в записанном виде на отдельных листах бумаги.
5.4.8. Смена, удаление личного пароля любого Пользователя производится в следующих случаях:
- в случае подозрения на компрометацию пароля;
- по окончании срока действия;
- в случае прекращения полномочий Пользователя (увольнение, переход на другую должность, не связанную с обработкой защищаемой информации) после окончания последнего сеанса работы в информационных системах;
- по указанию ответственного за защиту конфиденциальной информации.
5.4.9. При увольнении, переходе на новую должность сотрудника, имеющего доступ помимо своей учетной записи к другим ресурсам (межсетевые экраны, маршрутизаторы, серверы, другие учетные записи и т.п.), также производится внеплановая смена паролей к таким ресурсам.
5.4.10. Для создания значений паролей могут применяться специальные программные средства (генераторы паролей).

6. Антивирусная защита

6.1. Организация и проведение работ по антивирусной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим Положением, действующими государственными стандартами и другими нормативными и методическими документами ФСТЭК России.
6.2. Средства антивирусной защиты информации должны устанавливаться на всех средствах вычислительной техники, эксплуатируемых в Министерстве. При технологической необходимости на отдельные средства вычислительной техники средства антивирусной защиты информации могут не устанавливаться.
6.3. Организация антивирусной защиты информации на объектах информатизации Министерства достигается путем:
- установки и применения средств антивирусной защиты информации;
- обновления баз данных средств антивирусной защиты информации;
- действий должностных лиц при обнаружении заражения информационно-вычислительных ресурсов программными вирусами.
6.4. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации конкретного антивирусного программного продукта.
6.5. Организация антивирусной защиты конфиденциальной информации должна быть направлена на предотвращение заражения рабочих станций, входящих в состав локальных компьютерных сетей и серверов, различного уровня и назначения вирусами.
6.6. В случае отсутствия штатных функций антивирусной программы, предусматривающих автоматическую проверку файлов, Пользователь обязан осуществлять проверку файлов получаемых:
- по электронной почте;
- через сеть "Интернет";
- на магнитном, оптическом дисках, флеш-накопителе;
- на ином съемном носителе информации;
- полученные иным способом.
6.7. Пользователю запрещается:
6.7.1. Осуществлять действия, направленные на выключение антивирусной программы.
6.7.2. Самостоятельно устанавливать на автоматизированном рабочем месте программное обеспечение.
6.7.3. Запускать файлы, полученные по сетям связи (электронной почте, "Интернет"), со съемных носителей, даже если они получены от проверенного адресата, без предварительной их проверки антивирусной программой.
6.8. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажение данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) Пользователь самостоятельно или вместе с ответственным за защиту конфиденциальной информации должен провести внеочередной антивирусный контроль своего рабочего места.
6.9. В случае обнаружения при проведении антивирусной проверки вирусного заражения, Пользователи обязаны:
- приостановить работу;
- немедленно поставить в известность о факте обнаружения вирусного заражения ответственного за защиту конфиденциальной информации;
- совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь ответственного за защиту конфиденциальной информации).
6.10. При использовании съемных накопителей информации для передачи информации, каждый из них должен быть проверен на отсутствие вредоносного программного обеспечения.
6.11. Не рекомендуется открывать для чтения почтовые сообщения, адресат которых неизвестен или почтовое отправление носит подозрительный характер (реклама или запрос информации неизвестной фирмы, спам, и т.д.). Если обнаружено, что почтовое отправление, пришедшее от адресата, заражено вредоносным кодом, Пользователю самостоятельно или вместе с ответственным за защиту конфиденциальной информации необходимо:
- срочно принять все меры по предотвращению дальнейшего распространения заражения путем прекращения приема-передачи сообщений;
- провести сканирование и лечение системы антивирусными средствами (при необходимости обновить базы данных антивирусного программного обеспечения).
6.12. Перед отправкой массивов информации и программных средств осуществляется ее проверка на наличие программных вирусов. При обнаружении программных вирусов пользователь обязан немедленно прекратить все работы на автоматизированном рабочем месте, поставить в известность ответственного за защиту конфиденциальной информации и принять меры к их локализации и удалению с помощью имеющихся антивирусных средств защиты.
6.13. Запрещается хранение вредоносного кода на каких-либо носителях информации. При обнаружении вредоносного кода необходимо произвести его удаление антивирусными средствами.
6.14. Удаление зараженных файлов средствами операционной системы может привести к безвозвратному разрушению информации.
6.15. При функционировании автоматизированного рабочего места в качестве рабочей станции вычислительной сети производятся ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.

7. Защита информации от утечки по техническим каналам

7.1. При выявлении технических каналов утечки информации технические средства обработки, хранения и передачи информации рассматриваются как система, включающая основное (стационарное) оборудование, оконечные устройства, соединительные линии (совокупность проводов и кабелей, прокладываемых между отдельными техническими средствами передачи информации и их элементами), распределительные и коммуникационные устройства, системы электропитания, системы заземления.
7.2. Отдельные технические средства или группа технических средств, предназначенных для обработки информации, вместе с помещениями, в которых они размещаются, составляют объект ТСПИ. Под объектами ТСПИ понимаются также выделенные помещения, предназначенные для проведения конфиденциальных мероприятий.
Наряду с ТСПИ в помещениях могут находиться вспомогательные технические средства и системы (далее - ВТСС), не применяемые в обработке информации, но используемые совместно с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ими. К ним относятся: технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, электрификации, радиофикации, часофикации, электробытовые приборы и т.д.
7.3. В качестве канала утечки информации основное внимание необходимо уделять ВТСС, имеющим выход за пределы контролируемой зоны.
Кроме соединительных линий ТСПИ и ВТСС за пределы контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены технические средства, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. Такие провода, кабели и токопроводящие элементы называются посторонними проводниками.
7.4. Основные способы защиты информации от утечки по техническим каналам:
- использование сертифицированных по требованиям защиты информации 8 основных технических средств и систем, предназначенных для передачи, обработки и хранения конфиденциальной информации (далее - ОТСС) и ВТСС;
- использование сертифицированных технических средств защиты информации;
- размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ;
- защита цепей электропитания объектов защиты;
- документальное оформление перечня защищаемых помещений (далее - ЗП) и лиц, ответственных за их эксплуатацию;
- выполнение рекомендованных мероприятий по оборудованию ЗП: стены, полы и потолки не должны быть смежными с помещениями других организаций; окна закрываются шторами (жалюзи); проведение специальных проверок помещений; применение технических средств защиты информации и т.д.);
- выполнение пожарной и охранной сигнализации только по проводной схеме сбора информации;
- применение при необходимости активных средств защиты речевого сигнала (генераторы шума и т.п.);
- выполнение требований по монтажу и применению ВТСС в ЗП согласно специальным требованиям и рекомендациям по технической защите конфиденциальной информации;
- проведение на объектах защиты специальных исследований специализированными организациями, имеющими лицензии на проведение работ по защите информации.

8. Защита информации от внедренных специальных
электронных устройств

8.1. Информация, обрабатываемая в ТСПИ, может сниматься путем установки в них электронных устройств перехвата информации - закладных устройств (мини-передатчики, излучение которых модулируется информационным сигналом).
8.2. Выявление внедренных на объекты электронных устройств перехвата информации достигается специальными проверками, которые проводятся при аттестации помещений, предназначенных для ведения секретных и конфиденциальных переговоров, а также по решению руководителя - периодически. Для помещений, предназначенных для ведения секретных переговоров, аттестация является обязательной, а для ведения конфиденциальных переговоров - добровольной.
8.3. Специальные проверки проводятся также с целью выявления и изъятия специальных электронных устройств перехвата информации, внедренных в ОТСС и ВТСС. Специальные проверки должны проводить специалисты организаций, имеющих лицензии, выданные уполномоченными органами.
В зависимости от целей, задач и используемых средств устанавливаются следующие виды специальных проверок:
- специальное обследование объектов защиты;
- визуальный осмотр ЗП;
- комплексная специальная проверка ЗП;
- визуальный осмотр и специальная проверка новых предметов (подарков, предметов интерьера, бытовых приборов и т.п.) и мебели, размещаемых или устанавливаемых в ЗП;
- специальная проверка применяемой радиоэлектронной аппаратуры;
- периодический радиоконтроль (радиомониторинг) ЗП;
- постоянный (непрерывный) радиоконтроль ЗП;
- специальная проверка проводных линий;
- проведение тестового "прозвона" всех телефонных аппаратов, установленных в проверяемом помещении, с контролем (на слух) прохождения всех вызывных сигналов АТС.
Периодичность и виды проверок помещений в целях выявления в них закладных устройств зависят от степени важности помещений и порядка допуска в них посторонних лиц.
8.4. Специальное обследование и визуальный осмотр ЗП проводятся, как правило, без применения технических средств. Остальные же виды проверок требуют использования тех или иных специальных средств контроля.
8.5. Тестовый "прозвон" телефонных аппаратов проводится при установке нового телефонного аппарата или телефонного аппарата после ремонта, а также периодически. "Прозвон" необходимо проводить с радиотелефона или телефонного аппарата, установленного в другом помещении. При наборе номера проверяемого телефонного аппарата осуществляется контроль (на слух) прохождения всех вызывных сигналов АТС. Если обнаружено подавление (непрохождение) одного - двух вызывных звонков у контролируемого телефонного аппарата, то, возможно, что в его корпусе или телефонной линии установлено закладное устройство, и необходимо проводить специальную проверку телефонной линии и телефонного аппарата.

9. Защита информации от несанкционированного доступа

9.1. Существуют два относительно самостоятельных направления защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.
Защита СВТ обеспечивается комплексом программно-технических средств. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
9.2. При обработке или хранении в АС конфиденциальной информации для ее защиты проводятся следующие организационные мероприятия:
- документальное оформление конфиденциальной информации в виде перечня сведений, подлежащих защите;
- определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;
- установление и оформление правил разграничения доступа, т.е. совокупности правил доступа субъектов к данным;
- ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;
- получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
- разработка системы защиты информации от НСД, включая соответствующую организационно-распорядительную документацию.
9.3. Защита доступа к компьютеру осуществляется программными, программно-аппаратными средствами и чисто аппаратными комплексами. Это обеспечивает:
- наличие в компьютерах только той информации и тех программ, которые необходимы работникам для повседневной деятельности;
- невозможность передачи посторонним лицам конфиденциальной информации неблагонадежными работниками;
- постоянный контроль за конфиденциальной информацией, всегда можно узнать, кто и когда к ней обратился;
- ознакомление с историей работы пользователя на компьютере;
- обеспечение защиты в незащищенных операционных системах аналогичной защите в серверной операционной системе, не повышая требований к аппаратной части компьютера;
- получение администратором сети информации о том, что происходит на компьютерах сети.

10. Защита информации от несанкционированного
и непреднамеренного воздействия

10.1. Защита информации от несанкционированного и непреднамеренного воздействия осуществляется по следующим направлениям:
а) соблюдение порядка разработки, ввода в действие и эксплуатации объектов информатизации;
б) определение условий размещения объекта информатизации относительно границ контролируемой зоны;
в) определение технических средств и систем, предполагаемых к использованию в АС и системах связи, условий их расположения;
г) определение режимов обработки информации в АС в целом и в отдельных компонентах;
д) установление правил разграничения доступа для пользователей с целью минимизации их воздействия на программные и аппаратные средства автоматизации обработки информации;
е) повышение уровня квалификации пользователей и обслуживающего персонала;
ж) контроль, техническое обслуживание и обеспечение установленных режимов работы ТСПИ в целях предупреждения их сбоев, аварий, неисправностей;
з) применение постоянно обновляемого антивирусного программного обеспечения;
и) защита от природных и техногенных явлений и стихийных бедствий (пожары, наводнения, землетрясения, грозовые разряды, грызуны и т.п.);
к) предупреждение передачи конфиденциальной информации по открытым линиям связи и ее обработки в незащищенных АС;
л) строгое выполнение работниками установленных в организации требований по защите информации;
м) организация эффективного контроля за выполнением предусмотренных мер защиты информации;
н) использование АС в защищенном исполнении.

11. Защита информации от разглашения

11.1. Разглашение может происходить по формальным и неформальным каналам распространения информации.
К формальным каналам относятся деловые встречи, совещания, переговоры и тому подобные формы общения, а также обмен официальными деловыми и научными документами с использованием средств передачи официальной информации (почта, телефон, телеграф и др.).
11.2. Неформальные каналы включают:
- личное общение (встречи, переписка и др.);
- выставки, семинары, конференции и другие массовые мероприятия;
- средства массовой информации (печать, газеты, интервью, радио, телевидение и др.).
11.3. Причиной разглашения конфиденциальной информации, как правило, является недостаточное знание работниками правил ее защиты и непонимание (или недопонимание) необходимости их тщательного соблюдения.
11.4. Правовой основой работы с работниками, допущенными к конфиденциальной информации, являются:
- наличие в служебном контракте пункта о работе со сведениями, составляющими конфиденциальную информацию;
- наличие в должностном регламенте работника пункта о том, что он работает с конфиденциальной информацией и несет ответственность за ее разглашение;
- наличие перечня сведений конфиденциального характера и инструкции по защите информации, с которыми должен быть ознакомлен работник;
- создание работникам условий для работы с информацией ограниченного доступа.

12. Порядок работы в сети "Интернет"

12.1. Подключение к сервисам сети "Интернет".
12.1.1. Целями работы Пользователя в сети "Интернет" являются сбор, обработка, хранение общедоступной и служебной информации, обмен электронными сообщениями в служебных целях.
12.1.2. Доступ к сервисам сети "Интернет" предоставляется Пользователям только в том случае, если это не противоречит требованиям по защите информации (требованиям настоящего Положения и иными нормативными документами в области защиты информации).
12.1.3. Основанием для подключения сотрудника Министерства к сервисам сети "Интернет" является мотивированная заявка ответственному за защиту конфиденциальной информации от непосредственного руководителя Пользователя с указанием полномочий доступа к таким ресурсам и сервисам.
12.1.4. Ответственный за защиту конфиденциальной информации организует подключение к сервисам сети "Интернет" Пользователей в установленном порядке, осуществляет контроль над использованием ресурсов сети "Интернет".
12.1.5. После выполнения задания администратор сообщает Пользователю о выполнении заявки.

2.1.6. Основанием для отключения Пользователя от сервисов сети "Интернет" являются следующие события:
- нарушение инструкций и иных локальных нормативных актов в области защиты информации Министерства;
- в случае нарушения Пользователем действующего законодательства в сфере компьютерной информации;
- увольнение Пользователя либо перевод его в другое структурное подразделение.
12.2. Порядок работы в сети "Интернет".
12.2.1. Использование сотрудниками Министерства сети "Интернет" должно осуществляться исключительно для выполнения должностных обязанностей.
12.2.2. Информация, образованная (образующаяся) в процессе служебной деятельности работника, является собственностью Министерства и не подлежит использованию (в том числе использованию в сети "Интернет" или с помощью сети "Интернет") в личных целях и (или) в корыстных интересах других лиц (организаций).
12.2.3. При проведении технических работ, связанных с настройкой оборудования (коммуникационное оборудование, прокси-сервера, маршрутизаторы и т.п.), в случае обнаружения попыток несанкционированного доступа к интернет-шлюзу, автоматизированным рабочим местам Пользователей может проводиться временное отключение Пользователей от сервисов сети "Интернет" (в случае планового отключения Пользователи уведомляются об этом заблаговременно).
12.2.4. При работе в сети "Интернет" Пользователям запрещается:
- умышленное распространение и получение материалов в/из сети "Интернет", противоречащих законодательству Российской Федерации, в том числе компьютерных вирусов и других вредоносных программ;
- передавать в сеть "Интернет" информацию, к которой в соответствии с законодательством ограничен доступ (персональные данные, служебная тайна, коммерческая тайна), без соответствующего разрешения;
- фальсифицировать IP-адрес, MAC-адрес, иные адреса, используемые в сетевых протоколах, а также прочую служебную информацию при передаче данных через сеть "Интернет";
- предоставлять доступ в сеть "Интернет" со своего рабочего места кому-либо;
- получать доступ к сети "Интернет" любыми способами, не предусмотренными действующими локальными документами;
- осуществлять несанкционированный доступ к ресурсам и сервисам сети "Интернет";
- выполнять действия (взлом, DoS (отказ в обслуживании), ARP-spoofing атаки, сканирование локальной вычислительной сети), направленные на нарушение функционирования элементов сети "Интернет" (коммуникационного оборудования, серверов, рабочих станций, программного обеспечения).
12.3. Правила работы Пользователей с электронной почтой.
12.3.1. Пользователи обязаны использовать электронную почту только в служебных целях.
12.3.2. Запрещается отправлять файлы, содержащие персональные данные в открытом виде (незашифрованные).
12.3.3. Запрещается массовая рассылка почтовых сообщений (более 10) внешним адресатам без согласования с руководством (спама).
12.3.4. Запрещается использовать не свой обратный адрес при отправке электронной почты.
12.3.5. Запрещается отправлять по электронной почте исполняемые файлы (обычно имеют расширения exe, com, bat). В случае необходимости отправки таких файлов, помещать их в архив.
12.3.6. Присоединяемые файлы рекомендуется упаковывать в архив при помощи программ-архиваторов.
12.3.7. Служебные рекомендации использования электронной почты:
- работник Министерства при отправлении электронных сообщений или писем должен оказывать то же уважение, что и при устном общении;
- работник Министерства при отправлении электронных сообщений или писем должен проверять правописание, грамматику и дважды перечитывать свое сообщение перед отправлением;
- работник Министерства не должен участвовать в рассылке посланий, пересылаемых по цепочке (чаще всего это письма религиозно-мистического, развлекательного содержания);
- работник Министерства не должен по собственной инициативе пересылать по произвольным адресам незатребованную информацию;
- работник Министерства не должен рассылать сообщения, которые являются зловредными, раздражающими или содержащими угрозы другим пользователям;
- работник Министерства не должен отправлять никаких сообщений противозаконного или неэтичного содержания;
- работник Министерства должен помнить, что электронное послание является эквивалентом почтовой открытки и не должно использоваться для пересылки конфиденциальной информации без использования средств защиты (шифрования);
- работник Министерства не должен отправлять никаких электронных сообщений личного характера.

13. Порядок использования съемных носителей информации

13.1. В информационных системах Министерства допускается использование только учтенных съемных носителей информации, которые являются собственностью Министерства и подвергаются регулярной ревизии и контролю.
13.2. К используемым в Министерстве съемным носителям конфиденциальной информации (СНКИ) предъявляются те же требования информационной безопасности, что и для стационарных автоматизированных рабочих мест (целесообразность дополнительных мер обеспечения информационной безопасности определяется ответственным за защиту конфиденциальной информации).
13.3. СНКИ предоставляются Пользователю с разрешения и по инициативе руководителей структурных подразделений Министерства в случае возникновения у Пользователя производственной необходимости.
13.4. Пользователи, которым предоставлены СНКИ, должны соблюдать следующий порядок учета, хранения, обращения и утилизации СНКИ:
13.4.1. Все находящиеся на хранении и в обращении СНКИ подлежат учету, Пользователи могут использовать только учтенные в Министерстве СНКИ.
13.4.2. Каждый СНКИ должен иметь этикетку, на которой указывается его уникальный учетный номер.
13.4.3. Учет и выдачу СНКИ осуществляет ответственный за защиту конфиденциальной информации. Факт выдачи съемного носителя конкретному Пользователю фиксируется в журнале учета съемных носителей конфиденциальной информации (далее - Журнал учета) (приложение № 2 к настоящему Положению).
13.4.4. Пользователь получает учтенный СНКИ для выполнения работ на конкретный срок. При получении делаются соответствующие записи в Журнале учета. По окончании работ Пользователь сдает съемный носитель для хранения ответственному за защиту конфиденциальной информации, о чем делается соответствующая запись в Журнале учета.
13.5. При использовании Пользователями СНКИ необходимо:
13.5.1. Соблюдать требования настоящего Положения.
13.5.2. Использовать СНКИ исключительно для выполнения своих служебных обязанностей.
13.5.3. Ставить в известность ответственного за защиту конфиденциальной информации о любых фактах нарушения требований настоящего Положения.
13.5.4. Обеспечивать физическую безопасность СНКИ.
13.5.5. Извещать ответственного за защиту конфиденциальной информации о фактах утраты или кражи СНКИ.
13.6. При использовании СНКИ запрещается:
13.6.1. Использовать СНКИ в личных целях.
13.6.2. Передавать СНКИ другим лицам, за исключением ответственного за защиту конфиденциальной информации.
13.6.3. Хранить СНКИ вместе с носителями открытой информации, на рабочих столах либо оставлять их без присмотра, или передавать на хранение другим лицам.
13.6.4. Выносить СНКИ из служебных помещений для работы с ними в иных местах.
13.7. Любое взаимодействие (обработка, прием/передача информации), инициированное Пользователем, между информационной системой и неучтенными (личными) носителями информации рассматривается как несанкционированное (за исключением случаев, оговоренных с ответственным за защиту конфиденциальной информации заранее).
13.7.1. Информация об использовании Пользователем незарегистрированных носителей информации в информационной системе протоколируется и о данном факте информируются руководитель структурного подразделения и Министр.
13.7.2. В случае выявления фактов несанкционированного и/или нецелевого использовании СНКИ, инициализируется служебная проверка, проводимая комиссией, состав которой определяется Министром.
13.8. Информация, хранящаяся на СНКИ, подлежит обязательной проверке на отсутствие вредоносного программного обеспечения.
13.9. При отправке или передаче конфиденциальной информации адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка конфиденциальной информации адресатам на съемных носителях осуществляется в установленном порядке.
13.10. Вынос СНКИ для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения и ответственного за защиту конфиденциальной информации.
13.11. В случае утраты или уничтожения СНКИ либо разглашении содержащихся в них сведений, немедленно ставятся в известность руководитель соответствующего структурного подразделения и ответственный за защиту конфиденциальной информации. На утраченные носители составляется акт. Соответствующие отметки вносятся в Журналы учета СНКИ.
13.12. СНКИ, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение СНКИ осуществляется уполномоченной комиссией. По результатам уничтожения носителей составляется акт (приложение № 1 к настоящему Положению).
13.13. В случае увольнения или перевода работника Министерства в другое структурное подразделение, предоставленные СНКИ изымаются.

14. Защита информации в базах данных

14.1. Защита информации в базах данных в отличие от защиты данных в файлах имеет и свои особенности:
- необходимость учета функционирования системы управления базой данных при выборе механизмов защиты;
- разграничение доступа к информации реализуется не на уровне файлов, а на уровне частей баз данных.
14.2. В базах данных, работающих с конфиденциальной информацией, необходимо дополнительно использовать криптографические средства закрытия информации. Для этой цели используется шифрование как с помощью единого ключа, так и с помощью индивидуальных ключей Пользователей. Применение шифрования с индивидуальными ключами повышает надежность механизма разграничения доступа.
14.3. Противодействие возможным угрозам осуществляется следующими методами:
- блокировка ответа при неправильном числе запросов;
- искажение ответа путем округления и другой преднамеренной коррекции данных;
- разделение баз данных;
- случайный выбор записи для обработки;
- контекстно-ориентированная защита;
- контроль поступающих запросов.
14.4. Метод блокировки ответа при неправильном числе запросов предполагает отказ в выполнении запроса, если в нем содержится больше определенного числа совпадающих записей из предыдущих запросов. Таким образом, данный метод обеспечивает выполнение принципа минимальной взаимосвязи вопросов. Этот метод сложен в реализации, так как необходимо запоминать и сравнивать все предыдущие запросы.
14.5. Метод коррекции заключается в незначительном изменении точного ответа на запрос пользователя. Для того, чтобы сохранить приемлемую точность статистической информации, применяется так называемый свопинг данных. Сущность его заключается во взаимном обмене значений полей записи, в результате чего все статистики i-го порядка, включающие i атрибутов, оказываются защищенными для всех i, меньших или равных некоторому числу. Если злоумышленник сможет выявить некоторые данные, то он не сможет определить, к какой конкретно записи они относятся.
14.6. Применяется также метод разделения баз данных на группы. В каждую группу может быть включено не более определенного числа записей. Запросы разрешены к любому множеству групп, но запрещаются к подмножеству записей из одной группы. Применение этого метода ограничивает возможности выделения данных злоумышленником на уровне не ниже группы записей.
14.7. Эффективным методом противодействия исследованию баз данных является метод случайного выбора записей для статистической обработки. Такая организация выбора записей не позволяет злоумышленнику проследить множество запросов.
14.8. Сущность контекстно-ориентированной защиты заключается в назначении атрибутов доступа (чтение, вставка, удаление, обновление, управление и т.д.) элементам базы данных (записям, полям, группам полей) в зависимости от предыдущих запросов Пользователя. Например, Пользователю доступны в отдельных запросах поля: "идентификационные номера" и "фамилии сотрудников", а также "идентификационные номера" и "размер заработной платы". Сопоставив ответы по этим запросам, Пользователь может получить закрытую информацию о заработной плате конкретных работников. Для исключения такой возможности Пользователю следует запретить доступ к полю "идентификатор сотрудника" во втором запросе, если он уже выполнил первый запрос.
14.9. Наиболее эффективным методом защиты информации в базах данных является контроль поступающих запросов на наличие подозрительных запросов или комбинации запросов. Анализ подобных попыток позволяет выявить возможные каналы получения несанкционированного доступа к закрытым данным.

15. Обязанности и права должностных лиц

15.1. Руководители структурных подразделений Министерства организуют и обеспечивают техническую защиту информации, циркулирующую в технических средствах и помещениях подчиненных им подразделений.
15.2. Пользователи основных технических средств и систем Министерства обеспечивают уровень технической защиты информации в соответствии с требованиями (нормами), установленными в нормативных документах.
15.3. Руководители структурных подразделений Министерства, пользователи основных технических средств и систем обязаны вносить предложения Министру о приостановке работ с использованием сведений, составляющих конфиденциальную информацию, в случае обнаружения утечки (или предпосылок к утечке) этих сведений.

16. Ответственность за нарушение режима конфиденциальности

16.1. Нарушением режима конфиденциальности в отношении охраняемых сведений Министерства является разглашение служебной тайны, которое влечет ответственность в соответствии с законодательством Российской Федерации.
16.2. Ответственность за нарушение требований обеспечения информационной безопасности накладывается на должностных лиц и работников Министерства и зависит от величины причиненного ущерба. Работники Министерства могут привлекаться к дисциплинарной, административной и уголовной ответственности в соответствии с законодательством Российской Федерации.






Приложение № 1
к Положению
об организации защиты
конфиденциальной информации
в Министерстве спорта
Кабардино-Балкарской Республики

УТВЕРЖДАЮ

Министр спорта
Кабардино-Балкарской Республики

______________ (инициалы, фамилия)
"____" _______________ 20__ г.

АКТ
уничтожения съемных носителей конфиденциальной информации

Комиссия, образованная приказом Министерства спорта
Кабардино-Балкарской Республики от "___" _____________ 20__ года № ___, в
составе:
Председателя ______________________________________________________________
(должность, Ф.И.О.)
Членов:____________________________________________________________________
(должность, Ф.И.О.)
___________________________________________________________________________
(должность, Ф.И.О.)
провела отбор съемных носителей, на которых в электронном виде содержатся
конфиденциальная информация и персональные данные, не подлежащие
дальнейшему хранению:

N
Дата
Учетный номер съемного носителя
Примечание









Всего съемных носителей _______________________________________________
(цифрами и прописью)
На съемных носителях уничтожены конфиденциальная информация и
персональные данные путем стирания их на устройстве гарантированного
уничтожения информации.
Перечисленные съемные носители уничтожены путем
___________________________________________________________________________
(разрезания, демонтажа и т.п.)

Председатель комиссии _______________ ________________
(Ф.И.О.)

Члены комиссии: _______________ ________________
(Ф.И.О.)

"____" _______________ 20___ г.





Приложение № 2
к Положению
об организации защиты
конфиденциальной информации
в Министерстве спорта
Кабардино-Балкарской Республики

ЖУРНАЛ УЧЕТА
СЪЕМНЫХ НОСИТЕЛЕЙ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ <*>

Начат "___" ___________ 20__ года на ______ листах.
Окончен "___" _________ 20__ года.
________________________________________________ _______________
(должность и Ф.И.О., ответственного за хранение) (подпись)

№ п/п
Учетный номер съемного носителя информации (СНИ)
Ф.И.О. работника, получившего СНИ
Дата получения и подпись работника, получившего СНИ
Дата возврата СНИ и подпись ответственного за хранение съемного носителя
Причина и дата окончания использования СНИ

   --------------------------------

<*> Все листы в журнале должны быть пронумерованы, сам журнал
прошнурован, заверен печатью Министерства.





Приложение № 3
Утверждена
приказом
Министерства спорта
Кабардино-Балкарской Республики
от 14 октября 2015 г. № 83

ИНСТРУКЦИЯ
О ПОРЯДКЕ ОПРЕДЕЛЕНИЯ КАТЕГОРИЙ РЕСУРСОВ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ МИНИСТЕРСТВА СПОРТА
КАБАРДИНО-БАЛКАРСКОЙ РЕСПУБЛИКИ

1. Общие положения

1.1. Настоящей инструкцией о порядке определения категорий ресурсов автоматизированных систем Министерства спорта Кабардино-Балкарской Республики (далее - Инструкция) вводятся категории (градации важности обеспечения защиты) ресурсов и устанавливается порядок категорирования ресурсов автоматизированных систем (АС), подлежащих защите, отнесения их к соответствующим категориям с учетом степени риска нанесения ущерба Министерству спорта Кабардино-Балкарской Республики (далее - Министерство), в случае несанкционированного вмешательства в процесс функционирования АС и нарушения целостности или конфиденциальности обрабатываемой информации, блокирования информации или нарушения доступности решаемых АС задач.
1.2. Категорирование ресурсов (определение требований к защите ресурсов) АС является необходимым элементом организации работ по обеспечению информационной безопасности Министерства и имеет своими целями:
- создание нормативно-методической основы для дифференцированного подхода к защите ресурсов автоматизированной системы (информации, задач, каналов, автоматизированных рабочих мест (АРМ) на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;
- типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по АРМ, АС Министерства и унификацию их настроек.

2. Основные термины и определения

Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации.
Защищаемые ресурсы автоматизированной системы (ресурсы АС, подлежащие защите) - информация, функциональные задачи, каналы передачи информации, автоматизированные рабочие места, подлежащие защите с целью обеспечения информационной безопасности Министерства.
Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.
Защищаемое автоматизированное рабочее место (АРМ) - объект защиты (персональный компьютер с соответствующим набором программных средств и данных), для которого признана необходимость установления регламентированного режима обработки информации и характеризуемого:
- местоположением, а также степенью его физической доступности для посторонних лиц (посетителей, сотрудников, не допущенных к работе с АРМ и т.п.);
- составом аппаратных средств;
- составом программных средств и решаемых на нем задач (определенных категорий доступности);
- составом хранимой и обрабатываемой на АРМ информации (определенных категорий конфиденциальности и целостности).
Формуляр АРМ - документ установленной формы (приложение № 2 - не приводится), фиксирующий характеристики АРМ (местоположение, конфигурацию аппаратных и программных средств, перечень решаемых на АРМ задач и др.) и удостоверяющий возможность эксплуатации данного АРМ (свидетельствующий о выполнении требований по защите обрабатываемой на АРМ информации в соответствии с категорией данного АРМ).
Защищаемая задача - функциональная задача, решаемая на отдельном АРМ, для которой признана необходимость установления регламентированного режима обработки информации и характеризуемая:
- совокупностью используемых при решении ресурсов (программных средств, наборов данных, устройств);
- периодичностью решения;
- максимально допустимым временем задержки получения результата решения задачи.
Формуляр задачи - документ установленной формы (приложение № 1), фиксирующий характеристики задачи (ее наименование, назначение, тип, используемые при ее решении ресурсы, группы пользователей данной задачи, их права доступа к ресурсам задачи и др.).
Защищаемый канал передачи информации - путь, по которому передается защищаемая информация. Каналы делятся на физические (от одного устройства к другому) и логические (от одной задачи к другой).
Конфиденциальность информации - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.
Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
Доступность информации (задачи) - свойство системы обработки (среды), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации (при наличии у субъектов соответствующих полномочий на доступ) и готовность соответствующих автоматизированных служб (функциональных задач) к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.

3. Категории защищаемой информации

3.1. Исходя из необходимости обеспечения различных уровней защиты разных видов информации, хранимой и обрабатываемой в АС, а также с учетом возможных путей нанесения ущерба Министерству вводятся три категории конфиденциальности защищаемой информации и три категории целостности защищаемой информации.
Категории конфиденциальности защищаемой информации:
- "Высокая" - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства Российской Федерации (служебная тайна, персональные данные);
- "Низкая" - к данной категории относится конфиденциальная информация, не отнесенная к категории "высокая", ограничения на распространение которой вводятся решением министра спорта Кабардино-Балкарской Республики (далее - Министр) в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами;
- "Нет требований" - к данной категории относится информация, обеспечение конфиденциальности (введение ограничений на распространение) которой не требуется.
Категории целостности защищаемой информации:
- "Высокая" - к данной категории относится информация, несанкционированная модификация (искажение, уничтожение) или фальсификация которой может привести к нанесению значительного прямого ущерба Министерству, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (например, средствами электронной цифровой подписи (ЭЦП) в соответствии с обязательными требованиями действующего законодательства;
- "Низкая" - к данной категории относится информация, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба Министерству, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением Министра (методами подсчета контрольных сумм, ЭЦП и т.п.);
- "Нет требований" - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.
3.2. С целью упрощения операций по категорированию задач, каналов и АРМ категории конфиденциальности и целостности защищаемой информации объединяются и устанавливаются четыре обобщенных категории информации: "жизненно важная", "очень важная", "важная" и "неважная". Отнесение информации к той или иной обобщенной категории осуществляется на основе ее категорий конфиденциальности и целостности в соответствии с таблицей 1.

Таблица 1

Определение обобщенной категории информации
Категория конфиденциальности информации
Категория целостности информации
"Высокая"
"Низкая"
"Нет требований"
"Высокая"
1
1
2
"Низкая"
1
2
3
"Нет требований"
2
3
4

1 - "Жизненно важная" информация;
2 - "Очень важная" информация;
3 - "Важная" информация;
4 - "Неважная" информация.

4. Категории функциональных задач

4.1. В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени доступности функциональных задач.
Требуемые степени доступности функциональных задач:
"Беспрепятственная доступность" - к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);
"Высокая доступность" - доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);
"Средняя доступность" - доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);
"Низкая доступность" - временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).
4.2. В зависимости от обобщенной категории защищаемой информации, используемой при решении задачи, и требуемой степени доступности задачи устанавливаются четыре категории функциональных задач: "первая", "вторая", "третья" и "четвертая" (в соответствии с таблицей 2).

Таблица 2

Определение категории функциональной задачи
Обобщенная категория информации
Требуемая степень доступности задачи
"Беспрепятственная доступность"
"Высокая доступность"
"Средняя доступность"
"Низкая доступность"
"Жизненно важная"
1
1
2
2
"Очень важная"
1
2
2
3
"Важная"
2
2
3
3
"Неважная"
2
3
3
4

5. Требования по обеспечению безопасности каналов передачи
защищаемой информации (категории каналов)

5.1. Требования по обеспечению безопасности (категории) логического канала передачи защищаемой информации определяются по максимальной категории двух задач, между которыми данный канал установлен.

6. Категории АРМ

6.1. В зависимости от категорий решаемых на АРМ задач устанавливаются четыре категории АРМ: "A", "B", "C" и "D".
6.2. К группе АРМ категории "A" относятся АРМ, на которых решается хотя бы одна функциональная задача первой категории. Категории остальных задач, решаемых на данном АРМ, не должны быть ниже второй.
6.3. К группе АРМ категории "B" относятся АРМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном АРМ, должны быть не ниже третьей и не выше второй.
6.4. К группе АРМ категории "C" относятся АРМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном АРМ, должны быть не выше третьей.
6.5. К группе АРМ категории "D" относятся АРМ, на которых решаются функциональные задачи только четвертой категории.

Таблица 3

Определение категории АРМ
Категория АРМ
Категории решаемых на АРМ задач
Максимальная
Минимальная
"A"
1
2
"B"
2
3
"C"
3
4
"D"
4
4

6.6. Требования по обеспечению безопасности АРМ различных категорий (по применению соответствующих мер и средств защиты) приведены в приложении № 5 (не приводится).

7. Порядок определения категорий защищаемых ресурсов АС

7.1. Категорирование проводится на основе инвентаризации ресурсов автоматизированной системы (АРМ, задач, информации) и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов АС, подлежащих защите.
7.2. Ответственность за составление и ведение перечней ресурсов АС возлагается:
- в части составления и ведения перечня АРМ (с указанием их размещения, закрепления за структурными подразделениями Министерства, состава и характеристик, входящих в его состав технических средств) - на руководителей структурных подразделений Министерства;
- в части составления и ведения перечня системных и прикладных (специальных) задач, решаемых на АРМ (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на ответственного за техническое обслуживание вычислительной техники Министерства.
7.3. Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных АРМ (информационным ресурсам и задачам) возлагается на структурные подразделения Министерства, которые непосредственно решают задачи на данных АРМ (владельцев информации).
7.4. Утверждение назначенных в соответствии с настоящей Инструкцией категорий информационных ресурсов АС производится Министром.
7.5. Категорирование ресурсов АС осуществляется для каждого АРМ в отдельности с последующим объединением и формированием единого перечня ресурсов АС Министерства, подлежащих защите:

- перечня информационных ресурсов АС, подлежащих защите (приложение № 2);
- перечня подлежащих защите задач (совокупности формуляров задач);
- перечня подлежащих защите АРМ (совокупности формуляров АРМ).
7.6. На первом этапе работ по категорированию ресурсов конкретного АРМ производится категорирование всех видов информации, используемой при решении задач на данном АРМ. Обобщенные категории информации определяются на основе установленных категорий конфиденциальности и целостности конкретных видов информации. Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".
На втором этапе с учетом обобщенных категорий информации, используемой при решении задач, установленных ранее, и требований к степени доступности задач происходит категорирование всех функциональных задач, решаемых на данном АРМ.
На третьем этапе устанавливается категория АРМ исходя из максимальной категории задач, решаемых на нем.
На четвертом этапе на основании категорий взаимодействующих задач устанавливается категория логических каналов передачи информации между функциональными задачами (на разных АРМ).
7.7. Переаттестация (изменение категории) информационных ресурсов АС производится при изменении требований к обеспечению защиты свойств (конфиденциальности и целостности) соответствующей информации.
Переаттестация (изменение категории) функциональных задач производится при изменении обобщенных категорий информационных ресурсов, используемых при решении данной задачи, а также при изменении требований к доступности функциональных задач.
Переаттестация (изменение категории) логических каналов производится при изменении категорий взаимодействующих задач.
Переаттестация (изменение категории) АРМ производится при изменении категорий или состава решаемых на данных АРМ задач.

8. Методика категорирования защищаемых ресурсов

8.1. Категорирование предполагает проведение работ по обследованию подсистем АС и структурных подразделений Министерства и выявлению (инвентаризации) всех ресурсов АС, подлежащих защите.
8.2. Для проведения информационного обследования всех подсистем автоматизированной системы Министерства и проведения инвентаризации ресурсов АС, подлежащих защите, формируется специальная комиссия, в состав которой включается специалист по технической защите информации Министерства (осведомленный в вопросах технологии автоматизированной обработки информации).
8.3. Руководители структурных подразделений Министерства обязаны оказывать содействие и необходимую помощь комиссии в проведении работ по обследованию АС. Для оказания помощи комиссии руководителями структурных подразделений выделяются сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.
8.4. В ходе обследования конкретных подразделений Министерства и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.
8.5. Составляется общий перечень функциональных задач и по каждой задаче оформляется (заводится) формуляр (приложение № 1). При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и, наоборот, различные задачи могут иметь одно и тоже название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.
8.6. При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к служебной тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может нанести ощутимый ущерб Министерству.
8.7. Проводится оценка серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности) при выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах.
8.8. Информация об оценках вероятного ущерба заносится в специальные формы (приложение № 2 - не приводится). В случае невозможности количественной оценки вероятного ущерба, производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).
8.9. При составлении перечня и формуляров функциональных задач, решаемых в Министерстве, необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). Оценки вероятного ущерба заносятся в специальные формы (приложение № 2 - не приводится). В случае невозможности количественной оценки вероятного ущерба, производится качественная оценка.
8.10. Все, выявленные в ходе обследования, различные виды информации заносятся в "Перечень информационных ресурсов, подлежащих защите".
8.11. Определяется (и затем указывается в Перечне) к какому типу тайны (служебная тайна, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставляемых им прав).
8.12. Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения Министерства (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в "Перечень информационных ресурсов, подлежащих защите" (в колонки 2 и 3).
8.13. В соответствии с указанными в утвержденном "Перечне информационных ресурсов, подлежащих защите" категориями конфиденциальности и целостности определяется обобщенная категория каждого вида информации (в соответствии с таблицей 1 пункта 3.2 настоящей Инструкции).
8.14. На следующем этапе происходит категорирование функциональных задач на основе требований по доступности, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием АС (таблица 2 пункта 4.2 настоящей Инструкции). Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным АРМ не производится.
8.15. В дальнейшем уточняется состав информационных и программных ресурсов каждой задачи и вносятся в формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих АРМ, на которых будет решаться данная задача, и для контроля правильности их установки.
8.16. Затем производится категорирование всех логических каналов между функциональными задачами. Категория канала устанавливается исходя из максимальной категории задач, участвующих во взаимодействии.
8.17. На последнем этапе происходит категорирование АРМ. Категория АРМ устанавливается исходя из максимальной категории специальных задач, решаемых на нем (либо категории информации, используемой при решении общих задач). На одном АРМ может решаться любое количество задач, категории которых ниже максимально возможной на данном АРМ не более чем на единицу. Информация о категории АРМ заносится в формуляр АРМ.
8.18. Типовые конфигурации и настройки программно-аппаратных средств защиты информации для АРМ различных категорий (требуемых степеней защищенности) определены в приложении № 4.
8.19. Полученные в результате формуляры АРМ и задач средств являются неотъемлемой составной частью планов защиты соответствующих подсистем АС.

9. Порядок пересмотра Инструкции


9.1. В случае изменения требований по защите АРМ различных категорий пересмотру (с последующим утверждением) подлежит приложение № 4.
9.2. В случае внесения изменений и дополнений в "Перечень информационных ресурсов, подлежащих защите" пересмотру (с последующим утверждением) подлежит приложение № 3.
9.3. Любой пересмотр Инструкции должен осуществляться на основании решения Министра.





Приложение № 1
к Инструкции
о порядке определения категорий
ресурсов автоматизированных
систем Министерства спорта КБР

УТВЕРЖДАЮ

Министр спорта
Кабардино-Балкарской Республики
__________________ (инициалы, фамилия)
(подпись)

"___" _________________ 20__ г.

ФОРМУЛЯР ЗАДАЧИ
номер _____

Наименование задачи

Назначение задачи

Тип (системная/прикладная)

Дата приема, регистрации

Ответственный за сопровождение задачи

Разработчик

Требуемая степень доступности задачи

Категория задачи


Используемые при решении задачи каталоги с данными:

на сетевых дисках

Имя сервера
Имя тома
Путь к файлам программ и данных ПС
Назначение компонентов программного средства













на локальных диска АРМ

Имя АРМ
Имя диска
Путь к файлам программ и данных
Назначение компонентов













Используемые при решении задачи каталоги с данными:

на сетевых дисках

Имя сервера
Имя тома
Имя каталога
Назначение данных
Категория данных






на АРМ

Имя АРМ
Имя диска
Имя каталога
Назначение данных
Категория данных






Значение атрибутов доступа к ресурсам задачи

Имя каталога или файла (ресурса)
Имя владельца ресурса
Имя группы владельца ресурса
Атрибуты управления доступом (для различных категорий пользователей)



владелец
группа
остальные













Логические каналы между функциональными задачами

Вид канала
Категория
Назначение канала




Ответственный за информационную
безопасность в Министерстве спорта КБР
____________________ (подпись, фамилия)
"_____" _____________ 20___ г.






Приложение № 3
к Инструкции
о порядке определения категорий
ресурсов автоматизированных
систем Министерства спорта КБР

УТВЕРЖДАЮ

Министр спорта
Кабардино-Балкарской Республики

__________________ (инициалы, фамилия)
(подпись)
"___" _________________ 20__ г.

ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ РЕСУРСОВ, ПОДЛЕЖАЩИХ ЗАЩИТЕ

№ п/п
Наименование информационного ресурса (информации)
Категория конфиденциальности (В/Н/-) и вид тайны (БТ/КТ/ДСП)
Категория целостности (В/Н/-)
Обобщенная категория
Размещение ресурса (РС, устройство, каталог, файл)
Ответственный за определение требований к защищенности ресурса
1.






2.






3.






4.






5.






6.






7.







Ответственный за информационную
безопасность в Министерстве спорта КБР

____________________ (подпись, фамилия)
"___" _____________ 20__ г.





Приложение № 4
к Инструкции
о порядке определения категорий
ресурсов автоматизированных
систем Министерства спорта КБР

УТВЕРЖДАЮ

Министр спорта
Кабардино-Балкарской Республики

__________________ (инициалы, фамилия)
(подпись)
"___" _______________ 20__ г.

Для служебного пользования
Экз. № ___

ТРЕБОВАНИЯ
ПО ОСНАЩЕНИЮ АРМ РАЗЛИЧНЫХ КАТЕГОРИЙ СРЕДСТВАМИ ЗАЩИТЫ

Показатель
Категории АРМ

А
В
С
Цель разграничения доступа
Защита от посторонних лиц и разграничение доступа законных пользователей к ресурсам АРМ
Защита от посторонних лиц и разграничение доступа законных пользователей к ресурсам АРМ
Защита от посторонних лиц
Требования по физической защите и защите от ПЭМИН
Расположение в охраняемом помещении с кодовым замком и сигнализацией
Обязательно
Обязательно
Желательно
Обеспечение физической целостности технических средств АРМ
Обязательно
Обязательно
Обязательно
Организация защиты от ПЭМИН в помещении
Требования отсутствуют
Требования отсутствуют
Требования отсутствуют
Требования по мерам программно-технической защиты
Набор программных средств АРМ
Строго ограничен в соответствии с решаемыми на АРМ задачами.
АРМ участвует в решении задач только одной подсистемы.
Отсутствие технологических и инструментальных средств и средств создания программ
Ограничен в соответствии с решаемыми на АРМ задачами.
АРМ участвует в решении задач из различных подсистем.
Отсутствие технологических средств и средств создания программ
Неограничен.
АРМ участвует в решении задач из различных подсистем
Разграничение доступа
Минимально необходимый доступ пользователей к ресурсам АРМ
Ограничение по доступу пользователей к отдельным ресурсам АРМ
Ограничение по доступу пользователей к отдельным ресурсам АРМ.
Доступ пользователей к инструментальным средствам строго ограничен
Контроль целостности файлов
Основные системные, прикладные файлы и файлы системы защиты при каждой перезагрузке компьютера
Основные системные и прикладные файлы не менее одного раза в день, а файлы системы защиты - при каждой перезагрузке
Файлы системы защиты при каждой перезагрузке, основные системные и прикладные файлы по требованию администратора системы защиты
Ограничения по запуску программ
Обязательны для всех пользователей
Возможны для некоторых пользователей
Отсутствуют
Регистрация событий
Максимальная или минимальная
Максимальная или минимальная
Минимальная
Хранение и периодичность анализа журналов
Долгосрочное хранение с ежедневным экспресс-анализом
Среднесрочное хранение с ежедневным экспресс-анализом
Краткосрочное хранение с анализом по необходимости
Именование (идентификация) пользователей
Уникальное для каждого сотрудника
Уникальное для каждого сотрудника
Допускается задание одного имени пользователя для группы сотрудников
Наличие аппаратной поддержки защиты рабочих станций
Обязательно, с использованием Touch Memory, Smart Card и т.п.
Обязательно. Возможно с использованием Touch Memory, Smart Card и т.п.
Обязательно. Возможна реализация данной возможности средствами BIOS компьютера
Действия при обнаружении нарушений целостности программных средств
Регистрация в системном журнале и блокировка работы компьютера, снять которую может только администратор безопасности
Регистрация в системном журнале и блокировка работы компьютера, снять которую может только администратор безопасности
Регистрация в системном журнале и оповещение администратора безопасности
Анализ отказов и других нештатных ситуаций при работе АРМ, а также техническое обслуживание программных и аппаратных средств АРМ
Производится специальным персоналом и только в присутствии администратора безопасности
Производится специальным персоналом в присутствии ответственного за безопасность в подразделении.
Вызов администратора безопасности при необходимости. Обязательное оповещение администратора безопасности (в установленный срок)
Производится специальным персоналом в присутствии ответственного за безопасность в подразделении.
Вызов администратора безопасности при необходимости. Обязательное оповещение администратора безопасности





Приложение № 4
Утвержден
приказом
Министерства спорта
Кабардино-Балкарской Республики
от 14 октября 2015 г. № 83

ПЕРЕЧЕНЬ
СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА
МИНИСТЕРСТВА СПОРТА КАБАРДИНО-БАЛКАРСКОЙ РЕСПУБЛИКИ

1.
Информация об информационных технологиях, информационных системах, информационно-телекоммуникационных сетях, используемых для сбора, хранения, обработки и передачи информации ограниченного доступа в Министерстве спорта Кабардино-Балкарской Республики.
2.
Информация о системах защиты информации (средства, методы и способы защиты информации, а также коды и процедуры доступа к информационным ресурсам).
3.
Сведения о планируемых и проводимых Министерством спорта Кабардино-Балкарской Республики мероприятиях по обеспечению информационной безопасности.
4.
Сведения о паролях и программных методах защиты компьютерных баз данных.
5.
Персональные данные государственных гражданских служащих и работников Министерства спорта Кабардино-Балкарской Республики.
6.
Личные дела, личные карточки (Т-2ГС, Т-2) и трудовые книжки государственных гражданских служащих и работников Министерства спорта Кабардино-Балкарской Республики.
7.
Персональные данные руководителей подведомственных Министерству спорта Кабардино-Балкарской Республики государственных учреждений.
8.
Личные дела руководителей подведомственных Министерству спорта Кабардино-Балкарской Республики государственных учреждений.
9.
Персональные данные претендентов на участие в конкурсах на замещение вакантных должностей государственной гражданской службы в Министерстве спорта Кабардино-Балкарской Республики и включение в кадровый резерв Министерства спорта Кабардино-Балкарской Республики.
10.
Персональные данные претендентов на участие в конкурсах на замещение вакантных должностей руководителей подведомственных Министерству спорта Кабардино-Балкарской Республики государственных учреждений.
11.
Персональные данные, полученные от лиц, в связи с предоставлением им государственных услуг и исполнением государственных функций Министерства спорта Кабардино-Балкарской Республики.
12.
Персональные данные, ставшие известными в связи с рассмотрением обращений граждан.
13.
Информация, ставшая известной в связи с исполнением служебных обязанностей должностных лиц (сотрудников) Министерства спорта Кабардино-Балкарской Республики.
14.
Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера государственных гражданских служащих Министерства спорта Кабардино-Балкарской Республики и руководителей подведомственных Министерству спорта Кабардино-Балкарской Республики государственных учреждений.
15.
Образцы подписей государственных гражданских служащий и работников Министерства спорта Кабардино-Балкарской Республики.
16.
Расчетные документы, связанные с начислением и выплатой денежного содержания государственным гражданским служащим и заработной платы работникам Министерства спорта Кабардино-Балкарской Республики.
17.
Кассовые документы Министерства спорта Кабардино-Балкарской Республики.
18.
Персональные данные физических лиц, заключивших договоры с Министерством спорта Кабардино-Балкарской Республики.
19.
Информация о пропускном режиме, об организации технических средств охраны, о структуре систем охранной сигнализации, видеонаблюдения и контроля доступа.
20.
Документы с пометкой "Для служебного пользования".


------------------------------------------------------------------