2014-02-09
1408
Назначение и область действия
Настоящая политика устанавливается для управления ролями информационной безопасности с целями:
Обеспечения и поддержания соответствующей защиты информационных ресурсов фирмы;
Разграничение обязанностей и областей ответственности по эксплуатации информационных ресурсов
Правила распространяются на владельцев информационных ресурсов, а также всех работников и контрагентов, участвующих в эксплуатации информационных ресурсов фирмы, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования
Роли информационной безопасности представляют собой согласованные права и обязанности и отвественность по распоряжению, защите, исопльзованию, отнролю, администрированию и обслуживанию информационных ресурсов фирмы
Для каждого информационного ресурса фирмы определяются и назначаются сотрудником фирмы и контрагенты назначаются следующие роли:
|
|
|
Владелец;
Пользователь;
Администратор ресурса;
Администратор информационной безопасности;
Аудитор информационной безопасности;
Обслуживающий персонал.
Обязанности, права и ответственность, устанавливаемые для ролей, определяются Положением по ролям информационной безопасности. Специфические обязанности, права и ответственность для роли информационной безопасности в отношении отдельных информационных ресурсов должны быть определены в отдельном Паспорте информационного ресурса.
Совмещение ролей в общем случае не допускается. При необходимости решение о совмещении принимается владельцем по согласованию со службой информационной безопасности.
Для исполнения роли информационной бещопсности, сотрудники и контрагенты обеспечиваются необхожимыми и достаточными ресурсами.
Ответственность.
Ответственность за назначение роли возлагается на владельца информационного ресурса
Ответтвеннотсь за соблюдение оплитики
Контроль и вы
Лекция 11. Средства криптографической защиты информации
Основы организации эксплуатации СЗИ
СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий эксплуатации СКЗИ которые указаны в правилах пользования. Организация, проводившая тематические исследования СКЗИ. В случае планирования размещения СКЗИ в помещениях, предназначенных для проведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, обязательно должны быть выполнены требования к техническим средствам, которые входят в состав сзи. Требования заключаются в том, что технические средства, входящие в состав СКЗИ должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации.
|
|
|
СКЗИ, которые находятся в эксплуатации должны подвергаться контрольно-тематическим исследованиям. Конкретные сроки КТИ определяются заказчиком СКЗИ по согласованию со следующими структурами:
Разработчики СКЗИ
Специализированная организация
ФСБ России
СКЗИ и их опытные образцы подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Определяет ФСБ России, организация экземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя скзи.
Организация поэкземплярного учета, используемых СКЗИ возлагается на заказчика СКЗИ. Организация централизованного, количественного, поэкземплярного учета, опытных образцов СКЗИ, а также используемых скзи осуществляется ФСБ. Размещение, специальное оборудование, охрана и организация режима помещения, где установлены скзи или хранятся ключевые документы к ним. Должны ключевых блокнотов. Требования к обеспечению сохранности конфиденциальной информации в спец помещениях. Аналогичны требованиям к помещениям, где выполняются работы связанные с хранением и обработкой такой конфиденциальной информации. Требования устанавливаются обладателем конфиденциальной информации. Кроме того, при оборудовании спец помещений, должны выполняться требования к размещению, монтажу СКЗИ. А также другого оборудования, которое функционирует совместно в СКЗИ. Эти требования изложены в инструкции об организации и обеспечению безопасности хранения, обработки с использованием средств криптографической защиты. Информации с ограниченным доступом, не содержащих сведений. СКЗИ от 13.07.2001 Перечисленные в этой инструкции требования к спец помещениям могут не предъявляться, если это предусмотрены, которые были согласованы с ФАПСИ или ФСБ России. Требования к спец помещениям, выделяются с учетом контролируемой зоны. Которые определены эксплуатационной и технической документацией к СКЗИ. Спецпомещения должны иметь прочные входные двери, с замками, гарантирующими надежное закрытие специальных помещений в нерабочее время. Двери должны быть постоянно закрыты на замок, и могут открываться только для санкционированного прохода сотрудников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают сотрудникам, органам криптографической защиты под расписку в журнале учета ключей. Дубликаты ключей от входных дверей таких спец помещений следует хранить в сейфе руководителя органа криптографической защиты. Хранение дубликатов ключей вне помещений органов криптографической защиты недопускается.
Окна спец помещений расположены на первых или последних этажах зданий, а также окна, находящиеся возле пожарных лестниц или других мест, откуда возможно проникновение в помещение посторонних лиц необходимо оборудовать решетками или ставнями. И другими средствами, препятствующими неконтролируемому помещению.
Охрана и организация режима, должны исключить неконтролируемое проникновение или пребывание в них непосторонних лиц, а также просмотр посторонними лицами ведущихся там работ. Режим охраны спец помещений ОргановКриптографЗащиты, в том числе и правила допуска сотрудниками посетителей в рабочее и нерабочее время устанавливает лицензиат ФСБ по согласованию необходимости конф информацией в помещениях которого располагается соответствующий орган криптографической защиты. Спецпомещения органов КЗ как правило должны быть оснащены охранной сигнализацией. Связанной со службой охраны здания, или другой организацией, исправность необходимо проверять руководителю органа криптографической защиты или по его поручению другому сотруднику. Представителю по проверке исправности сигнализации. Таким образом, установленный режим охраны органа криптографической защиты должен предусматривать периодический контроль а также учитывать положения инструкции обявленного приказом ФАПСИ
|
|
|
Контроль за соблюдением правил А также условий производства ключевых документов В соответствии с правилами от 26 декабря номер
294 ФЗ. “О защите прав Юридических Лиц и Индивидуальных Предпринимателей” при осуществлении государственного надзора и муниципального контроля. Данным законом определены права юридических лиц и права предпринимателей при проведении мероприятий по контролю.
1.Право непосредственно присутствовать при проведении мероприятий по контрлю, давать объяснения по вопросам, относящимся к объекту проверки.
2.Получать информацию, представление которой предусмотрено ФЗ номером 294 и другими нормативно правовыми актами.
3.Знакомиться с результатами мероприятий по контролю и указывать в актах о своём ознакомлении, согласии или несогласии с ними. А также с отдельными действиями должностных лиц органами государственного контроля(надзора).
4.Право обжалования действий(бездействия) в административном и или судебном порядке
С другой стороны юридические лица и индивидуальные предприниматели обеспечивают потребования органов государственного контроля присутствия своих должностных лиц ответственных за организацию и проведение мероприятий по выполнению обязательных требований и(или) своих представителей при проведении мероприятий по контролю. Контроль за соблюдением правил пользования СЗИ и условий их применения, указанных в правилах пользования осуществляется следующими субъектами:
Обладателем(пользователь или потребитель защищаемой информации), который установил режим защиты информации с применением СКЗИ.
|
|
|
Собственник(владелец) информационных ресурсов или систем, в составе которой применяются СКЗИ.
ФСБ России в рамках контроля за организацией и функционированием крипт
ографической и инженерно-технической безопасности информационно телекоммуникационных систем, систем шифрованной засекреченной и других видов специальной связи.
Контроль за соблюдением производства ключевых документов, указанных в технической, конструкторско-технологической и эксплуатационной документации к внешней системе изготовления ключей а также ФСБ России. В Рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности, информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи с целью оценки обоснованности, и достаточности мер, принятых по защите информации конфиденциального характера, обладатель пользователь потребитель данной информации, установивший режим её защиты с применением СКЗИ. А также собственник, владелец информационных ресурсов или информационных систем, в составе которой применяется СКЗИ, вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий её использования, указанных в правилах пользования.
