Приказ главгоссвязьнадзора при минсвязи рф от 22.03.2000 n 16 об утверждении инструкции по регламентации работы администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от несанкционированного доступа к информации и инструкции по регламентации работы пользователей локальной вычислительной сети в процессе ее промышленной эксплуатации
ГЛАВНОЕ УПРАВЛЕНИЕ ГОСУДАРСТВЕННОГО
НАДЗОРА
ЗА СВЯЗЬЮ В РОССИЙСКОЙ
ФЕДЕРАЦИИ ПРИ МИНИСТЕРСТВЕ
РОССИЙСКОЙ
ФЕДЕРАЦИИ ПО СВЯЗИ И
ИНФОРМАТИЗАЦИИ
ПРИКАЗ
от 22 марта 2000 г.
N 16
ОБ УТВЕРЖДЕНИИ "ИНСТРУКЦИИ
ПО
РЕГЛАМЕНТАЦИИ РАБОТЫ АДМИНИСТРАТОРА
БЕЗОПАСНОСТИ ПО ПОДДЕРЖАНИЮ УРОВНЯ ЗАЩИТЫ
ЛОКАЛЬНОЙ
ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ОТ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
К
ИНФОРМАЦИИ" И "ИНСТРУКЦИИ ПО РЕГЛАМЕНТАЦИИ
РАБОТЫ
ПОЛЬЗОВАТЕЛЕЙ ЛОКАЛЬНОЙ
ВЫЧИСЛИТЕЛЬНОЙ СЕТИ
В ПРОЦЕССЕ ЕЕ
ПРОМЫШЛЕННОЙ ЭКСПЛУАТАЦИИ"
Во исполнение
Приказа Главгоссвязьнадзора России от 24.05.99
N 33 "О недопущении компьютерных
преступлений" в Центре планирования и
назначения радиочастот (РЧЦ) разработаны
инструкции, регламентирующие работу
пользователя и администратора
безопасности в локальной вычислительной
сети и Федеральной базе данных частотных
присвоений РЭС гражданского назначения
(ФБД).
В целях недопущения компьютерных
преступлений при эксплуатации ФБД
приказываю:
1. Утвердить "Инструкцию по
регламентации работы администратора
безопасности по поддержанию уровня защиты
локальной вычислительной сети от
несанкционированного доступа к информации"
(прилагается).
2. Утвердить "Инструкцию
по регламентации работы пользователей
локальной вычислительной сети в процессе
ее промышленной эксплуатации"
(прилагается).
3. Начальнику РЧЦ (Елисеев)
обеспечить изучение данных инструкций и
неукоснительное соблюдение их при
эксплуатации локальной вычислительной
сети и ФБД.
Начальник
Главгоссвязьнадзора России
Н.А.ЛОГИНОВ
Утверждена
Приказом Начальника
Главгоссвязьнадзора России
от 22 марта
2000 г. N 16
ИНСТРУКЦИЯ
ПО РЕГЛАМЕНТАЦИИ
РАБОТЫ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ
ПО
ПОДДЕРЖАНИЮ УРОВНЯ ЗАЩИТЫ ЛОКАЛЬНОЙ
ВЫЧИСЛИТЕЛЬНОЙ
СЕТИ ОТ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К
ИНФОРМАЦИИ
1. Общие положения
1.1.
Инструкция по регламентации работы
администратора безопасности по
поддержанию уровня защиты локальной
вычислительной сети от
несанкционированного доступа к информации
(далее - Инструкция) разработана с учетом
требований Федерального закона "Об
информации, информатизации и защите
информации", утвержденного Президентом
Российской Федерации 20.02.95 N 24-ФЗ,
Федерального закона "О государственной
тайне", утвержденного Президентом
Российской Федерации 21.07.93 N 5485-1, "Положения
о государственной системе защиты
информации в Российской Федерации от
иностранных технических разведок и от ее
утечки по техническим каналам",
утвержденного Постановлением
Правительства Российской Федерации от 15.09.93
N 912-51, и других действующих руководящих,
нормативных документов (НД) по защите
информации от несанкционированного
доступа (НСД).
Целью администрирования
локальной вычислительной сети (ЛВС)
является поддержание достигнутого <*>
уровня защиты информации ЛВС и Федеральной
базы данных частотных присвоений
радиоэлектронных средств гражданского
назначения (ФБД) и НСД.
--------------------------------
<*> Уровень защиты
(класс защищенности) ЛВС и ФБД
устанавливается при аттестации ЛВС и ФБД по
требованиям безопасности информации.
1.2.
Инструкция регулирует отношения между
администратором безопасности,
пользователями и разработчиками,
возникающие при:
- эксплуатации и
развитии ЛВС и ФБД;
- формировании и
использовании данных, сообщений, баз
данных, информационных ресурсов на основе
создания, сбора, обработки, накопления,
хранения, поиска, распространения и
предоставления пользователю
документированной информации;
- при
создании, внедрении и эксплуатации новых
информационных технологий.
1.3. Цели
администрирования ЛВС достигаются
обеспечением и поддержкой в ЛВС ФБД:
-
подсистем управления доступом, регистрации
и учета, обеспечения целостности
программно - аппаратной среды, хранимой,
обрабатываемой и передаваемой по каналам
связи информации;
- доступности
информации (устойчивое функционирование
ЛВС и ее подсистем);
-
конфиденциальности хранимой,
обрабатываемой и передаваемой по каналам
связи информации.
1.4. Мероприятия по
защите ЛВС и ФБД от НСД являются составной
частью управленческой, научной и
производственной деятельности
Главгоссвязьнадзора России. Защита ЛВС и
информации ФБД представляет собой комплекс
организационных и технических мероприятий,
направленных на исключение или
существенное затруднение противоправных
деяний в отношении ресурсов ЛВС и
информации ФБД.
1.5. Администратор
безопасности является ответственным
должностным лицом Главгоссвязьнадзора
России, уполномоченным на проведение работ
по технической защите информации и
поддержанию достигнутого уровня защиты ЛВС
и ее ресурсов на этапах промышленной
эксплуатации и модернизации.
1.6.
Администратор безопасности ЛВС
назначается приказом Главгоссвязьнадзора
России по согласованию с заместителем
начальника Главгоссвязьнадзора России,
курирующего вопросы защиты информации.
Количество администраторов безопасности
ЛВС зависит от структуры и назначения ЛВС
(количества серверов, рабочих станций сети,
их мест расположения), характера и
количества решаемых задач, режима
эксплуатации, организации дежурства.
1.7.
Администратор безопасности
руководствуется в своей практической
деятельности положениями федеральных
законов, нормативных и иных актов
Российской Федерации, решениями и
документами Гостехкомиссии России, ФАПСИ и
Госстандарта России, организационно -
распорядительными документами
Главгоссвязьнадзора России.
1.8.
Деятельность администратора безопасности
планируется в установленном порядке и
согласовывается с отделом безопасности,
гражданской обороны и мобилизационной
работы. В плане работ должны быть отражены
мероприятия по поддержанию защиты ЛВС и ФБД
от НСД и другие вопросы, относящиеся к
защите.
1.9. Администратор безопасности
должен иметь специальное рабочее место -
рабочую станцию (РС), размещенную в
отдельном помещении и функционирующую
постоянно при включении сети, а также
личный сейф (или железный шкаф) и печать.
1.10. Администратор безопасности несет
ответственность в соответствии с
действующим законодательством за
разглашение защищаемой
Главгоссвязьнадзором России информации,
ставшей ему известной в соответствии с
родом работы, и мер, принятых по защите
ЛВС.
1.11. Требования администратора
безопасности, связанные с выполнением им
своих функций, обязательны для исполнения
всеми пользователями ЛВС и ФБД.
1.12.
Инструкция является неотъемлемой частью
организационно - распорядительных
документов Главгоссвязьнадзора России, в
которых конкретизируется политика
безопасности в ЛВС и информационное
взаимодействие при ведении ФБД.
1.13.
Требования к промышленной эксплуатации ЛВС
изложены в эксплуатационной документации
(ЭД) на данную ЛВС.
1.14. Инструкция не
регламентирует вопросы защиты и охраны
зданий и помещений, в которых расположена
ЛВС, вопросы обеспечения физической
целостности компонентов ЛВС, защиты от
стихийных бедствий (пожаров, наводнений и
др.), сбоев в системе энергоснабжения, а
также меры обеспечения безопасности
персонала и меры, принимаемые при
возникновении в ЛВС нештатных ситуаций.
2.
Права и обязанности администратора
безопасности
2.1. Права администратора
безопасности.
Администратор
безопасности имеет право:
- отключать от
сети пользователей, осуществивших НСД к
защищаемым ресурсам ЛВС и ФБД или
нарушивших другие требования по
безопасности информации;
- участвовать
в любых проверках ЛВС и ФБД;
- запрещать
устанавливать на серверах и рабочих
станциях ЛВС нештатное программное и
аппаратное обеспечение.
2.2. Обязанности
администратора безопасности.
Администратор безопасности обязан:
-
знать в совершенстве применяемые
информационные технологии;
-
участвовать в контрольных и тестовых
испытаниях и проверках ЛВС и ФБД;
- знать
ответственных лиц в каждом структурном
подразделении Главгоссвязьнадзора России
и их права доступа по обработке, хранению и
передаче защищаемой информации;
- вести
контроль за процессом резервирования и
дублирования важных ресурсов ЛВС и ФБД;
- участвовать в приемке новых программных
средств;
- уточнять в установленном
порядке обязанности пользователей ЛВС по
поддержанию уровня защиты ЛВС;
- вносить
предложения по совершенствованию уровня
защиты ЛВС и ФБД;
- анализировать данные
журнала учета работы ЛВС с целью выявления
возможных нарушений требований защиты;
- оценивать возможность и последствия
внесения изменений в состав ЛВС с учетом
требований НД по защите, подготавливать
свои предложения;
- обеспечить доступ к
защищаемой информации пользователям ЛВС
согласно их прав доступа при получении
оформленного соответствующим образом
разрешения;
- запрещать и немедленно
блокировать попытки изменения программно -
аппаратной среды ЛВС без согласования
порядка ввода новых (отремонтированных)
технических и программных средств и
средств защиты ЛВС;
- запрещать и
немедленно блокировать применение
пользователям сети программ, с помощью
которых возможны факты НСД к ресурсам ЛВС и
ФБД;
- незамедлительно докладывать
руководству РЧЦ обо всех попытках
нарушения защиты ЛВС и ФБД;
-
анализировать состояние защиты ЛВС и ее
отдельных подсистем;
- контролировать
физическую сохранность средств и
оборудования ЛВС;
- контролировать
состояние средств и систем защиты и их
параметры и критерии;
- контролировать
правильность применения пользователями
сети средств защиты;
- оказывать помощь
пользователям в части применения средств
защиты от НСД и других средств защиты,
входящих в состав ЛВС;
- не допускать
установку, использование, хранение и
размножение в ЛВС программных средств, не
связанных с выполнением функциональных
задач;
- своевременно анализировать
журнал учета событий, регистрируемых
средствами защиты, с целью выявления
возможных нарушений;
- в период
профилактических работ на рабочих станциях
и серверах ЛВС снимать при необходимости
средства защиты ЛВС с эксплуатации с
обязательным обеспечением сохранности
информации;
- не допускать к работе на
рабочих станциях и серверах ЛВС
посторонних лиц;
- осуществлять
периодические контрольные проверки
рабочих станций и тестирование
правильности функционирования средств
защиты ЛВС;
- периодически
предоставлять руководству и в отдел
безопасности отчет о состоянии защиты ЛВС и
о нештатных ситуациях на объектах ЛВС и
допущенных пользователями нарушениях
установленных требований по защите
информации.
Администратору
безопасности запрещается оставлять свою
рабочую станцию без контроля, в том числе в
рабочем состоянии.
Запрещается
фиксировать учетные данные пользователя
(пароли, идентификаторы, ключи и др.) на
твердых носителях, а также сообщать их кому
бы то ни было, кроме самого пользователя.
Администратор безопасности должен четко
знать классификацию нарушений
(противоправных деяний) в отношении ЛВС и ее
подсистем, последствия которых
классифицируются на категории:
- первая
(наивысшая категория тяжести нарушения) -
невыполнение пользователями ЛВС
требований или норм ЭД на ЛВС и
организационно - распорядительных
документов Главгоссвязьнадзора России в
информационной сфере, в результате чего
имеется реальная возможность
противоправных деяний в отношении ЛВС и ее
ресурсов;
- вторая - невыполнение
требований НД по защите, в результате чего
создаются предпосылки для совершения
противоправных деяний в отношении ЛВС и ее
ресурсов;
- третья - невыполнение других
требований НД по защите и организационно -
распорядительных документов
Главгоссвязьнадзора России.
2.3.
Ответственность за защиту ЛВС и ФБД от
несанкционированного доступа к
информации.
2.3.1. Ответственность за
защиту ЛВС и ФБД от несанкционированного
доступа к информации возлагается на
администратора безопасности.
2.3.2.
Администратор безопасности несет
персональную ответственность за качество
проводимых им работ по контролю действий
пользователей при работе в ЛВС, состояние и
поддержание установленного уровня защиты
ЛВС.
3. Требования к рабочей станции и
инструментальным
средствам
администратора безопасности
3.1. Рабочая
станция администратора безопасности
должна представлять собой специально
выделенную для администратора
безопасности ПЭВМ, которая является
пунктом управления и контроля уровня
защиты ЛВС и ее ресурсов.
3.2. Рабочая
станция администратора безопасности
размещается в отдельном помещении, доступ в
которое имеют только должностные лица,
определенные приказом начальника
Главгоссвязьнадзора России.
3.3.
Инструментальные средства, установленные
на рабочей станции администратора
безопасности (программные, программно -
аппаратные, аппаратные), должны позволять
эффективно решать задачи, поставленные
перед ним.
3.4. В составе ЛВС должна быть
выделена резервная рабочая станция сети
для администратора безопасности, которая
должна иметь такую же комплектацию, как и
основная.
Утверждена
Приказом Начальника
Главгоссвязьнадзора России
от 22 марта
2000 г. N 16
ИНСТРУКЦИЯ
ПО РЕГЛАМЕНТАЦИИ
РАБОТЫ ПОЛЬЗОВАТЕЛЕЙ
ЛОКАЛЬНОЙ
ВЫЧИСЛИТЕЛЬНОЙ СЕТИ В ПРОЦЕССЕ
ЕЕ
ПРОМЫШЛЕННОЙ ЭКСПЛУАТАЦИИ
1. Общие
положения
1.1. Инструкция по регламентации
работы пользователей в локальной
вычислительной сети в процессе ее
промышленной эксплуатации (далее -
Инструкция) предназначена для
руководителей и сотрудников
Главгоссвязьнадзора России и регулирует
порядок допуска пользователей к работе в
локальной вычислительной сети (ЛВС)
Главгоссвязьнадзора России, а также
правила обращения с защищаемой информацией
Федеральной базы данных частотных
присвоений радиоэлектронных средств
гражданского назначения (ФБД),
обрабатываемой, хранимой и передаваемой в
ЛВС Главгоссвязьнадзора России.
1.2.
Положения Инструкции обязательны для
исполнения всеми пользователями ЛВС.
1.3.
Все пользователи ЛВС должны быть
ознакомлены под расписку с Инструкцией и
предупреждены о возможной ответственности
за ее нарушение.
2. Порядок предоставления
доступа к работе в ЛВС
2.1. Для работы в ЛВС
с информацией ФБД каждый пользователь
должен получить соответствующий доступ.
Под доступом понимается получение каждым
пользователем ЛВС только письменного
разрешения начальника структурного
подразделения (или ответственного
должностного лица, уполномоченного
приказом начальника Главгоссвязьнадзора
России) на право работы с защищаемой
информацией с учетом его служебных
обязанностей.
Устные указания о доступе
кого бы то ни было к защищаемой информации,
находящейся в ЛВС, не имеют юридической
силы и необязательны для администратора
безопасности.
2.2. Руководители
структурных подразделений готовят на
утверждение списки сотрудников
(пользователей ЛВС),