ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ЭКОЛОГИЧЕСКОМУ,
ТЕХНОЛОГИЧЕСКОМУ И АТОМНОМУ НАДЗОРУ

ПРИКАЗ

от 6 октября 2006 года N 873

Об утверждении и введении в действие Типовой инструкции о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору

     

Приказываю:

Утвердить и ввести в действие с 1 ноября 2006 года прилагаемую Типовую инструкцию о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-02-2006).

Руководитель
К.Б.Пуликовский

УТВЕРЖДЕНА
приказом Федеральной службы
по экологическому, технологическому
и атомному надзору
от 6 октября 2006 года N 873

     
Введена в действие
с 1 ноября 2006 года

     
ТИПОВАЯ ИНСТРУКЦИЯ
о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору

         
РД-21-02-2006

1. Общие положения

1.1. Типовая инструкция о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору (далее - Инструкция) разработана в соответствии с федеральными законами от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 21 июля 1993 года N 5485-1 "О государственной тайне", Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Правительства Российской Федерации от 15 сентября 1993 года N 912-51, государственным стандартом Российской Федерации ГОСТ Р 50922-96 "Защита информации. Основные термины и определения", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 года N 282 и Положением о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-01-2006).

1.2. Инструкция определяет основные меры по защите информации, типовые обязанности пользователей и должностных лиц, входящих в систему защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (далее - Служба), которые уточняются применительно к конкретным условиям деятельности центрального аппарата и территориальных органов Службы, а также находящихся в ее ведении организаций (далее - подведомственные организации).

1.3. Требования Инструкции являются обязательными для работников центрального аппарата, территориальных органов Службы и подведомственных организаций, которые допущены к работе с информацией ограниченного доступа и сведениями, составляющими государственную тайну.

При приеме на службу (работу) работники, которые будут допущены к сведениям конфиденциального характера, должны быть под расписку ознакомлены с требованиями настоящей Инструкции, в части их касающейся, а также с ответственностью за их нарушение.

1.4. В Инструкции используются термины и их определения, установленные в актах, указанных в ее п.1.1, и приведенные в приложении N 1 к ней.

2. Существующие угрозы информационной
системе службы

2.1. Информационной системе Службы характерны следующие особенности:

- возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки данных в Службе;

- нарастающая важность и ответственность решений, принимаемых в автоматизированном режиме и на основе автоматизированной обработки информации;

- увеличивающаяся концентрация в автоматизированных системах (далее - АС) информации, зачастую носящей конфиденциальный характер;

- большая территориальная распределенность компонентов АС Службы:

- усложнение режимов функционирования технических средств АС;

- накопление на технических носителях значительных объемов информации, для многих видов которой становится все более трудным (и даже невозможным) изготовление немашинных аналогов (дубликатов);

- интеграция в единых базах данных информации различного назначения и различной принадлежности;

- долговременное хранение больших массивов информации на машинных носителях;

- непосредственный и одновременный доступ к ресурсам (в том числе и к информации) большого числа пользователей (операторов информационных систем) различных категорий и различных организаций;

- интенсивная циркуляция информации между компонентами АС, в том числе и расположенных на больших расстояниях друг от друга;

- возрастающая стоимость информации.

В связи с этим существует необходимость в обеспечении сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в АС Службы.

2.2. В настоящей Инструкции в основном регламентируются вопросы защиты конфиденциальной информации. При работе с информацией, содержащей государственную тайну, к средствам вычислительной техники (далее - СВТ), автоматизированным системам и персоналу предъявляются дополнительные требования, изложенные в документах по защите государственной тайны.

2.3. В центральном аппарате, территориальных органах Службы и подведомственных организациях на основе требований настоящей Инструкции разрабатываются в необходимом объеме и с учетом их особенностей инструкции и организационно-распорядительные документы по защите информации для всех категорий должностных лиц, допущенных к информации ограниченного доступа.

2.4. Угрозы для информации, циркулирующей в АС Службы (приложение N 2 к настоящей Инструкции), исходят от утечки по техническим каналам, от внедренных специальных электронных устройств, от специальных программ-вирусов, от несанкционированного доступа (далее - НСД).

2.5. К основным способам НСД к информации относятся:

- непосредственное обращение к объектам доступа;

- воздействие на АС программных и технических средств, позволяющих выполнить обращение к объектам доступа в обход средств защиты;

- модификация средств защиты, позволяющая осуществить НСД;

- внедрение заинтересованными лицами в СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

2.6. Несанкционированный доступ к информации, находящейся в АС Службы, может быть косвенным - без физического доступа к элементам АС и прямым - с физическим доступом.

Существуют следующие пути несанкционированного доступа к информации:

- применение подслушивающих устройств;

- дистанционное фотографирование;

- перехват электромагнитных излучений;

- хищение информации;

- считывание данных в массивах других пользователей;

- копирование носителей информации;

- несанкционированное использование терминалов;

- маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;

- использование программных ловушек;

- получение защищаемых данных с помощью серии разрешенных запросов;

- использование недостатков языков программирования и операционных систем;

- преднамеренное включение в библиотеки программ специальных блоков типа "троянских коней";

- незаконное подключение к аппаратуре или линиям связи информационной системы;

- злоумышленный вывод из строя механизмов защиты.

3. Основные направления и методы защиты информации

3.1. Конфиденциальная информация Службы подлежит обязательной защите.

3.2. Обеспечение надежной защиты информации является одной из важнейших обязанностей операторов (пользователей) информационной системы Службы и должностных лиц, входящих в систему защиты информации Службы (приложение N 3 к настоящей Инструкции).

3.3. Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ) организует работу по защите информации в центральном аппарате Службы, осуществляет методическое руководство проведением мероприятий по защите информации в территориальных органах и подведомственных организациях, а также контроль за эффективностью предусмотренных мер защиты информации в Службе. Планы устранения недостатков, выявленных представителями МТОИЗИ при проведении проверок, руководители территориальных органов и подведомственных организаций Службы представляют в МТОИЗИ (приложение N 4 к настоящей Инструкции).

3.4. Начальники управлений центрального аппарата Службы контролируют в подчиненных подразделениях выполнение работниками установленных общих требований по организации работы АС и предусмотренных мер по защите информации (приложение N 5 к настоящей Инструкции).

3.5. Руководители территориальных органов и подведомственных организаций Службы организуют проведение работ по защите информации в своих органах и организациях.

3.6. Операторы информационной системы (пользователи) соблюдают правила обработки информации в АС и отвечают за обеспечение защиты информации.

3.7. Должностные лица, отвечающие за безопасность информации и входящие в систему защиты информации в компьютерных и телекоммуникационных сетях Службы, контролируют в пределах своей компетенции состояние защиты информации с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки ее защищенности.

3.8. Повседневный и периодический (не реже одного раза в год) контроль за состоянием защиты информации в территориальных органах и подведомственных организациях проводится силами их подразделений (штатных работников) по защите информации.

3.9. Отчеты о состоянии защиты информации по итогам года руководители территориальных органов и подведомственных организаций Службы представляют в МТОИЗИ (приложение N 6 к настоящей Инструкции).

Ежегодно о состоянии защиты информации в Службе, а также о случаях невыполнения в территориальных органах и подведомственных организациях требований и норм по защите информации, в результате которых имелись или имеются реальные возможности к ее утечке, МТОИЗИ докладывает руководителю Службы.

3.10. В целях предотвращения несанкционированного доступа к техническим средствам обработки, хранения и передачи информации (далее - ТСПИ), их хищения и нарушения работоспособности организуется охрана и физическая защита помещений объектов информатизации.

3.11. Защита информации в АС и СВТ территориальных органов и подведомственных организаций должна предусматривать комплекс организационных, программных и технических мероприятий по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.

В целях реализации организационных мер подразделением (штатным работником) по защите информации совместно с подразделением, осуществляющим эксплуатацию объектов информатизации, разрабатываются организационно-распорядительные документы по защите информации (приложение N 7 к настоящей Инструкции).

В качестве программных средств используются специальные программы, предназначенные для выполнения функций, связанных с защитой информации.

К техническим средствам защиты информации относятся различные электрические, электромеханические и электронные устройства, которые подразделяются на аппаратные средства - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с СВТ по стандартному интерфейсу, и физические средства - автономные устройства (электронно-механическое оборудование охранной сигнализации и наблюдения, запоры и решетки на окнах).

3.12. На объекты информатизации, задействованные в обработке конфиденциальной информации, составляются технические паспорта*, и они должны быть аттестованы по требованиям безопасности информации в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации **.

________________

* Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 30 августа 2002 года N 282.

** Утверждено Председателем Гостехкомиссии при Президенте Российской Федерации 25.11.94.

3.13. Защите подлежат все компоненты информационной структуры Службы: документы, сети связи, ТСПИ, персонал и т.д.

3.14. Защита информации в АС Службы осуществляется по следующим основным направлениям:

- от утечки по техническим каналам;

- от внедренных специальных электронных устройств;

- от специальных программ-вирусов;

- от несанкционированного доступа;

- от несанкционированного воздействия;

- от непреднамеренного воздействия;