3.4.1. Существуют два относительно самостоятельных направления защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.
Защита СВТ обеспечивается комплексом программно-технических средств. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
3.4.2. Организационные меры в АС, обрабатывающих или хранящих информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны осуществляться в соответствии с требованиями Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам, утвержденными Решением Государственной технической комиссии при Президенте Российской Федерации от 23 мая 1997 года N 55.
3.4.3. При обработке или хранении в АС конфиденциальной информации для ее защиты проводятся следующие организационные мероприятия:
- документальное оформление конфиденциальной информации в виде перечня сведений, подлежащих защите;
- определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;
- установление и оформление правил разграничения доступа, т.е. совокупности правил доступа субъектов к данным;
- ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;
- получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
- обеспечение охраны объекта, на котором расположена защищаемая АС, путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ, информационных носителей, а также НСД к СВТ и линиям связи;
- выбор класса защищенности АС в соответствии с особенностями обработки информации и уровнем ее конфиденциальности;
- назначение должностных лиц, осуществляющих учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации системы защиты информации от НСД, приемку включаемых в АС программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;
- разработка системы защиты информации от НСД, включая соответствующую организационно-распорядительную документацию.
3.4.4. В целях дифференцированного подхода к защите информации комиссией территориального органа (подведомственной организации), назначенной его руководителем (начальником), проводится классификация АС по требованиям защищенности от НСД к информации (приложения N 10, 11) с составлением акта классификации*.
________________
* Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 30 августа 2002 года N 282.
3.4.5. Допуск пользователей и обслуживающего персонала к информационным ресурсам, содержащим конфиденциальную информацию, осуществляется на основании приказа руководителя территориального органа (подведомственной организации) с указанием прав и обязанностей пользователей.
3.4.6. Защита доступа к компьютеру осуществляется программными, программно-аппаратными средствами и чисто аппаратными комплексами. Это обеспечивает:
- наличие в компьютерах территориального органа (подведомственной организации) только той информации и тех программ, которые необходимы работникам для повседневной деятельности;
- невозможность передачи посторонним лицам конфиденциальной информации неблагонадежными работниками;
- постоянный контроль за конфиденциальной информацией, при котором всегда можно узнать, кто и когда к ней обратился;
- ознакомление с историей работы пользователя на компьютере;
- обеспечение защиты в незащищенных операционных системах аналогичной защите в серверной операционной системе, не повышая требований к аппаратной части компьютера;
- получение администратором сети информации о том, что происходит на компьютерах сети.
В территориальных органах (подведомственных организациях) Службы используются сертифицированные средства защиты информации.
3.4.7. Основные мероприятия по предотвращению НСД к информации:
а) контроль эффективности принятых мер защиты контролирующими органами (МТОИЗИ, Федеральная служба безопасности Российской Федерации, Федеральная служба по техническому и экспортному контролю Российской Федерации);
б) разграничение доступа к информации;