ПРИКАЗ
от 26 июня 2006 года N 624
Об утверждении и введении в действие Положения о системе
защиты информации в компьютерных и телекоммуникационных
сетях Федеральной службы по экологическому, технологическому
и атомному надзору
Приказываю:
Утвердить и ввести в действие с 1 августа 2006 года прилагаемое Положение о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-01-2006).
Руководитель
К.Б.Пуликовский
ПОЛОЖЕНИЕ
о системе защиты информации в компьютерных и телекоммуникационных
сетях Федеральной службы по экологическому, технологическому
и атомному надзору
РД-21-01-2006
1. Положение о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (далее - Положение) разработано в соответствии с федеральными законами от 20 февраля 1995 года N 24-ФЗ "Об информации, информатизации и защите информации" и от 21 июля 1993 года N 5485-1 "О государственной тайне", Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Правительства Российской Федерации от 15 сентября 1993 года N 912-51 и государственным стандартом Российской Федерации ГОСТ Р 50922-96 "Защита информации. Основные термины и определения".
2. Положение определяет цели защиты информации, содержащей сведения, составляющие государственную тайну и конфиденциальную информацию, организационную структуру системы защиты информации в Федеральной службе по экологическому, технологическому и атомному надзору (далее - Служба), задачи и функции указанной системы, мероприятия по защите информации и контролю за ее состоянием.
3. Требования Положения являются обязательными для работников центрального аппарата и территориальных органов Службы, а также находящихся в ее ведении организаций (далее - подведомственные организации), на которых возлагаются организация, осуществление и контроль мероприятий по защите информации.
4. В Положении используются термины и их определения, установленные в актах, указанных в п.1 настоящего документа (приложение N 1 к настоящему Положению).
5. Основными целями защиты информации в Службе от существующих угроз (приложение N 2 к настоящему Положению) являются:
а) предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения работниками, несанкционированного доступа к ней и получения защищаемой информации разведками, криминальными и коммерческими структурами;
б) предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в информационной системе Службы;
в) предотвращение утрат, уничтожения или сбоев функционирования носителей информации;
г) соблюдение правового режима использования информационных ресурсов и системы, обеспечение полноты, целостности, достоверности информации в информационной системе;
д) сохранение возможности управления процессом обработки и пользования информацией работниками Службы.
6. Головным органом по вопросам защиты информации в Службе является Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ).
7. Основные задачи МТОИЗИ:
а) обеспечение единого подхода к организации и осуществлению надзора за соблюдением требований федеральных норм и правил при обеспечении защиты информации в Службе;
б) организация и проведение работ по защите информации в компьютерных и телекоммуникационных сетях центрального аппарата Службы;
в) организация и осуществление контроля и надзора за проведением работ по защите информации в локальных вычислительных сетях и информационно-коммуникационной системе Службы.
8. Основные функции МТОИЗИ:
а) организация работ по защите информации в центральном аппарате Службы, а также методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе;
б) разработка и периодическое уточнение Перечня используемых в Службе сведений конфиденциального характера;
в) анализ угроз безопасности информации и оценка реальной возможности перехвата информации техническими средствами, несанкционированного доступа, разрушения, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;
г) предотвращение проникновения к источникам информации с целью ее уничтожения, хищения или изменения;
д) защита носителей информации;
е) выявление возможных технических каналов утечки информации ограниченного доступа (приложение N 3 к настоящему Положению) и фактов разглашения защищаемой информации;
ж) контроль за выполнением требований законодательных, нормативно-правовых, организационно-распорядительных и методических документов как федерального уровня, так и принятых в Службе, в области защиты информации.
9. Систему защиты информации в компьютерных и телекоммуникационных сетях Службы образуют:
- руководитель Службы;
- техническая комиссия по защите информации в компьютерных и телекоммуникационных сетях Службы;
- МТОИЗИ (отделы организации и контроля за защитой информации в автоматизированных системах управления и эксплуатации информационно-коммуникационных систем Службы);
- начальники управлений центрального аппарата Службы;
- руководители территориальных органов и подведомственных организаций;
- подразделения (штатные работники) по защите информации территориальных органов и подведомственных организаций;
- пользователи (потребители) информации.
10. Руководитель Службы организует защиту информации в компьютерных и телекоммуникационных сетях Службы.
Непосредственное руководство работами по защите информации осуществляет руководитель Службы или один из его заместителей.
11. Техническая комиссия по защите информации в компьютерных и телекоммуникационных сетях Службы является постоянно действующим органом при руководителе Службы и осуществляет координацию работ по вопросам обеспечения защиты информации.
Полномочия и порядок работы технической комиссии по защите информации в компьютерных и телекоммуникационных сетях Службы определяются Положением, разрабатываемым МТОИЗИ и утверждаемым руководителем Службы.
12. МТОИЗИ организует работу по защите информации, а также осуществляет методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе.
МТОИЗИ по вопросам защиты информации подчиняется руководителю Службы или, по его решению, одному из заместителей.
Отдел организации и контроля за защитой информации в автоматизированных системах управления МТОИЗИ осуществляет методическое руководство организацией защиты информации, а также контроль за выполнением и эффективностью предусмотренных мер защиты информации в центральном аппарате Службы, ее территориальных органах и подведомственных организациях.
Основные задачи, функции, права и ответственность отдела организации и контроля за защитой информации в автоматизированных системах управления МТОИЗИ определяются соответствующим Положением, утверждаемым руководителем МТОИЗИ.
Отдел эксплуатации информационно-коммуникационных систем Службы МТОИЗИ организует выполнение работ по защите информации в компьютерных и телекоммуникационных системах центрального аппарата Службы.
13. Начальники управлений центрального аппарата Службы контролируют в своих управлениях выполнение предусмотренных мер защиты информации, определенных Общими требованиями к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (приложение N 4 к настоящему Положению) и отвечают за ее состояние перед руководителем Службы.
14. Руководители территориальных органов и подведомственных организаций организуют проведение работ по защите информации в структурных подразделениях. Отчитываются за состояние защиты информации перед руководителем Службы через МТОИЗИ.
15. В зависимости от объема работ по защите информации руководители территориальных органов и подведомственных организаций создают структурные подразделения по защите информации или назначают штатных работников по этим вопросам.
Положение о подразделении по защите информации разрабатывается на основе Типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации) с учетом особенностей конкретного территориального органа, подведомственной организации (приложение N 5 к настоящему Положению). Для работника по защите информации на основе указанного положения разрабатывается должностной регламент.
Подразделения (штатные работники) по защите информации подчиняются непосредственно руководителю территориального органа (подведомственной организации) или его заместителю.
16. Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.
17. Работники подразделений по защите информации приравниваются по оплате труда, льготам и премированию к соответствующим категориям работников основных структурных подразделений. Они имеют право на получение процентных надбавок к должностному окладу должностных лиц и граждан, допущенных к государственной тайне, установленных постановлением Правительства Российской Федерации от 14 октября 1994 года N 1161.
18. Назначение и освобождение от должности руководителя подразделения (штатного работника) по защите информации производится руководителем территориального органа (подведомственной организации) с уведомлением МТОИЗИ.
19. Пользователи (потребители) информации при работе в локальной вычислительной сети и на своих ПЭВМ обязаны выполнять предусмотренные меры защиты информации, определенные Общими требованиями к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору.
Пользователи (потребители) информации несут непосредственную ответственность за обеспечение защиты информации.
20. Все должностные лица, отвечающие за организацию и выполнение мероприятий по защите информации, несут, в зависимости от степени возможного ущерба в случае ее утечки, разрушения (уничтожения), административную и уголовную ответственность (приложение N 6 к настоящему Положению).
21. Объектами защиты в Службе являются информация, ее материальные носители и технические средства обработки информации. Защите подлежат:
а) информационные ресурсы, содержащие сведения, отнесенные к государственной тайне или конфиденциальной информации, представленные в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных;
б) средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, используемые для обработки информации, содержащей сведения, отнесенные к государственной тайне или конфиденциальной информации;
в) технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к государственной тайне или конфиденциальной информации;
г) выделенные (защищаемые) помещения.
22. Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности. Они организуются и проводятся, в пределах своей компетенции, всеми должностными лицами, входящими в систему защиты информации Службы.
23. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной тайне и конфиденциальной информации, без принятия необходимых мер по защите информации не допускается.
24. В целях предотвращения и нейтрализации угроз безопасности информации применяются правовые, аппаратно-программные методы и организационно-технические мероприятия.
Правовые методы предусматривают разработку организационно-распорядительных и руководящих документов Службы в области защиты информации.
Аппаратно-программные методы включают:
а) аппаратные методы защиты:
- предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;
- исключение или существенное затруднение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов), устройств измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
- применение устройств для шифрования информации;