4.1. Порядок обработки, обращения и использования электронных информационных ресурсов, а следовательно и требования по их защите определяются категорией этих информационных ресурсов: открытые и общедоступные или ограниченного доступа. В свою очередь информационные ресурсы с ограниченным доступом подразделяются на две категории: информацию, отнесенную к государственной тайне и конфиденциальную.
4.2. Сведения, отнесенные к государственной тайне, определены в следующих нормативных правовых актах Российской Федерации и Хабаровского края:
- Федеральном Законе от 06.10.97 N 131-ФЗ "О внесении изменений и дополнений в Закон Российской Федерации "О государственной тайне";
- Указе Президента Российской Федерации от 24.01.98 N 61 "О перечне сведений, отнесенных к государственной тайне";
- постановлении главы администрации края от 08.07.97 N 274-013 "Об утверждении развернутого Перечня сведений, отнесенных к государственной тайне по Хабаровскому краю";
- других отраслевых (ведомственных и прочих) перечнях сведений, отнесенных к государственной тайне, на основаниях и в порядке, установленным федеральным законодательством.
Требования по защите электронных информационных ресурсов, составляющих государственную тайну, определены постановлением главы администрации края от 05.01.99 N 1-01 "О выполнении требований документа "СТР-97" и не отменяют общих требований по защите конфиденциальных информационных ресурсов в случае совместной обработки на одном ПК двух категорий указанных информационных ресурсов.
4.3. Сведения, отнесенные к конфиденциальной информации, определены в следующих нормативных правовых актах Российской Федерации и Хабаровского края:
- Федеральном Законе от 20.02.95 N 24-ФЗ "Об информации, информатизации и защите информации";
- постановлении главы администрации края от 31.12.97 N 565 "Об утверждении Перечня сведений администрации Хабаровского края, относящихся к служебной информации".
4.4. На каждый ПК, обрабатывающий конфиденциальные информационные ресурсы согласно пп.4.3. настоящего Положения, руководителем подразделения пользователя совместно с администратором составляется регистрационная карта по типовой форме (см. приложение 2).
За начальную основу для составления регистрационной карты принимается "Акт регистрации технических средств, обрабатывающих информацию ограниченного доступа" в данном структурном подразделении согласно постановлению главы администрации края от 15.05.98 N 197 "О регистрации технических средств, обрабатывающих информацию ограниченного доступа".
Дальнейшая регистрация (выявление) новых информационных ресурсов конфиденциального характера (если таковые будут иметь место), подлежащих обработке на ПК, возлагается на руководителя подразделения пользователя и администратора.
При регистрации (выявлении) информационных ресурсов, составляющих государственную тайну, руководитель подразделения пользователя обязан прекратить их обработку на ПК, сообщить об этом руководителю подразделения по информационной безопасности (или аналогичного подразделения или сотруднику, выполняющему данные функции) и в дальнейшем руководствоваться постановлением главы администрации края от 05.01.99 N1-01 "О выполнении требований документа "СТР-97".
Ответственность за своевременное составление регистрационной карты, ее ведение и регистрацию в ней текущих изменений возлагается на руководителя подразделения пользователя и администратора в части их касающейся (пояснения по заполнению и ведению регистрационной карты указаны в приложении 2).
Регистрационная карта на ПК хранится у администратора.
Запрещается обрабатывать конфиденциальные информационные ресурсы на ПК, не имеющем должным образом заполненную регистрационную карту.
4.5. Оформление и учет документов, содержащих конфиденциальную информацию и полученных на печатающем устройстве ПК, производится согласно Положению о порядке обращения со служебной информацией в органах исполнительной власти и местного самоуправления Хабаровского края, утвержденного постановлением главы администрации края от 07.02.97 N 44 "Об утверждении документов по информационной безопасности".
4.6. Передача конфиденциальных информационных ресурсов по открытым каналам связи и телекоммуникаций разрешается только при использовании криптографических средств защиты информации. При отсутствии (невозможности приобретения) сертифицированных криптографических средств защиты информации разрешается использовать отечественные несертифицированные криптографические средства защиты информации, если последние удовлетворяют соответствующим ГОСТам.
4.7. Обработка персональных данных, которые относятся к категории конфиденциальных информационных ресурсов, разрешается только на ПК (включая любые виды подключенного к нему периферийного и (или) специального оборудования), прошедшем специальные исследования на предмет выявления в нем электронных устройств перехвата информации и соответствия уровня побочных электромагнитных излучений и наводок допустимым нормам.
4.8. Любой вид информационного обеспечения ПК (массивы документов, электронные таблицы, базы и банки данных и т.д.), обрабатывающего персональные данные и предназначенный для информационного обслуживания граждан и организаций, должен быть сертифицирован в порядке, установленном Законом Российской Федерации от 10.06.93 N 5151-1 "О сертификации продукции и услуг".
4.9. Обработка персональных данных разрешается только на ПК, имеющих сертифицированные аппаратно - программные средства защиты информационных ресурсов (персональных данных) от несанкционированного доступа.
4.10. Требования, указанные в пп.4.7 - 4.9. настоящего Положения, рекомендуется применять для ПК, обрабатывающих другие виды конфиденциальных ресурсов.
4.11. Использование других аппаратных и (или) программных средств защиты информации определяется администратором согласно нормативным правовым и методическим документам и зависит от категории информационных ресурсов, технических характеристик ПК и (или) ЛВС в целом, используемого операционного и (или) сетевого программного обеспечения, наличия систем связи и телекоммуникаций с внешними информационными системами и других организационно - технологических факторов.
4.12. Ответственность за выполнение требований пп.4.5 - 4.11 настоящего Положения возлагается в равной степени как на руководителя подразделения пользователя, так и на администратора информационных ресурсов.