ПОЛОЖЕНИЕ О ЗАЩИТЕ ИНФОРМАЦИИ В КОМПЬЮТЕРНОЙ СЕТИ.
I. НАЗНАЧЕНИЕ И СФЕРА ДЕЙСТВИЯ Настоящее Положение определяет цель, принципы и основные направления защиты информации в компьютерной сети КОМПАНИИ, порядок эксплуатации объектов информатизации КОМПАНИИ, обеспечивающие выполнение требований «Концепции безопасности ». Действие данного Положения распространяется на службы эксплуатации/сопровождения технических средств обработки информации, Службу экономической безопасности и Службы безопасности предприятий КОМПАНИИ.
II. НОРМАТИВНЫЕ ССЫЛКИ • Федеральный закон «Об информации, информатизации и защите информации» №24-ФЗ1995г. • Закон Российской Федерации № 5485.1 от 21 июля 1993 г. с изменениями и дополнениями, внесенными 6 октября 1997 г. № 131-ФЗ: О государственной тайне - М.. 1993; • ГОСТ Р 15971-90. Системы обработки информации. Термины и определения • ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» • ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации; • ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» • ГОСТ Р 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения • ГОСТ Р 51624-00 «Зашита информации. Автоматизированные системы в защищённом исполнении. Общие требования». • Положение о государственном лицензировании деятельности в области защиты информации: Утверждено Решением Государственной Технической Комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации № 10 от 27 апреля 1994 г. и № 60 от 24 июня 1997 г. • ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения • Руководящий документ ГТК РФ. «Защита от несанкционированного доступа к информации. Термины и определения. • «Концепция безопасности ».
III. ОПРЕДЕЛЕНИЯ
Автоматизированная система -система, состоящая из персонала и комплекса средств ема автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов Аутентификация - проверка принадлежности субъекту права доступа предъявленного им идентификатора; подтверждение подлинности Безопасность информации (данных) - состояние защищенности информации (данных), обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз Вредоносная программа - программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети Компьютерный вирус - вредоносная программа, способная создавать свои копии или другие вредоносные программы и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации Данные - информация, представленная в виде, пригодном для обработки автоматическими средствами при возможном участии человека Доступ к информации - 1) получение субъектом возможности ознакомления с информацией, в том числе с помощью технических средств; 2) ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации Доступ несанкционированный к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию Защита информации от несанкционированного доступа - деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Примечание; Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может быть: государство; юридическое лицо; группа физических лиц, в том числе общественная организация, отдельное физическое лицо Защита от несанкционированного доступа - предотвращение или существенное затруднение несанкционированного доступа Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления Информационный ресурс - отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов) Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Межсетевой экран - локальное (однокомпонентное) или функционально - распределенное программное (программно - аппаратное) средство (комплекс), реализующее контроль информации, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы Не декларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации Несанкционированный доступ - нарушение регламентированного доступа к объекту защиты Несанкционированный доступ к информации - 1) получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Примечание. Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: юридическое лицо; группа физических лиц, в том числе общественная организация; отдельное физическое лицо; 2) доступ к информации или ее носителям с нарушением правил доступа к ним; 3) ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров Подразделение распорядитель ресурса - подразделение создавшее информационный ресурс, или в интересах которого информационный ресурс организован Потенциальные угрозы - объективно существующие факторы, обусловленные физическими законами, природой человеческой психики и информации законами общественного развития, а также другие факторы, существование которых не зависит от владельца компьютерной системы, но которые могут явиться причиной тех или иных проблем с компьютерной информацией Система обработки информации - совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем Средства обеспечения объекта информатизации - технические средства и системы, их коммуникации; не предназначенные для обработки информации, но установленные вместе с системами обработки информации на объекте информатизации Технические каналы утечки информации - физический путь передачи информации от источника вовне компьютерной системы, не предусмотренный при ее проектировании и изготовлении: визуально-оптический, виброакустический каналы, побочные электромагнитные излучения и наводки Техническое средство обработки информации (ТСОИ) - техническое средство, предназначенное для приема, хранения, поиска, преобразования, отображения и/или передачи информации по каналам связи
IV. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ КОМПАНИЯ - Объединение компаний и предприятий, действующих на основании и в рамках заключенных договоров Руководители - Руководители, уполномоченные принимать решения по вопросам информационной безопасности СЭБ - Служба экономической безопасности АИБ - Администратор информационной безопасности АИС - Автоматизированная информационная система АОИ - Администратор объекта информатизации АРМ - Автоматизированное рабочее место АСУ - Автоматизированная система управления ГТ - Государственная тайна ДСП - Для служебного пользования ЗИ - Защита информации ИБ - Информационная безопасность ИР - Информационный ресурс ИТ - Информационные технологии КТ - Коммерческая тайна ЛВС - Локальная вычислительная сеть МЭ - Межсетевой экран НСД - Несанкционированный доступ ОИ - Объект информатизации ОС - Операционная система ПЭВМ - Персональная электронная вычислительная машина ПО - Программное обеспечение ПТС - Программно-технические средства ПЭМИН - Побочные электромагнитные излучения и наводки СБП - Служба безопасности предприятия СВТ - Средства вычислительной техники СЗИ - Система защиты информации СКЗИ - Средства криптозащиты информации СОИ - Система обработки информации ТСОИ - Техническое средство обработки информации ЭЦП - Электронная цифровая подпись
