Методический документ меры защиты информации в государственных информационных системах
|
Скачать 2.57 Mb.
|
ЗНИ.2 УПРАВЛЕНИЕ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ ИНФОРМАЦИИ Требования к реализации ЗНИ.2: Оператором должны быть реализованы следующие функции по управлению доступом к машинным носителям информации, используемым в информационной системе: определение должностных лиц, имеющих физический доступ к машинным носителям информации, а именно к следующим: съемным машинным носителям информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства); портативным вычислительным устройствам, имеющим встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства); машинным носителям информации, стационарно устанавливаемым в корпус средств вычислительной техники (например, накопители на жестких дисках); предоставление физического доступа к машинным носителям информации только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций); Правила и процедуры доступа к машинным носителям информации регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.2: 1) применение автоматизированной системы контроля физического доступа в помещения, в которых осуществляется хранение машинных носителей информации; 2) опечатывание корпуса средства вычислительной техники, в котором стационарно установлен машинный носитель информации; 3) в информационной системе должно обеспечиваться применение программных (программно-технических) автоматизированных средств управления физическим доступом к машинным носителям информации; 4) контроль физического доступа лиц к машинным носителям информации в соответствии с атрибутами безопасности, установленными для этих носителей. Содержание базовой меры ЗНИ.2:
ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ Требования к реализации ЗНИ.3: Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны. При контроле перемещения машинных носителей информации должны осуществляться: определение должностных лиц, имеющих права на перемещение машинных носителей информации за пределы контролируемой зоны; предоставление права на перемещение машинных носителей информации за пределы контролируемой зоны только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функций); учет перемещаемых машинных носителей информации в соответствии с ЗНИ.1; периодическая проверка наличия машинных носителей информации. Правила и процедуры контроля перемещения машинных носителей информации регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.3: 1) оператором информационной системы определяются задачи (виды деятельности, функции), для решения которых необходимо перемещение машинных носителей информации за пределы контролируемой зоны; 2) применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации, хранимой на носителе, при перемещении машинных носителей информации за пределы контролируемой зоны; 3) оператором определяется должностное лицо, ответственное за перемещение машинных носителей информации; 4) оператором информационной системы осуществляется периодическая проверка машинных носителей информации после их возврата в пределы контролируемой зоны. Содержание базовой меры ЗНИ.3:
ЗНИ.4 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ НЕСАНКЦИОНИРОВАННОГО ОЗНАКОМЛЕНИЯ С СОДЕРЖАНИЕМ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА МАШИННЫХ НОСИТЕЛЯХ, И (ИЛИ) ИСПОЛЬЗОВАНИЯ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ИНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ Требования к реализации ЗНИ.4: Оператором должно обеспечиваться исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах. Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах должно предусматривать: определение типов машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации); физический контроль и хранение машинных носителей информации в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации); защита машинных носителей информации до уничтожения (стирания) с них данных и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов) с использованием средств стирания данных и остаточной информации. Правила и процедуры управления, направленные на исключение несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах, регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.4: 1) оператором должны применяться средства контроля съемных машинных носителей информации; 2) оператором должны применяться в соответствии с законодательством Российской Федерации криптографические методы защиты информации, хранящейся на машинных носителях; 3) оператором должен быть определен перечень машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации). Содержание базовой меры ЗНИ.4:
ЗНИ.5 КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ИНТЕРФЕЙСОВ ВВОДА (ВЫВОДА) Требования к реализации ЗНИ.5: В информационной системе должен осуществляться контроль использования интерфейсов ввода (вывода). Контроль использования (разрешение или запрет) интерфейсов ввода (вывода) должен предусматривать: определение оператором интерфейсов средств вычислительной техники, которые могут использоваться для ввода (вывода) информации, разрешенных и (или) запрещенных к использованию в информационной системе; определение оператором категорий пользователей, которым предоставлен доступ к разрешенным к использованию интерфейсов ввода (вывода); принятие мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода); контроль доступа пользователей к разрешенным к использованию интерфейсов ввода (вывода). В качестве мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода), могут применяться: опечатывание интерфейсов ввода (вывода); использование механических запирающих устройств; удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода); применение средств защиты информации, обеспечивающих контроль использования интерфейсов ввода (вывода). Правила и процедуры контроля использования интерфейсов ввода (вывода) регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.5: 1) в информационной системе должна быть обеспечена регистрация использования интерфейсов ввода (вывода) в соответствии с РСБ.3; 2) оператором обеспечивается конструктивное (физическое) исключение из средства вычислительной техники запрещенных к использованию интерфейсов ввода (вывода); 3) оператором информационной системы обеспечивается программное отключение запрещенных к использованию интерфейсов ввода (вывода). Содержание базовой меры ЗНИ.5:
ЗНИ.6 КОНТРОЛЬ ВВОДА (ВЫВОДА) ИНФОРМАЦИИ НА МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ Требования к реализации ЗНИ.6: В информационной системе должен осуществляться контроль ввода (вывода) информации на машинные носители информации. Контроль ввода (вывода) информации на машинные носители информации должен предусматривать: определение оператором типов носителей информации, ввод (вывод) информации на которые подлежит контролю; определение оператором категорий пользователей, которым предоставлены полномочия по вводу (выводу) информации на машинные носители в соответствии с УПД.2; запрет действий по вводу (выводу) информации для пользователей, не имеющих полномочий на ввод (вывод) информации на машинные носители информации, и на носители информации, на которые запрещен ввод (вывод) информации; регистрация действий пользователей и событий по вводу (выводу) информации на машинные носители информации в соответствии с РСБ.3. Правила и процедуры контроля ввода (вывода) информации на машинные носители информации регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.6: 1) в информационной системе должна создаваться копия информации, записываемой пользователями на съемные машинные носители информации (теневое копирование); 2) оператором должны применяться средства контроля подключения съемных машинных носителей информации. Содержание базовой меры ЗНИ.6:
ЗНИ.7 КОНТРОЛЬ ПОДКЛЮЧЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ Требования к реализации ЗНИ.7: В информационной системе должен обеспечиваться контроль подключения машинных носителей информации. Контроль подключения машинных носителей информации должен предусматривать: определение оператором типов носителей информации, подключение которых к информационной системе разрешено в соответствии с УПД.2; определение оператором категорий пользователей, которым предоставлены полномочия по подключению носителей к информационной системе в соответствии с УПД.2; запрет подключения носителей информации, подключение которых к информационной системе не разрешено; регистрация действий пользователей и событий по подключению к информационной системе носителей в соответствии с РСБ.3. Правила и процедуры контроля подключения машинных носителей информации регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗНИ.7: 1) оператором должен обеспечиваться контроль подключения машинных носителей информации с использованием средств контроля подключения съемных машинных носителей информации, позволяющих устанавливать разрешенные и (или) запрещенные типы и (или) конкретные съемные машинные носители информации для различных категорий пользователей; |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Похожие:
 |
Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных... |
|
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Инструкция по регистрации в Единой системе идентификации и аутентификации (есиа) Есиа – это информационная система в Российской Федерации, обеспечивающая санкционированный доступ граждан-заявителей и должностных... |
 |
Инструкция по регистрации в Единой системе идентификации и аутентификации (есиа) Есиа – это информационная система в Российской Федерации, обеспечивающая санкционированный доступ граждан-заявителей и должностных... |
|
Единая система идентификации и аутентификации Единая система идентификации... Российской Федерации, обеспечивающая санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных... |
|
Анализ состояния защиты данных в информационных системах Д 999 Анализ состояния защиты данных в информационных системах: учеб пособие / В. В. Денисов. – Новосибирск: Изд-во нгту, 2012. –... |
|
Инструкция по применению антивирусной защиты информации в Администрации... Во исполнение требований Федерального закона РФ №149-фз от 27. 07. 2006 г. «Об информации, информационных технологиях и о защите... |
|
Техническое задание на оказание услуг по актуализации существующей... Оао «Тольяттинская энергосбытовая компания», поставке оборудования, носителей информации с дистрибутивами по, ключей технической... |
|
Инструкция по обеспечению информационной безопасности при создании... Владивостока (далее – Инструкция) разработана в соответствии с требованиями Федерального закона от 27. 07. 2006 №149-фз «Об информации,... |
|
«защита информации от несанкционированного доступа» Фз о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные... |
|
Теория информационной безопасности и методология защиты информации 5 Российской Федерации. В чем заключается сущность защиты информации, ее место в системе информационной безопасности, информация как... |
|
Выписка из перечня средств защиты информации, сертифицированных фсб россии «Программно-аппаратный комплекс защиты объектов информационных технологий от разведки пэми «лгш-504» |
|
Выписка из перечня средств защиты информации, сертифицированных фсб россии «Программно-аппаратный комплекс защиты объектов информационных технологий от разведки пэми «лгш-504» |
|
Инструкция по работе в информационной системе Реестр государственных... Приложению 1 Инструкции в Комитет компьютерных технологий. Заявителя регистрируют в программе «Реестр государственных информационных... |
|
Учебно-методический комплекс дисциплины обсужден на заседании кафедры... Защита информационных процессов в компьютерных системах 090104. 65 – Комплексная защита объектов информатизации Форма подготовки... |
|
Обработки персональных данных и реализуемых требованиях к защите персональных данных Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,... |