Правила пользования ru. 88338853. 501430. 002 93 Листов 2 013 Содержание

7.5.В случае планирования размещения СКЗИ в помещениях, где присутствует речевая, акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены технические средства и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, технические средства иностранного производства, на которых функционируют программные модули СКЗИ, должны быть подвергнуты специальной проверке по выявлению устройств, предназначенных для негласного получения информации.

7.6.Период непрерывной работы абонентского пункта без выключения питания не должен превышать 3 недели. По окончании этого срока необходимо проводить перезагрузку компьютера с установленным СКЗИ.

7.7.К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующие ПО и СКЗИ.

• 
  на технических средствах, предназначенных для работы с СКЗИ, использовать только лицензионное программное обеспечение фирм-изготовителей;
  
• 
  при установке ПО СКЗИ на ПЭВМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ и совместно поставляемых с СКЗИ компонент СФК;
  
• 
  на ЭВМ не должны устанавливаться средства разработки ПО и отладчики. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности. При этом должны быть реализованы меры, исключающие возможность использования этих средств для редактирования кода и памяти СКЗИ и приложений, использующих СКЗИ, а также для просмотра кода и памяти СКЗИ и приложений, использующих СКЗИ, в процессе обработки СКЗИ защищаемой информации и/или при загруженной ключевой информации;
  
• 
  предусмотреть меры, исключающие возможность несанкционированного необнаруживаемого изменения аппаратной части технических средств, на которых установлены СКЗИ (например, путем опечатывания системного блока и разъемов ЭВМ);
  
• 
  после завершения процесса установки должны быть выполнены действия, необходимые для осуществления периодического контроля целостности установленного ПО СКЗИ, а также его окружения в соответствии с документацией;
  
• 
  программное обеспечение, устанавливаемое на ЭВМ с СКЗИ, не должно содержать возможностей, позволяющих:
  

• 
  модифицировать содержимое произвольных областей памяти;
  
• 
  модифицировать собственный код и код других подпрограмм;
  
• 
  модифицировать память, выделенную для других подпрограмм;
  
• 
  передавать управление в область собственных данных и данных других подпрограмм;
  
• 
  несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;
  
• 
  повышать предоставленные привилегии;
  
• 
  несанкционированно модифицировать настройки ОС;
  
• 
  использовать недокументированные фирмой-разработчиком функции ОС.
  

• 
  необходимо разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т. д.), использовать фильтры паролей в соответствии со следующими правилами:
  

• 
  длина пароля должна быть не менее 6 символов;
  
• 
  в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т. п.);
  
• 
  пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т. д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т. д.);
  
• 
  при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
  
• 
  личный пароль пользователь не имеет права сообщать никому;
  
• 
  периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
  

• 
  указанная политика обязательна для всех учетных записей, зарегистрированных в ОС;
  
• 
  средствами BIOS должна быть исключена возможность работы на ПЭВМ с СКЗИ, если во время начальной загрузки не проходят встроенные тесты
  BIOS;
  
• 
  в ПО BIOS ПЭВМ должны быть определены установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске;
  
• 
  вход в BIOS ПЭВМ должен быть защищен паролем с длиной не менее 6 символов;
  
• 
  после установки АП принятые пакеты с неверным счетчиком по умолчанию не регистрируются. Для того чтобы такие пакеты регистрировались в журнале, администратор безопасности должен в настройках АП включить режим регистрации отброшенных пакетов;
  
• 
  запрещается:
  

• 
  оставлять без контроля вычислительные средства, на которых эксплуатируется СКЗИ, после ввода ключевой информации либо иной конфиденциальной информации;
  
• 
  вносить какие-либо изменения в программное обеспечение СКЗИ;
  
• 
  осуществлять несанкционированное администратором безопасности копирование ключевых носителей;
  
• 
  разглашать содержимое носителей ключевой информации или передавать/копировать сами носители лицам, к ним не допущенным, либо другим пользователям, выводить ключевую информацию на дисплей, принтер и т.п. иные средства отображения информации;
  
• 
  использовать ключевые носители в режимах, не предусмотренных функционированием СКЗИ;
  
• 
  записывать на ключевые носители постороннюю информацию;
  
• 
  работать с СКЗИ при неисправности средств защиты от НСД.
  

• 
  не использовать нестандартные, измененные или отладочные версии ОС;
  
• 
  исключить возможность загрузки и использования ОС, отличной от предусмотренной штатной работой;
  
• 
  исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек;
  
• 
  на ПЭВМ должна быть установлена только одна операционная система;
  
• 
  правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности;
  
• 
  все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т. п.);
  
• 
  режимы безопасности, реализованные в ОС, должны быть настроены на максимальный уровень;
  
• 
  всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права;
  
• 
  необходимо предусмотреть меры, максимально ограничивающие доступ к следующим ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
  

• 
  системный реестр;
  
• 
  файлы и каталоги;
  
• 
  временные файлы;
  
• 
  журналы системы;
  
• 
  файлы подкачки;
  
• 
  кешируемая информация (пароли и т. п.);
  
• 
  отладочная информация;
  

• 
  должно быть исключено попадание в систему программ, позволяющих, пользуясь ошибками ОС, повышать предоставленные привилегии;
  
• 
  необходимо регулярно устанавливать пакеты обновления безопасности ОС (Service Packs, Hot fix и т. п.), обновлять антивирусные базы, а также исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС;
  
• 
  в случае подключения ПЭВМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (например, JavaScript, VBScript, ActiveX), полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети..
  
• 
  организовать и использовать систему аудита, организовать регулярный анализ результатов аудита;
  
• 
  организовать и использовать комплекс мероприятий антивирусной защиты.
  
• 
  для защиты речевой информации с помощью СКЗИ необходимо проводить соответствующие дополнительные исследования оборудования VoIP, IP-телефонии и т. д;
  
• 
  при работе СКЗИ должны быть отключены средства выхода в радиоканал (запретить управление АП с помощью беспроводных устройств: клавиатура, мышь и т. д.).