Игорь Чумарин - Тайна предприятия: что и как защищать
Статья 273:
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Статья 274:
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их Сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
ИНСТРУКЦИЯ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПРЕДПРИЯТИЯ.
Одним из основных локальных нормативных актов предприятия, регламентирующих оборот конфиденциальных сведений, является Инструкция по защите конфиденциальной информации
в информационной системе предприятия. Обратите внимание на то, что эта Инструкция не является элементом технической документации - это внутренний правовой акт, и относиться к нему необходимо именно с этой точки зрения. Технические и программные тонкости системы защиты описываются в иной документации.
Вариант.
1. Общие положения.
1.1. ЦЕЛИ
Целью данного документа является четкая регламентация эффективных мер защиты и надежного сохранения информации, являющейся конфиденциальной согласно Положению о конфиденциальной информации Предприятия и обращающейся в информационной системе (ИС). Мероприятия защиты проводятся для обеспечения физической и логической целостности, а также для предупреждения несанкционированного получения, распространения и модификации информации. Меры защиты подразумевают обязательное наличие ответственного за защиту информации в ИС лица, выработку и неукоснительное соблюдение организационных мер, а также
постоянный контроль со стороны службы безопасности (СБ).
1.2. ОПРЕДЕЛЕНИЯ
Ресурс - компонент ИС (аппаратные средства, программное обеспечение, данные), в отношении которого необходимо обеспечивать безопасность, т. е. конфиденциальность, целостность и доступность.
Конфиденциальность ресурса - свойство ресурса быть доступным только авторизованному субъекту ИС, и одновременно быть недоступным для неавторизованного субъекта или нарушителя.
Целостность ресурса - обеспечение его правильности и работоспособности в любой момент времени. I
Доступность ресурса - обеспечение беспрепятственного до- | ступа к нему авторизованного субъекта ИС. |
Субъекты ИС - пользователи, технический персонал, обеспечивающий работу системы, администрация ИС, администрация предприятия и контролирующие службы.
Авторизованный субъект - субъект ИС, пользовательские функции которого, а также права и обязанности по отношению к данного уровня ресурсам и информации определены его должностной инструкцией, либо другими административными
актами.
АРМ - автоматизированное рабочее место, персональное,
созданное на основе персональной электронной вычислительной машины.
2. Допуск к использованию ресурсов.
2.1. ОБЩИЕ ПОЛОЖЕНИЯ
Допуск к работе с конфиденциальными документами имеют сотрудники Предприятия, в том числе и находящиеся на испытательном сроке, которые: 1) ознакомлены под роспись с настоящим Положением; 2) ознакомлены под роспись с Инструкцией по защите конфиденциальной информации в информационной системе предприятия; 3) подписали Соглашение о неразглашении конфиденциальной информации:
4) занимают должности, указанные в Перечне документов Предприятия, содержащих конфиденциальную информацию. Запрещается допускать к работе с конфиденциальными документами других лиц, кем бы они не являлись, без письменного разрешения генерального директора.
Конфиденциальные документы по статусу, типу документа, параметрам допуска систематизированы в «Перечне документов Предприятия, содержащих конфиденциальную информацию».
Под допуском подразумевается официальное присвоение
сотруднику Предприятия конкретного статуса, дающего ему возможность использовать ресурсы ИС и обмена данными на заданном четко категорированном уровне и в ограниченном должностными обязанностями (не превышающем его непосредственные задачи) объеме.
Обязанности по присвоению статуса возлагаются на руководителя подразделения или специально назначенного сотрудника. При этом он должен руководствоваться принципами разумного ограничения возможностей и разграничения доступа к различным информационным массивам. Он несет ответственность за регистрацию и предоставление (изменение) полномочий.
Все пользователи подлежат учету по категориям установленного допуска и другим системным параметрам.
3. Доступ к использованию ресурсов. Регистрация пользователей
Доступ к использованию ресурсов имеют сотрудники, получившие допуск определенного уровня, соответствующий, как правило, занимаемой должности, с соблюдением всей процедуры оформления допуска, и зарегистрированные у системного администратора (ответственного должностного лица).
3.1. СПЕЦИАЛЬНЫЕ ВОПРОСЫ ДОСТУПА К ИСПОЛЬЗОВАНИЮ РЕСУРСОВ.
3.1.1. Определение расширенного доступа, т. е. привилегий системного администратора.
Привилегии системного администратора, кроме тех сотрудников, которым должностными обязанностями предписано выполнять работы по эксплуатации и ремонту ресурсов, имеют право получать представители руководства Предприятия, СБ и другие должностные лица по согласованию со специально назначенным сотрудником и с разрешения генерального директора. Все лица, имеющие права системного администратора, подлежат отдельному учету в СБ.
3.1.2. Доступ к работе с авторским (лицензионным) программным обеспечением (ПО).
При наличии в ИС или ее компонентах авторских либо лицензионных программ они должны быть соответствующим образом, ясным для пользователя, помечены; там же должны быть указаны все ограничения, связанные с работой с данным
ПО. Однозначно (по умолчанию) запрещается их копирование.
3.1.3. Доступ к исследованию сетевых служб.
Действия пользователей по исследованию сетевых служб и конфигурации системных программ проводиться не должны и являются наказуемыми. Запрещен любой вид деятельности в этом направлении (просмотр и модификация сетевых, системных, других не предназначенных для чтения файлов и пр.).
4. Хранение носителей конфиденциальной информации в ИС.
За организацию хранения и сохранность конфиденциальной информации Предприятия отвечает его руководитель. Общий процесс хранения регламентирован в Положении о конфиденциальной информации.
Магнитные носители конфиденциальной информации хранятся в недоступном для посторонних лиц месте (сейф, металлический шкаф, файл-бокс), исключающем несанкционированный доступ и пользование ими.
Сейф (несгораемый металлический шкаф) должен быть постоянно закрыт на ключ, а в нерабочее время опечатан.
В подразделении должен быть один комплект ключей от сейфов - у руководителя подразделения (ответственного сотрудника Предприятия). Остальные комплекты должны храниться в сейфе начальника СБ в опечатанном пенале. Порядок опечатывания и сдачи под охрану сейфов определяется документами по внутриобъектовому режиму.
Магнитные носители в архиве хранятся в запечатанных конвертах с соответствующими пояснительными надписями, включая также книгу регистрации входящих и исходящих документов. На каждый пакет конвертов должен быть перечень находящихся в них документов с указанием учетных данных.
Строго запрещается хранение магнитных носителей конфиденциальной информации вне специально оборудованных мест. Лицо, нарушившее порядок хранения носителей, несет за это ответственность.