6 Ответственный за защиту информации в своей деятельности руководствуется:

- положением о государственной системе защиты информации в РФ;

- нормативно-техническими документами по противодействию иностранным техническим разведкам;

- приказами, указаниями вышестоящих органов по защите информации;

- ведомственными организационно-распорядительными и нормативно-методическими документами.

Основные функциональные задачи и обязанности:

1 Планирование работ по защите информации на предприятии, предусматривающее решение конкретных вопросов по защите информации, организацию их выполнения, а также контроль за их эффективностью.

2 Участие в подготовке предприятия к аттестованию на право проведения работ с использованием сведений, отнесенных к гостайна.

3 Организация разработки нормативно-методических документов по защите информации на предприятии.

4 Согласование мероприятий по защите информации для рабочих мест, на которых проводятся работы с использованием сведений, отнесенных к гостайне.

5 Организация и проведение работ по выявлению:

- демаскирующих признаков предприятия и выпускаемой продукции;

- видов и средств технической разведки, которые позволяют получить сведения о деятельности предприятия;

- технических каналов утечки информации;

- возможности несанкционированного доступа к информации, ее разрушения (уничтожения) или искажения и разработка соответствующих мер по защите информации.

6 Разработка (самостоятельно или совместно с режимными органами и другими подразделениями) проектов распорядительных документов по вопросам организации защиты информации.

7 Организация, в соответствии с нормативно-техническими документами, специальных проверок и проведение аттестования рабочих мест, ПЭВМ и т.д. с выдачей предписания на право проведения на них работ с секретной информацией.

8 Разработка предложений по совершенствованию системы защиты информации на предприятии.

9 Разработка совместно с другими подразделениями предприятия Руководства по защите информации на предприятии.

10 частие в разработке комплекса мероприятий по защите гостайны при установлении и осуществлении научно-технических и торгово-экономических связей с зарубежными фирмами, а также при посещении предприятия иностранными специалистами.

11 частие в разработке требований по защите информации при проведении работ, связанных с движением и хранением продукции, а также при проектировании, строительстве (реконструкции) и эксплуатации объектов предприятия.

12 Участие в согласовании ТЗ на проведение работ, связанных со сведениями, содержащими гостайну.

13 Организация и проведение периодического контроля эффективности мер защиты информации на предприятии. Учет и анализ результатов контроля.

14 Участие в расследовании нарушений в области защиты информации на предприятии и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений.

15 Подготовка отчетов о состоянии работ по защите информации на предприятии.

16 Организация проведения занятий с руководителями и специалистами предприятия по вопросам защиты информации.

Ответственный за защиту информации имеет право:

1 Допуска к работам и документам подразделений предприятия, для оценки принимаемых мер по защите информации и подготовки предложений по их дальнейшему совершенствованию.

2 Готовить предложения о привлечении к проведению работ по защите информации предприятия, имеющего лицензию на соответствующий вид деятельности.

3 Контролировать деятельность любого структурного подразделения предприятия по выполнению требований по защите информации.

4 Участвовать в работе технической комиссии предприятия при рассмотрении вопросов защиты информации.

5 Вносить предложения руководителю предприятия о приостановке работ в случае обнаружения утечки (или предпосылок к утечке) информации.

6 Получать лицензии на право выполнения работ по защите информации и при ее получении оказывать услуги в этой области другим предприятиям.

7 Быть соисполнителем при проведении на договорной основе работ, связанных с защитой информации по темам НИОКР, а также производственным заказам или программам испытаний.

о порядке ввода в эксплуатацию объектов ЭВТ, допуска сотрудников к работе на ПЭВМ, и соблюдению требований собственной безопасности при обработке закрытой информации на СВТ

К работе на ПЭВМ в Отделе автоматизации допускаются сотрудники, имеющие соответствующую квалификацию (прошедшие подготовку), после сдачи ими зачета по знанию инструкции о порядке ввода в эксплуатацию объектов ЭВТ, допуска сотрудников к работе на ПЭВМ, и соблюдению требований собственной безопасности при обработке закрытой информации на средствах вычислительной техники, инструкции по защите электронной информации от компьютерных вирусов по заявлению установленного образца.

Все приобретенные компьютеры, независимо от источника их получения в 10-дневный срок должны пройти проверку в Отделе автоматизации. Пуско-наладочные работы по вводу ПЭВМ в эксплуатацию и последующее техническое обслуживание СВТ осуществляются специалистами ВЦ.

На ПЭВМ устанавливается только необходимое, сертифицированное проверенное математико-программное обеспечение (МПО), утвержденное директором Журавлевым (Вн. №854796).

Узлы и блоки оборудования СВТ, к которым в процессе эксплуатации доступ не требуется, опечатываются специалистами ВЦ с целью предупреждения несанкционированного вскрытия оборудования.

По всем фактам несанкционированного вскрытия узлов и блоков СВТ проводится служебное разбирательство.

Замена или подключение других технических средств, не входящих в комплект объекта ЭВТ, не допускается.

Запрещается :

- устанавливать и использовать нештатное МПО без согласования с ВЦ;

- производить обработку секретной информации на СВТ, не прошедших соответствующую проверку в ВЦ, регистрацию, категорирование и не имеющих предписания на эксплуатацию;

- сообщать устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью, любые сведения о характере выполняемой на СВТ работы; о применяемых системах защиты информации; о паролях, используемых в средствах защиты; о системе охраны и пропускном режиме;

- перевозить машинные носители, содержащие конфиденциальную информацию, и документы общественным транспортом, заходить с ними в места, не связанные с выполнением задания, и транспортировать их без соответствующей упаковки.

 Категорически запрещается :

осуществлять ремонт СВТ с установленными магнитными носителями в сторонних организациях без согласования с ВЦ и Начальника отдела автоматизации.

Ответственность за обеспечение режима конфиденциальности и выполнение мероприятий по защите информации, обрабатываемой на СВТ, несет начальник подразделения.

УТВЕРЖДАЮ

Директор Журавлев А.А.

«5» октября 2008 г.

Описание технологического процесса обработки информации в автоматизированной системе объекта информатизации «Сбербанка».

Субъектом доступа автоматизированной системы (АС) объекта информатизации (ОИ) «Сбербанка» является пользователь АС - старшая машинистка по секретной переписке Иванова Е.Е., которой присвоен идентификатор «Lena».

Объектами доступа АС ОИ «Сбербанка» являются текстовые и табличные файлы пользователя, размещаемые на накопителе на жестких магнитных дисках (НГЖД) ПЭВМ и на гибких магнитных дисках.

Штатными средствами доступа к информации в АС являются:

- пакет программных продуктов Microsoft Office 2000 в составе MS Word и MS Ecxel, серийный номер: 12547896.;

- программная оболочка - Windows Commander версия 4.01 (сборка 4.00.950), серийный номер: 56987236;

- продукт для просмотра графических изображений ACDSee32, версии 2.4., серийный номер 99987412;

- для защиты информации в АС применен программно-аппаратный комплекс защиты от НСД Secret Net , версия 4.0. в составе:

- аппаратная плата Secret Net;

- программное обеспечение Secret Net версия 4.0 (автономный вариант), №Б 57596621.

Единственный пользователь Lena имеет полный доступ ко всем ресурсам АС.

Схема информационных потоков приведена в приложении.

Начальник ОА

Приложение

к Описанию технологического процесса обработки информации в автоматизированной системе объекта информатизации «Сбербанка»

Схема информационных потоков автоматизированной системы объекта информатизации «Сбербанка».

Начальник ОА подпись

Схема построения антивирусной защиты

(на основе пакета Antiviral Toolkit Pro)

 Общие положения

Настоящая технология (далее - Технологическая схема) разработана во исполнение пунктов об антивирусной защите Концепции информационной безопасности «Сбербанка».

Целью разработки Технологической схемы является совершенствование нормативно-правовой и методической базы «Сбербанка» в области обеспечения информационной безопасности.

Технологическая схема отражает технические решения по следующим вопросам организации антивирусной защиты информации в «Сбербанка» :

· внедрение средств антивирусной защиты информации Antiviral Toolkit Pro;

· применение средств антивирусной защиты информации Antiviral Toolkit Pro;

· порядок обновления баз данных средств антивирусной защиты информации Antiviral Toolkit Pro;

· действия должностных лиц при обнаружении заражения информационно-вычислительных ресурсов «Сбербанка» программными вирусами.

Технологическая схема разрабатывалась на основе следующих нормативно-методических документов:

1. Федеральный закон от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации»;

2. Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам, утвержденное постановлением Совета Министров - Правительства Российской Федерации от 15.09.93 г. № 912-51;

3. Постановление Правительства Российской Федерации «О сертификации средств защиты информации» от 26.06.95 г. № 608,

4. Указ Президента Российской Федерации от 09.09.2000 № 1895 «Об утверждении Доктрины информационной безопасности Российской Федерации»;

Основными путями проникновения вирусов в информационно-вычислительную сеть таможенного органа являются:

гибкие магнитные диски, компакт-диски, почта сети Интернет, файлы, получаемые из сети Интернет, ранее зараженные рабочие станции.

Внедрение системы антивирусной защиты информации осуществляется в рамках работ по созданию и развитию «Сбербанка». Оснащение «Сбербанка» средствами антивирусной защиты информации, необходимых для реализации Технологической схемы планируется по договору между сторонами на основании Федеральных критериев безопасности информационных технологий.

Страницы: 1, 2, 3