Основные требования и рекомендации по защите служебной тайны и персональных данных
При разработке и эксплуатации АС, предполагающих использование информации, составляющей служебную тайну, а также персональных данных должны выполняться следующие основные требования.
5.2.1. Организация, состав и содержание проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям раздела 3.
5.2.2. В учреждении (на предприятии) должны быть документально оформлены перечни сведений, составляющих служебную тайну, и персональных данных, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности учреждения (предприятия), так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части их касающейся.
5.2.3. В соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:
· АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;
· АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.
|
|
5.2.4. Для обработки информации, составляющей служебную тайну, а также для обработки персональных данных следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).
Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.
5.2.5. Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.
5.2.6. Носители информации на магнитной (магнитно-оптической) и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях учреждений (предприятий) в порядке, установленном для служебной информации ограниченного распространения, с пометкой "Для служебного пользования".
|
|
5.2.7. Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в учреждении (на предприятии).
5.2.8. При необходимости указанный минимальный набор рекомендуемых организационно-технических мер защиты информации по решению руководителя предприятия может быть расширен.
Основные рекомендации по защите информации, составляющей коммерческую тайну
При разработке и эксплуатации АС, предполагающих использование сведений, составляющих коммерческую тайну, рекомендуется выполнение следующих основных организационно-технических мероприятий:
5.3.1. На предприятии следует документально оформить "Перечень сведений, составляющих коммерческую тайну". Все исполнители должны быть ознакомлены с этим "Перечнем".
5.3.2. При организации разработки и эксплуатации АС с использованием таких сведений следует ориентироваться на порядок, приведенный в разделе 3. Оформить порядок разработки и эксплуатации таких АС документально.
5.3.3. Рекомендуется относить АС, обрабатывающие информацию, составляющую коммерческую тайну, режим защиты которой определяет ее собственник, по уровню защищенности к классам 3Б, 2Б и не ниже 1Д (если по решению руководителя предприятия не предъявляются более высокие требования).
|
|
5.3.4. Рекомендуется для обработки информации, составляющей коммерческую тайну, использовать средства вычислительной техники, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).
Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.
5.3.5. Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации.
5.3.6. Следует установить на предприятии порядок учета, хранения и уничтожения носителей информации на магнитной (магнитно-оптической) и бумажной основе в научных, производственных и функциональных подразделениях, а также разработать и ввести в действие разрешительную систему допуска исполнителей документам и сведениям, составляющим коммерческую тайну.
Указанный минимальный набор рекомендуемых организационно-технических мероприятий по решению руководителя предприятия может быть расширен.
Решение о составе и содержании мероприятий, а также используемых средств защиты информации принимается руководителем предприятия по результатам обследования создаваемой (модернизируемой) АС с учетом важности (ценности) защищаемой информации.
Дата добавления: 2020-04-25; просмотров: 127; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!