ОБ УТВЕРЖДЕНИИ "ИНСТРУКЦИИ ПО РЕГЛАМЕНТАЦИИ РАБОТЫ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ ПО ПОДДЕРЖАНИЮ УРОВНЯ ЗАЩИТЫ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ" И "ИНСТРУКЦИИ ПО РЕГЛАМЕНТАЦИИ РАБОТЫ ПОЛЬЗОВАТЕЛЕЙ ЛОКАЛЬНОЙ ВЫЧИС. Приказ. Министерство РФ по связи и информатизации. 22.03.00 16

          ОБ УТВЕРЖДЕНИИ "ИНСТРУКЦИИ ПО РЕГЛАМЕНТАЦИИ РАБОТЫ
       АДМИНИСТРАТОРА БЕЗОПАСНОСТИ ПО ПОДДЕРЖАНИЮ УРОВНЯ ЗАЩИТЫ
        ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ОТ НЕСАНКЦИОНИРОВАННОГО
         ДОСТУПА К ИНФОРМАЦИИ" И "ИНСТРУКЦИИ ПО РЕГЛАМЕНТАЦИИ
          РАБОТЫ ПОЛЬЗОВАТЕЛЕЙ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ
               В ПРОЦЕССЕ ЕЕ ПРОМЫШЛЕННОЙ ЭКСПЛУАТАЦИИ"

                                ПРИКАЗ

                МИНИСТЕРСТВО РФ ПО СВЯЗИ И ИНФОРМАТИЗАЦИИ

                           22 марта 2000 г.
                                 N 16

                                (НЦПИ)


     Во исполнение Приказа Главгоссвязьнадзора России от 24.05.99 N 33
"О  недопущении  компьютерных  преступлений"  в  Центре планирования и
назначения радиочастот (РЧЦ) разработаны инструкции,  регламентирующие
работу   пользователя   и   администратора  безопасности  в  локальной
вычислительной сети и Федеральной базе данных частотных присвоений РЭС
гражданского назначения (ФБД).
     В целях недопущения компьютерных  преступлений  при  эксплуатации
ФБД приказываю:
     1. Утвердить "Инструкцию по регламентации  работы  администратора
безопасности  по  поддержанию  уровня  защиты локальной вычислительной
сети от несанкционированного доступа к информации" (прилагается).
     2. Утвердить  "Инструкцию  по  регламентации работы пользователей
локальной вычислительной сети в процессе ее промышленной эксплуатации"
(прилагается).
     3. Начальнику РЧЦ (Елисеев) обеспечить изучение данных инструкций
и   неукоснительное   соблюдение   их   при   эксплуатации   локальной
вычислительной сети и ФБД.

Начальник Главгоссвязьнадзора
России
                                                          Н.А. ЛОГИНОВ
22 марта 2000 г.
N 16


                                                            УТВЕРЖДЕНА
                                                   Приказом Начальника
                                            Главгоссвязьнадзора России
                                                 от 22 марта 2000 года
                                                                  N 16

                              ИНСТРУКЦИЯ
         ПО РЕГЛАМЕНТАЦИИ РАБОТЫ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ
        ПО ПОДДЕРЖАНИЮ УРОВНЯ ЗАЩИТЫ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ
          СЕТИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ

                          1. Общие положения

     1.1. Инструкция   по    регламентации    работы    администратора
безопасности  по  поддержанию  уровня  защиты локальной вычислительной
сети от несанкционированного доступа к информации (далее - Инструкция)
разработана  с  учетом  требований Федерального закона "Об информации,
информатизации  и  защите   информации",   утвержденного   Президентом
Российской   Федерации   20.02.95  N  24-ФЗ,  Федерального  закона  "О
государственной тайне", утвержденного Президентом Российской Федерации
21.07.93   N  5485-1,  "Положения  о  государственной  системе  защиты
информации в Российской Федерации от иностранных технических  разведок
и  от ее утечки по техническим каналам",  утвержденного Постановлением
Правительства Российской Федерации от  15.09.93  N  912-51,  и  других
действующих   руководящих,   нормативных  документов  (НД)  по  защите
информации от несанкционированного доступа (НСД).
     Целью администрирования   локальной   вычислительной  сети  (ЛВС)
является поддержание достигнутого <*> уровня защиты информации  ЛВС  и
Федеральной  базы данных частотных присвоений радиоэлектронных средств
гражданского назначения (ФБД) и НСД.
--------------------------------
     <*> Уровень защиты (класс защищенности) ЛВС и ФБД устанавливается
при аттестации ЛВС и ФБД по требованиям безопасности информации.

     1.2. Инструкция   регулирует   отношения   между  администратором
безопасности, пользователями и разработчиками, возникающие при:
     - эксплуатации и развитии ЛВС и ФБД;
     - формировании и использовании  данных,  сообщений,  баз  данных,
информационных   ресурсов   на   основе  создания,  сбора,  обработки,
накопления,  хранения,  поиска,   распространения   и   предоставления
пользователю документированной информации;
     - при создании,  внедрении и  эксплуатации  новых  информационных
технологий.
     1.3. Цели  администрирования  ЛВС  достигаются   обеспечением   и
поддержкой в ЛВС ФБД:
     - подсистем управления доступом, регистрации и учета, обеспечения
целостности программно - аппаратной среды,  хранимой, обрабатываемой и
передаваемой по каналам связи информации;
     - доступности  информации  (устойчивое  функционирование ЛВС и ее
подсистем);
     - конфиденциальности  хранимой,  обрабатываемой и передаваемой по
каналам связи информации.
     1.4. Мероприятия  по  защите  ЛВС и ФБД от НСД являются составной
частью  управленческой,  научной   и   производственной   деятельности
Главгоссвязьнадзора  России.  Защита ЛВС и информации ФБД представляет
собой комплекс организационных и технических мероприятий, направленных
на  исключение  или  существенное  затруднение противоправных деяний в
отношении ресурсов ЛВС и информации ФБД.
     1.5. Администратор     безопасности     является    ответственным
должностным  лицом  Главгоссвязьнадзора  России,   уполномоченным   на
проведение  работ  по  технической  защите  информации  и  поддержанию
достигнутого уровня защиты ЛВС и ее ресурсов  на  этапах  промышленной
эксплуатации и модернизации.
     1.6. Администратор   безопасности   ЛВС   назначается    приказом
Главгоссвязьнадзора  России  по согласованию с заместителем начальника
Главгоссвязьнадзора России, курирующего вопросы защиты информации.
     Количество администраторов  безопасности ЛВС зависит от структуры
и назначения ЛВС (количества серверов,  рабочих станций сети,  их мест
расположения),   характера   и   количества   решаемых  задач,  режима
эксплуатации, организации дежурства.
     1.7. Администратор    безопасности    руководствуется   в   своей
практической деятельности положениями федеральных законов, нормативных
и   иных   актов   Российской   Федерации,   решениями  и  документами
Гостехкомиссии России,  ФАПСИ и Госстандарта России,  организационно -
распорядительными документами Главгоссвязьнадзора России.
     1.8. Деятельность  администратора  безопасности   планируется   в
установленном   порядке  и  согласовывается  с  отделом  безопасности,
гражданской обороны и мобилизационной работы.  В  плане  работ  должны
быть  отражены  мероприятия  по  поддержанию защиты ЛВС и ФБД от НСД и
другие вопросы, относящиеся к защите.
     1.9. Администратор  безопасности должен иметь специальное рабочее
место - рабочую станцию (РС),  размещенную  в  отдельном  помещении  и
функционирующую постоянно при включении сети, а также личный сейф (или
железный шкаф) и печать.
     1.10. Администратор    безопасности   несет   ответственность   в
соответствии с действующим законодательством за разглашение защищаемой
Главгоссвязьнадзором   России  информации,  ставшей  ему  известной  в
соответствии с родом работы, и мер, принятых по защите ЛВС.
     1.11. Требования   администратора   безопасности,   связанные   с
выполнением  им  своих  функций,  обязательны  для  исполнения   всеми
пользователями ЛВС и ФБД.
     1.12. Инструкция является неотъемлемой  частью  организационно  -
распорядительных  документов  Главгоссвязьнадзора  России,  в  которых
конкретизируется  политика  безопасности  в   ЛВС   и   информационное
взаимодействие при ведении ФБД.
     1.13. Требования  к  промышленной  эксплуатации  ЛВС  изложены  в
эксплуатационной документации (ЭД) на данную ЛВС.
     1.14. Инструкция не регламентирует вопросы защиты и охраны зданий
и помещений, в которых расположена ЛВС, вопросы обеспечения физической
целостности компонентов ЛВС,  защиты от стихийных  бедствий  (пожаров,
наводнений  и  др.),  сбоев  в  системе энергоснабжения,  а также меры
обеспечения   безопасности   персонала   и   меры,   принимаемые   при
возникновении в ЛВС нештатных ситуаций.

          2. Права и обязанности администратора безопасности

     2.1. Права администратора безопасности.
     Администратор безопасности имеет право:
     - отключать от сети пользователей, осуществивших НСД к защищаемым
ресурсам  ЛВС  и  ФБД или нарушивших другие требования по безопасности
информации;
     - участвовать в любых проверках ЛВС и ФБД;
     - запрещать устанавливать на  серверах  и  рабочих  станциях  ЛВС
нештатное программное и аппаратное обеспечение.
     2.2. Обязанности администратора безопасности.
     Администратор безопасности обязан:
     - знать в совершенстве применяемые информационные технологии;
     - участвовать в контрольных и тестовых испытаниях и проверках ЛВС
и ФБД;
     - знать  ответственных  лиц  в  каждом  структурном подразделении
Главгоссвязьнадзора России и их права доступа по обработке, хранению и
передаче защищаемой информации;
     - вести  контроль  за  процессом  резервирования  и  дублирования
важных ресурсов ЛВС и ФБД;
     - участвовать в приемке новых программных средств;
     - уточнять в установленном порядке обязанности пользователей  ЛВС
по поддержанию уровня защиты ЛВС;
     - вносить предложения по совершенствованию уровня  защиты  ЛВС  и
ФБД;
     - анализировать данные журнала учета работы ЛВС с целью выявления
возможных нарушений требований защиты;
     - оценивать возможность и последствия внесения изменений в состав
ЛВС с учетом требований НД по защите, подготавливать свои предложения;
     - обеспечить доступ к  защищаемой  информации  пользователям  ЛВС
согласно  их  прав  доступа при получении оформленного соответствующим
образом разрешения;
     - запрещать и немедленно блокировать попытки изменения программно
-  аппаратной  среды  ЛВС  без  согласования   порядка   ввода   новых
(отремонтированных) технических и программных средств и средств защиты
ЛВС;
     - запрещать  и  немедленно  блокировать  применение пользователям
сети программ,  с помощью которых возможны факты НСД к ресурсам ЛВС  и
ФБД;
     - незамедлительно докладывать руководству РЧЦ обо  всех  попытках
нарушения защиты ЛВС и ФБД;
     - анализировать состояние защиты ЛВС и ее отдельных подсистем;
     - контролировать  физическую  сохранность  средств и оборудования
ЛВС;
     - контролировать состояние средств и систем защиты и их параметры
и критерии;
     - контролировать   правильность  применения  пользователями  сети
средств защиты;
     - оказывать  помощь  пользователям  в  части  применения  средств
защиты от НСД и других средств защиты, входящих в состав ЛВС;
     - не допускать установку, использование, хранение и размножение в
ЛВС программных средств,  не связанных  с  выполнением  функциональных
задач;
     - своевременно анализировать журнал учета событий, регистрируемых
средствами защиты, с целью выявления возможных нарушений;
     - в период профилактических работ на рабочих станциях и  серверах
ЛВС  снимать  при  необходимости  средства защиты ЛВС с эксплуатации с
обязательным обеспечением сохранности информации;
     - не  допускать  к  работе  на  рабочих  станциях  и серверах ЛВС
посторонних лиц;
     - осуществлять периодические контрольные проверки рабочих станций
и тестирование правильности функционирования средств защиты ЛВС;
     - периодически  предоставлять  руководству и в отдел безопасности
отчет о состоянии защиты ЛВС и о нештатных ситуациях на объектах ЛВС и
допущенных   пользователями  нарушениях  установленных  требований  по
защите информации.
     Администратору безопасности  запрещается  оставлять  свою рабочую
станцию без контроля, в том числе в рабочем состоянии.
     Запрещается фиксировать   учетные  данные  пользователя  (пароли,
идентификаторы, ключи и др.) на твердых носителях, а также сообщать их
кому бы то ни было, кроме самого пользователя.
     Администратор безопасности  должен  четко   знать   классификацию
нарушений  (противоправных  деяний)  в  отношении  ЛВС и ее подсистем,
последствия которых классифицируются на категории:
     - первая  (наивысшая  категория тяжести нарушения) - невыполнение
пользователями ЛВС требований или норм ЭД на ЛВС  и  организационно  -
распорядительных     документов     Главгоссвязьнадзора    России    в
информационной сфере,  в результате чего имеется реальная  возможность
противоправных деяний в отношении ЛВС и ее ресурсов;
     - вторая - невыполнение требований НД  по  защите,  в  результате
чего  создаются  предпосылки  для  совершения  противоправных деяний в
отношении ЛВС и ее ресурсов;
     - третья   -  невыполнение  других  требований  НД  по  защите  и
организационно  -  распорядительных   документов   Главгоссвязьнадзора
России.
     2.3. Ответственность за защиту ЛВС и ФБД от  несанкционированного
доступа к информации.
     2.3.1. Ответственность    за    защиту    ЛВС    и     ФБД     от
несанкционированного    доступа    к    информации    возлагается   на
администратора безопасности.
     2.3.2. Администратор      безопасности     несет     персональную
ответственность за качество проводимых им работ по  контролю  действий
пользователей при работе в ЛВС, состояние и поддержание установленного
уровня защиты ЛВС.

          3. Требования к рабочей станции и инструментальным
                средствам администратора безопасности

     3.1. Рабочая    станция    администратора   безопасности   должна
представлять   собой   специально   выделенную   для    администратора
безопасности  ПЭВМ,  которая  является  пунктом  управления и контроля
уровня защиты ЛВС и ее ресурсов.
     3.2. Рабочая  станция  администратора  безопасности размещается в
отдельном помещении,  доступ в которое имеют только должностные  лица,
определенные приказом начальника Главгоссвязьнадзора России.
     3.3. Инструментальные средства,  установленные на рабочей станции
администратора  безопасности  (программные,  программно  - аппаратные,
аппаратные),  должны позволять эффективно решать задачи,  поставленные
перед ним.
     3.4. В составе ЛВС должна быть выделена резервная рабочая станция
сети  для  администратора безопасности,  которая должна иметь такую же
комплектацию, как и основная.


                                                            УТВЕРЖДЕНА
                                                   Приказом Начальника
                                            Главгоссвязьнадзора России
                                                 от 22 марта 2000 года
                                                                  N 16

                              ИНСТРУКЦИЯ
                ПО РЕГЛАМЕНТАЦИИ РАБОТЫ ПОЛЬЗОВАТЕЛЕЙ
               ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ В ПРОЦЕССЕ
                     ЕЕ ПРОМЫШЛЕННОЙ ЭКСПЛУАТАЦИИ

                          1. Общие положения

     1.1. Инструкция по регламентации работы пользователей в локальной
вычислительной  сети  в процессе ее промышленной эксплуатации (далее -
Инструкция)   предназначена   для    руководителей    и    сотрудников
Главгоссвязьнадзора  России и регулирует порядок допуска пользователей
к работе в локальной  вычислительной  сети  (ЛВС)  Главгоссвязьнадзора
России, а также правила обращения с защищаемой информацией Федеральной
базы данных частотных присвоений радиоэлектронных средств гражданского
назначения  (ФБД),  обрабатываемой,  хранимой  и  передаваемой  в  ЛВС
Главгоссвязьнадзора России.
     1.2. Положения   Инструкции   обязательны  для  исполнения  всеми
пользователями ЛВС.
     1.3. Все  пользователи ЛВС должны быть ознакомлены под расписку с
Инструкцией  и  предупреждены  о  возможной  ответственности   за   ее
нарушение.

           2. Порядок предоставления доступа к работе в ЛВС

     2.1. Для  работы  в  ЛВС  с  информацией  ФБД каждый пользователь
должен  получить  соответствующий  доступ.  Под  доступом   понимается
получение  каждым  пользователем  ЛВС  только  письменного  разрешения
начальника структурного подразделения (или ответственного должностного
лица,  уполномоченного приказом начальника Главгоссвязьнадзора России)
на право работы  с  защищаемой  информацией  с  учетом  его  служебных
обязанностей.
     Устные указания о  доступе  кого  бы  то  ни  было  к  защищаемой
информации,   находящейся   в   ЛВС,   не  имеют  юридической  силы  и
необязательны для администратора безопасности.
     2.2. Руководители    структурных    подразделений    готовят   на
утверждение списки сотрудников (пользователей ЛВС),  которых по  своим
служебным  обязанностям  необходимо  допустить  к  работе с защищаемой
информацией.  В этих списках определяются права доступа пользователей,
разделы   информации,   на  которые  распространяется  доступ  (группы
доступа), срок начала и окончания действия доступа.
     2.3. Доступ  пользователей  к  работе  в  ЛВС  с  информацией ФБД
организует  администратор  безопасности  при  получении   оформленного
соответствующим образом разрешения.

           3. Требования по безопасности к пользователю ЛВС

     3.1. В  соответствии  с  требованиями  нормативных  документов  и
положениями эксплуатационной документации на ЛВС и ФБД к пользователям
ЛВС предъявляются (под расписку) требования по безопасности,  знание и
выполнение которых каждым пользователем строго обязательно.
     3.2. Пользователь ЛВС и ФБД обязан:
     - знать правила безопасности в ЛВС  и  ФБД  и  принятые  меры  по
защите ресурсов ЛВС (в части, его касающейся);
     - рассматривать выполнение обязанностей по защите ЛВС и  ФБД  как
обязательное условие продолжения своей работы в сети;
     - при работе на своей рабочей станции и в  ЛВС  выполнять  только
служебные задания;
     - при отсутствии необходимости работы в ЛВС выходить из сети;
     - работать в сети только в разрешенный период времени;
     - убедиться  в  исправности  своей  рабочей  станции,  отсутствии
"вирусов";
     - при  сообщениях  тестовых  программ   о   появлении   "вирусов"
немедленно доложить администратору безопасности;
     - в случае необходимости использования гибких магнитных носителей
(дискет), поступивших из других подразделений, учреждений, предприятий
и организаций,  прежде  всего  провести  проверку  этих  носителей  на
отсутствие "вирусов";
     - при решении задач с защищаемой информацией использовать  только
учтенные магнитные носители (например, дискеты);
     - немедленно выполнять предписания администратора безопасности;
     - представлять  свою  рабочую станцию администратору безопасности
для контроля.
     3.3. Требования к пользователю по сохранности пароля.
     3.3.1. Все пользователи ЛВС обязаны:
     - выполнять    требования   организационно   -   распорядительных
документов по применению рабочих станций сети и ЛВС;
     - сохранять пароль в тайне;
     - не сообщать свой пароль другому лицу, даже если это должностное
лицо;
     - вводить личный пароль и другие учетные данные,  убедившись, что
клавиатура находится вне поля зрения других лиц;
     - периодически изменять пароль (не реже 1 раза в месяц).
     3.3.2. Пользователю  запрещается  фиксировать свои учетные данные
(пароли, идентификаторы и др.) на твердых носителях.
     3.4. Пользователю ЛВС запрещается:
     - самовольно  вносить  изменения  в  конструкцию,   конфигурацию,
размещение рабочих станций сети и другие узлы ЛВС;
     - самостоятельно  производить   установку   любого   программного
обеспечения (ПО);
     - оставлять  свою  рабочую  станцию,  подключенную  к  сети,  без
контроля;
     - допускать к подключенной в  сеть  рабочей  станции  посторонних
лиц;
     - запускать на своей рабочей станции или другой  рабочей  станции
сети  любые  системные или прикладные программы,  не входящие в состав
программного обеспечения рабочей станции сети и ЛВС;
     - иметь игровые и обучающие программы на рабочей станции сети;
     - работать с неучтенными магнитными носителями информации;
     - производить  копирование  защищаемой  информации  на неучтенные
носители  информации  (в  том  числе   и   для   временного   хранения
информации);
   - работать на рабочей станции сети  с  защищаемой  информацией  при
обнаружении неисправностей.
     3.5. Ответственность пользователя при работе в сети:
     3.5.1. Пользователь  ЛВС  несет  персональную  ответственность за
соблюдение установленных требований во время работы в ЛВС.
     3.5.2. Ответственность   за   допуск   пользователя   к   ЛВС   и
установленные   ему   полномочия   несет   руководитель   структурного
подразделения Главгоссвязьнадзора России,  подписавший (подтвердивший)
полномочия данного пользователя сети.
     3.5.3. Пользователи  ЛВС,  виновные  в нарушении законодательства
Российской Федерации о  защите  прав  собственности  и  охраняемых  по
закону  сведений,  несут  уголовную,  административную,  гражданско  -
правовую  или  дисциплинарную   ответственность   в   соответствии   с
действующим  законодательством  и  организационно  - распорядительными
документами Главгоссвязьнадзора России.