3.5. Обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа (ОД)

3.5. Обеспечение защиты информации при обработке, хранении

и обращении с информацией ограниченного доступа (ОД)

Цель: Исключение неправомерного распространения информации ограниченного доступа при обработке, хранении и обращении с ней (далее - обращение с информацией ограниченного доступа) вне зависимости от формы представления информации.

Требования к реализации: Защита информации при обращении с информацией ограниченного доступа должна предусматривать:

определение перечня информации ограниченного доступа и предназначенных для ее хранения программно-аппаратных средств, включая съемные внешние средства хранения информации;

обеспечение доступа к информации ограниченного доступа и предназначенных для ее хранения программно-аппаратным средствам только тем лицам, которым такой доступ разрешен в соответствии с внутренними регламентами по защите информации;

контроль передачи, распространения информации ограниченного доступа в информационной системе, в том числе контроль вывода информации ограниченного доступа из информационной системы;

контроль и регистрацию всех фактов доступа пользователей к программно-аппаратным средствам, в которых хранится информация ограниченного доступа, фактов вывода информации ограниченного доступа из информационной системы.

К информации ограниченного доступа следует относить сведения, для носителей которых установлена ограничительная пометка "для служебного пользования", персональные данные, сведения, составляющие коммерческую тайну, и иные виды информации, доступ к которой ограничен в соответствии с федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.

В случае утраты необходимости хранения информации ограниченного доступа должно быть обеспечено удаление (стирание) указанной информации и форматирование машинных носителей, программно-аппаратных средств хранения информации ограниченного доступа (при наличии технической возможности).

При необходимости передачи программно-аппаратных средств хранения информации ограниченного доступа в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения должно обеспечиваться стирание информации ограниченного доступа путем перезаписи мест хранения файлов случайной битовой последовательностью, удаления записи о файлах, обнуление журнала файловой системы или полной перезаписи всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием. При отсутствии возможности форматирования допускается проведение ремонтных работ или уничтожения в присутствии сотрудника (работника) оператора.

При выводе из эксплуатации программно-аппаратных средств хранения информации ограниченного доступа осуществляется физическое уничтожение таких средств или уничтожение содержащейся на них информации с использованием средств уничтожения (стирания) информации. Способы физического уничтожения средств хранения информации должны быть определены во внутренних регламентах по защите информации.

В отношении средств хранения информации ограниченного доступа должны быть приняты меры физической защиты.

Контроль обработки, хранения информации ограниченного доступа в программно-аппаратных средствах и ее передачи должен обеспечиваться в соответствии с внутренним регламентом по защите информации.

О фактах неправомерного распространения информации ограниченного доступа и (или) доступа к средствам ее хранения должен быть незамедлительно проинформирован руководитель оператора (обладателя информации), ответственное лицо.

Требования к документированию: Внутренний регламент, определяющий порядок защиты информации при обращении с информацией ограниченного доступа, должен содержать:

перечень информации ограниченного доступа и предназначенных для ее хранения программно-аппаратных средств, включая съемные внешние средства хранения информации;

перечень лиц (категорий лиц, ролей пользователей), которым доступ к информации ограниченного доступа разрешен для выполнения своих обязанностей (функций), и соответствующих обязанностей (функций), требующих доступа к информации ограниченного доступа;

перечень программно-аппаратных средств, предназначенных для хранения информации ограниченного доступа, подлежащих учету, порядок учета таких средств;

порядок уничтожения программно-аппаратных средств хранения информации ограниченного доступа и (или) их съемных машинных носителей информации;

перечень и содержание мероприятий по контролю за хранением, передачей и распространением информации ограниченного доступа, а также используемых при проведении таких мероприятий программных, программно-аппаратных средств;

перечень подразделений (работников), ответственных за контроль хранения, передачи и распространения информации ограниченного доступа, их обязанности (функции) и права (полномочия);

порядок установления причин неправомерного доступа пользователей к программно-аппаратным средствам, в которых хранится информация ограниченного доступа, неправомерных распространения, вывода, передачи информации ограниченного доступа из информационной системы;

схемы взаимодействия подразделений (работников) при реализации мероприятий по контролю передачи и распространения информации ограниченного доступа (при необходимости).

Требования к усилению:

1) хранение информации ограниченного доступа в программно-аппаратных средствах хранения в зашифрованном виде с использованием шифровальных (криптографических) средств защиты информации;

2) обеспечение хранения информации ограниченного доступа на учтенных съемных внешних средствах хранения информации, с присвоением учетных данных (регистрационных номеров). В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера средств, присвоенных производителями этих средств, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера;

3) обеспечение маркировки машинных носителей информации, съемных внешних средств хранения информации с использованием радиочастотных меток, иных технологий, обеспечивающих однозначную идентификацию и контроль использования носителей, средств;

4) обеспечение хранения программно-аппаратных средств, предназначенных для хранения информации ограниченного доступа, в помещениях, специально предназначенных для хранения носителей информации;

5) применение автоматизированной системы контроля физического доступа в помещения, в которых осуществляется хранение средств, предназначенных для хранения информации ограниченного доступа;

6) обеспечение контроля перемещения используемых в информационной системе съемных внешних средств хранения информации за пределы контролируемой зоны;

7) применение средств защиты от неправомерной передачи информации из информационной системы (в том числе DLP-систем и средств однонаправленной передачи информации);

8) автоматическое маркирование носителя информации при выводе информации ограниченного доступа на печать.