3.5. Обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа (ОД)
3.5. Обеспечение защиты информации при обработке, хранении
и обращении с информацией ограниченного доступа (ОД)
Цель: Исключение неправомерного распространения информации ограниченного доступа при обработке, хранении и обращении с ней (далее - обращение с информацией ограниченного доступа) вне зависимости от формы представления информации.
Требования к реализации: Защита информации при обращении с информацией ограниченного доступа должна предусматривать:
определение перечня информации ограниченного доступа и предназначенных для ее хранения программно-аппаратных средств, включая съемные внешние средства хранения информации;
обеспечение доступа к информации ограниченного доступа и предназначенных для ее хранения программно-аппаратным средствам только тем лицам, которым такой доступ разрешен в соответствии с внутренними регламентами по защите информации;
контроль передачи, распространения информации ограниченного доступа в информационной системе, в том числе контроль вывода информации ограниченного доступа из информационной системы;
контроль и регистрацию всех фактов доступа пользователей к программно-аппаратным средствам, в которых хранится информация ограниченного доступа, фактов вывода информации ограниченного доступа из информационной системы.
К информации ограниченного доступа следует относить сведения, для носителей которых установлена ограничительная пометка "для служебного пользования", персональные данные, сведения, составляющие коммерческую тайну, и иные виды информации, доступ к которой ограничен в соответствии с федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.
В случае утраты необходимости хранения информации ограниченного доступа должно быть обеспечено удаление (стирание) указанной информации и форматирование машинных носителей, программно-аппаратных средств хранения информации ограниченного доступа (при наличии технической возможности).
При необходимости передачи программно-аппаратных средств хранения информации ограниченного доступа в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения должно обеспечиваться стирание информации ограниченного доступа путем перезаписи мест хранения файлов случайной битовой последовательностью, удаления записи о файлах, обнуление журнала файловой системы или полной перезаписи всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием. При отсутствии возможности форматирования допускается проведение ремонтных работ или уничтожения в присутствии сотрудника (работника) оператора.
При выводе из эксплуатации программно-аппаратных средств хранения информации ограниченного доступа осуществляется физическое уничтожение таких средств или уничтожение содержащейся на них информации с использованием средств уничтожения (стирания) информации. Способы физического уничтожения средств хранения информации должны быть определены во внутренних регламентах по защите информации.
В отношении средств хранения информации ограниченного доступа должны быть приняты меры физической защиты.
Контроль обработки, хранения информации ограниченного доступа в программно-аппаратных средствах и ее передачи должен обеспечиваться в соответствии с внутренним регламентом по защите информации.
О фактах неправомерного распространения информации ограниченного доступа и (или) доступа к средствам ее хранения должен быть незамедлительно проинформирован руководитель оператора (обладателя информации), ответственное лицо.
Требования к документированию: Внутренний регламент, определяющий порядок защиты информации при обращении с информацией ограниченного доступа, должен содержать:
перечень информации ограниченного доступа и предназначенных для ее хранения программно-аппаратных средств, включая съемные внешние средства хранения информации;
перечень лиц (категорий лиц, ролей пользователей), которым доступ к информации ограниченного доступа разрешен для выполнения своих обязанностей (функций), и соответствующих обязанностей (функций), требующих доступа к информации ограниченного доступа;
перечень программно-аппаратных средств, предназначенных для хранения информации ограниченного доступа, подлежащих учету, порядок учета таких средств;
порядок уничтожения программно-аппаратных средств хранения информации ограниченного доступа и (или) их съемных машинных носителей информации;
перечень и содержание мероприятий по контролю за хранением, передачей и распространением информации ограниченного доступа, а также используемых при проведении таких мероприятий программных, программно-аппаратных средств;
перечень подразделений (работников), ответственных за контроль хранения, передачи и распространения информации ограниченного доступа, их обязанности (функции) и права (полномочия);
порядок установления причин неправомерного доступа пользователей к программно-аппаратным средствам, в которых хранится информация ограниченного доступа, неправомерных распространения, вывода, передачи информации ограниченного доступа из информационной системы;
схемы взаимодействия подразделений (работников) при реализации мероприятий по контролю передачи и распространения информации ограниченного доступа (при необходимости).
1) хранение информации ограниченного доступа в программно-аппаратных средствах хранения в зашифрованном виде с использованием шифровальных (криптографических) средств защиты информации;
2) обеспечение хранения информации ограниченного доступа на учтенных съемных внешних средствах хранения информации, с присвоением учетных данных (регистрационных номеров). В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера средств, присвоенных производителями этих средств, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера;
3) обеспечение маркировки машинных носителей информации, съемных внешних средств хранения информации с использованием радиочастотных меток, иных технологий, обеспечивающих однозначную идентификацию и контроль использования носителей, средств;
4) обеспечение хранения программно-аппаратных средств, предназначенных для хранения информации ограниченного доступа, в помещениях, специально предназначенных для хранения носителей информации;
5) применение автоматизированной системы контроля физического доступа в помещения, в которых осуществляется хранение средств, предназначенных для хранения информации ограниченного доступа;
6) обеспечение контроля перемещения используемых в информационной системе съемных внешних средств хранения информации за пределы контролируемой зоны;
7) применение средств защиты от неправомерной передачи информации из информационной системы (в том числе DLP-систем и средств однонаправленной передачи информации);
8) автоматическое маркирование носителя информации при выводе информации ограниченного доступа на печать.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875