Положение о порядке организации и проведения работ по защите конфиденциальной информации ЗАО «Ассоциация специалистов информационных систем», страница 2

1.17.  Система защиты информации от НСД (СЗИ НСД) - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в АС.

1.18.  Служебная информация СЗИ НСД - информационная база АС, необходимая для функционирования СЗИ НСД (уровень полномочий эксплуатационного персонала АС, матрица доступа, ключи, пароли и т.д.).

1.19.  Технический канал утечки информации – совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

1.20.  Техническая защита конфиденциальной информации (ТЗКИ) - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.


2.ОБЩИЕ ПОЛОЖЕНИЯ

2.1.  Настоящее Положение о порядке организации и проведения работ по защите конфиденциальной информации (далее Положение) определяет порядок и организацию проведения работ по защите конфиденциальной информации на объектах защиты, а также порядок учета, хранения, использования и уничтожения конфиденциальных МНИ и БНКИ в ЗАО «АСИС» (далее - организация), и является основным руководящим документом.

2.2.  Положение разработано на основании «Специальных требований и рекомендаций по технической защите конфиденциальной информации» (СТР-К) Гостехкоммиссии России (ФСТЭК России). и “Типовых требований к содержанию и порядку разработки Руководства... “ (Решение Гостехкомиссии России № 42 от 03.10.95 г.).

2.3.  Положение является документом обязательным для выполнения при проведении работ по защите информации, содержащей конфиденциальные сведения, от утечки по техническим каналам (далее защита информации).

2.4.  Положение определяет организацию и порядок проведения мероприятий, направленных на обеспечение защиты информации от технических средств перехвата информации в организации, расположенной по адресу: 194100, г. Санкт-Петербург, ул. Кантемировская, д. 7, помещение  7501.

2.5.  Основными направлениями работ по защите информации являются:

-  обеспечение эффективного функционирования системы защиты конфиденциальной информации в организации;

-  анализ и оценка реальной опасности несанкционированного доступа (НСД), разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;

-  определение охраняемых сведений, демаскирующих признаков, каналов утечки информации с целью исключения возможности перехвата информации;

-  разработка оптимальных организационно-технических мероприятий защиты информации и их практическая реализация;

-  организация и проведение контроля эффективности применяемых мер защиты информации.

2.6.  Защита информации в организации осуществляется путем выполнения комплекса мероприятий, предотвращающих ее утечку по техническим каналам и в результате НСД к информации, а так же путем:

-  предупреждения непреднамеренных воздействий на защищаемую информацию;

-  предупреждения преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения;

-  проведения специальных работ порядок, организация и выполнение которых определяется руководящими, нормативно-техническими и методическими документами по защите информации.

2.7.  Защита информации считается достаточной, если принятые меры обеспечивают выполнение действующих норм и требований руководящих документов по защите информации.

2.8.  Основными способами и мерами защиты информации в организации являются:

-  аттестация ОИ, ЗП, АС;

-  использование (применение) сертифицированных средств защиты информации и контроль их эффективности;

-  классификация АС по требованиям безопасности;