Положение о методах и способах защиты информации. Выдержки
Приказ от 5 февраля 2010 г. N 58 ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. Общие положения
Положение касается систем обработки персональных данных (ПД) и лиц организующих и осуществляющих обработку ПД (операторы и уполномоченные лица). Под данную категорию попадают все программные продукты компании «Кинт». Государственная тайна и вопросы применения криптографических методов и способов защиты информации в данном положении не затрагиваются.
Защита информации (в том числе ПД) подразделяется на 2 типа — защита от несанкционированного доступа и защита от утечки. Меры по защите речевой информации и защите технических средств (персональных данных, документов) от физического доступа в компетенцию разработчика не входят.
Оператором (уполномоченным лицом) должен быть определен ответственный (сотрудник, подразделение, привлекаемая организация) по защите информации, в том числе ПД.
Выбор и реализация методов и способов защиты информации в информационной системе осуществляются в зависимости от класса информационной системы. Перечень мер приведен в приложении.
II. Методы и способы защиты информации от несанкционированного доступа.
Перечислены все способы и методы защиты информации от несанкционированного доступа при работе в изолированной среде и при подключении к каналам связи.
Определена необходимость антивирусной защиты.
Определены дополнительные меры по защите при обработке государственных информационных ресурсов.
Определена необходимость использования защищенных каналов связи при передаче персональных данных.
Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.
Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость такого контроля в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
III. Методы и способы защиты информации от утечки по техническим каналам
Определена необходимость защиты речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей в определенных случаях.
Определены методы и способы защиты информации для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса .
Определено, что в информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов.
Определены общие требования к помещениям, в которых размещаются устройства вывода информации.
В приложении определены минимально необходимые методы и средства защиты от несанкционированного доступа для систем в зависимости от класса.