Рекомендации по обеспечению режима безопасности при обработке конфиденциальной информации

Рекомендации по организационному обеспечению безопасности СКЗИ (для клиента и банка):

min На предприятии должны быть созданы условия, обеспечивающие сохранность конфиденциальной информации, доверенной предприятию юридическими и физическими лицами, пользующимися их услугами.

min Руководством предприятия должны быть назначены лица (администраторы безопасности), ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ;

MAX Вопросы обеспечения функционирования и безопасности СКЗИ должны быть отражены в специально разработанных документах, утверждённых руководством предприятия, с учётом эксплуатационной документации на СКЗИ;

Рекомендации по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены СКЗИ:

min Размещение, специальное оборудование и режим в помещениях, в которых размещены СКЗИ (далее помещения), должны обеспечивать безопасность информации, СКЗИ и ключевой информации, сведению к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами;

MAX Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учётом специфики и условий работы банка;

MAX При расположении помещения ЦУКС на первых и последних этажах зданий, а так же при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решётками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надёжные замки;

min Для хранения ключевых дискет, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей  должны храниться в сейфе ответственного лица, назначаемого руководством банка;

MAX Установленный руководителем банка порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны;

MAX Размещение и установка средств СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ;

min Системные блоки ЭВМ с СКЗИ должны быть оборудованы средствами контроля их вскрытия.

Рекомендации по обеспечению безопасности хранения носителей ключевой информации:

min Все ключи шифрования, ключи ЭЦП и инсталляционные дискеты должны браться на предприятии на поэкземплярный учёт в выделенных для этих целей журналах;

min Учёт и хранение носителей ключей шифрования и инсталляционных дискет, непосредственная работа с ними поручается руководством предприятия специально выделенным работникам предприятия.

min Хранение ключей шифрования, ключей ЭЦП, инсталляционных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, непредусмотренное правилами пользования СКЗИ, применение.

MAX Наряду с этим должна быть предусмотрена возможность безопасного раздельного хранения рабочих и резервных ключей, предназначенных для использования в случае компрометации рабочих ключей в соответствии с правилами пользования СКЗИ;

min Действующий закрытый ключ ЭЦП, записанный на носитель ключевой информации (дискету или др.), должен хранится в личном, опечатываемом сейфе (контейнере) ответственного лица, назначенного Приказом по банку. Возможность копирования и несанкционированного использования ЭЦП посторонним лицом должна быть исключена. Указанное лицо несёт ответственность за правильность использования и хранения закрытого ключа ЭЦП;

MAX Резервный ключ ЭЦП должен хранится так же, как и действующий, но обязательно в отдельном опечатанном контейнере;

min В случае компрометации или утраты закрытого ключа ЭЦП, сотрудник, ответственный за использование ключа ЭЦП, немедленно сообщает об этом своему начальнику и администратору безопасности (лицу, ответственному за работу с ключевой информацией);

min В случае отсутствия у оператора СКЗИ индивидуального хранилища, ключевые дискеты по окончании рабочего дня должны быть опечатаны в отдельном контейнере и сданы лицу, ответственному за их хранение;

min Уполномоченными лицами периодически должен проводиться контроль сохранности входящего в состав СКЗИ оборудования, а так же контроль целостности всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов.

Рекомендации по требованиям  к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) СКЗИ:

min К работе с СКЗИ допускаются решением руководства организации только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ПЭВМ, изучившие правила пользования и эксплуатационную документацию по СКЗИ;

min Сотрудник должен иметь представление о возможных угрозах информации при её обработке, передаче, хранении, методах и средствах защиты информации.

Уничтожение ключевой информации и дискет:

min Уничтожение ключевой информации с дискет должно производиться путём двойного безусловного переформатирования дискеты командой ДОС «FORMAT A: /U».

MAX Об уничтожении ключевой информации с дискеты делается запись в журнале учёта ключевых дискет;

min Уничтожение ключевой дискеты, пришедшей в негодность должно производиться путём расплавления на огне (сожжения) или измельчения гибкого магнитного диска, извлечённого из корпуса.

MAX Об уничтожении дискеты составляется акт и делается соответствующая запись в журнале учёта ключевых дискет;

MAX Уничтожение информации с других видов носителей информации производится в соответствии с документацией к этим носителям информации.