МІНІСТЕРСТВО ЕКОНОМІКИ ТА З ПИТАНЬ
ЄВРОПЕЙСЬКОЇ ІНТЕГРАЦІЇ УКРАЇНИ

НАКАЗ
N 121 від 23.04.2002
м. Київ

Про заходи щодо захисту конфіденційної і
відкритої інформації, що циркулює в
автоматизованій системі Міністерства

З метою дотримання норм захисту конфіденційної і відкритої інформації, що циркулює в автоматизованій системі Міністерства, НАКАЗУЮ:

1. Затвердити нормативний документ Комплексної системи захисту інформації в автоматизованій системі Міністерства - Інструкцію користувача автоматизованої системи 3 класу, що додається.

2. Керівникам департаментів згідно з положеннями зазначеної Інструкції подати управлінню інформаційних технологій інформацію про користувачів та відповідні автоматизовані робочі місця, які доцільно задіяти в роботі з автоматизованою системою 3 класу.

3. Управлінню інформаційних технологій протягом двох місяців провести навчання користувачів автоматизованої системи 3 класу та ознайомити із зазначеною Інструкцією.

4. Контроль за виконанням цього наказу покласти на керівника адміністративного департаменту Дробного В.В.

Державний секретар В.Першин

Затверджено
Наказ Міністерства економіки
та з питань європейської
інтеграції України
23.04.2002 N 121

Комплексна система захисту інформації в
автоматизованій системі Міністерства

Інструкція
користувача автоматизованої системи 3 класу

Галузь використання

Ця Інструкція регламентує роботу співробітників Міністерства в частині захисту конфіденційної (для службового користування) та іншої інформації, що є власністю держави, під час користування автоматизованою системою 3 класу (далі - АС 3) - окремою локальною підмережею Міністерства, що приєднана до мережі Інтернет та електронної пошти.

Положення Інструкції не поширюються на роботи, які пов'язані з обробленням інформації, що становить державну таємницю, а також інформації, що має криптографічний захист.

Нормативні посилання

Ця Інструкція розроблена на підставі:

Закону України "Про захист інформації в автоматизованих системах" ( 80/94-ВР );

Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, затвердженої постановою Кабінету Міністрів України від 27 листопада 1998 р. N 1893 "Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави";

Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, у Міністерстві економіки України, затвердженої наказом Міністерства від 18.05.99 N 67-ДСК "Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави у Міністерстві економіки України";

НД ТЗІ 1.1-002-99. Загальних положень щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 N 22 "Про затвердження і введення в дію нормативних документів";

НД ТЗІ 2.5-005-99. Класифікації автоматизованих систем і стандартних функціональних профілів захищеності оброблюваної інформації від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 N 22;

НД ТЗІ 2.5-004-99. Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 N 22.

Визначення

Згідно з НД ТЗІ 2.5-005-99. Класифікацією автоматизованих систем і стандартних профілів захищеності оброблюваної інформації від несанкціонованого доступу автоматизовані системи розподіляють на три класи:

клас "1" - одномашинний однокористувачевий комплекс;

клас "2" - локалізований багатомашинний багатокористувачевий комплекс;

клас "3" - розподілений машинний багатокористувачевий комплекс, у якому передання інформації здійснюється через незахищене середовище (глобальну мережу).

Інші використані в документі терміни і визначення відповідають НД ТЗІ 1.1-003-99. Термінології в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 N 22;

Загальні положення

Широке застосування програмно-технічних обчислювальних засобів імпортного походження при приєднані їх до Інтернету принципово унеможливлює здійснити надійний захист інформації, що належить державі. У таких умовах забезпечення конфіденційності, цілісності і доступності інформації можливе лише в разі фізичного відокремлення автоматизованої системи, де циркулює інформація, яка потребує захисту (АС 2), від системи, яка приєднана до Інтернету - АС 3.

В Інструкції викладено організаційно-технічні заходи, що враховують і компенсують неможливість у сучасних умовах забезпечити програмно-технічними засобами надійний захист АС 3 з точки зору конфіденційності, цілісності і доступності інформації, яка в ній циркулює.

У зв'язку з неможливістю без використання криптографії гарантувати цілісність та авторизованість документів, отриманих електронною поштою, таку інформацію не дозволяється використовувати для прийняття державних рішень без додаткової перевірки.

Вимоги до організації автоматизованої
системи 3 класу в Міністерстві

При організації АС 3 необхідно дотримуватися таких вимог: для розмежування потоків інформації, що циркулює в АС Міністерства, локальна мережа АС 3 має бути фізично відокремлена від загальної локальної мережі Міністерства;

один і той самий комп'ютер не може одночасно бути приєднаний до АС 3 і АС 2. Обмін інформацією між обома системами здійснюють за допомогою дискет або фізичним переключенням комп'ютера з одної системи на іншу;

приєднання до АС 3 незахищених комп'ютерів (де зберігається нетаємна інформація), які розміщені в категорійованих приміщеннях чи суміжних з ними приміщеннях, можливе лише, якщо це дозволено режимним приписом на об'єкти категоріювання з безумовним виконанням цього припису користувачами АС 3;

приєднання до Інтернету захищених комп'ютерів для АС класів 1 і 2, на яких обробляють таємну інформацію, у будь-який спосіб і за будь-яких умов заборонено;

архітектура локальної мережі має бути побудована як дворівнева - з управлінням від проксі-серверу, на якому "прописані" імена користувачів з паролями доступу, що унеможливлює неконтрольоване приєднання користувачів до Інтернет і електронної пошти;

Інтернет-вузол Міністерства повинен мати програмні засоби захисту, які перешкоджають несанкціонованому витоку інформації через мережу Інтернет і електронну пошту, а також запобігають руйнуванню або модифікації інформації із зовні.

В окремих випадках за погодженням з управлінням інформаційних технологій дозволяється для виходу до глобальної комп'ютерної мережі користуватися індивідуальними факс-модемами, приєднаними до розеток міської телефонної мережі. Якщо через факс-модем здійснюється вихід до Інтернету, то, крім дотримання цієї Інструкції, необхідно дотримуватися вимог чинних нормативних документів щодо визначення провайдера.

Заходи запобігання витоку інформації через глобальну мережу

Для захисту інформації, що є власністю держави, користувачу забороняється обробляти або зберігати на комп'ютері, що входить до АС 3, такі види інформації:

з грифом "для службового користування";

внутрішні організаційно-розпорядчі документи (накази, доручення, службові записки, протоколи засідань, акти тощо);

документи щодо кадрової політики Міністерства;

документи бухгалтерського обліку і звітності, інші фінансові документи щодо господарської діяльності Міністерства, документи, у яких віддзеркалена матеріальна база Міністерства;

юридичні документи щодо господарської діяльності Міністерства;

документи що містять конфіденційну інформацію, яка належить контрагентам Міністерства;

документи щодо майбутніх переговорів з іноземними представниками;

тези виступів керівництва Міністерства;

інші матеріали, безконтрольне розповсюдження яких за межами Міністерства не є доцільним. На комп'ютерах, які не входять до АС 3, зазначені вище види інформації дозволяється обробляти і зберігати без обмежень. При оброблені конфіденційної інформації з грифом "для службового користування" необхідно користуватися Інструкцією про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, у Міністерстві економіки України. Додатково до вимог цієї Інструкції рекомендовано конфіденційну інформацію зберігати в окремій комп'ютерній "папці" (розділі), доступ до якої з боку інших користувачів локальної мережі програмно заборонено.

Захист інформації від пошкодження

З метою захисту інформації, що циркулює в АС 3 від пошкодження, користувач повинен:

регулярно оновлювати антивірусні програми на своєму комп'ютері в порядку, установленому в Міністерстві;

знищувати виконавчі файли (з файловими розширеннями ВАТ, СОМ, ЕХЕ), які надійшли з електронною поштою, якщо отримання таких файлів не було передбачено за домовленістю з адресантом;

зберігати копії електронних документів великого обсягу, іншу трудомістку і цінну інформацію на змінних носіях інформації або на файловому сервері АС 3.

Повноваження користувача

Перелік користувачів АС 3 формується на підставі заяв керівників департаментів. Заява має бути завізована адміністратором АС 3 (з урахуванням технічних можливостей системи) і мати резолюцію начальника управління інформаційних технологій щодо її виконання.

У загальному випадку користувач має можливість:

виходу до Інтернету через особистий пароль;

виходу до поштового серверу через особистий пароль і особисту поштову адресу;

обмінюватися інформацією з іншими користувачами мережі АС 3;

користуватися особистим або мережевим принтером і сканером;

користуватися файловим і інформаційним серверами, приєднаними до АС 3;

здійснювати обмін інформацією між АС 3 і АС 2 через дискети або за допомогою фізичного переключення комп'ютера.

Для запобігання несанкціонованого доступу інших співробітників Міністерства до комп'ютерів АС 3, що може призвести до оброблення на них недозволеної інформації, користувач для входу до операційної системи має використовувати персональні паролі.

Начальник управління інформаційних технологій I.Заболоцький