В соответствии с вышеуказанными задачами необходимо разработать или актуализировать комплект следующих организационно-распорядительных документов:
- методика категорирования объектов информатизации ФНС России;
- перечень критичных информационных ресурсов ФНС России;
- регламент предоставления доступа к информационным и программно-аппаратным ресурсам ФНС России;
- должностные обязанности сотрудников ФНС России по обеспечению информационной безопасности.
5.2. Мероприятия по физической защите объектов и средств информатизации ФНС России
Обеспечение физической безопасности всей информационно-телекоммуникационной системы Федеральной налоговой службы и отдельных ее элементов является одной из основных задач, решаемых подсистемой защиты информации. Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Физическая защита направлена на обеспечение безопасности:
- периметра информационной системы (защита контролируемой зоны);
- периметра отдельных объектов системы (выделенных территорий, зданий, помещений);
- носителей информации, оборудования и каналов передачи данных, хранящих, обрабатывающих и передающих информацию в открытом виде (магнитных и бумажных носителей информации, экранов мониторов, серверов и рабочих станций, открытых каналов связи и т.п.);
- ключевых элементов криптографических и парольных систем;
Основными направлениями физической защиты ФНС России являются:
- контроль физического доступа к оборудованию, на контролируемую территорию и в помещения;
- обеспечение безопасности кабельной системы;
- обеспечение безопасности при утилизации отработавшего оборудования и носителей информации;
- обеспечение безопасности рабочих мест.
Контроль физического доступа к оборудованию, на контролируемую территорию и в помещения
На территории ЦА ФНС России и территориальных подразделений следует установить надлежащий контроль доступа в помещения. Правила доступа на территорию должны регламентироваться соответствующим положением (инструкцией).
Для разграничения доступа в помещения, где располагается серверное оборудование и другие критически важные объекты ИТКС ФНС России, целесообразно использовать системы физической защиты, позволяющие регистрировать и контролировать доступ исполнителей и посторонних лиц, основанные на таких методах идентификации и аутентификации персонала, как магнитные и электронные карты с личными данными, биометрические характеристики личности.
Необходимо соблюдать следующие правила доступа в помещения:
- Во всех подразделениях ФНС России необходимо исключить несанкционированное нахождение посторонних лиц, дата и время их входа и выхода должны регистрироваться.
- Посетители должны носить на одежде хорошо различимые идентификационные карточки;
- Необходимо немедленно изъять права доступа в защищенные области (территорию, помещения) у увольняющихся сотрудников.
Кроме того, для предотвращения утечки информации и противодействия потенциальным нарушителям необходимо соблюдать следующие правила:
- Эксплуатация АРМ и серверов должна осуществляться в помещениях, оборудованных надежными замками, средствами сигнализации, исключающими возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающими физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.).
- Размещение и установка АРМ и серверов должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней доступ.
- Уборка помещений, в которых обрабатывается или хранится конфиденциальная или служебная информация, должна производиться в присутствии ответственного, за которым закреплены технические средства (данные), или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.
- В помещениях во время обработки и отображения на АРМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации.
- Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами. Помещения должны быть обеспечены средствами уничтожения документов.
- Вспомогательное оборудование (например, фотокопировальные аппараты, факс-машины) должно быть так размещено, чтобы уменьшить риск НСД к защищенным областям или компрометации конфиденциальной информации.
- Физические барьеры должны по необходимости простираться от пола до потолка, чтобы предотвратить несанкционированный доступ в помещение.
- Запрещается без надобности предоставлять посторонним лицам информацию о происходящем в защищенных областях (территории, помещениях).
- Для обеспечения должного уровня безопасности и для предотвращения вредоносных действий запрещается работать в одиночку (без надлежащего контроля) с критически важными компонентами информационной системы.
- В нерабочее время защищенные области (территория, помещения) должны быть физически недоступны (закрыты на замки) и периодически проверяться охраной.
- Персоналу, осуществляющему техническое обслуживание серверов, должен быть предоставлен доступ в защищенные области (территорию, помещения) только в случае необходимости и после получения разрешения. По необходимости доступ такого персонала (особенно к конфиденциальным данным) следует ограничить, а их действия следует отслеживать.
- Запрещается использование фотографической, звукозаписывающей и видео аппаратуры в защищенных областях, за исключением санкционированных случаев.
- По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.
Обеспечение безопасности кабельной системы ИТКС ФНС России
Защита кабельной системы ИТКС направлена на снижение вероятности несанкционированного доступа к информации путем гальванического подключения к информационным кабелям или снятия информации через побочные электромагнитные излучения и наводки на другие кабели, а также на обеспечение защиты кабельного оборудования от электромагнитных помех.
Кабели электропитания и сетевые кабели для передачи данных необходимо защищать от вскрытия для целей перехвата информации и повреждения. Для уменьшения такого риска в помещениях организации предлагается реализовать следующие защитные меры:
- Кабели электропитания и линии связи, идущие к информационным системам, должны быть проведены под землей (по возможности) или защищены надлежащим образом с помощью других средств.
- Необходимо рассмотреть меры по защите сетевых кабелей от их несанкционированного вскрытия для целей перехвата данных и от повреждения, например, воспользовавшись экранами или проложив эти линии так, чтобы они не проходили через общедоступные места.
- С целью снижения влияния электромагнитных помех, силовые и коммуникационные кабели должны быть разнесены в пространстве.
- Для исключительно уязвимых или критически важных систем следует рассмотреть необходимость принятия дополнительных мер, таких, как:
- шифрование данных;
- установка бронированных экранов и использование запираемых помещений;
- использование других маршрутов или сред передачи данных.
Надежная утилизация отработавшего оборудования и носителей информации
Оборудование, подлежащее выводу из эксплуатации, и использованные носители информации могут содержать остаточную информацию ограниченного доступа. Регламентация порядка и процедур их утилизации позволяет перекрыть каналы несанкционированного доступа к этой информации: