Лыськова636334357157712851 (1205676), страница 23
Текст из файла (страница 23)
За сохранность оборудования отвечаютназначенные соответствующим приказом материально-ответственные лица.6.8.4. Все технические средства СПДУ, обрабатывающие информацию,составляющую коммерческую тайну ОАО «РЖД» и/или персональные данные,должны быть опечатаны (опломбированы) установленным порядком илиэксплуатироваться в опечатываемых помещениях. Перемещение оборудованиявнутри СПДУ утверждается соответствующим Актом и фиксируется винвентаризационной базе.6.8.5. Все ремонтные и иные работы, проводимые персоналом, неимеющим прав доступа в служебные помещения СПДУ, должны производитьсятолько в сопровождении ответственных работников СПДУ.6.8.6. При передаче в ремонт в другие СПДУ либо внешние организациисредств вычислительной техники, имеющаяся на ее носителях информацияконфиденциального характера должна быть гарантированно уничтожена.В случае если такие носители информации не имеют поломок и могутбыть физически извлечены из передаваемого в ремонт оборудования, носителинеобходимо оставить до окончания ремонта на хранении установленнымпорядком в СПДУ, эксплуатирующем ремонтируемое оборудование.Если ремонту подлежат носители информации, содержащие информациюконфиденциального характера, гарантированное уничтожение которойневозможно, то такие носители должны быть физически уничтожены.6.8.7.
Все основное технологическое оборудование АИТС, участвующеев обработке критичной информации, должно быть обеспеченогарантированным бесперебойным электропитанием.6.8.8. Помещения, в которых находится основное технологическоеоборудование АИТС, должны быть оснащены системами автоматическогопожаротушения, пожарной сигнализацией и системами кондиционирования.6.8.9. Размещение и состояние всех систем жизнеобеспечения, доступа ипожаротушения должно регулярно проверяться.5.9.
Необходимо обеспечить актуальное обновление используемыхинформационных систем и иных программных продуктов.5.10. Запрещается записывать, хранить, распространять информацию непроизводственного характера, определенную примерным перечнем категорий 73информации и программных продуктов непроизводственного характера.5.11.
73 Работникам ОАО «РЖД» запрещается использовать любые средствавычислительной техники, принадлежащие ОАО «РЖД», в личных целях, несвязанных с производственным процессом.6. Контроль выполнения требований Политики информационнойбезопасности Дальневосточной железной дороги6.1. Контроль выполнения требований настоящей Политикиосуществляется путем регулярного проведения уполномоченными работникамиСПДУ, Дальневосточного РЦБ и Хабаровского ИВЦ аудита ИБ.6.2.
Уполномоченные работники СПДУ, Дальневосточного РЦБ иХабаровского ИВЦ должны осуществлять регулярный анализ журналоврегистрации событий, происходящих в АИТС дорожного уровня, с цельювыявления попыток обхода механизмов защиты информации и получениянесанкционированного доступа к информационным активам.6.3. Выявленные факты нарушений настоящей Политики, попыток обходамеханизмов защиты и факты несанкционированного доступа кинформационным ресурсам Дальневосточный РЦБ представляет руководителямсоответствующих подразделений, включая дочерние и зависимые обществаОАО «РЖД».6.4. По всем фактам, связанным с нарушением требований настоящейПолитики и представляющим угрозу для информационной безопасности СПДУ,подразделения (отделы, секторы), работники, организующие работу по защитеинформации подразделений дороги, структурных подразделений и филиаловОАО «РЖД», дочерних и зависимых обществ ОАО «РЖД» в 4 соответствии сдействующими документами ОАО «РЖД» проводят служебные расследования,результаты которых сообщаются в Дальневосточный РЦБ и Хабаровский ИВЦ.Дальневосточный РЦБ имеет право принимать участие в проводимыхслужебных расследованиях.Приложение 1к Политике информационной безопасностиДальневосточной железной дороги (п.
1.3.)Нормативные документы,использованные при разработке Политикиинформационной безопасности Дальневосточной железной дороги1. Доктрина информационной безопасности Российской Федерации,утвержденная Президентом 64 РФ от 9 41 сентября 2000 г. No Пр-1895.2. Федеральный закон от 27 июля 2006 г. 43 No 149- ФЗ « 59 Об информации,информационных технологиях и о защите информации».3. Федеральный закон от 27 96 июля 2006 г. No 152-ФЗ «О 103 персональных данных».4. Федеральный закон от 29 июля 2004 г.
No 98-ФЗ «О 103 коммерческой тайне».5. 50 Указ Президента РФ «Об утверждении перечня сведенийконфиденциального характера» от 6 марта 1997 г. 67 No 188.6. « Сборник руководящих документов по защите информации отнесанкционированного доступа», Гостехкомиссия ( 59 ФСТЭК) России, 1998 г.7. Нормативно-методический документ «Специальные требования ирекомендации по технической защите конфиденциальной информации (СТРК)», 64 Гостехкомиссия ( 79 ФСТЭК) России, 2002 г.8.
Руководящий документ 31 Гостехкомиссии ( 4 ФСТЭК) России «Безопасностьинформационных технологий. Критерии оценки безопасности информационныхтехнологий», 2002 г.9. 65 Руководящий документ Гостехкомиссии ( 4 ФСТЭК) 60 России «Защита отнесанкционированного доступа к информации. Часть 1. Программноеобеспечение средств защиты информации. Классификация по уровню контроляотсутствия недекларированных возможностей», 1999 г.10. 63 ГОСТ Р 50739-95.
Средства вычислительной техники. Защита отнесанкционированного доступа к информации. Общие технические требования.11. ГОСТ Р 50922-2006. Защита информации. Основные термины иопределения.12. 63 ГОСТ Р 51583-2000. Порядок создания автоматизированных систем взащищенном исполнении.13. 21 ГОСТ Р 51241-98. Средства и системы контроля и управления доступом.Классификация. Общие технические требования. Методы испытаний.14. ГОСТ Р 51275-2006.
52 Защита информации. Объект информатизации.Факторы, воздействующие на информацию. Общие положения.15. 64 ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы исредства обеспечения безопасности. Критерии оценки безопасностиинформационных технологий.
Часть 1. Введение и общая модель.16. 67 ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и 79средства обеспечения безопасности. Критерии оценки безопасностиинформационных технологий. Часть 2. Функциональные требованиябезопасности.17. 79 ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы исредства обеспечения безопасности. Критерии оценки безопасностиинформационных технологий.
Часть 3. Требования доверия к безопасности.18. 63 ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология.Практические правила управления информационной безопасностью.19. ISO/IEC 27001:2005 (BS 7799-2:2005). 25 Информационные технологии.Методы обеспечения безопасности. Системы менеджмента информационнойбезопасности. 4 Требования. (Information technology. Security techniques.Information security management systems.
Requirements).20. 25 Стандарт ОАО «РЖД». СТО РЖД 1.18.002-2009. Управлениеинформационной безопасностью. Общие положения.21. 4 Политика корпоративной информатизации ОАО «РЖД», утвержденнаяраспоряжением Президента ОАО «РЖД» от 11.09. 2006 г. No 1872р.22. Приказ ОАО «РЖД» от 27 декабря 2004 г. No 240 «О порядке обращения синформацией, составляющей коммерческую тайну, в ОАО «РЖД».23. Распоряжение 4 ОАО «РЖД» «О контроле за соблюдением режимакоммерческой тайны в ОАО «РЖД» от 12 сентября 2006 г. No 1885.24.
Распоряжение Президента ОАО «РЖД» «Об утверждении типовыхрегламентов взаимодействия ОАО «РЖД» и дочерних обществ ОАО «РЖД» повопросам обеспечения безопасности» от 12 мая 2009 г. No 984р.25. «Методические рекомендации по обследованию защищаемых помещенийОАО «РЖД» и филиалов компании», утвержденные Департаментомбезопасности ОАО «РЖД» 30 апреля 2009 г.26. «Регламент взаимодействия Департамента информатизации икорпоративных процессов управления и Департамента безопасности повопросам создания и эксплуатации автоматизированных систем управления ителекоммуникационных сетей ОАО «РЖД», утвержденный 19 октября 2007 г.вице-президентом ОАО «РЖД» Бобрешовым А.С.27.
«Регламент взаимодействия Региональных центров безопасности –структурных подразделений ОАО «РЖД» с Информационно-вычислительнымицентрами - структурными подразделениями Главного вычислительного центраОАО «РЖД» по вопросам контроля и организации защиты информации вкорпоративном программно-аппаратном комплексе ОАО «РЖД», утвержденный16 октября 2007 г. вице-президентом ОАО «РЖД» Бобрешовым А.С.28. «Регламент взаимодействия Департамента безопасности и региональныхцентров безопасности - структурных подразделений ОАО "РЖД" с 21 филиалами идругими структурными подразделениями, а также дочерними и зависимымиобществами ОАО " 62 РЖД" по вопросам обеспечения безопасности»,утвержденный приказом Президента ОАО «РЖД» от 10 мая 2006 г. No 129.29.
«Регламент взаимодействия ОАО "РЖД" с дочерними и зависимымиобществами в области информационного обеспечения», утвержденныйраспоряжением Президента ОАО «РЖД» от 5 октября 2006 г. No 2013р.30. «Регламент взаимодействия Департамента безопасности и подразделенийбезопасности филиалов и других структурных подразделений ОАО «РЖД»,утвержденный приказом Президента ОАО «РЖД» от 12 мая 2009 г. No100.31. «Регламент охраны конфиденциальности информации, составляющейкоммерческую тайну, при проведении совещаний в ОАО «РЖД» от 17 октября2007 г.
No 1350.32. «Примерный перечень категорий информации и программных продуктовнепроизводственного характера, не подлежащих записи, хранению ираспространению в информационных системах и телекоммуникационных сетяхОАО «РЖД», утвержден вице-президентом ОАО «РЖД» Корниловым Г.В. 20сентября 2004 г. (разработан согласно распоряжению Президента ОАО «РЖД»от 2 августа 2004 г. No 3034р, адресован начальникам железных дорог ифункциональных филиалов за No ВК-8985 от 27.09.2004г.).33.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
