По обеспечению защиты информации

Практическая реализация мероприятий по защите информации и контроль за соблюдением безопасности информации на предприятии возлагается на специалиста по защите информации.

На специалиста по защите информации (СПЗИ) возлагается:

1. Организация работ по выполнению требований законодательных актов РФ и нормативно - распорядительных документов предприятия в части обеспечения безопасности и защиты информации.

2. Разработка проектов приказов, распоряжений, руководств и инструкций по обеспечению защиты информации на предприятии и ее безопасности, осуществление контроля за выполнением требований указанных документов.

3. Анализ состояния работ по обеспечению защиты информации на предприятии, оценка эффективности защиты информации и разработка предложений по ее совершенствованию.

4. Участие в работе комиссии по аттестации выделенных помещений и размещенных в них технических средств.

5. Контроль за выполнением специальных требований по размещению технических средств, прокладкой кабельных трасс и инженерных систем.

6. Составление списков пользователей, допущенных к конфиденциальной информации на СВТ. Инструктирование вновь принимаемых работников о соблюдении правил обращения с конфиденциальной информацией и ознакомление их с инструктивными материалами по защите информации с оформлением “Обязательства”.

7. Разграничение доступа среди пользователей и оперативно - диспетчерского персонала к информации на СВТ и ЛВС.

8. Контроль за созданием и ведением базы эталонных копий программного обеспечения автоматизированных информационных систем и разрешенного программного обеспечения.

9. Контроль за применением разрешенного программного обеспечения.

10. Осуществление контроля за передачей сторонним организациям конфиденциальной информации в соответствии с заключёнными договорами.

11. Обеспечение установки и контроля за работой технических средств охраны, наблюдения, регистрации и разграничения доступа в помещениях в зонах усиленного режима.

12. Обучение, инструктажи и консультации сотрудников по вопросам обеспечения сохранности информации на СВТ и использованию средств защиты информации.

13. Участие в проведении расследований по фактам нарушения безопасности информации.

14. Участие в работе всех служб по подготовке документов и осуществлению практических мероприятий, затрагивающих вопросы защиты информации.

На административно - хозяйственный отдел (АХО) возлагается:

· Организация совместно с СПЗИ (специалист по защите информации) установки и эксплуатации охранной, пожарной сигнализации, организация пропускного режима в зоны усиленного режима.

· Согласование с СПЗИ проектов и планов проведения работ в зонах усиленного режима.

· Создание совместно со СПЗИ надлежащих условий, обеспечивающих: сохранность СВТ, машинных и бумажных носителей информации; уничтожение отслуживших срок носителей информации; сохранение резервных копий баз данных;

· Оборудование помещений: хранилища для хранения документов на бумажных носителях; хранилища для хранения документов на машиночитаемых носителях; помещения для приема документов; помещения для сотрудников архива.

Помещения оборудуются в соответствии с "Требованиями по обеспечению сохранности документов в архивах" и другими руководящими документами.

На спецчасть возлагается:

· Хранение запасных экземпляров ключей от входных дверей помещений ЗУР (зона усиленного режима) здания, находящихся в них сейфов и металлических шкафов, распашных металлических решеток с замками.

· Ведение “Журнала учёта представления конфиденциальной информации” сторонним организациям.

На отдел кадров возлагается:

· Организация совместно с СПЗИ подготовки и обучения сотрудников по вопросам защиты информации.

· Согласование с СПЗИ начальниками или руководителями служб, отделов кандидатур на должности администраторов БД.

На юридический отдел предприятия возлагается:

· Заключение договоров со сторонними организациями о передаче и получении конфиденциальной информации с соблюдением требований закона РФ от 20 февраля 1995 г. № 24-Ф3 “Об информации, информатизации и защите информации” и “Перечня сведений конфиденциального характера” и других руководящих документов.

На отдел автоматизации возлагается:

· Обязательное согласование с ГСПЗИ всех работ по размещению СВТ, подключению СВТ и ЛВС к линиям связи.

· Сдача в базу эталонных копий централизованно поступающих версий программного обеспечения АИС и разрешенного программного обеспечения, а также любого программного обеспечения.

· Учет у ГСПЗИ применяемых технических и программных средств защиты информации.

· Регулярное проведение ремонтно-профилактических работ с целью предотвращения утраты информации в результате поломок СВТ.

· Планирование и реализация разработанных мероприятий по защите ПО и ИО от воздействия программ-вирусов.

· Администраторами БД и АИС еженедельно проводить профилактические работы на серверах для выявления и уничтожения программ-вирусов.

· Проверка ГМД (гибкие магнитные диски), поступающих от других сторонних организаций на наличие на них программ-вирусов.

· Защита учтенных дискет от записи при копировании с них информации.

· Информирование СПЗИ о всех сбоях и необычных ситуациях возникающих при эксплуатации СВТ и ЛВС.

· Организация резервного копирования баз банных, разработка и контроль за соблюдением регламента резервного копирования данных. Включение в инструкции для персонала по работе с программным обеспечением разделов, связанных с защитой информации.

· Учет требований защиты информации при организации разработки и сопровождения программного обеспечения (ПО).

· Согласование с СПЗИ технических заданий на разработку ПО и на внесение изменений в рабочие программы и массивы постоянной информации для задач, принятых в эксплуатацию.

На отдел учета поступления и расходования средств и экономический отдел возлагается:

· Определение, совместно с СПЗИ, уровня конфиденциальности информации функционирующей в отделах, и принятие мер по защите информации на СВТ в соответствии с данной инструкцией, другими нормативно - распорядительными документами по защите информации.

Начальники служб обязаны:

· Совместно с АХО провести мероприятия по установке охранной и противопожарной сигнализации в помещениях, где размещены СВТ, вводится, хранится и обрабатывается конфиденциальная информация.

· Совместно с отделом автоматизации организовать сохранение и осуществлять контроль за сохранностью БД и программного обеспечения АИС.

· Совместно с СПЗИ составлять список разграничения доступа пользователей к информационным ресурсам в своих подразделениях.

· Организовать порядок приема сведений от плательщиков, исключающий возможность случайного разглашения конфиденциальной информации, НСД к БД.

· Определение функциональных обязанностей работников СУ с учетом их персональной ответственности, определение кандидатур на возложение обязанностей:

- администратора базы данных (один человек на локальную сеть);

- координаторов по информационной безопасности (один человек на комнату, если в ней три и более рабочих места);

- ответственного лица за ведение журнала учета машинных носителей информации и машинных документов.

Администратор базы данных обязан:

· Не реже одного раза в месяц производить смену паролей в соответствии с процедурой, определяемой ГСПЗИ;

· Осуществлять резервное копирование БД АИС согласно установленного регламента с соблюдением требований;

· Перераспределять по ЛВС доступ к группам плательщиков между уполномоченными в соответствии с указаниями главного (старшего) уполномоченного;

· Своевременно информировать СПЗИ о возникновении угрозы и свершившихся случаях утраты, искажения информации, несанкционированного доступа к информации. В необходимых случаях принимать меры к восстановлению БД с использованием МНИ резервного копирования;

· Проведение еженедельных профилактических работ на серверах для выявления программ - вирусов, в случае обнаружения сообщать об этом ГСПЗИ и в отдел автоматизации.

Порядок работы, исключающий возможность случайного разглашения конфиденциальной информации:

· Размещение и установка СВТ должны предотвращать визуальный просмотр обрабатываемых сведений лицами, не имеющими к ним отношения.

· В комнате, где производится прием граждан, должно находиться не более одного посетителя на одного ведущего прием сотрудника.

· При работе с посетителем на столе и на мониторе компьютера должна находиться информация, касающаяся только этого посетителя.

· При оставлении сотрудником рабочего места необходимо убрать все бумажные и магнитные носители из поля зрения посетителей (желательно запереть на замок в шкаф или ящик стола).

· Служебное помещение (комната) в течение рабочего дня не должно оставаться без присмотра, последний выходящий из помещения сотрудник должен попросить выйти из него посетителей и закрыть дверь на замок.

· Двери помещений ЗУР в течение рабочего дня должны сразу же закрываться на замок при входе и выходе.

Каждый сотрудник, использующий в работе СВТ (пользователь), несет персональную ответственность за выполнение правил и требований по обеспечению защиты информации.

Допуск к конфиденциальной информации работникам разрешается после подписания работником соответствующих обязательств, изучения им требований инструкции и других нормативных документов по защите информации.

Пользователь обязан:

· Соблюдать требования распорядительных, нормативно - методических документов, регламентирующих защиту информации при работе на СВТ.

· Строго хранить конфиденциальную информацию, не допускать возможность просмотра или прослушивания сторонними лицами информации о плательщиках при ее получении, передаче и обработке.

· При работе на СВТ применять МНИ, учтенные в подразделении.

· Производить обработку информации служебного характера только после полной перезагрузки операционной системы, если перед этим на компьютере работал другой пользователь, или выполнялись программы, не связанные с обработкой служебной информации (обучение и т.п.).

· При обнаружении сбоев при работе СВТ или программного обеспечения прекратить работу на компьютере и сообщить о случившемся руководителю или лицу, ответственному за защиту информации.

При эксплуатации СВТ ЗАПРЕЩАЕТСЯ:

1. Обрабатывать информацию и решать задачи с грифом выше "ДСП" без применения сертифицированных средств защиты.

2. Допускать к защищенной информации лиц, не имеющих к ней отношения.

3. Работать на СВТ с неучтенными МНИ.

4. Записывать программы, не предназначенные для обработки служебной информации, на машинные носители с программным обеспечением служебного пользования и базами данных (данными), без согласования с лицом, ответственным за защиту информации.

5. Производить копирование информации с учтенных МНИ на неучтенные.

6. Уничтожать, копировать, модифицировать или производить какие-либо другие действия над программами, данными других пользователей, без согласования с руководителем подразделения и лицом, ответственным за защиту информации.

7. Работать с программами не служебного пользования на компьютерах, где хранится и обрабатывается служебная информация, без согласования с руководителем подразделения и лицом, ответственным за защиту информации.

8. Работать с программами и данными служебного пользования при обнаружении неисправностей СВТ.

9. Открывать, разбирать, ремонтировать СВТ и отстыковывать соединительные кабели без разрешения ответственного за ее эксплуатацию лица.

10. Выносить учтенные МНИ за пределы помещений.

 

5. Ввод в эксплуатацию и сопровождение

программного обеспечения

Основанием для ввода в эксплуатацию программных средств является решение управляющего. Проверка и тестирование средств программного обеспечения (ПО) должны проводиться только на учебных исходных данных (условной информации). Прием и ввод в эксплуатацию общего программного обеспечения (ОПО) и средств защиты информации (СЗИ) в ОАО «Н-ский Аэропорт» осуществляется комиссией, в состав которой входит СПЗИ, и оформляется актом. Второй экземпляр акта хранится у СПЗИ.

Внесение изменений в рабочие программы и массивы постоянной информации для ПО, принятого в эксплуатацию, производится отделом автоматизации на основании технического задания в соответствии с методическими указаниями. Техническое задание согласовывается с СПЗИ.

 

6. Каналы утечки информации и способы защиты.

1. Утечка информации может происходить как через несанкционированный доступ к носителям информации СВТ и ЛВС, так и без непосредственного доступа к ним, путем снятия акустического и электромагнитного информативных сигналов. Преобразование акустического и электромагнитного излучения СВТ в текстовую и другую доступную для восприятия информацию производится с использованием современных методов обработки информации, которые основаны на математическом моделировании. А лгоритмы преобразования различных видов информативных сигналов в доступную для восприятия человеком форму реализованы в виде программ для компьютеров и программно - аппаратных комплексов.

2. Утечка информации способом перехвата акустического информативного сигнала возможна при работе телетайпов, матричных принтеров, пишущих машинок и т.п. Способом перехвата является установка подслушивающих устройств внутри помещений, на внешних стенах помещений, специальных устройств расположенных на расстоянии в пределах прямой видимости помещений. Аналогично осуществляется перехват речевого сигнала.

3. Утечка информации способом перехвата электромагнитного излучения наблюдается при работе мониторов (информация на экране), лазерных принтеров и т.п. При этом возможны следующие каналы утечки информации:

· Перехват информативного сигнала излучаемого устройствами СВТ, находящимися в неэкранированных помещениях, на специальные устройства, которые могут располагаться в радиусе нескольких сотен метров от здания штаба.

· Снятие информативного сигнала с проводов и линий выходящих за пределы контролируемой зоны (цепи заземления, электропитания и т.п.).

· Снятие неравномерности тока потребления, которая обусловлена работой технических средств.

· Прием радиоизлучения внедряемых в технические средства и помещения специальных устройств для передачи во вне электромагнитного информативного сигнала.

4. Утечка информации возможна при передаче данных по каналам связи (радиосвязь, телефонные сети, кабельные системы ЛВС и т.п.). При этом возможны следующие каналы утечки информации:

· Подключение устройств перехвата информации к кабелям и коммуникационным узлам соответствующих систем.

· Несанкционированный доступ к информации функционирующей в ЛВС путем непосредственного использования злоумышленником подсоединенного в сеть компьютера, или через самостоятельно произведенное подсоединение своего компьютера к ЛВС, или через подсоединение удаленного компьютера к ЛВС по телефонной сети (при наличии подключения в сети через модем).

· Установка под предлогом демонстрации работы программы или инсталляции программного обеспечения программы типа компьютерного вируса ("троянский конь"), которая осуществляет автоматическую несанкционированную передачу конфиденциальных сведений через модем на специально оборудованный пункт приема информации, или на компьютер в ЛВС, на который злоумышленники имеют доступ.

· Установка в СВТ специальных технических средств съема и несанкционированной передачи информации по линиям связи под предлогом ремонта СВТ или поставок нового оборудования.

5. Утечка информации может быть произведена через хищение компьютеров, хищение или подмену МНИ, в том числе жестких дисков (под предлогом ремонта, осмотра СВТ и т.д.).

6. Через указанные каналы утечки информации возможно воздействие на информацию с целью ее искажения или уничтожения.

Поломки и сбои СВТ могут быть специально спровоцированы с целью уничтожения информации для ее последующего искажения или установки программных или аппаратных средств несанкционированного доступа

7. Утечка информации может происходить при передаче по незащищенным каналам связи несекретной служебной информации, по совокупности которой можно получить конфиденциальную информацию.

8. Способы защиты и обеспечения безопасности информации представляют собой применение следующего комплекса мер:

· Предотвращение утечки информации за счет перехвата электромагнитного и акустического сигнала достигается путем применения специальных технических средств, экранированием и звукоизоляцией зданий, применением специальных технических решений при установке сетей электропитания и контуров заземления, организационными мероприятиями.

· Исключение несанкционированного доступа посторонних лиц к информационным ресурсам СВТ достигается установкой автоматической системы ограничения доступа в ЗУР, организацией пропускной системы.

Исключить несанкционированный доступ к информации по ЛВС позволяет организация разграничения доступа через настройку файловой системы, ведение системы логических имен и личных кодов пользователей АИС, установка специальных программно - аппаратных средств контроля доступа к информационным ресурсам, использование криптографических методов защиты, соблюдение правил данной инструкции в части работы пользователей СВТ.

· Выявление внедрения в СВТ технических средств съема или разрушения информации, а также предотвращение указанных действий достигается регулярным проведением профилактических осмотров и ремонта СВТ работниками отдела автоматизации ОАО «Н-ский аэропорт». Профилактика внедрения аналогичных программных средств достигается специальными организационными мероприятиями описанными в п.5.

7. Защита ПО и информационного обеспечения (ИО) от программ-вирусов.

Довольно часто в печати появляются сообщения о нападениях на информационные и вычислительные центры компьютерных вирусов. Некоторые из них, например «Микеланджело», уничтожают информацию, другие – такие, как «Червяк Моррисона», проникают сквозь систему сетевых паролей. Но борьба даже со сравнительно безопасными вирусами требует значительных материальных затрат. По оценкам специалистов инженерного корпуса США, при обнаружении и уничтожении в вычислительных сетях военного ведомства вируса «Сатанинский жук» затраты составляли более 12000 долларов в час. Наиболее часто для борьбы с компьютерными вирусами применяются антивирусные программы, реже – аппаратные средства защиты.

Под термином "компьютерные вирусы" понимаются специально разработанные, программы, программные модули, блоки, группы команд, умышленно включаемые в программное обеспечение с целью дезорганизации процесса обработки информации на СВТ, осуществления разрушения или модификации хранящихся на МНИ программ и данных. К ним относятся программы типа "троянский конь", распространяющиеся аналогично программам - вирусам и предназначенные осуществлять автоматический несанкционированный доступ к конфиденциальной информации.

Для защиты информации от воздействия программ-вирусов необходимо соблюдение следующих требований:

1. Разграничение через систему паролей доступа пользователей к привилегированным функциям ЛВС и БД (например, администрирование).

2. Разграничение допуска пользователей в помещения операторов, телекоммуникационный узел, помещение специалиста по защите информации, другие помещения ЗУР (зона усиленного режима).

3. Проверка ранее не использовавшегося программного обеспечения на специально выделенном компьютере у СПЗИ (специалист по защите информации).

4. Соблюдение правил ввода в эксплуатацию и сопровождения программного обеспечения. Планирование и реализация мероприятий СПЗИ по защите ПО и ИО от воздействия программ-вирусов.

5. Проведение администраторами БД и АИС еженедельных профилактических работ на серверах для выявления и уничтожения программ-вирусов.

6. Проверка магнитных носителей информации, поступающих от других сторонних организаций на наличие на них программ-вирусов.

7. Защита учтенных дискет от записи при копировании с них информации.

8. Информирование специалиста по защите информации о всех сбоях и необычных ситуациях возникающих при эксплуатации СВТ и ЛВС.

Для защиты ПО и информационного обеспечения (ИО) от программ-вирусов в ОАО «Н-ский аэропорт» используется антивирусная база Dr.Web. Dr.Web устроен по модульному принципу: сканированием диска занимается базовая программа, а контролем запускаемых программ и документов – модуль Spider. Проверяются все категории файлов, которые могут быть заражены: исполняемые файлы, документы Microsoft Word, архивы всех популярных форматов (ARJ, ZIP, RAR, TAR и так далее), скрипты VBS и многие другие.

 

8. Учет, хранение и обращение

с машинными носителями информации и документами

 

На учет, хранение и обращение с машинными носителями информации и документами возлагаются следующие требования:

1. ППО (прикладное программное обеспечение) поступившее в любое структурное подразделение ОАО «Н-ский аэропорт» подлежит сдаче в базу эталонных копий у СПЗИ.

2. Разрабатываемые и поступившие в ОПФР СЗИ подлежат учету у СПЗИ в "Журнале учета эталонных копий программного обеспечения".

3. Подлинники ППО и СЗИ хранятся соответственно в отделе автоматизации и у СПЗИ на маркированных МНИ.

4. Маркировка МНИ осуществляется проставлением регистрационного штампа и нанесением учетного номера, даты и росписи лица, проводившего учет и маркировку. Учетный номер состоит из индекса структурного подразделения, через дробь порядковый номер по единой нумерации, которая ведется с начала до окончания журнала (или перерегистрации), а через дефис - буквенный индекс. Буквенный индекс проставляется только для ППО и СЗИ (средства защиты информации). Регистрационный штамп проставляется на бумажной этикетке МНИ.

5. В ОАО «Н-ский аэропорт» учет и хранение машинных носителей с общим программным обеспечением возлагается на СПЗИ. Поступившие ППО и СЗИ подлежит учету в "Журнале учета эталонных копий программного обеспечения".

6. Рабочие МНИ пользователей подлежат учету в "Журнале учета МНИ", который ведется в отделом защиты информации, а в СУ назначенным ответственным лицом. Выдача рабочих МНИ производится по данному журналу. Пользователи учитывают в описи получаемые для работы МНИ. Журналы учета включаются в номенклатуру дел. Их листы нумеруются, прошиваются и опечатываются.

7. Машинные документы, составленные для временного пользования (справки, планы, графики, расписания и т.п.) не подлежат регистрации.

8. Выходные машинные документы, содержащие конфиденциальную информацию, а также справочные документы длительного пользования учитываются в "Журнале учёта конфиденциальной информации". Аналогично учитываются документы, содержащие конфиденциальную информацию, полученные путем копирования на множительной технике, копирование таких документов допускается только по распоряжению руководителя подразделения или лица, ответственного за защиту информации.

Порядок Ведения делопроизводства в системе ПУ установлен в “Инструкции по делопроизводству в системе персонифицированного учёта ПФР” и возлагается на должностных лиц приказом Управляющего.

9. Документы ПУ на бумажных и машиночитаемых носителях, архивируются и хранятся в помещениях архива в ЗУР (зона усиленного режима). Помещения оборудуются в соответствии с “Требованиями по обеспечению сохранности документов в архивах”.

10. Передача МНИ с конфиденциальной информацией из одного структурного подразделения в другое производится с разрешения руководителя структурного подразделения с обязательной отметкой в месте регистрации в "Журнале учета МНИ".

11. Передача МНИ с конфиденциальной информацией сторонним организациям производится с разрешения Генерального директора или лица его заменяющего на основании договора или письменного запроса этих организаций с обязательной отметкой в месте регистрации МНИ в "Журнале учета МНИ" и в “Журнале учёта представления конфиденциальной информации сторонним организациям и лицам”.

12. МНИ с конфиденциальной информацией необходимо хранить в сейфах, закрывающихся шкафах или в ящиках рабочих столов, которые имеют замки.

13. Полученные при формировании МНИ и документов бракованные листы бумаги в разорванном виде складываются в металлические ящики, а затем сжигаются в специальных местах или сразу уничтожаются на бумагорезательной машине. С этой целью на предприятии должны находиться металлические ящики или бумагорезательные машины. Выбрасывать материалы выходных машинных документов содержащих конфиденциальную информацию в урны и на улицу категорически запрещено.

14. Уничтожение рабочих МНИ, пришедших в негодность, производится в отделе автоматизации по акту или под две росписи в журнале учета.

15. Уничтожение ППО, СЗИ и рабочих МНИ с конфиденциальной информацией, утративших свое практическое назначение и не имеющих исторической ценности, также пришедших в негодность, производится по акту.

16. Уничтожение ненужных файлов производится в соответствии с возможностями прикладных программ и должно исключать восстановление удаленных файлов.

17. Проверка ППО, СЗИ и рабочих МНИ производится не реже одного раза в год комиссией, назначаемой Генеральным директором. В состав комиссий включаются работники, ответственные за учет и хранение этих материалов.

Результаты проверки оформляются актом, оригинал которого хранится в структурном подразделении, а второй экземпляр у СПЗИ.

9. Порядок размещения и установки СВТ

по обработке конфиденциальной информации.

 

1. Размещение и установка СВТ в помещениях, где обрабатывается конфиденциальная информация, должны исключать возможность хищения устройств (блоков) СВТ.

2. Размещение и установка СВТ должны предотвращать бесконтрольное использование и визуальный просмотр обрабатываемых сведений лицами, не имеющими к ним отношения.

3. Двери помещений должны быть оборудованы внутренними замками, гарантирующими надежное их закрытие. Окна помещений на первом этаже должны иметь прочные металлические решетки.

4. Помещения в зонах усиленного режима должны быть оборудованы системой разграничения доступа (кодовыми замками), охранно-пожарной сигнализацией.

5. По окончании рабочего дня работники, отвечающие за эксплуатацию СВТ, должны осмотреть, запереть и опечатать помещения. При наличии постов охраны сдать им под наблюдение помещения и ключи от них в опечатанных коробках под роспись в книге приема и сдачи служебных помещений.

6. Допуск в помещения зон усиленного режима организуется по списку.

7. Допуск в помещения, где размещены СВТ, представителей для ремонта и уборки помещений осуществляется в присутствии ответственного за эксплуатацию СВТ.

8. Запасные входные двери в здание должны быть постоянно заперты изнутри.

 

10. Организация противопожарной защиты.

Противопожарная защита организована следующим образом:

1. Все помещения, независимо от их назначения и хозяйственной принадлежности оборудуются средствами пожарной сигнализации с обеспечением круглосуточного режима работы извещателей. В качестве пожарных извещателей рекомендуется применять извещатели, реагирующие как на дым, так и на тепловое излучение. В каждом помещении устанавливается не менее двух пожарных датчиков.

2. С целью предотвращения и ликвидации пожара в помещениях разрабатывается "Инструкция по противопожарной защите", все сотрудники обучаются правилам пользования средствами пожаротушения.

В зонах усиленного режима устанавливаются средства пожаротушения (огнетушители типа ОУ-8 или ОП-5)

3. Для повышения эффективности противопожарной безопасности необходимо проводить регулярные испытания пожарного оборудования и тренировки персонала.

 

11. Допуск к конфиденциальной информации

 

1. Работники, допущенные к конфиденциальной информации, несут личную ответственность за соблюдение ими установленного режима защиты информации и обязаны строго соблюдать сохранность конфиденциальной информации и коммерческой тайны, не допускать действий, подрывающих или дискредитирующих авторитет организации.

2. Допуск к конфиденциальной информации работников служб и подразделений разрешается после подписания работником соответствующих обязательств, изучения им требований настоящей инструкции и других нормативных документов по защите информации.

3. За разглашение сведений, составляющих конфиденциальную информацию, утрату машинных носителей информации, содержащих такие сведения, либо за иные нарушения режима защиты информации виновные привлекаются к ответственности в соответствии с действующим законодательством.

 

12. Анализ рисков