Наказ : Про забезпечення захисту інформації шляхом обмеження доступу до приміщень, у яких розміщене серверне та комутаційне обладнання

МІНІСТЕРСТВО ФІНАНСІВ УКРАЇНИ

НАКАЗ
20.07.2004 N 466

Про забезпечення захисту інформації шляхом
обмеження доступу до приміщень, у яких
розміщене серверне та комутаційне обладнання

Відповідно до державних вимог щодо захисту інформації й обмеження доступу до приміщень Міністерства фінансів України і місцевих фінансових органів, в яких розміщене серверне і комутаційне обладнання, та для додержання правил протипожежної безпеки у цих приміщеннях наказую:

1. Затвердити Правила доступу до технологічних приміщень, у яких розміщене серверне і комутаційне обладнання (далі - технологічні приміщення) (додаток 1).

2. Департаменту інформаційних технологій Міністерства фінансів України, Міністерству фінансів АР Крим, Головним фінансовим управлінням обласних. Київської міської державних адміністрацій, фінансовому управлінню Севастопольської міської державної адміністрації вжити заходів щодо технічного захисту інформації у технологічних приміщеннях відповідно до Рекомендацій з технічного захисту інформації в технологічних приміщеннях, в яких розміщене серверне і комутаційне обладнання (додаток 2).

3. Міністру фінансів АР Крим, начальникам Головних фінансових управлінь обласних, Київської міської державних адміністрацій, начальнику фінансового управління Севастопольської міської державної адміністрації до З вересня 2004 р. забезпечити проведення перевірок та надіслати поштою до Департаменту інформаційних технологій Міністерства фінансів України копії актів про перевірки технологічних приміщень щодо відповідності вимогам документів, зазначених у додатках 1 і 2 до цього наказу, та вимогам протипожежної безпеки.

З. Контроль за виконанням цього наказу покласти на заступника Міністра фінансів України Цокола С.Л.

Перший віце-прем'єр-міністр України,
Міністр фінансів України М.Я.Азаров

Додаток 1

Затверджено
Наказ Міністерства фінансів
України
20.07.2004 N 466

Правила
доступу до приміщень, в яких розміщене серверне та
комутаційне обладнання

Відповідно до державних вимог щодо захисту інформації (зокрема, НД ТЗІ 1.1-002-99 "Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу") та з метою обмеження доступу до приміщень, в яких розміщене серверне та комутаційне обладнання, де циркулює інформація, яка є власністю держави і підлягає захисту (далі -технологічні приміщення), право доступу до технологічних приміщень мають тільки працівники, зазначені у списку, що затверджується керівником відповідного фінансового органу.

Ключі від технологічних приміщень мають знаходитися у спеціальних пеналах, які в опечатаному вигляді постійно зберігаються на чергових постах або постах охорони. Печатки на пеналах дійсні тільки ті, що належать працівникам, зазначеним у списку. У разі виявлення невідповідності чи порушення цілісності печатки працівники служби охорони повинні негайно поінформувати про це керівництво відповідного фінансового органу для організації службового розслідування.

Зазначені у списку працівники мають право отримувати від служби охорони пенал з ключами, відкривати та закривати технологічні приміщення, опечатувати пенал із ключами, здавати його службі охорони.

Доступ до технологічних приміщень фіксується службою охорони в спеціальному журналі з такими графами:

- П.I.Б. та посада працівника, який отримав ключ;

- дата і час доступу до технологічного приміщення;

- підпис працівника, який отримав ключ;

- реквізити печатки, якою опечатується пенал;

- підпис відповідальної особи, що засвідчує повернення ключа.

У разі необхідності доступу до технологічних приміщень інших працівників фінансових органів чи представників залучених підприємств-контрагентів доступ здійснюється у присутності зазначених у списку осіб.

Якщо за надзвичайних обставин (пожежа, стихійні лиха тощо) виникає потреба доступу до технологічних приміщень, пенали відкриваються посадовими особами служби охорони, про що робиться запис у журналі та складається акт за підписами представників служби охорони і керівництва відповідного фінансового органу.

Директор Департаменту інформатизації Міністерства фінансів України С.В.Жлуктенко

Додаток 2
до наказу Міністерства
фінансів України
20.07.2004 N 466

Рекомендації
з технічного захисту інформації в технологічних
приміщеннях, у яких розміщене серверне і
комутаційне обладнання

I. Загальні положення

1.1. В інформаційній системі Міністерства фінансів України циркулює інформація, що належить державі і підлягає захисту згідно з постановою Кабінету Міністрів України від 08.10.97 N 1126 "Про затвердження Концепції технічного захисту інформації в Україні".

1.2. Документ розроблений на основі нормативного документа Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України "Рекомендації з технічного захисту інформації в приміщеннях серверних, електронної пошти та інших спеціальних приміщень (Р-СП)".

1.3. Положення цього документа визначають заходи щодо технічного захисту інформації в серверних, комутаційних та інших технологічних приміщеннях Міністерства фінансів України (далі - технологічні приміщення). Проект реконструкції чи будівництва технологічних приміщень повинен бути узгоджений із відділом захисту інформації Департаменту інформаційних технологій Міністерства фінансів України.

II. Організаційні заходи захисту інформації у
технологічних приміщеннях

2.1. У технологічних приміщеннях забороняється:

- розміщення особового складу підрозділів;

- зберігання і застосування побутової та обчислювальної техніки, що не належить до штатного основного та допоміжного обладнання.

2.2. Технологічні приміщення повинні бути обладнані системами охорони з трьома незалежними видами охоронної сигналізації: на дверях, вікнах та об'ємною сигналізацією, які виводяться до центрального пульта в приміщенні служби охорони.

2.3. Усі двері технологічних приміщень повинні бути обладнані надійними замками (у т. ч. кодовими), опечатуватися та здаватися під охорону згідно з Правилами доступу до технологічних приміщень, в яких розміщене серверне та комутаційне обладнання.

2.4. Проектування та будівництво технологічних приміщень передбачається виконувати без вікон, по можливості розміщувати їх у внутрішній частині будівлі, або з боку внутрішнього двору. Зокрема, технологічні приміщення повинні розташовуватись у контрольованій зоні, де заборонений доступ сторонніх осіб (або передбачене контрольоване перебування сторонніх осіб).

2.5. Якщо технологічне приміщення має вікна, вони повинні бути обладнані металевими гратами або ролетами.

2.6. Технологічне приміщення, в якому знаходиться серверне та комутаційне обладнання, де циркулює інформація, що віднесена до таємної або конфіденційної (з грифом "Для службового користування"), екранується. Такі приміщення повинні бути обладнані окремим заземленням із визначеним опором, мережними фільтрами, екранованими кабелями, жолобами та вентиляційними каналами згідно з чинними в державі вимогами технічного захисту інформації такого правового стану.

2.7. Заземлення обладнання в технологічних приміщеннях повинно складатися із захисного і схемного заземлення. "Схемна земля" являє собою розімкнену ізольовану шину. Її опір не повинен перевищувати 0,5 Ом. Опір захисного заземлення не повинен перевищувати 4,0 Ом. Заземлювальний пристрій повинен розміщуватися в межах контрольованої зони. Для системи захисного і схемного заземлення не використовуються природні заземлювачі, а також металеві трубопроводи, залізобетонні конструкції, будівлі тощо.

2.8. При проектуванні і будівництві адміністративних будинків трансформаторна підстанція має бути розміщена в межах контрольованої зони.

III. Вимоги протипожежної безпеки

3.1. Технологічні приміщення повинні бути обладнані вуглекислотними засобами пожежогасіння, підходи до яких та до засобів зв'язку мають бути вільними та легкодоступними.

3.2. Документи, папір та інші горючі матеріали мають зберігатися на відстані не менше ніж 1 м від електрощитів, електровузлів, електрокабелів та не менше ніж 0,5 м від світильників та приладів електроопалення.

3.3. Світильники та прилади електроопалення повинні бути закритого типу. Забороняється використовувати саморобні електронагрівальні прилади, подовжувачі, переносні світильники, пошкоджені розетки, з'єднувальні коробки, вимикачі та інше несправне обладнання.

3.4. Категорично забороняється зберігання в технологічних приміщеннях легкозаймистих рідин, хімічно активних та вибухових речовин, пально-мастильних матеріалів.

3.5. Наказом керівництва призначається конкретна посадова особа, відповідальна за стан технічного захисту інформації та протипожежної безпеки у технологічних приміщеннях.

Директор Департаменту інформатизації
Міністерства фінансів України С.В.Жлуктенко