разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического задания на разработку СЗПДн;
разработка раздела технического проекта на ИСПДн в части защиты информации;
проведение строительно-монтажных работ в соответствии с проектной документацией;
использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
использование сертифицированных технических, программных и программно-технических СЗИ и их установка;
сертификация по требованиям безопасности информации программных СЗИ в случае, если отсутствуют требуемые сертифицированные СЗИ;
разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;
определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ, с их обучением по направлению безопасности ПДн;
разработка рабочей, эксплуатационной документации на СЗПДн, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.
2.2.2. Стадия ввода в действие СЗПДн
На стадии ввода в действие СЗПДн выполняются следующие мероприятия:
опытная эксплуатация средств защиты в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки технологического процесса обработки (передачи) информации;
приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;
организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
оценка соответствия ИСПДн требованиям безопасности ПДн.
Ввод в эксплуатацию СЗПДн осуществляется на основании приказа начальника Управления, который издается на основании положительных результатов оценки соответствия ИСПДн Управления требованиям безопасности ПДн.
Эксплуатация СЗПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требований и положений, изложенных в настоящем документе.
При определении порядка проведения технического обслуживания и ремонтных работ в СЗПДн учитывается требование исполнения данных работ только уполномоченными работниками Управления (или в их присутствии), назначенными ответственными за обслуживание СЗПДн.
Все процедуры, связанные с изменением конфигурации СЗПДн, проведением технического обслуживания и ремонтных работ на технических средствах СЗПДн предусматривают документирование объемов и сроков выполненных работ, а также лиц (организаций), проводивших эти работы.
-
Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн
Привлечение для разработки СЗПДн или ее отдельных компонентов сторонних специализированных организаций осуществляется в соответствии с порядком, устанавливаемым нормативными и организационно-распорядительными документами ФСТЭК и ФСБ России.
В случае привлечения для обеспечения безопасности ПДн сторонних специализированных организаций рекомендуется выполнение следующих условий:
- наличие у организации лицензии на право проведения работ по технической защите конфиденциальной информации;
- оформление соглашения о неразглашении конфиденциальных сведений;
- проведение инструктажа исполнителей работ по вопросам ИБ;
- другие условия, устанавливаемые соответствующими нормативными и организационно-распорядительными документами.
При привлечении сторонних специализированных организаций следует учитывать следующие функции в техническом задании:
а) на предпроектной стадии:
- уточнение перечня ПДн, подлежащих защите;
- определение условий расположения ИСПДн относительно границ контролируемой зоны;
- определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри ИСПДн, так и с другими системами различного назначения;
- определение технических средств и систем, включаемых в состав ИСПДн, условий их расположения, общесистемных и прикладных программных средств;
- определение режимов обработки ПДн в ИСПДн;
- разработка предложений по уточнению класса защищенности ИСПДн;
- уточнение степени участия работников в обработке ПДн, характера их взаимодействия между собой;
- определение (уточнение) угроз безопасности ПДн с учетом конкретных условий функционирования ИСПДн, разработка проекта частной модели угроз;
- участие в разработке (согласовании) конкретных требований по защите ПДн и разработке технического задания на создание СЗПДн;
б) на стадии проектирования:
- разработка технического проекта на создание СЗПДн в соответствии с требованиями руководящих документов ФСТЭК России и ФСБ России;
- монтажные работы в соответствии с проектной документацией;
- использование сертифицированных технических, программных и программно-технических СЗИ и их установка;
- организация сертификации по требованиям безопасности информации программных СЗИ в случае, когда отсутствуют требуемые сертифицированные СЗИ;
- разработка разрешительной системы доступа пользователей к ПДн, обрабатываемым в ИСПДн;
- разработка (в согласованном объеме) эксплуатационной документации на СЗПДн;
в) на стадии ввода СЗПДн в эксплуатацию:
- установка СЗИ;
- предварительные испытания и опытная эксплуатация СЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;
- приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;
- оценка соответствия ИСПДн требованиям безопасности ПДн.
-
Основные требования и правила по обеспечению безопасности
ПДн при их обработке в ИСПДн Управления
Обеспечение безопасности ПДн при их обработке в ИСПДн Управления достигается применением организационных и технических мер, причем в интересах обеспечения безопасности в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации.
Основными направлениями защиты информации (ПДн) являются:
- обеспечение защиты информации (ПДн) от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет несанкционированного доступа (далее - НСД) и специальных воздействий;
- обеспечение защиты информации (ПДн) от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
Основными мерами защиты информации (ПДн) являются:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к ИР, ИС и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства (далее - ТС), позволяющие осуществлять обработку ПДн, а также хранятся носители информации;
- разграничение доступа пользователей и обслуживающего персонала к ИР, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей и обслуживающего персонала, контроль НСД и действий пользователей, обслуживающего персонала и посторонних лиц;
- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование ТС, дублирование массивов и носителей информации;
- использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия требованиям безопасности информации;
- использование защищенных каналов связи;
- размещение ТС, позволяющих осуществлять обработку ПДн в пределах охраняемой территории;
- использование ТС, удовлетворяющих требованиям стандартов по электромагнитной совместимости, безопасности, санитарным нормам, предъявляемым к видеодисплейным терминалам;
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах охраняемой территории;
- обеспечение развязки цепей электропитания ТС с помощью защитных фильтров, блокирующих (подавляющих) информационный сигнал;
- обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных ТС и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация;
- размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
- организация физической защиты помещений и собственно ТС, позволяющих осуществлять обработку ПДн;
- предотвращение внедрения в ИС вредоносных программ (программ-вирусов) и программных закладок.
Для обеспечения безопасности ПДн от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД в зависимости от класса ИСПДн, заданных характеристик безопасности обрабатываемых ПДн, угроз безопасности ПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режимов обработки ПДн в рамках СЗИ от НСД реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.
Перечень мер по защите информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи применяются по решению начальника Управления.
Применяемые СЗИ учитываются в Журнале учета СЗИ (Приложение № 8). В случае проведения аттестации ИСПДн учет применяемых технических СЗИ ведется в документе «Технический паспорт ИСПДн» в соответствии с требованиями СТР-К.
3.1. Требования по организации разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации.
Данный раздел Положения регламентирует порядок взаимодействия подразделений Управления по обеспечению безопасности ПДн при организации разрешительной системы доступа к сервисам и ресурсам ИСПДн Управления.
Разрешительная система доступа к обрабатываемой в ИСПДн информации предусматривает установление единого порядка обращения со сведениями, содержащими ПДн заявителей и работников Управления, их носителями, определяет степень ограничения на доступ к данной информации и степень ответственности за сохранность предоставленной информации.
Организация разрешительной системы доступа относится к основным вопросам управления обеспечением безопасности ПДн и включает:
- распределение функций управления доступом к данным и их обработкой между должностными лицами;
- определение порядка изменения правил доступа к защищаемой информации;
- определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
- контроль функционирования разрешительной системы доступа и расследование фактов неправомерного доступа лиц к защищаемой информации в случае выявления таковых;
- оценку эффективности проводимых мер по исключению утечки информации;
- организацию деятельности должностных лиц, ответственных за подготовку предложений о внесении изменений в должностные обязанности и иные документы, определяющие задачи и функции работников ИСПДн Управления;
- разработку внутренних организационно-распорядительных документов, определяющих порядок реализации и функционирования разрешительной системы доступа.
Основные условия правомерного доступа работников Управления к обрабатываемой в ИСПДн информации включают в себя:
- подписание работником Управления обязательства о неразглашении конфиденциальной информации;
- наличие у работника Управления оформленного в установленном порядке права допуска к ПДн, обрабатываемым в ИСПДн Управления;
- наличие утвержденных в соответствии с трудовым законодательством Российской Федерации, законодательством о государственной гражданской службе Российской Федерации должностных обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации.
Лица, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании списка, утвержденного начальником Управления (Приложение № 3). Права доступа работников к защищаемой информации определяются в Матрице доступа (Приложение № 4).
Для обеспечения персональной ответственности за свои действия каждому пользователю ИСПДн, допущенному к работе с защищаемой информацией в ИСПДн, присваивается уникальное имя (учетная запись пользователя), под которым он регистрируется и осуществляет работу в системе. В случае производственной необходимости пользователю ИСПДн могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими работниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещается.
При регистрации и назначении прав доступа пользователей ИСПДн Управления выполняются следующие требования:
- каждому пользователю присваивается уникальный идентификатор пользователя, по которому его можно однозначно идентифицировать;
- учетные записи всех пользователей привязываются к конкретным автоматизированным рабочим местам (далее - АРМ);
- при регистрации пользователей проводится проверка соответствия уровня доступа возложенным на пользователя задачам (вмененным обязанностям);
- назначенные пользователю права доступа документируются;
- пользователь знакомится под роспись с предоставленными ему правами доступа и порядком его осуществления;
- в ИСПДн предусматривается разрешение доступа к сервисам только аутентифицированным пользователям;
- при внесении нового пользователя разрабатывается и обновляется формальный список всех пользователей, зарегистрированных для работы в ИСПДн;
- при изменении должностных обязанностей (увольнении) пользователя проводится немедленное исправление (аннулирование) прав его доступа;
- администратором безопасности проводится удаление всех неиспользуемых учетных записей. Предусмотренные в системе запасные идентификаторы недоступны другим пользователям.
Контроль выполнения требований разрешительной системы доступа к ПДн возлагается на администратора безопасности. Описание обязанностей администратора безопасности приведены в Приложении № 5.
Допуск к ИР ИСПДн сторонних организаций (правоохранительных органов, судебных органов, органов статистики, органов исполнительной и законодательной власти Республики Карелия) регламентируется законодательством Российской Федерации, приказами и распоряжениями министерств и служб, законодательно наделенных полномочиями на получение информации, а также настоящим Положением.
Порядок допуска к ИР ИСПДн сторонних организаций, выполняющих работы на договорной основе, определяется в договоре на выполнение работ (оказание услуг). Обязательным условием договора является заключение соглашения о конфиденциальности. Описание порядка организации разрешительной системы доступа приведено в Приложении № 1.
3.2. Требования к проведению мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где размещены средства ИСПДн:
3.2.1. Организуется контроль доступа работников и посетителей в помещения Управления, в которых установлены ТС ИСПДн и осуществляется обработка ПДн, а также хранятся носители ПДн.
3.2.2. Доступ работников структурных подразделений Управления в помещения, в которых осуществляется обработка ПДн, организовывается на основании списков, утверждаемых начальником Управления. Доступ других работников Управления и посетителей в эти помещения осуществляется в сопровождении ответственных должностных лиц.
3.2.3. Посетители получают доступ только в соответствии с необходимостью и ознакамливаются с инструкциями по безопасности и по действиям в аварийных ситуациях.
3.2.4. Для защиты помещений, в которых расположены ТС ИСПДн, принимаются меры для минимизации воздействий огня, дыма, воды, пыли, взрыва, химических веществ, а также кражи.
3.2.5. ТС ИСПДн и размещенное совместно с ними вспомогательное оборудование подвергаются регулярным осмотрам с целью выявлений изменения конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.).
3.2.6. Обеспечивается размещение устройств вывода информации средств вычислительной техники, дисплеев АРМ ИСПДн таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.
3.2.7. Работникам Управления запрещается подключать к сети неучтенные информационно-телекоммуникационные средства.
3.3. Правила обеспечения безопасности ПДн при использовании съемных носителей ПДн.
3.3.1. Правила обращения со съемными носителями ПДн.
При обращении со съемными носителями ПДн выполняются следующие основные правила:
- носители ПДн учитываются и выдаются пользователям под роспись и защищены;
- носители ПДн, срок эксплуатации которых истек, уничтожаются в установленном порядке;
- для выноса носителей ПДн за пределы Управления дается разрешение, а факт выноса фиксируется;
- все носители ПДн хранятся в безопасном месте в соответствии с требованиями по их эксплуатации.
Ответственным за хранение, учет и выдачу съемных носителей ПДн является администратор безопасности Управления.
3.3.2. Порядок учета носителей информации.
Все находящиеся на хранении и в обращении съемные носители ПДн учитываются в Журнале учета носителей ПДн (Приложении № 9).
Каждый носитель с записанными на нем ПДн имеет этикетку, на которой указывается метка съемного носителя и гриф.
Пользователи ИСПДн для выполнения работ получают учтенный съемный носитель от администратора безопасности. При получении делаются соответствующие записи в Журнале учета.
После окончания работ пользователь ИСПДн сдает съемный носитель в помещение для хранения, о чем делается соответствующая запись в Журнале учета. При наличии личного сейфа у пользователя ИСПДн допускается хранение учтенных съемных носителей в личных сейфах, опечатанных печатью пользователя ИСПДн.
3.3.3. Порядок уничтожения носителей ПДн.
Носители ПДн, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.
Уничтожение носителей ПДн осуществляется комиссией по уничтожению, назначенной начальником Управления.
Уничтожение магнитных, оптических, магнитооптических и электронных носителей информации производится путем их физического разрушения. Перед уничтожением носителя информация с него стирается (уничтожается), если это позволяют физические принципы работы носителя. Бумажные носители данных уничтожаются на специальных бумагорезательных устройствах (шредерах).
Перед утилизацией оборудования, участвующего в обработке ПДн, администратором безопасности осуществляется проверка всех его компонентов, включая носители информации (жесткие диски) на отсутствие ПДн и лицензированного программного обеспечения (далее - ПО).
По результатам уничтожения комиссией составляется Акт уничтожения носителей ПДн, который хранится в помещении для хранения носителей ПДн, уничтоженные носители ПДн (утилизированное оборудование) снимаются с материального учета.
3.4. Порядок и правила использования паролей пользователей.
Организационное и техническое обеспечение смены, прекращения действия паролей в ИСПДн Управления, процессов генерации и использования возлагается в пределах своих полномочий на администратора безопасности, сопровождающего механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
При использовании паролей в ИСПДн Управления выполняются следующие правила:
- пароли обязаны меняться с установленной периодичностью в соответствии с требованиями организационно-распорядительного документа Управления;
- пароль имеет не менее 6 символов и содержит буквенные и цифровые символы;
- обязательно применение индивидуальных паролей;
- применение групповых паролей не допускается;
- при создании пароля пользователя администратором предусматривается его автоматическое изменение самим пользователем после первого же его входа в ИСПДн Управления;
- для предотвращения повторного использования паролей ведется их учет (запись) за предыдущие 12 месяцев;
- при вводе пароль не выдается на монитор компьютера в явном виде;
- пароли могут храниться только на АРМ владельца пароля в зашифрованном виде с использованием стойких алгоритмов шифрования. Файл с паролями хранится отдельно от системных приложений;
- рекомендуется использование возможностей операционной системы (далее - ОС) по контролю за периодичностью смены (не реже 1 раза в 3 месяца), составу символов и недопущению повторений паролей.
Контроль за действиями пользователей ИСПДн Управления при работе с паролями возлагается на администратора безопасности в пределах своих полномочий.
При использовании паролей запрещается:
- использовать в качестве пароля свои имя, фамилию, дату рождения, имена родственников, кличку собаки и т.п., равно как и обычные слова;
- использовать в качестве пароля русское слово, введенное при нахождении клавиатуры в латинском регистре;
- использовать в качестве пароля легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ), а также общепринятые сокращения;
- использовать в качестве пароля «пустой» пароль, имя входа в систему, а также выбирать пароли, которые уже использовались ранее;
- использовать один и тот же пароль при загрузке АРМ и при работе в ИСПДн Управления;
- записывать пароль на неучтенных бумажных носителях информации;
- разглашать кому бы то ни было свои персональные пароли доступа.
Владельцы паролей ознакомливаются с перечисленными требованиями организации парольной защиты в Управлении с проставлением собственноручно подписи в листе ознакомления с соответствующей документированной процедурой и предупреждаются об ответственности за использование паролей, не соответствующих установленным требованиям, а также за разглашение парольной информации.
3.5. Обязанности работников Управления при возникновении инцидентов ИБ
При возникновении инцидентов ИБ работник, обнаруживший инцидент, немедленно ставит в известность своего непосредственного начальника и администратора безопасности и в установленном порядке оформляет отчет.
Администратор безопасности проводит предварительный анализ ситуации.
По факту возникновения инцидента ИБ по решению администратора ИСПДн проводится выяснение причин его возникновения. Результаты расследования фиксируются в акте. К акту прилагаются (при наличии) поясняющие материалы (копии экрана, распечатка журнала событий и др.) и при выявлении виновных докладывается начальнику Управления.
Инструкция о действиях лиц, допущенных к информации, содержащей ПДн, в случае нештатных ситуаций приведена в Приложении № 10.
3.6. Требования к резервированию ИР.
Резервное копирование защищаемой информации (ПДн) применяется для оперативного восстановления данных в случае утери или по другим причинам.
В состав ИР, подлежащих резервному копированию, в обязательном порядке включаются ИР, являющиеся объектом защиты в Управлении.
При организации резервирования ИР обеспечивается выполнение следующих требований:
- резервные копии ИР и инструкции по их восстановлению хранятся в специально выделенном месте, территориально отдаленном от места хранения основной копии информации;
- к резервным копиям применяется комплекс физических и организационных мер защиты;
- носители, на которые осуществляется резервное копирование, регулярно проверяются на отсутствие сбоев;
- применяемая система резервного копирования обеспечивает производительность, достаточную для сохранения информации, в установленные сроки и с заданной периодичностью;
- предусмотрены регулярная проверка процедур восстановления и практический тренинг работников по восстановлению данных.
Резервное копирование информации осуществляется администратором безопасности в пределах своих полномочий в соответствии с графиком резервного копирования. Допускается осуществление резервного копирования в автоматизированном режиме. Периодичность проведения резервного копирования устанавливается Графиком резервного копирования не реже одного раза в неделю и может осуществляться ежедневно (в автоматизированном режиме).
Резервное копирование информации производится в соответствии с документацией на используемое ПО.
Программно-аппаратные средства, обеспечивающие проведение резервного копирования, и носители, на которые осуществляется резервное копирование, не реже одного раза в месяц проверяются на отсутствие сбоев администратором безопасности в соответствии с документацией на программно-аппаратные средства с отметкой в Журнале проверки работоспособности системы резервного копирования.
Восстановление данных из резервных копий осуществляется в соответствии с документацией на используемое ПО в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня. Инструкция по организации резервного копирования приведена в Приложении 11.
3.7. Правила защиты ИСПДн от вредоносных программ.
При использовании в ИСПДн средств антивирусной защиты и защиты от вредоносных программ выполняются следующие организационные меры:
- использование съемных носителей ПДн пользователя ИСПДн на других компьютерах только с механической защитой от записи;
- запрет на использование посторонних съемных носителей ПДн при работе в ИСПДн;
- запрет на передачу съемных носителей ПДн посторонним лицам;
- запрет на запуск программ с внешних съемных носителей информации при работе в ИСПДн;
- запрет на несанкционированное использование отчуждаемых носителей информации (оптических дисков, флэш-карт и т.п.);
- использование в ИСПДн только дистрибутивов программных продуктов, приобретенных у официальных дилеров фирм - разработчиков этих продуктов;
- обязательная проверка всех программных продуктов;
- проверка всех программных файлов и файлов документов, полученных по электронной почте, специальными антивирусными средствами;
- систематическая проверка содержимого дисков файловых хранилищ обновленными версиями антивирусных программ;
- контроль и обновление списка разрешенных ссылок на веб-ресурсы сети Интернет.
Ответственность за эксплуатацию средств антивирусной защиты и защиты от вредоносных программ возлагается на администратора ИСПДн. Инструкция по проведению антивирусного контроля приведена в Приложении № 15.
3.8. Требования по обеспечению безопасности при работе в сети Интернет.
Доступ в сеть Интернет и другие глобальные сети пользователям предоставляется исключительно в целях повышения эффективности выполнения ими свои служебных обязанностей.
Организация доступа пользователей ИСПДн к сети Интернет осуществляется администратором безопасности. Установка дополнительного оборудования и ПО для осуществления доступа пользователей ИСПДн Управления осуществляется в порядке, установленном настоящим Положением, для внесения изменений в ПО и аппаратные средства Управления. Запрещается использование подключений к сети Интернет и каналов связи, использование которых не согласовано со специалистом ИБ.
Пользователи ИСПДн Управления могут использовать сети Интернет в качестве:
- транспортной среды при обмене информацией между несколькими территориально разнесенными элементами ИСПДн или другими ИС (транспортная задача);
- средства предоставления открытой общедоступной информации, содержащейся в ИР Управления, внешнему абоненту (портальная задача);
- средства получения необходимой пользователям ИСПДн Управления информации, содержащейся в ИР сети Интернет или других корпоративных сетей (информационная задача).
Администратор безопасности может ограничивать доступ к ресурсам сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и российским законодательством, включая материалы, носящие вредоносную, угрожающую информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.
При работе с ресурсами сети Интернет запрещается:
- разглашение конфиденциальной информации, ставшей известной работнику Управления по служебной необходимости либо иным путем;
- распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;
- публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления НСД, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения НСД к платным ресурсам в сети Интернет, а также размещение ссылок на вышеуказанную информацию;
- загрузка и запуск исполняемых либо иных файлов без предварительной проверки на наличие вирусов установленным антивирусным пакетом;
- использование анонимных прокси-серверов;
- доступ к ресурсам сети Интернет, содержащим развлекательную (в том числе музыкальные, видео, графические и другие файлы, не связанные с производственной деятельностью), эротическую или порнографическую информацию.
При нарушении работником Правил работы в сети Интернет либо возникновении нештатных ситуаций доступ к ресурсам сети Интернет блокируется.
Электронная почта в Управлении является средством коммуникации, распределения информации и управления процессами в производственных целях, повышения эффективности труда работников Управления и экономии ее ресурсов. Корпоративная (внутренняя) электронная почта Управления предназначена исключительно для использования в служебных целях. Использование личной почты в служебных целях запрещено.
Организацией и обеспечением порядка работы электронной почты в Управлении занимается администратор безопасности.
При работе с корпоративной электронной почтой Управления пользователь учитывает следующие принципиальные положения:
- электронная почта не является средством гарантированной доставки отправленного сообщения до адресата;
- внутренняя электронная почта, организованная с применением средств криптографической защиты, является средством передачи информации, обеспечивающим конфиденциальность передаваемой информации. Передача информации ограниченного доступа осуществляется только в зашифрованном виде.
3.9. Правила использования ПО и аппаратных средств ИСПДн.
Настоящий раздел регламентирует обеспечение безопасности информации при проведении модификаций ПО, технического обслуживания и ремонта средств вычислительной техники (далее - СВТ) ИСПДн Управления. На АРМ и сервера ИСПДн без дополнительного согласования устанавливается ПО, необходимое для оказания государственных услуг.
3.9.1. Права на внесение изменений в ПО и аппаратные средства ИСПДн Управления.
Все изменения конфигурации ТС и программных средств рабочих станций (далее - АРМ) и серверов ИСПДн, обрабатывающих ПДн, производятся только на основании заявок начальников структурных подразделений, согласованных с администратором безопасности.
Право внесения изменений в конфигурацию программно-аппаратных средств информационных узлов (рабочих станций, серверов) и телекоммуникационного оборудования, обрабатывающего ПДн, в отношении системных и прикладных программных средств, в отношении аппаратных средств, в отношении программно-аппаратных средств телекоммуникаций, а также в отношении программно-аппаратных СЗИ – предоставляется администратору безопасности.
Изменение конфигурации аппаратно-программных средств защищенных рабочих станций (АРМ) и серверов кем-либо, кроме администратора безопасности запрещено.
3.9.2. Порядок внесения изменений в ПО и аппаратные средства ИСПДн Управления.
Для внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций ИСПДн начальником структурного подразделения, в котором вносятся изменения, подается заявка.
В заявках могут быть указаны следующие виды необходимых изменений в составе программных и аппаратных средств рабочих станций и серверов подразделения:
- установка в подразделении новой рабочей станции (АРМ) или сервера;
- замена рабочей станции (АРМ) или сервера подразделения;
- изъятие рабочей станции (АРМ) или сервера подразделения;
- добавление устройства (узла, блока) в состав конкретной рабочей станции (АРМ) или сервера подразделения;
- замена устройства (узла, блока) в составе конкретной рабочей станции (АРМ) или сервера подразделения;
- изъятие устройства (узла, блока) из состава конкретной рабочей станции (АРМ) или сервера;
- установка (развертывание) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи на данной рабочей станции или сервере);
- обновление (замена) на конкретной рабочей станции (АРМ) или сервере программных средств, необходимых для решения определенной задачи (обновление версий, используемых для решения определенной задачи программ);
- удаление с конкретной рабочей станции (АРМ) или сервера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данной рабочей станции).
В заявке указываются условные наименования развернутых рабочих станций (АРМ) и серверов в соответствии с их паспортами. Программные средства указываются в соответствии с перечнем программных средств фонда алгоритмов и программ, которые используются в ИСПДн.
Администратор безопасности при согласовании заявки учитывает возможность совмещения решения новых задач (обработки информации) на указанных в заявке рабочих станциях (АРМ) или серверах в соответствии с требованиями по безопасности.
Установка, изменение (обновление) и удаление системных и прикладных программных средств производится только администратором безопасности.
Если рабочая станция (АРМ) или сервер обрабатывают ПДн, то установка, снятие и внесение необходимых изменений в настройки СЗИ от НСД и средств контроля целостности файлов на рабочих станциях осуществляется в присутствии пользователя данной рабочей станции.
Установка или обновление подсистем ИСПДн проводится в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.
Модификация ПО на сервере осуществляется администратором безопасности.
После установки модифицированных модулей на сервер администратор безопасности устанавливает защиту целостности модулей на сервере (производит пересчет контрольных сумм эталонов модулей на файл-сервере с помощью специальных программных средств, прошедших оценку соответствия).
После проведения модификации ПО на рабочих станциях проводится антивирусный контроль.
Установка и обновление общего ПО (системного, тестового) на рабочие станции (АРМ) и серверы производится с оригинальных лицензионных дистрибутивных носителей (компакт-дисков и др.), полученных установленным порядком, а прикладного ПО - с эталонных копий программных средств, полученных из фонда алгоритмов и программ.
Все добавляемые программные и аппаратные компоненты предварительно проверяются на работоспособность, контроль наличия проверок работоспособности осуществляет администратор безопасности.
После установки (обновления) ПО администратор безопасности производит настройку средств управления доступом к данному программному средству и проверяет работоспособность ПО и правильность настройки СЗИ.
После завершения работ по внесению изменений в состав аппаратных средств рабочей станции (АРМ), обрабатывающей ПДн, ее системный блок закрывается на ключ (при наличии штатных механических замков) и опечатывается (пломбируется, защищается специальной наклейкой) с возможностью постоянного визуального контроля за ее целостностью.
Исполнители работ производят соответствующую запись в «Журнале фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов) структурного подразделения».
Администратор безопасности проводит периодический контроль за опечатыванием узлов и блоков ИСПДн.
При изъятии рабочей станции (сервера), обрабатывающей ПДн, из состава рабочих станций (серверов) структурного подразделения ее передача на склад, в ремонт или в другое структурное подразделение для решения иных задач осуществляется только после того, как администратор безопасности снимет с данной рабочей станции (сервера) СЗИ и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется Актом о затирании остаточной информации, хранившейся на диске компьютера.
Оригиналы заявок (документов), на основании которых производились изменения в составе ТС или программных средств рабочих станций с отметками о внесении изменений в состав программно-аппаратных средств, хранятся вместе с оригиналами паспортов рабочих станций (серверов) и «Журналом фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов)» у администратора безопасности. Они используются:
- для восстановления конфигурации рабочих станций (серверов) после аварий;
- для контроля правомерности установки на конкретной рабочей станции (сервере) средств для решения соответствующих задач при разборе конфликтных ситуаций;
- для проверки правильности установки и настройки СЗИ рабочих станций (серверов).
-
Порядок организации внутреннего обучения работников
правилам и мерам защиты ПДн
Решение основных вопросов обеспечения защиты ПДн предусматривает соответствующую подготовку работников. Проведение обучения работников Управления позволит организовать обработку информации в соответствии с требованиями законодательства и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн и реализовать установленный комплекс организационных и технических мер по защите ПДн.
Систему внутреннего обучения работников в области защиты ПДн составляет:
- проведение инструктажа пользователей ИСПДн;
- самостоятельное изучение работниками Управления необходимых для работы документов, средств и продуктов;
- проведение курсов повышения квалификации федеральных государственных гражданских служащих Управления в области защиты персональных данных.
В результате прохождения обучения работники Управления получат необходимые знания и навыки в отношении:
- правил использования СЗИ;
- содержания основных нормативных правовых актов, руководящих и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн;
- основных мероприятий по организации и техническому обеспечению безопасности ПДн при их обработке в ИСПДн Управления;
- планирования, организации и контроля выполнения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн.
4.1. Проведение инструктажа пользователей ИСПДн
Пользователи ИСПДн, допущенные к работе с ПДн, обязаны пройти инструктаж по вопросам обеспечения безопасности ПДн с целью подтверждения своих знаний и уяснения своих обязанностей по поддержанию установленного режима защиты ПДн.
Инструктаж представляет собой ознакомление работников Управления, допущенных к работе в ИСПДн, с положениями настоящего Положения и действующих нормативных документов по обеспечению безопасности информации при ее обработке в ИСПДн, в том числе и с Инструкцией пользователя ИСПДн Управления (Приложение № 6).
Ознакомление с положениями нормативной документации работник Управления подтверждает своей личной подписью в журнале инструктажа и листе ознакомления с Инструкцией пользователя ИСПДн Управления, что свидетельствует о прохождении инструктажа.
Контроль проведения инструктажа и периодическая проверка знания пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн возлагается на заместителей начальника Управления. Ответственность за непосредственное проведение инструктажа возлагается на администратора ИСПДн и начальников структурных подразделений, использующих ИСПДн.
Работники Управления, не прошедшие инструктаж, к работе в ИСПДн не допускаются. Инструктаж проводится перед началом работы в ИСПДн вновь принятых на федеральную государственную гражданскую службу работников Управления, а также не реже одного раза в год для всех пользователей ИСПДн.
Проверка знаний пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн проводится не реже одного раза в год.
4.2. Самостоятельное изучение
При данном виде подготовки работниками Управления, осуществляющими обработку ПДн, самостоятельно изучаются (в части, касающейся):
- руководящие и нормативно-методические документы в области обеспечения безопасности ПДн;
- правила (инструкции) по использованию программных и аппаратных СЗИ;
- внутренние положения (локальные акты) Управления, устанавливающие порядок обращения с ПДн и их защиты.
Время для самостоятельного изучения определяется начальниками соответствующих структурных подразделений Управления.
-
Ответственность должностных лиц за обеспечение безопасности ПДн, своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн.
Ответственность за своевременность и качество формирования требований по защите ПДн, за качество и научно-технический уровень разработки СЗПДн, а также контроль исполнения правил и требований, направленных на обеспечение безопасности ПДн, возлагается на администратора ИСПДн.
Ответственность за выполнение обязанностей по обеспечению режима безопасности ПДн, возложенных на структурные подразделения Управления, эксплуатирующие ИСПДн, несут начальники соответствующих структурных подразделений.
Средства информатизации, входящие в состав ИСПДн, закрепляются за ответственными должностными лицами (владельцами). Владельцем средств информатизации может быть начальник структурного подразделения или специально назначаемое должностное лицо. На владельца средств информатизации возлагается ответственность за выполнение установленных мероприятий по защите закрепленных средств информатизации и обрабатываемых ими ПДн.
Руководители и работники Управления, виновные в нарушении режима защиты ПДн, несут дисциплинарную, гражданскую, административную и уголовную ответственность, предусмотренную законодательством Российской Федерации.
-
Порядок контроля за обеспечением уровня защищенности ПДн
и оценки соответствия ИСПДн
Контроль обеспечения требуемого уровня защищенности ПДн заключается в проверке выполнения требований нормативных документов по защите ПДн, а также в оценке обоснованности и эффективности принятых мер. Мероприятия по контролю защищенности ПДн могут проводиться как уполномоченными работниками Управления, так и на договорной основе сторонней организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Мероприятия по контролю защищенности ПДн и оценке соответствия ИСПДн включают:
- внутренний контроль режима безопасности ПДн (оперативный и периодический);
- обследование защищенности ПДн с привлечением сторонней организации;
- оценку соответствия ИСПДн требованиям безопасности ПДн.
6.1. Внутренний контроль режима безопасности ПДн и оценки соответствия ИСПДн требованиям безопасности ПДн.
Внутренний оперативный контроль соблюдения режима безопасности ПДн проводится администратором безопасности ежедневно в режиме «реального времени». Внутренний контроль заключается в анализе защищенности ПДн посредством используемых в составе ИСПДн программных и программно-аппаратных средств (систем) анализа защищенности.
В ходе проведения контроля соблюдения режима безопасности ПДн администратор безопасности:
- осуществляет анализ лог-файлов, производимых средствами защиты и другими элементами ИСПДн (ОС, прикладные программы);
- просматривает оповещения средств защиты ИСПДн;
- принимает меры по результатам анализа полученных оповещений и лог-файлов.
Внутренний периодический контроль соблюдения режима безопасности ПДн (контрольные обследования защищенности ИСПДн) организуется по планам, ежегодно утверждаемым начальником Управления. Форма Плана контроля выполнения требований по обеспечению безопасности ПДн приведена в Приложении № 7. По решению начальника Управления внутренний контроль может проводиться во внеочередном порядке в случаях выявления нарушений безопасности ПДн с целью определения причин произошедших нарушений и разработки мер по их устранению.
Внутренний периодический контроль заключается в оценке выполнения требований нормативных документов по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.
В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:
- соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешенных для обработки такой информации;
- знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;
- проверка наличия документов, подтверждающих возможность применения технических и программных средств вычислительной техники для обработки ПДн и применения СЗИ (сертификатов соответствия и других документов);
- проверка правильности применения СЗИ;
- проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;
- соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий;
- знание инструкций по обеспечению безопасности информации пользователями ИСПДн;
- организация хранения носителей ПДн и допуска в помещения, где размещены средства обработки и осуществляется обработка ПДн;
- прохождение инструктажа пользователей по вопросам обеспечения безопасности ПДн и выполнение ими установленных требований.
По фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.
Результаты контроля оформляются актом, в котором делаются выводы о состоянии обеспечения безопасности ПДн на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.
6.3. Порядок оценки соответствия ИСПДн требованиям безопасности ПДн.
Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в форме проверки готовности СЗИ к использованию.
Проверка готовности СЗИ к использованию осуществляется в ходе приемо-сдаточных испытаний СЗПДн с составлением протоколов проверки и заключений о возможности их эксплуатации.
В качестве организации, проводящей проверку готовности СЗИ к использованию или добровольную аттестацию ИСПДн, привлекается организация, имеющая лицензию ФСТЭК России на право деятельности по технической защите конфиденциальной информации.
Проверка готовности СЗИ к использованию проводится в соответствии с разрабатываемой программой и методикой испытаний соответствующих СЗИ, определяющих порядок проверки выполнения СЗИ заявленных функций защиты.
Аттестация проводится в соответствии с действующими нормативными и методическими документами ФСТЭК России.
Приложение № 1
УТВЕРЖДАЮ
Начальник Управления Министерства
юстиции Российской Федерации
по Республике Карелия
____________________М.Л. Свинкина
«___»______________________2014 г.
|
