Руководство по защите информации в организации образец

Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.

1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:

• Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
• Инструкция администратора безопасности
• Инструкция ответственного за организацию обработки персональных данных
• Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
• Инструкция по реагированию на инциденты информационной безопасности
• Инструкция пользователя государственной информационной системы
• Приказ об утверждении внутренних нормативных актов по защите информации
• Политика информационной безопасности в составе:
• — Общие положения
• — Технологические процессы обработки защищаемой информации в информационных системах
• — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
• — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
• — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
• — Правила и процедуры выявления, анализа и устранения уязвимостей
• — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
• — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
• — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
• — Форма задания на внесение изменений в списки пользователей информационной системы
• — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
• — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
• — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
• — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
• — Форма списка разрешенного программного обеспечения в информационной системе
• — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
• — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
• — Порядок резервирования информационных ресурсов
• — План обеспечения непрерывности функционирования информационной системы
• Приказ об организации контролируемой зоны
• Положение о контролируемой зоне
• План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
• Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
• Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
• Форма журнала учета приема/выдачи съемных машинных носителей информации
• Форма журнала учета средств защиты информации
• Форма журнала учета периодического тестирования средств защиты информации
• Форма журнала проведения инструктажей по информационной безопасности
• Форма журнала учета мероприятий по контролю обеспечения защиты информации

2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:

• Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
• Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
• Приказ о классификации государственной информационной системы
• Форма акта классификации государственной информационной системы
• Приказ о вводе в эксплуатация государственной информационной системы

3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:

• Положение о защите и обработке персональных данных в составе:
• — Общие положения
• — Основные понятия и состав персональных данных
• — Общие принципы обработки персональных данных
• — Порядок сбора и хранения персональных данных
• — Процедура получения персональных данных
• — Передача персональных данных третьим лицам
• — Трансграничная передача персональных данных
• — Порядок уничтожения и блокирования персональных данных
• — Защита персональных данных
• — Согласие на обработку персональных данных
• — Организация доступа работников к персональным данным субъектов
• — Организация доступа субъекту персональных данных к его персональным данным
• — Права и обязанности оператора персональных данных
• — Права и обязанности работников, допущенных к обработке персональных данных
• — Права субъекта персональных данных
• — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
• Правила рассмотрения запросов субъектов персональных данных или их представителей
• Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
• Форма перечня лиц, допущенных к обработке персональных данных
• Политика в отношении обработки персональных данных
• Приказ об определении уровня защищенности персональных данных
• Форма акта определения уровня защищенности персональных данных
• Правила обработки персональных данных без использования средств автоматизации
• Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
• Форма акта уничтожения персональных данных
• Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
• Форма согласия субъекта на обработку его персональных данных
• Положение о системе видеонаблюдения
• Форма соглашения о неразглашении персональных данных
• Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав

4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств

• Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
• Форма перечень сотрудников, допущенных к работе с СКЗИ
• Инструкция по обеспечению безопасности эксплуатации СКЗИ
• Форма акта об уничтожении криптографических ключей и ключевых документов
• Схема организации криптографической защиты информации

5. Модель угроз безопасности информации

1. Введение 

Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.

2. Основные понятия

Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.
Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.

Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. В Системе для подписания электронных документов электронной подписью используется технология электронно-цифровой подписи (ЭЦП) в инфраструктуре открытых ключей.

Ключ ЭП — уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.

Ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается принадлежащим пользователю, если он был ему выдан установленным порядком. В инфраструктуре открытых ключей соответствует открытому ключу ЭЦП.

Сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.

Владелец сертификата ключа проверки ЭП — лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.
Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.

Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

• Потеря ключевых носителей.
• Потеря ключевых носителей с их последующим обнаружением.
• Увольнение сотрудников, имевших доступ к ключевой информации.
• Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
• Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
• Нарушение печати на сейфе с ключевыми носителями.
• Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

3. Риски использования электронной подписи

При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:

1. Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
2. Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
3. Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
4. Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
5. Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.

Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.

4. Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.

Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат. Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации. Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя. Любой желающий может для проверки подписи провести обратное преобразование, применив общедоступный открытый ключ (ключ проверки ЭП) автора документа, но никто не сможет имитировать такой документ, не зная закрытого ключа (ключа ЭП) автора.

Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:

• выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
• выдает пользователям средства электронной подписи;
• создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
• получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
• ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
• проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
• осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
• определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.

Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.

Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:

• обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
• подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
• обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
• обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
• аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.

Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.

В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.

5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя

Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.

5.1 Персонал

Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.

К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.

Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.

Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.

В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.

5.2 Размещение технических средств АРМ с установленным СКЗИ 

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля, при этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к АРМ.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

5.3 Установка программного обеспечения на АРМ

На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.

На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.

Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.

5.4 Настройка операционной системы АРМ 

Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

• Правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.
• Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.
• У группы Everyone должны быть удалены все привилегии.
• Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке.
• Рекомендуется переименовать стандартную учетную запись Administrator.
• Должна быть отключена учетная запись для гостевого входа Guest.
• Исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек, системного реестра, для всех, включая группу Administrators.
• Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т п.).
• Должно быть исключено или ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
• Рекомендуется организовать затирание временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
• Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
• На все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме Администратора (Administrator), Создателя/Владельца (Creator/Owner) и Системы (System).
• Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
• Рекомендуется обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов.
• Рекомендуется произвести настройку параметров системного реестра в соответствии с эксплуатационной документацией на СКЗИ.

Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т д.), использовать фильтры паролей в соответствии со следующими правилами:

• длина пароля должна быть не менее 6 символов;
• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т д.);
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
• личный пароль пользователь не имеет права сообщать никому;
• не допускается хранить записанные пароли в легкодоступных местах;
• периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
• указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.

 5.5 Установка и настройка СКЗИ

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

5.6 Подключение АРМ к сетям общего пользования

При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. В качестве такой меры рекомендуется установка и использование на АРМ средств межсетевого экранирования. Должен быть закрыт доступ ко всем неиспользуемым сетевым портам.

В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

5.7 Обращение с ключевыми носителями

В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

Запрещается:

• Снимать несанкционированные администратором безопасности копии с ключевых носителей.
• Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
• Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
• Использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.

5.8 Обращение с ключевой информацией

Владелец сертификата ключа проверки ЭП обязан:

• Хранить в тайне ключ ЭП (закрытый ключ).
• Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
• Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
• Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.

5.9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

• дата, время;
• запись о компрометации ключа;
• запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
• запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
• запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
• запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
• записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
• события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

6. Заключение

Настоящие правила составлены на основе:

• Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
• приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
• эксплуатационной документации на СКЗИ, которое используется в Системе.

Обеспечение защищенности информационной системы – одна из главных задач, стоящих перед руководителями предприятий любой формы собственности.

Разберемся, какова роль установленных правил в минимизации ущерба, вызванного утечкой конфиденциальных сведений, а также в эффективности предотвращения несанкционированного и непреднамеренного воздействия на ИС.

Значимость локальных требований и регламентов ИБ 

Достигнуть достаточного уровня защиты информации на стадии ее создания, обработки или при передаче можно при комплексном применении организационных и технических мер.

Начать нужно с анализа рисков, принимая во внимание сферу деятельности компании, объективные и субъективные угрозы утечки ценных сведений, шпионажа, выхода из строя оборудования. Затем с опорой на требования законодательства и методические рекомендации следует разработать локальные документы по информационной безопасности.

Порядок и методы выполнения отдельных или взаимосвязанных действий, обязанности и ответственность лиц, допущенных к конфиденциальным сведениям, обработке персональных данных, определяют в специальных инструкциях.

Информационная система представляет собой совокупность документов на бумажных и электронных носителях и технологий для их создания, обработки и передачи.

Поэтому в инструкциях должны быть определены:

• правила эксплуатации и содержания средств информатизации;
• общие требования по обеспечению защиты конфиденциальных сведений, установленные законодательством Российской Федерации, документами внутреннего пользования;
• порядок доступа к информации и использования имеющихся средств защиты;
• обязанности лиц, ответственных за обеспечение и контроль безопасности системы;
• алгоритм действий в случае выявления нарушений требований безопасности в информационной системе;
• ответственность пользователей, допущенных к обработке персональных данных, электронным носителям информации.

Содержание типовых инструкций

При приеме на работу новые сотрудники проходят вводный инструктаж, получая общее представление о:

• режиме работы компании;
• правилах безопасности;
• порядке оповещения руководства о чрезвычайных ситуациях, угрозе ущерба.

С учетом специфики деятельности, доступа к информационным ресурсам для предотвращения возможных инцидентов перед допуском к самостоятельному выполнению трудовых обязанностей на рабочем месте сотрудников знакомят с инструкциями, устанавливающими их права и обязанности. При этом обращают внимание на нюансы, возможные риски, учитывая должность работника.

Требования к сотрудникам с доступом к конфиденциальным данным 

Сотрудники, имеющие доступ к сведениям, представляющим коммерческую, государственную, иную тайну, должны соблюдать правила информационной безопасности. 

Помимо общих положений, их внимание акцентируют:

• на основных обязанностях по соблюдению правил, исключающих утечку сведений при работе с секретными данными;
• на принимаемых мерах защиты автоматизированных рабочих мест от несанкционированного доступа посторонних;
• на установлении пароля для доступа к данным на персональном компьютере, электронных носителях;
• на необходимых мерах защиты от вредоносных программ;
• на алгоритме действий при возникновении внештатных ситуаций.

Требования к администратору, отвечающему за защиту локальной вычислительной сети

Должностные лица, ответственные за проведение работ по технической защите информации локальных сетевых ресурсов, в процессе эксплуатации и модернизации, руководствуются:

• положениями федеральных законов;
• нормативными актами Российской Федерации;
• распорядительными документами Гостехкомиссии России (ФСТЭК), ФАПСИ (ФСО, ФСБ), Госстандарта России;
• локальными правовыми актами внутреннего пользования.

Администратора под роспись знакомят с установленными правами и обязанностями. Например, он может отключать от доступа к сети пользователей, нарушающих требования по безопасности информации, запрещать установку нештатного программного обеспечения.

Основные обязанности администратора фиксируют документально. Они включают:

• участие в испытаниях и контроле уровня защищенности локальной сети;
• анализ данных, вносимых в журнал учета работы ЛВС для своевременного выявления нарушений требований защиты и оценки возможных последствий;
• обеспечение доступа к информационной системе пользователям при наличии разрешения;
• блокировку попыток внесения изменений в программно-аппаратное обеспечение без согласования;
• немедленное оповещение службы безопасности о попытках несанкционированного доступа, нарушениях защиты.

В инструкции обращают внимание на строгий запрет передавать третьим лицам учетные данные пользователей, пароли, идентификаторы, ключи на твердых носителях.

Защита информации от компьютерных вирусов

Рекомендации о методах выявления и борьбы с вирусами носят общий характер для пользователей персональными компьютерами и администраторов, ответственных за защиту информационных ресурсов.

Выделяют характерные проявления вирусных программ, нарушающих работу компьютера, способных разрушить хранящиеся в электронной форме сведения, передаваться по локальной сетевой связи. Создание перечня профилактических работ позволяет снизить риски, исключить появление и распространение вредоносных программ.

В документ включают:

• ежедневную автоматическую проверку персональных компьютеров перед началом работы и регулярную комплексную проверку со стороны администратора;
• резервирование программного обеспечения;
• защиту данных путем настройки прав доступа, допускающих лишь чтение, что предотвратит внесение посторонних записей, проникновение вирусов.

Анализируя результаты проверок на наличие вирусов, администратор делает выводы о необходимости служебного расследования. Вирусы уничтожают стиранием поврежденных файлов и с помощью специальных программ.

Организация и управление парольной защитой информации

Пользователи должны быть под роспись проинструктированы:

• о порядке генерации, смены и прекращения действия паролей, учетных записей;
• о правилах ввода пароля для получения доступа в локальную информационную систему.

Личные пароли генерируются самостоятельно либо распределяются централизованно с учетом установленных требований, способствующих снижению рисков, исключению возможности подобрать код доступа посторонними.

Сотрудники отдела информационных технологий контролируют действия исполнителей и обслуживающего персонала.

Особые требования устанавливают для хранения паролей на бумажных носителях – в сейфе у ответственных за безопасность лиц в опечатанном конверте.

Также регламентируется порядок получения доступа к средствам вычислительной техники в случае производственной необходимости во время отсутствия штатного сотрудника, являющегося владельцем персонального компьютера.

Выбираемые парольные фразы должны соответствовать требованиям, указанным в документе.

Поскольку эта информация носит конфиденциальный характер, ответственность за разглашение, передачу сведений, лежит на владельце пароля.

Правила пользования электронной почтой

В целях обеспечения защиты секретных данных, снижения рисков утечки, уничтожения или заражения сетевых ресурсов вирусами, устанавливают перечень оснований, позволяющих блокировать исходящую и входящую в электронную почту. 

Отдельно акцентируется внимание на запрете:

• использования корпоративного адреса электронной почты в личных целях;
• пользования бесплатными почтовыми сервисами для корпоративной переписки;
• публикации корпоративного адреса электронной почты на общедоступных интернет-ресурсах.

Правила безопасной работы в информационной сети 

Документально фиксируют регламент, режимы работы компьютерного оборудования, к которому относят не только персональные компьютеры, но и принтеры, серверы, сетевые коммутаторы.

К мерам обеспечения безопасности относят:

• использование сертифицированного оборудования, соответствующего требованиям санитарно-эпидемиологических нормативов, ГОСТов (допустимый уровень шума, электромагнитная совместимость, устойчивость к электромагнитным помехам);
• правильную подготовку оборудования к включению и эксплуатации;
• соблюдение запретов, касающихся переключения разъемов кабелей, самостоятельного ремонта устройств, удаления с корпуса заводских и линейных номеров; 
• использование при печати на лазерном принтере специальной бумаги рекомендованной плотности;
• недопустимость применения физических усилий для вытягивания бумаги во время печати из выходного отверстия принтера, что может привести к повреждению механизма печати;
• корректное выключение компьютера после закрытия работающих программ, используя в меню «Пуск» команду «Завершение работы»;
• порядок выдачи доступа к информационной сети организации.

Работники, ознакомленные с основными требованиями информационной безопасности, в том числе, касающимися выполнения профессиональных (должностных) обязанностей, несут ответственность за нарушения установленных правил в рамках трудового, в отдельных ситуациях уголовного законодательства.

09.06.2020

Приложение № 1

к приказу № 57/06-04-03

от 16.02.2017 г

РЕГЛАМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Содержание

Вводные положения

1.1. Введение

1.2. Цели

1.3. Задачи

1.4. Область действия

1.5. Период действия и порядок внесения изменений

2. Термины и определения

3. Обозначения и сокращения

4. Основные принципы обеспечения ИБ

5. Соответствие Регламента действующему законодательству

6. Ответственность за реализацию информационной безопасности

7. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

8. Правила информационной безопасности

8.1. Правила предоставления доступа к информационному ресурсу

8.1.1. Назначение

8.1.2. Положение регламента

8.1.3. Порядок создания (продления) учетной записи пользователя

8.1.4. Порядок удаления учетной записи пользователя

8.2. Правила защиты АРМ

8.2.1. Назначение

8.2.2. Положения регламента

8.3. Регламент учетных записей

8.3.1. Назначение

8.3.2. Положение регламента

9. Профилактика нарушений информационной безопасности

10. Ликвидация последствий нарушения информационной безопасности

11. Ответственность нарушителей ИБ

12. Регулирующие законодательные нормативные документы

12.1. Основополагающие нормативные документы

12.2. Законы Российской Федерации

12.3. Указы и распоряжения Президента Российской Федерации

12.4. Постановления и распоряжения Правительства РФ

12.5. Нормативные и руководящие документы Федеральных служб РФ

 Вводные положения

1.1. Введение

Регламент информационной безопасности Департамента административных органов и общественной безопасности администрации Владимирской области (далее – Департамент) определяет цели и задачи системы обеспечения информационной безопасности (ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется Департамент в своей деятельности.

1.2. Цели

Основными целями регламента ИБ являются защита информации Департамента и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в его Положении.

Общее руководство обеспечением ИБ осуществляет заместитель директора департамента. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет консультант отдела обеспечения деятельности мировых судей выполняющий функции администратора информационной безопасности в Департаменте и судебных участках мировых судей (далее администратор информационной безопасности).

Сотрудники департамента обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящего Регламента и других документов ИБ.

1.3. Задачи

Регламент информационной безопасности направлен на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Задачами настоящего регламента являются описание организации системы управления информационной безопасностью в Департаменте; определение политики учетных записей; регламент предоставления доступа к информационному ресурсу; регламент защиты АРМ;

1.4. Область действия

Настоящий Регламент распространяется на всех сотрудников Департамента, подведомственных учреждений, сотрудников аппарата мировых судей Владимирской области  и обязателен для исполнения всеми сотрудниками и должностными лицами. Положения настоящего Регламента применимы для использования во внутренних нормативных и методических документах, а также в договорах.

1.5. Период действия и порядок внесения изменений

Настоящий Регламент вводится в действие приказом директора Департамента.

Регламент признается утратившим силу на основании приказа директора Департамента.

Изменения в Регламент вносятся приказом директора Департамента.

Инициаторами внесения изменений в Регламент информационной безопасности являются:

— Директор Департамента;

— Заместитель директора

— Администратор информационной безопасности;

Плановая актуализация настоящего Регламента производится ежегодно и имеет целью приведение в соответствие определенных защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация регламента информационной безопасности производится в обязательном порядке в следующих случаях:

— при изменении политики РФ в области информационной безопасности, указов и законов РФ в области защиты информации;

— при изменении внутренних нормативных документов (инструкций, положений, рекомендаций), касающихся информационной безопасности Департамента;

— при происшествии и выявлении инцидента (инцидентов) по нарушению информационной безопасности, влекущего ущерб Департамента.

Ответственными за актуализацию Регламента информационной безопасности (плановую и внеплановую) несет администратор информационной безопасности.

Контроль за исполнением требований настоящего Регламента и поддержанием ее в актуальном состоянии возлагается на администратора информационной безопасности.

2. Термины и определения

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор информационной безопасности – специалист Департамента, осуществляющий контроль за обеспечением защиты информации в ЛВС, а также осуществляющий организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Аудит информационной безопасности – процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как  Департаментом  (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.

Доступ к информации – возможность получения информации и ее использования.

Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.

Идентификатор доступа – уникальный признак субъекта или объекта доступа.

Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – это актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач отделов Департамента. В Департаменте используются различные типы информационных систем для решения управленческих, учетных, обучающих и других задач.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные активы – информационные системы, информационные средства, информационные ресурсы.

Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Инцидент информационной безопасности – действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов учреждения.

Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность – доступ к информации только авторизованных пользователей.

Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование отделов Департамента, привести к причинению в Департаменте материального или иного вида ущерба.

Локальная вычислительная сеть (ЛВС) – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

Межсетевой экран (МЭ) – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью Департамента и внешними сетями (сетью Интернет).

Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Регламент информационной безопасности – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его информационной безопасности.

Пользователь ЛВС – сотрудник Департамента (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.

Программное обеспечение – совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название отдела, телефоны, E-mail и т.п.

Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.

Системный администратор – сотрудник Департамента, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети учреждения и ПК.

Собственник – лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив.

Средства криптографической защиты информации – средства шифрования, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).

Угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Управление информационной безопасностью – совокупность целенаправленных действий, осуществляемых в рамках политики информационной безопасности в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).

Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности учреждения при реализации угроз в информационной сфере.

Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

ЭВМ – электронная — вычислительная машина, персональный компьютер.

Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.

VPN (VIRTUAL PRIVATE NETWORK) – «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях.

3. Обозначения и сокращения

АРМ – Автоматизированное рабочее место.

АС – Автоматизированная система.

БД – База данных.

ЗИ – Защита информации.

ИБ – Информационная безопасность.

ИС – Информационная система.

ИТС – Информационно-телекоммуникационная система.

КЗ – Контролируемая зона.

МЭ – Межсетевой экран.

НСД – Несанкционированный доступ.

ОС – Операционная система.

ПБ – Политики безопасности.

ПО – Программное обеспечение.

СВТ – Средства вычислительной техники.

СЗИ – Средство защиты информации.

СКЗИ – Средство криптографической защиты информации.

СПД – Система передачи данных.

СУБД – Система управления базами данных.

СУИБ – Система управления информационной безопасностью.

СЭД – Система электронного документооборота.

ЭВМ – Электронная — вычислительная машина, персональный компьютер.

ЭЦП – Электронная цифровая подпись.

4. Основные принципы обеспечения ИБ

Основными принципами обеспечения ИБ являются следующие:

— Постоянный и всесторонний анализ информационного пространства с целью выявления уязвимостей информационных активов.

— Своевременное обнаружение проблем, потенциально способных повлиять на ИБ, корректировка моделей угроз и нарушителя.

— Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию.

— Персонификация и адекватное разделение ролей и ответственности между сотрудниками учреждения, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

5. Соответствие Регламента действующему законодательству

Правовую основу составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

6. Ответственность за реализацию политик информационной безопасности

Ответственность за разработку мер и контроль обеспечения защиты информации несёт администратор информационной безопасности.

Ответственность за реализацию Регламента возлагается:

в части, касающейся исполнения правил регламента, – на каждого сотрудника Департамента, согласно должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящего Регламента.

7. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

Организация просвещения сотрудников Департамента и подведомственных учреждений в области информационной безопасности возлагается на администратора информационной безопасности. Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности». Обучение сотрудников Департамента правилам обращения с конфиденциальной информацией, проводится путем:

— проведения администратором информационной безопасности инструктивных занятий с сотрудниками, принимаемыми на работу в Департамент;

— самостоятельного изучения сотрудниками внутренних нормативных документов Департамента.

Допуск сотрудников к работе с защищаемыми информационными ресурсами Департамента осуществляется только после его ознакомления с настоящими Регламентом. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности».

Правила допуска к работе с информационными ресурсами лиц, не являющихся сотрудниками Департамента, определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.

8. Регламент информационной безопасности Департамента

Регламент информационной безопасности Департамента – это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в Департаменте.

Под Регламентами безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Регламент информационной безопасности относятся к административным мерам обеспечения информационной безопасности и определяют стратегию Департамента в области ИБ.

Регламенты информационной безопасности определяют эффективную работу средств защиты информации.

8.1. Регламент предоставления доступа к информационному ресурсу

8.1.1. Назначение

Настоящий Регламент определяет основные правила предоставления сотрудникам доступа к защищаемым информационным ресурсам Департамента.

8.1.2. Положение Регламента

К работе с информационным ресурсом допускаются сотрудники, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящим Регламентом.

Каждому сотруднику Департамента, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись ), под которым он будет регистрироваться и работать в ИС.

В случае необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в Департаменте одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.

8.1.3. Порядок создания (продления) учетной записи пользователя

Процедура регистрации (создания учетной записи), так же продления срока действия временной учетной записи пользователя для сотрудника Департамента инициируется заявкой (Приложение № 1).

В заявке указывается:

— должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;

— основание для регистрации учетной записи (номер приказа о принятии на работу в Департамент или иного договорного документа, определяющего необходимость предоставления сотруднику доступа к информационным ресурсам Департамента).

Заявку подписывает консультант кадровой службы подтверждающий, что указанный сотрудник действительно принят в штат Департамента.

Администратор информационной безопасности рассматривает представленную заявку и совершает необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и минимальных прав доступа к ресурсам Департамента.

По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.

Минимальные права в ИС, определенные выше, а также присвоение начального пароля производится администратором информационной безопасности, при согласовании заявки на предоставление (изменение) прав доступа пользователя к информационным ресурсам.

8.1.4. Порядок удаления учетной записи пользователя

При прекращении срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.

В заявке указывается:

— должность сотрудника, фамилия, имя и отчество сотрудника;

— имя пользователя (учетной записи) данного сотрудника;

— дата прекращения полномочий пользователя.

Заявку подписывает консультант кадровой службы, утверждая тем самым факт прекращения срока действия полномочий пользователя.

Администратор информационной безопасности рассматривает представленную заявку и совершает необходимые операции по удалению учетной записи пользователя, По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей.

В случае необходимости сохранения персональных документов на АРМ сотрудника, после прекращения срока действия его полномочий, сотрудник (или его непосредственный руководитель) должен своевременно (не позднее, чем за 3 суток до момента прекращения срока действия своих полномочий) подать заявку на блокирование учетной записи пользователя с указанием срока хранения указанной информации.

8.2. Регламент защиты АРМ

8.2.1. Назначение

Настоящий Регламент определяет основные правила и требования по защите персональных данных и иной конфиденциальной информации Департамента от неавторизованного доступа, утраты или модификации.

8.2.2. Положения Регламента

Во время работы с конфиденциальной информацией должен предотвращаться ее просмотр не допущенными к ней лицами.

При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие конфиденциальную информацию, заперты в помещении, шкафу или ящике стола или в сейфе.

Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем их размещения в помещениях с ограниченным доступом, использования паролей или иных доступных механизмов разграничения доступа.

Доступ к компонентам операционной системы и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только администратору информационной безопасности. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей.

Доступ к информации предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей.

Пользователям запрещается устанавливать неавторизованные программы на компьютеры.

Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неавторизованных программ.

Техническое обслуживание должно осуществляться только на основании обращения пользователя к администратору информационной безопасности.

Локальное техническое обслуживание должно осуществляться только в личном присутствии пользователя.

Дистанционное техническое обслуживание должно осуществляться только со специально выделенных автоматизированных рабочих мест, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться.

При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений.

Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации (в том числе в составе АРМ) допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ.

Программное обеспечение должно устанавливаться со специальных ресурсов или съемных носителей и в соответствии с лицензионным соглашением с его правообладателем.

Конфигурации устанавливаемых рабочих станций должны быть стандартизованы, а процессы установки, настройки и ввода в эксплуатацию — регламентированы.

АРМ, на которых предполагается обрабатывать конфиденциальную информацию, должны быть закреплены за соответствующими сотрудниками Департамента. Запрещается использование указанных АРМ другими пользователями без согласования с администратором информационной безопасности Департамента. При передаче указанного АРМ другому пользователю, должна производиться гарантированная очистка диска (форматирование).

8.3. Регламент учетных записей

8.3.1. Назначение

Настоящий Регламент определяет основные правила присвоения учетных записей пользователям информационных активов Департамента.

8.3.2. Положение Регламента

Регистрационные учетные записи подразделяются на:

— пользовательские – предназначенные для идентификации/аутентификации пользователей информационных активов Департамента;

— системные – используемые для нужд операционной системы;

— служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.

Каждому пользователю информационных активов Департамента назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).

В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.

Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.

Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.

Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.

9. Профилактика нарушений информационной безопасности

Под профилактикой нарушений  информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений информационной безопасности в Департаменте и проведение разъяснительной работы по информационной безопасности среди пользователей.

Проведение в ИС Департамента регламентных работ по защите информации предполагает выполнение процедур контрольного тестирования (проверки) функций СЗИ, что гарантирует ее работоспособность с точностью до периода тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной в ИС Департамента степенью периодичности.

Задача предупреждения в ИС Департамента возможных нарушений информационной безопасности решается по мере наступления следующих событий:

— включение в состав ИС Департамента новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Департамента;

— изменение конфигурации программных и технических средств ИС (изменение конфигурации программного обеспечения рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Департамента;

— при появлении сведений о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения технических средств, используемых в ИС Департамента.

Администратор информационной безопасности (возможно, при помощи сторонней организации специализирующейся в области информационной безопасности) собирает и анализирует информацию о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения относительно ИС Департамента. Источниками подобного рода сведений могут служить официальные издания и публикации различных компаний, общественных объединений и других организаций, специализирующихся в области защиты информации.

Администратор информационной безопасности (возможно, при помощи сторонней организации, специализирующейся в области информационной безопасности) организовывает периодическую проверку СЗИ ИС Департамента путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам.

Плановая разъяснительная работа по настоящим правилам, а также инструктаж сотрудников Департамента по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Департаменте, проводится администратором информационной безопасности ежеквартально.

Внеплановая разъяснительная работа по настоящим правилам, а также инструктаж сотрудников Департамента по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Департаменте, проводится при пересмотре настоящих правил, при возникновении инцидента нарушения правил.

Прием на работу новых сотрудников должен сопровождаться ознакомлением их с настоящим Регламентом.

10. Ликвидация последствий нарушения информационной безопасности

Администратор информационной безопасности, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения информационной безопасности, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.

В случае обнаружения подсистемой защиты информации факта нарушения информационной безопасности или осуществления НСД к защищаемым информационным ресурсам ИС рекомендуется уведомить администратора информационной безопасности, и далее следовать его указаниям.

Действия администратора информационной безопасности при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами:

— Инструкцией пользователя автоматизированной системы;

— Должностными обязанностями администратора информационной безопасности;

После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

11. Ответственность нарушителей Регламента информационной безопасности

Ответственность за нарушение  информационной безопасности несет каждый сотрудник Департамента в рамках своих служебных обязанностей и полномочий.

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования Регламента, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение.

Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Департаменту в результате нарушения ими Регламента  (Ст. 238 Трудового кодекса РФ).

За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники Департамента несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.

12. Регулирующие законодательные нормативные документы

При организации и обеспечении работ по информационной безопасности сотрудники Департамента должны руководствоваться следующими законодательными нормативными документами:

12.1. Основополагающие нормативные документы

К основополагающим нормативным документам относятся:

— Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ от 5 декабря 2016 г. № Пр-646).

12.2. Законы Российской Федерации

— Федеральный закон Российской Федерации от 28.12.2010 г. « О безопасности» № 390-ФЗ (с изменениями от 05.10.2015 г.)

— Гражданский кодекс Российской Федерации;

— Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (с изменениями от 23 июня 2016 г.);

— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

— Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Уголовный кодекс РФ;

— Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (с изменениями от 05.04.2016 г.);

— Федеральный закон от 04.05.2011 г. № 99-ФЗ « О лицензировании отдельных видов деятельности» (с изменениями от 30.12.2015 г.).

12.3. Указы и распоряжения президента Российской Федерации

— Указ Президента Российской Федерации от 20 января 1994 г. № 170 «Об основах государственной политики в сфере информатизации» (с изменениями от 26 июля 1995 г., 17 января, 9 июля 1997 г.);

— Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями от 25 июля 2000 г.);

— Указ Президента Российской Федерации от 3 июля 1995 г. № 662 «О мерах по формированию общероссийской телекоммуникационной системы и обеспечению прав собственников при хранении ценных бумаг и расчетах на фондовом рынке Российской Федерации» (с изменениями от 16 октября 2010 г.);

— Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30 декабря 2000 г.);

— Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями от 13 июля 2015 г.).

12.4. Постановления и распоряжения правительства Российской Федерации

— Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» (с изменениями от 18.03.2016г.);

— Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (с изменениями от 21 апреля 2010 г.).

— Постановление Правительства от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных осуществляемой без использования средств автоматизации».

— Постановление Правительства от 1 ноября 2012 г. n 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

12.5. Нормативные и руководящие документы Федеральных служб РФ

— Приказ ФСТЭК России от 11.02.2013 г. №17 «Об утверждении Требований о защите информации не составляющей государственную тайну , содержащейся в государственных информационных системах(Зарегистрировано в Минюсте России 31.05.2013 г. № 28608:

— Приказ ФСТЭК России от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

— Приказ ФСБ России №416, ФСТЭК России №489 от 31.08.2010 г. « Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования (Зарегистрировано в Минюсте России 13.10.2010 г. №18904:

— Решение Гостехкомиссии России от 21 октября 1997 г. № 61 «О защите информации при вхождении России в международную информационную систему «Интернет»;

— Постановление Госстандарта Российской Федерации от 21 сентября 1994 г. № 15 «Об утверждении «Порядка проведения сертификации продукции в Российской Федерации» (с изменениями от 25 июля 1996 г., 11 июля 2002 г.);

— Постановление Госстандарта Российской Федерации от 10 мая 2000 г. № 26 «Об утверждении Правил по проведению сертификации в Российской Федерации» (с изменениями от 5 июля 2002 г.);

— Положение о сертификации средств защиты информации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199);

— Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.);

— Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации т 5 января 1996 г. № 3);

— Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

— Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.);

— Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114);

— Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187).

Заведующий отделом обеспечения деятельности мировых судей

________________В.В.Родькин