Политика информационной безопасности
Глава администрации
Индустриального района города Барнаула
_________________ C.С. Татьянин
«_27_» _марта______ 2019 г.
ПОЛИТИКА
информационной безопасности
администрации Индустриального района города Барнаула
1. Общие положения
1.1. Политика информационной безопасности администрации Индустриального района города Барнаула (далее – Политика) определяет цели и задачи системы обеспечения информационной безопасности (далее – ИБ) и устанавливает совокупность правил и требований в области ИБ, которыми руководствуется администрация Индустриального района города Барнаула (далее - администрация района) в своей деятельности.
1.2. Основными целями Политики являются защита информации, организация и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении полномочий по решению вопросов местного значения и полномочий по осуществлению отдельных государственных полномочий, переданных органам местного самоуправления в установленном Федеральным законом от 06.10.2003 №131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» порядке.
1.3. Задачами Политики являются:
описание организации системы управления ИБ в администрации района;
определение структуры Политики как следующих составных частей:
система мероприятий по реализации антивирусной защиты;
система мероприятий по ведению учетных записей;
система мероприятий по предоставлению доступа к информационному ресурсу;
система мероприятий по использованию информационного ресурса в рамках существующих информационных систем;
система мероприятий по использованию паролей;
система мероприятий по защите автоматизированных рабочих мест (далее – АРМ);
система мероприятий работы с носителями информации ограниченного доступа;
определение порядка сопровождения информационных систем (далее – ИС) администрации района.
1.4. Общее руководство обеспечением и ответственность за организацию мероприятий по обеспечению ИБ осуществляет заместитель главы администрации Индустриального района города Барнаула, руководитель аппарата. Контроль за соблюдением требований ИБ и ответственность за функционирование автоматизированной системы (далее – АС) администрации Индустриального района города Барнаула осуществляет заведующий отделом информатизации администрации Индустриального района города Барнаула (далее – заведующий отделом).
Должностные обязанности администратора ИБ закрепляются в должностных инструкциях.
Руководители органов администрации района несут ответственность за обеспечение выполнения требований ИБ в органах.
Муниципальные служащие обязаны соблюдать требования Политики.
1.5. Политика направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий муниципальных служащих, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.
Наибольшие потенциальные угрозы для нанесения ущерба администрации района представляют ее муниципальные служащие. Действия муниципальных служащих могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне администрации Индустриального района города Барнаула) либо иметь непреднамеренный ошибочный характер. Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией муниципальных служащих и их способностью к адекватным действиям в нештатной ситуации.
Для противодействия угрозам ИБ в администрации района составляются модели угроз и модель нарушителя.
1.6. Область действия Политики распространяется на все органы администрации района и обязательна для исполнения всеми муниципальными служащими и сотрудниками. Положения Политики применимы для использования в правовых актах администрации Индустриального района города Барнаула, а также в договорах и иных документах.
1.7.
Политика вводится в действие и признается утратившей силу распоряжением администрации Индустриального района города Барнаула.
Изменения в Политику вносятся распоряжением администрации Индустриального района города Барнаула. Инициатором внесения изменений в Политику является заведующий отделом информатизации, который выполняет функции администратора ИБ.
Актуализация Политики производится в обязательном порядке в следующих случаях:
при изменении политики Российской Федерации в области ИБ, правовых актов в области защиты информации;
при изменении нормативных документов (инструкций, положений, руководств), касающихся ИБ администрации Индустриального района города Барнаула;
при происшествии и выявлении нарушений ИБ, которые могут причинить ущерб администрации района.
Ответственность за актуализацию Политики, контроль за исполнением ее требований несет администратор ИБ.
2. Термины и определения
Автоматизированная система – система, состоящая из сотрудников администрации района и комплекса средств автоматизации ее деятельности, реализующая информационную технологию выполнения установленных функций;
администратор ИБ – муниципальный служащий или группа муниципальных служащих администрации Индустриального района города Барнаула, осуществляющих контроль за обеспечением защиты информации в локальной вычислительной сети, а также осуществляющих организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления несанкционированного доступа к защищаемой информации;
администратор сети – муниципальный служащий или группа муниципальных служащих администрации Индустриального района города Барнаула, осуществляющих непосредственную организацию и выполнение работ по созданию (модернизации), техническому обслуживанию и управлению (администрированию) локальной вычислительной сетью (далее - ЛВС), включая технические аспекты ИБ;
актив – информация, представляющая ценность для администрации Индустриального района города Барнаула;
анализ риска – систематическое использование информации для определения источников и оценки риска;
аудит ИБ – процесс проверки выполнения установленных требований по обеспечению ИБ. Может проводиться как администратором ИБ (внутренний аудит), так и с привлечением сторонних организаций (внешний аудит);
аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности. Аутентификация, как правило, выполняется путем набора пользователем своего пароля на клавиатуре компьютера;
владелец информационных активов – муниципальный служащий администрации Индустриального района города Барнаула, получивший на основании соответствующего распорядительного документа право обладателя информации, обрабатываемой в информационной системе;
внутренняя сеть – внутренний участок корпоративной сети, отделенный от информационно-телекоммуникационной сети «Интернет» (далее - сеть Интернет) и демилитаризованной зоны межсетевым экраном. Внутренняя сеть объединяет производственные, тестовые, административные сети и сети разработчиков;
доступ к информации – возможность получения информации и ее использования;
доступность информации – состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это право в рамках выполнения служебных обязанностей;
защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных, либо путем их физической изоляции и размещения на охраняемой территории;
идентификатор доступа – уникальный признак субъекта или объекта доступа;
идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов администрации района в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками муниципальных служащих, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.) или преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов администрации района;
информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения служебных задач органов администрации района. В администрации района используются различные типы информационных систем для решения служебных, управленческих, учетных и других задач;
информационная среда – совокупность информационно-телекоммуникационной системы администрации района, процессов, источников и потребителей информации, обслуживающего муниципальных служащих и пользователей информационных систем, обеспечивающая автоматизацию производственных процессов администрации района;
информационно-телекоммуникационная система – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники, а также информационные системы, обеспечивающие автоматизацию процессов администрации района, и средства защиты информации;
информационные активы – информационные системы, информационные средства, информационные ресурсы;
информационные ресурсы – совокупность содержащейся в базе данных (далее - БД) информации и обеспечивающих ее обработку информационных технологий, используемых в рабочих процессах администрации района;
информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;
информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
информация – сведения независимо от формы их представления;
инфраструктура открытых ключей – технологическая инфраструктура и сервисы, обеспечивающие безопасность информационных и коммуникационных систем на основе использования криптографических алгоритмов и сертификатов ключей подписей;
инцидент ИБ – действительное, предпринимаемое или вероятное нарушение ИБ, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов администрации района;
источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость;
код аутентификации электронного сообщения – данные, используемые для установления подлинности и контроля целостности электронного сообщения;
конфиденциальность – доступ к информации только санкционированных пользователей;
корпоративная сеть – объединение информационных систем, компьютерного, телекоммуникационного и офисного оборудования всех органов администрации района, посредством их подключения к единой компьютерной сети передачи данных с использованием различных физических и логических каналов связи;
критичная информация – информация, нарушение доступности, целостности либо конфиденциальности которой может оказать негативное влияние на функционирование органов администрации района, нанести ущерб администрации района;
криптопровайдер – программный или программно-аппаратный модуль, реализующий алгоритмы шифрования;
локальная вычислительная сеть – группа персональных компьютеров (далее - ПК), а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий;
межсетевой экран (далее – МЭ) – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав корпоративной сети, а также между корпоративной сетью и сетью Интернет;
менеджмент риска – процесс принятия и выполнения решений, направленных на снижение возникновения риска;
мониторинг ИБ – постоянное наблюдение за объектами, влияющими на обеспечение ИБ, сбор, анализ и обобщение результатов наблюдения для заданных целей;
несанкционированный доступ к информации (далее – НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей;
обработка риска – процесс выбора и осуществления мер по менеджменту риска;
операционная система (далее – ОС) – системная программа, осуществляющая взаимодействие пользователя и прикладных программ с аппаратной частью ПК;
остаточный риск – риск, остающийся после обработки риска;
оценивание риска – процесс сравнения оцененного риска с данными критериями риска для определения значимости риска;
оценка риска – общий процесс анализа риска и оценивания риска;
пароль – идентификатор субъекта доступа, который является его (субъекта) секретом;
средство защиты информации (далее – СЗИ) – шлюз информационной безопасности, обеспечивающий межсетевое экранирование и защиту данных, пересылаемых по открытым каналам связи (шифрование), а также фильтрацию вредоносного программного обеспечения (далее - ПО) и блокирование внешних атак;
политика ИБ – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых для обеспечения ИБ;
пользователь ЛВС – сотрудник администрации района, а также прочие лица, зарегистрированные в корпоративной сети в установленном порядке и получившие права на доступ к ресурсам корпоративной сети в соответствии со своими обязанностями, определенными должностными инструкциями;
программное обеспечение – совокупность системных и прикладных программ, установленных на сервере или персональном компьютере;
рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности;
регистрационная (учетная) запись пользователя – запись, которая включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя. Регистрационная запись создается администратором;
роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей;
сервер – выделенный компьютер, имеющий разделяемые ресурсы, выполняющий определенный перечень задач и предоставляющий пользователям ЛВС ряд сервисов;
сетевые (информационные) сервисы – сетевые приложения, предоставляющие различные виды сервисов для внутренних и внешних пользователей корпоративной сети;
системный администратор – муниципальный служащий администрации Индустриального района города Барнаула, занимающийся сопровождением АС, отвечающий за функционирование локальной сети администрации района и персональных компьютеров;
список контроля доступа – правила фильтрации сетевых пакетов, настраиваемые на маршрутизаторах и МЭ, определяющие критерии фильтрации и действия, производимые над пакетами;
средства криптографической защиты информации (далее - СКЗИ) – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации);
угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных;
управление информационной безопасностью – совокупность целенаправленных действий, осуществляемых в рамках Политики в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер);
учетная запись - совокупность данных о пользователе, необходимая для его опознавания и предоставления доступа к его личным данным и настройкам;
уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению ИБ при реализации угроз в информационной сфере;
целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность информации ограниченного доступа при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения;
электронная подпись – реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.
3. Системы мероприятий ИБ
3.1. Назначение систем мероприятий ИБ.
Системы мероприятий ИБ – это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в администрации района.
Под системами мероприятий ИБ понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Системы мероприятий ИБ относятся к административным мерам ее обеспечения и определяют стратегию администрации района Барнаула в области ИБ.
Системы мероприятий ИБ регламентируют эффективную работу средств защиты информации. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Системы мероприятий ИБ реализуются посредством административно-организационных мер, физических и программно-технических средств и определяют архитектуру системы защиты.
Все документально оформленные решения, формирующие системы мероприятий, должны быть утверждены заместителем главы администрации Индустриального района города Барнаула, руководителем аппарата.
3.2. Основными принципами обеспечения ИБ являются:
3.2.1. Постоянный и всесторонний анализ информационных систем и внутренней сети администрации района с целью выявления уязвимости информационных активов;
3.2.2. Своевременное обнаружение проблем, потенциально способных повлиять на ИБ, корректировка моделей угроз и нарушителя;
3.2.3. Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для обеспечения ИБ, не должны усложнять достижение целей деятельности администрации района, а также повышать трудоемкость технологических процессов обработки информации;
3.2.4. Контроль эффективности принимаемых защитных мер;
3.2.5. Персонификация и адекватное разделение ролей и ответственности между сотрудниками администрации района, исходя из принципа персональной ответственности за совершаемые операции.
3.3. Соответствие систем мероприятий действующему законодательству.
Правовую основу систем мероприятий составляют федеральные законы и другие законодательные акты, определяющие права и ответственность граждан и органов местного самоуправления в сфере ИБ, а также нормативные, отраслевые и ведомственные документы по вопросам безопасности информации, утвержденные органами исполнительной власти Российской Федерации и Алтайского края в пределах их компетенции.
3.4. Ответственность за реализацию систем мероприятий ИБ.
Ответственность за разработку мер и контроль обеспечения защиты информации несет
администратор ИБ.
Ответственность за реализацию систем мероприятий возлагается:
в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты – на системного администратора;
в части, касающейся доведения правил систем мероприятий до муниципальных служащих администрации района - на руководителя органа;
в части, касающейся исполнения правил систем мероприятий, – на каждого сотрудника администрации района, согласно их должностным обязанностям, и иных лиц, попадающих под область действия Политики.
3.5. Порядок подготовки сотрудника администрации района по вопросам ИБ и допуска их к работе.
Организация обучения сотрудников администрации района в области ИБ возлагается на администратора ИБ. Подписи сотрудников о прохождении инструктажа ИБ заносятся в Журнал проведения инструктажа по ИБ. Обучение правилам обращения с информацией ограниченного доступа проводится путем проведения администратором ИБ администрации района инструктивных занятий с сотрудниками, принимаемыми на работу; самостоятельного изучения муниципальным служащими документов, реализующих Политику.
Допуск сотрудников к работе с информационными ресурсами администрации района осуществляется только после их ознакомления с системами мероприятий ИБ, а также после ознакомления пользователей с «Инструкцией по работе пользователей в АС. обрабатывающей конфиденциальную информацию (персональные данные)». Согласие на соблюдение правил и требований систем мероприятий ИБ подтверждается подписями в Журнале проведения инструктажа по ИБ.
Допуск сотрудников администрации района города Барнаула к работе с информацией ограниченного доступа администрации района осуществляется после ознакомления с «Инструкцией по организацией работы с электронными носителями персональных данных и другой конфиденциальной информацией».
3.6. Защищаемые информационные ресурсы администрации Индустриального района города Барнаула.
Информация ограниченного доступа (конфиденциальная) – сведения, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.
Подходы к решению вопросов защиты информации в администрации района состоят в исключении неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, представляющими угрозу для функционирования рабочих процессов администрации Индустриального района города Барнаула.
В администрации Индустриального района города Барнаула выполняются следующие мероприятия:
определяется порядок работы с документами и носителями, содержащими сведения ограниченного доступа;
устанавливается круг лиц и порядок доступа к конфиденциальной информации;
вырабатываются меры по контролю обращения с документами, содержащими сведения ограниченного доступа;
включаются в трудовые договоры с муниципальными служащими обязательства о неразглашении конфиденциальных сведений и определяются санкции за нарушение порядка работы с ними и их разглашение.
Обязательство о неразглашении конфиденциальной информации берется специалистом административно-хозяйственного отдела при заключении трудового договора.
3.7. Организация системы управления ИБ.
Система управления информационной безопасностью (далее - СУИБ) администрации района предназначена для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и модернизации ИБ администрации района.
Для успешного функционирования СУИБ администрации района должны быть реализованы следующие процессы:
определение и уточнение области действия СУИБ должно осуществляться на основе результатов оценки рисков, связанных с основной деятельностью администрации района;
анализ и оценка рисков ИБ, варианты обработки рисков ИБ для критичных информационных активов и процессов администрации района;
выбор и уточнение целей ИБ, защитных мер, их обоснование для минимизации рисков ИБ;
принятие администрацией района остаточных рисков и решения о реализации и эксплуатации/совершенствовании СУИБ. Остаточные риски ИБ должны быть соотнесены с рисками деятельности администрации района и оценено их влияние на достижение целей ее деятельности.
3.8. Реализация СУИБ администрации Индустриального района города Барнаула.
В СУИБ администрации района реализуются следующие процессы:
разработка плана обработки рисков ИБ;
реализация плана обработки рисков ИБ и реализация защитных мер,
управление работами и ресурсами, связанными с реализацией СУИБ;
реализация программ по обучению сотрудников ИБ;
обнаружение и реагирование на инциденты безопасности;
обеспечение непрерывности деятельности и восстановления после прерываний.
На этапе планирования определяется набор подходов к управлению рисками в ИБ, методология управления ими, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.
На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Администрацией района принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне либо минимизировать.
На этапе проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты.
На этапе действия по результатам непрерывного мониторинга и проводимых проверок выполняются необходимые корректирующие действия, которые включают в себя переоценку величины рисков, корректировку Политики и методологии управления рисками, а также плана обработки рисков.
3.9. Методы оценивания информационных рисков.
Оценка информационных рисков выполняется по следующим основным этапам:
идентификация и количественная оценка информационных ресурсов, значимых для работы администрации района;
оценивание возможных угроз;
оценивание существующих уязвимостей;
оценивание эффективности средств обеспечения ИБ.
Предполагается, что значимые для деятельности администрации района уязвимые информационные ресурсы подвергаются риску, если по отношению к ним существуют какие-либо угрозы.
При этом информационные риски зависят от:
показателей ценности информационных ресурсов;
вероятности реализации угроз для ресурсов;
эффективности существующих или планируемых средств обеспечения ИБ.
Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков возможно выбрать средства, обеспечивающие необходимый уровень ИБ.
При оценивании рисков учитываются ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например, учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.
Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого информационного ресурса администрации района.
При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:
привлекательностью ресурса, показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека;
возможностью использования ресурса для получения дохода, показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека;
техническими возможностями реализации угрозы, показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека;
степенью легкости, с которой угроза может быть использована.
3.10. Порядок предоставления доступа к информационному ресурсу.
Каждому сотруднику, допущенному к работе с конкретным информационным ресурсом администрации района, должно быть присвоено уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в ИС.
В случае служебной необходимости муниципальным служащим присваиваются несколько уникальных имен (учетных записей). Использование несколькими муниципальными служащими при работе одного и того же имени пользователя (группового имени) запрещается.
3.11. Порядок создания учетной записи пользователя.
П
роцедура регистрации (создания учетной записи) для сотрудника инициируется заявлением руководителя органа администрации района, в котором работает данный муниципальный служащий, по форме, установленной приложением 1 к Политике.
В заявлении указываются должность (с полным наименованием органа администрации района), фамилия, имя и отчество (при наличии последнего) сотрудника; основание для регистрации учетной записи (номер, дату распоряжения о принятии на работу или реквизиты иного документа, определяющего необходимость предоставления муниципальному служащему доступа к информационным ресурсам администрации района).
Заявление подписывает руководитель органа администрации района, подтверждающий, что указанный муниципальный служащий принят в штат.
Заявление согласуется с заведующим административно-хозяйственным отделом, администратором ИБ и передается системному администратору.
Системный администратор рассматривает предоставленное заявление и регистрирует учетную запись пользователя в течение суток.
После регистрации учетной записи в заявлении делается отметка о выполнении задания за подписью системного администратора.
3.12. Порядок изменения полномочий пользователя.
Процедура изменения прав доступа пользователя к ресурсам инициируется заявлением муниципального служащего по форме, установленной приложением 2 к Политике.
В заявлении указываются:
должность, фамилия, имя и отчество (при наличии последнего) сотрудника;
имя пользователя (учетной записи) сотрудника;
наименование информационного актива (системы, ресурса), к которому необходим допуск (или изменение полномочий пользователя);
полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных информационных ресурсах ИС) с указанием разрешенных видов доступа к ресурсу (ролей).
Заявление подписывает руководитель муниципального служащего, утверждая тем самым служебную необходимость изменения прав доступа данного муниципального служащего к необходимым ресурсам ИС администрации района для решения им указанных в заявлении задач.
Заявление согласуется с административно-хозяйственным отделом, администратором ИБ и передается системному администратору.
Системный администратор рассматривает предоставленное заявление и вносит необходимые изменения в списки полномочий пользователей соответствующих информационных ресурсов в течение суток.
По окончании внесения изменений в заявлении делается отметка о выполнении задания за подписью системного администратора.
3.13. Порядок блокировки учетной записи пользователя.
Процедура блокировки учетной записи инициируется при наступлении момента прекращения срока действия полномочий пользователя заявлением руководителя органа администрации района, в котором работал данный муниципальный служащий, по форме, установленной приложением 3 к Политике, не позднее, чем за одни сутки до момента прекращения срока действия полномочий пользователя.
В заявлении указываются:
должность, фамилия, имя и отчество (при наличии последнего) сотрудника;
имя пользователя (учетной записи) данного сотрудника;
дата прекращения полномочий пользователя.
Заявление подписывает руководитель органа, подтверждая факт прекращения срока действия полномочий пользователя.
Заявление согласуется с административно-хозяйственным отделом, администратором ИБ и передается системному администратору.
Системный администратор рассматривает предоставленное заявление и блокирует учетную запись пользователя в течение суток с момента подачи заявления.
После блокировки учетной записи в заявлении делается отметка о выполнении задания за подписью системного администратора.
3.14. Порядок хранения исполненных заявлений.
Исполненные заявления хранятся в отделе информатизации администрации Индустриального района города Барнаула Барнаула (далее - комитет) у системного администратора.
Заявления на создание и изменение полномочий учетной записи хранятся в течении всего срока работы сотрудника.
Заявления на блокировку учетной записи хранятся в течении года с момента прекращения срока действия трудовых отношений сотрудника с администрацией района.
Заявления впоследствии используются:
для восстановления полномочий пользователей после аварий в ИС администрации района;
для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам системы при разборе конфликтных ситуаций;
для проверки системным администратором правильности настройки средств разграничения доступа к ресурсам системы.
3.15. Система мероприятий ведения учетных записей.
Регистрационные учетные записи подразделяются на:
пользовательские, предназначенные для идентификации/ аутентификации пользователей информационных активов администрации района;
системные, используемые для нужд ОС;
служебные, предназначенные для обеспечения функционирования отдельных процессов или приложений.
Каждому пользователю информационных активов администрации района назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).
Запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей.
Системные регистрационные учетные записи формируются ОС и должны использоваться только в случаях, предписанных документацией на ОС.
Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.
Использование системных или служебных учетных записей для регистрации пользователей в системе запрещено.
3.16. Система мероприятий по использованию паролей.
Система мероприятий определяет основные правила обращения с паролями, используемыми для доступа к информационным активам администрации района. Положения системы мероприятий закрепляются в «Инструкции по организации парольной защиты в АС», утвержденной заместителем главы администрации, руководителем аппарата.
3.17. Система мероприятий реализации антивирусной защиты.
Система мероприятий определяет основные правила для реализации антивирусной защиты АС в администрации Индустриального района города Барнаула.
Положения системы мероприятий закрепляются в Инструкции по проведению антивирусного контроля в АС, утвержденной заместителем главы администрации, руководителем аппарата.
3.18. Система мероприятий защиты АРМ.
3.18.1. Система мероприятий определяет основные правила и требования по защите информации ограниченного доступа администрации района от неавторизованного доступа, утраты или модификации;
3.18.2. Во время работы с информацией ограниченного доступа пользователь должен не допускать к ней третьих лиц;
3.18.3. При любом оставлении рабочего места рабочая станция должна быть заблокирована пользователем, съемные машинные носители, содержащие информацию ограниченного доступа, заперты в помещении, шкафу или ящике стола, или в сейфе;
3.18.4. В целях исключения несанкционированного использования печатающие, факсимильные, копировально-множительные аппараты и сканеры размещаются в помещениях с ограниченным доступом, с использованием паролей или иных доступных механизмов разграничения доступа;
3.18.5. Сотрудники администрации района получают доступ к ресурсам вычислительной сети после ознакомления с документами, регулирующими защиту персональных данных;
3.18.6. Доступ к компонентам ОС и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только специалистам отдела информатизации. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей;
3.18.7. Доступ к корпоративной информации предоставляется только лицам, имеющим служебную необходимость в работе с этими данными для выполнения своих должностных обязанностей;
3.18.8. Пользователям запрещается устанавливать ПО на компьютеры без согласования со специалистами комитета;
3.18.9. Конфигурация программ на компьютерах проверяется системным администратором ежегодно на предмет выявления установки неразрешенного ПО;
3.18.10. Техническое обслуживание осуществляется только на основании зарегистрированного обращения пользователя к специалистам комитета;
3.18.11. Локальное техническое обслуживание осуществляется только при личном присутствии пользователя;
3.18.12. Дистанционное техническое обслуживание осуществляется только со специально выделенных АРМ, конфигурация и состав которых стандартизованы, а процесс эксплуатации регламентирован и контролироваться;
3.18.13. При проведении технического обслуживания выполняется минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и должны использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений;
3.18.14. ПО устанавливается со специальных сетевых ресурсов или съемных носителей в соответствии с лицензионным соглашением с его правообладателем;
3.18.15. Конфигурации устанавливаемых рабочих станций стандартизованы, а процессы установки, настройки и ввода в эксплуатацию регламентированы;
3.18.16. АРМ, на которых предполагается обрабатывать информацию ограниченного доступа, закреплены за соответствующим сотрудником администрации района. Запрещается использование указанных АРМ другими пользователями без согласования с адмнистратором ИБ. При передаче указанного АРМ другому пользователю производится очистка диска (форматирование);
3.18.17. Специалисты отдела информатизации отказывают в устранении проблемы, вызванной наличием на рабочем месте ПО или оборудования, установленного или настроенного пользователем с нарушением действующей процедуры.
3.19. Порядок сопровождения ИС администрации Индустриального района города Барнаула.
Обеспечение ИБ на стадиях жизненного цикла (далее – ЖЦ) ИС должно осуществляться на всех его стадиях, автоматизирующих технологические процессы, с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и контрольных органов администрации Индустриального района города Барнаула). Разработка технических заданий, проектирование, создание, тестирование, приемка средств и систем защиты ИС проводится при участии администратора ИБ и системного администратора. Порядок разработки и внедрения ИС контролируется заведующим отделом информатизации.
При разработке ИС необходимо придерживаться требований и методических указаний, определенных стандартами, входящими в группу ГОСТ 34 «Стандарты информационной технологии».
3.19.1. Ввод в действие, эксплуатация, снятие с эксплуатации ИС в части вопросов ИБ осуществляются при участии администратора ИБ;
3.19.2. На стадиях, связанных с разработкой ИС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация), разработчиком должна быть обеспечена защита от угроз:
неверной формулировки требований к ИС;
выбора неадекватной модели ЖЦ ИС, в том числе неадекватного выбора процессов ЖЦ и вовлеченных в них участников;
принятия неверных проектных решений;
внесения разработчиком дефектов на уровне архитектурных решений;
внесения разработчиком недокументированных возможностей в ИС;
неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИС;
разработки некачественной документации;
сборки ИС разработчиком/производителем с нарушением требований, что приводит к появлению недокументированных возможностей в ИС либо к неадекватной реализации требований;
неверного конфигурирования ИС;
приемки ИС, не отвечающей требованиям заказчика;
внесения недокументированных возможностей в ИС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ;
3.19.3. Привлекаемые для разработки и (или) производства средств и систем защиты ИС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством Российской Федерации;
3.19.4. При приобретении готовых ИС и их компонентов разработчиком должна быть предоставлена документация, содержащая, в том числе, описание защитных мер, предпринятых разработчиком в отношении угроз ИБ.
Также разработчиком должна быть предоставлена документация, содержащая описание защитных мер, предпринятых разработчиком ИС, и их компонентов, касающихся безопасности разработки, безопасности поставки, эксплуатации, поддержки ЖЦ, включая описание модели ЖЦ, оценки уязвимости. Данная документация может быть предоставлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки.
3.19.5. В договор (контракт) о поставке ИС и их компонентов включаются положения по сопровождению поставляемых модулей на весь срок их службы. В случае невозможности включения в договор (контракт) указанных требований к разработчику, рассматривается возможность приобретения полного комплекта рабочей документации на модуль для обеспечения последующего сопровождения ИС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой цены, администрация района проводит анализ влияния угрозы невозможности сопровождения ИС и их компонентов на обеспечение непрерывности технологического процесса;
3.19.6. На стадии эксплуатации обеспечивается защита от следующих угроз:
умышленное несанкционированное раскрытие, модификация или уничтожение информации;
неумышленная модификация или уничтожение информации;
недоставка или ошибочная доставка информации;
отказ в обслуживании или ухудшение обслуживания.
Кроме этого, актуальной является угроза отказа от авторства сообщения. На стадии сопровождения должна быть обеспечена защита от угроз: внесение изменений в ИС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей; невнесение разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния ИС;
3.19.7. На стадии снятия с эксплуатации специалистами отдела обеспечивается удаление информации, несанкционированное использование которой может нанести ущерб администрации района, и информации, используемой средствами обеспечения ИБ, из постоянной памяти или с внешних носителей;
3.19.8. Требования ИБ должны включаться во все договоры и контракты на проведение работ или оказание услуг на всех стадиях ЖЦ ИС.
3.20. Профилактика нарушений системы мероприятий ИБ.
Под профилактикой нарушений системы мероприятий ИБ понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений ИБ в администрации района и проведение разъяснительной работы по ИБ среди пользователей.
Проведение в ИС администрации района регламентных работ по защите информации предполагает выполнение процедур контрольного тестирования (проверки) функций СЗИ, что гарантирует ее работоспособность с точностью до периода тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной в ИС степенью периодичности.
Задача предупреждения в ИС администрации района возможных нарушений ИБ решается по мере наступления следующих событий:
включения в состав ИС администрации района новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС администрации района;
изменения конфигурации программных и технических средств ИС (изменение конфигурации ПО рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС администрации района;
появления сведений о выявленных уязвимых местах в составе ОС и/или ПО технических средств, используемых в ИС администрации района.
Администратор ИБ, в том числе используя рекомендации организации, специализирующейся в области ИБ и имеющей соответствующие сертификаты Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК), собирает и анализирует информацию о выявленных уязвимых местах в составе ОС и/или ПО относительно ИС администрации района. Источниками подобного рода сведений могут служить официальные издания и публикации в средствах массовой информации, общественных объединений и других организаций, специализирующихся в области защиты информации.
Администратор ИБ, в том числе используя рекомендации организации, специализирующейся в области ИБ и имеющей соответствующие сертификаты ФСТЭК, организует периодическую проверку СЗИ ИС администрации района путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам.
Для решения задач контроля защищенности ИС используются инструментальные средства для тестирования реализованных в составе СЗИ ИС администрации района средств и функций защиты. По результатам профилактических работ, проводимых в ИС администрации района, системному администратору необходимо сделать соответствующие записи в Журнале проверки исправности и технического обслуживания.
Плановая разъяснительная работа по правилам системы мероприятий ИБ, а также инструктаж сотрудников администрации района по соблюдению требований нормативных и регламентных документов по ИБ, принятых в администрации района, проводятся администратором ИБ ежеквартально.
Внеплановая разъяснительная работа по правилам системы мероприятий ИБ, а также инструктаж сотрудников администрации района по соблюдению требований нормативных и регламентных документов по ИБ, принятых в администрации района, проводятся при пересмотре системы мероприятий ИБ, при возникновении инцидента нарушения правил системы мероприятий.
При вступлении в должность муниципальный служащий обязан ознакомиться с правилами и требованиями системы мероприятий.
3.21. Ликвидация последствий нарушения системы мероприятий ИБ.
Администратор ИБ, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, своевременно обнаруживает нарушения ИБ, факты осуществления НСД к защищаемым информационным ресурсам и предпринимает меры по их локализации и устранению.
В случае обнаружения подсистемой защиты информации факта нарушения ИБ или осуществления НСД к защищаемым информационным ресурсам ИС администрации района, пользователям рекомендуется уведомить администратора ИБ или специалистов отдела информатизации и далее следовать их указаниям.
Действия администратора ИБ и специалистов отдела информатизации при признаках нарушения системы мероприятий ИБ регламентируются следующими документами:
Политикой;
Порядком выявления инцидентов информационной безопасности информационных систем персональных данных;
инструкцией пользователя АС;
должностной инструкцией администратора ИБ;
должностной инструкцией программиста.
После устранения нарушения необходимо заполнить Карточку данных об инциденте информационной безопасности.
3.22. Ответственность нарушителей систем мероприятий ИБ.
Ответственность за выполнение правил систем мероприятий безопасности несет каждый сотрудник администрации Индустриального района города Барнаула в рамках своих служебных обязанностей и полномочий.
Приложение 1 к Политике информационной безопасности администрации района