6. Учет АС, подключенных к международным сетям общего пользования и контроль за обеспечением защиты от несанкционированного доступа
Ведение учета АС, подключенных к МИС общего пользования в Правительстве области, организуется администратором АС МИС.
Сведения о наличии и особенностях функционирования АС МИС общего пользования представляются в отдел защиты информации Правительства области в установленном порядке.
Отдел по защите информации имеет право вносить предложения по порядку и ограничениям использования АС МИС общего пользования, а также выдавать рекомендации и предъявлять дополнительные требования по защите информации от несанкционированного доступа.
Приложение №26
ИНСТРУКЦИЯ
по организации парольной защиты в ИСПДн администрации Лизиновского сельского поселения
1. Общие положения
Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в ИСПДн администрации Лизиновского сельского поселения, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
2. Порядок парольной защиты
Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн возлагается на администратора безопасности. Контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями возлагается на администратора безопасности.
Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:
длина пароля должна быть не менее 6 символов;
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
при смене пароля новое значение должно отличаться от предыдущего не менее чем в 3 позициях;
личный пароль пользователь не имеет права сообщать никому.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
Формирование личных паролей пользователей осуществляется централизованно. Ответственность за правильность их формирования и распределения возлагается на администратора безопасности. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления (самих уполномоченных сотрудников, а также руководителей подразделений) с паролями других пользователей.
Списки паролей пользователей хранятся в сейфе.
Полная плановая смена паролей пользователей должна проводиться регулярно.
Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться администратором безопасности немедленно после окончания последнего сеанса работы данного пользователя с системой.
В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры в соответствии с п.6 настоящей Инструкции.
Хранение сотрудником значений своих паролей на материальном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у руководителя подразделения в опечатанном конверте или пенале (возможно вместе с персональным носителем информации и идентификатором).
Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены и использования в подразделениях возлагается на администратора безопасности.
3. Ответственность
Пользователь и администратор безопасности несут ответственность за качество и своевременность выполнения задач и функций, возложенных на них в соответствии с настоящей Инструкцией.
Приложение 27
ИНСТРУКЦИЯ
администратору безопасности ИСПДн Администрации Лизиновского сельского поселения
Общие положения.
Настоящая инструкция определяет основные функции и порядок работы администратора безопасности в технологическом процессе обработки конфиденциальной информации на объекте информатизации ИСПДн администрации с применением комплекса средств защиты информации (СЗИ) от несанкционированного доступа (НСД) Dallas Lock и VIP NET CUSTOM.
В процессе выполнения своих служебных обязанностей администратор безопасности должен выполнять требования нормативных документов по защите информации и требования эксплуатационной документации на комплекс Dallas Lock и YIP NET CUSTOM.
1.Функции администратора безопасности.
Администратор безопасности обязан выполнять начальную установку и настройку комплекса СЗИ НСД на ПЭВМ объекта информатизации.
Администратор обязан вести учет электронных идентификаторов комплексов СЗИ НСД, выполнять действия по их регистрации на ПЭВМ, организовывать их выдачу пользователям и периодически контролировать их наличие.
Администратор безопасности обязан проводить работы по генерации и регулярной смене паролей пользователей.
Администратор безопасности обязан выполнять действия по настройке комплексов СЗИ НСД на ПЭВМ объекта информатизации в соответствии с утвержденными правилами разграничения доступа (матрицей доступа).
Администратор безопасности обязан осуществлять оперативный контроль над функционированием комплекса СЗИ НСД на ПЭВМ объекта информатизации, проводить его периодическое тестирование и осуществлять контроль целостности резервных копий программного обеспечения комплекса на носителях.
Администратор безопасности обязан проводить проверки целостности программного обеспечения.
Администратор безопасности обязан осуществлять постоянный контроль над соблюдением операторами (пользователями) технологии обработки конфиденциальной информации, анализировать содержимое регистрационных журналов, формируемых комплексами СЗИ НСД и принимать конкретные меры по выявленным нарушениям.
Администратор безопасности обязан организовывать и контролировать проведение работ по ремонту, наладке и сервисному обслуживанию ПЭВМ и вспомогательных технических средств объекта информатизации.
Администратор безопасности обязан контролировать сохранность и целостность эта тонных копий программного обеспечения.
Администратор безопасности обязан оказывать методическую и консультационную помощь операторам (пользователям) объекта информатизации в процессе эксплуатации комплексов СЗИ НСД.
2.УСТАНОВКА И НАСТРОЙКА КОМПЛЕКСА СЗИ НСД
Установка (повторная установка) комплексов СЗИ НСД выполняется в следующих ситуациях:
на этапе ввода в действие объекта информатизации;
в случае выхода из строя накопителей с конфиденциальной информацией;
в случае возникновения сбойных и аварийных ситуаций, повлекших нарушения в работе программного обеспечения (ПО) ПЭВМ;
в случае ввода новых ПЭВМ в состав объекта информатизации.
Установка комплекса СЗИ НСД на ПЭВМ объекта информатизации должна выполняться администратором безопасности в строгом соответствии с инструкциями, приведенными в эксплуатационной документации.
Установка ПО комплекса СЗИ НСД должна производиться с эталонных носителей (CD- дисков). Перед установкой комплекса ПО ПЭВМ должно быть проверено на отсутствие вирусного заражения.
Регистрация электронных идентификаторов пользователей и установка правил разграничения доступа производится в соответствии с утвержденными правилами разграничения доступа (матрицей доступа). Регистрация дополнительных (не указанных) в матрице доступа пользователей запрещена
3.СОПРОВОЖДЕНИЕ СЗИ НСД В ПРОЦЕССЕ ЭКСПЛУАТАЦИИ
Ведение служебной информации СЗИ НСД
3.1.1Регистрация пользователей
Действия по регистрации пользователей выполняются администратором безопасности на основании оформленных установленным порядком приказов и распоряжений о допуске пользователей к обработке конфиденциальной информации.
В соответствии с установленными уровнями полномочий операторов (пользователей) и эксплуатационной документацией на комплекс СЗИ НСД администратор безопасности разрабатывает правила разграничения доступа (ПРД) и оформляет матрицу доступа.
На основании утвержденной матрицы доступа администратор безопасности, в соответствии с эксплуатационной документацией выполняет действия по настройке системы защиты ПЭВМ от НСД.
В процессе регистрации пользователей и настройки системы защиты администратор безопасности должен соблюдать следующие правила:
все информационные ресурсы, к которым разрешен доступ пользователя (логические диски, каталоги и файлы) должны быть явно указаны;
каталогам, в которых планируется размещать конфиденциальную информацию должны быть заранее присвоены соответствующие метки конфиденциальности;
все запускаемые программы и подгружаемые модули должны быть явно указаны и включены в список контроля при запуске;
должна быть обеспечена регистрация в системном журнале операций чтения, записи и удаления;
журнал регистрации должен вестись для всех пользователей;
должен быть активизирован режим ограничения времени действия пароля по количеству попыток неправильного ввода;
должен быть активизирован режим полного удаления файлов;
должен быть активизирован режим очистки освобождаемой памяти;
доступ к портам ввода-вывода должен быть максимально ограничен.Регистрация электронных идентификаторов пользователей, установка правил разграничения доступа выполняются средствами СЗИ НСД.
Контроль целостности файлов системы защиты обеспечивается средствами СЗИ НСД.
Контроль файловой системы, в том числе обнаружение изменения и создания новых файлов обеспечивается средствами программы контроля целостности файловой системы СЗИ НСД.
По окончании работ по регистрации пользователей администратор безопасности выполняет проверки функционирования общесистемной программной среды каждого зарегистрированного пользователя, тестирует работоспособность комплекса СЗИ НСД. и корректность реализации ПРД.
После выдачи идентификаторов каждому пользователю администратор (возможно совместно с пользователем) осуществляет генерацию пароля и контролирует установку пароля пользователем.
Генерация и смена паролей
Действия по генерации и смене паролей пользователей должны организовываться администратором безопасности.
Для организации работ по смене паролей администратор безопасности устанавливает ограничения на время действия пароля.
Процедура генерации паролей должна исключать задание в качестве паролей комбинаций критичных с точки зрения их подбора.
Смена паролей выполняется, в соответствии с эксплуатационной документацией на комплекс СЗИ НСД.
Установленные (новые) пароли администратор безопасности должен лично сообщать каждому конкретному пользователю. Администратор безопасности несет ответственность за разглашение личных паролей пользователей.
3.1.3Сопровождение ПРД
Администратор безопасности обеспечивает реализацию разрешительной системы доступа в виде наборов правил разграничения доступа к техническим, программным средствам и информационным ресурсам формируемых для каждого регистрируемого пользователя.
Распределение и изменение прав доступа пользователей к конкретным программам и информационным ресурсам должно осуществляться на основании Заявок.
Правила разграничения доступа разрабатываются в соответствии с требованиями разрешительной системы доступа на основании заявок на доступ пользователей и документально оформляются в виде матрицы доступа или в виде дополнений и изменений матрицы доступа и физически реализуются настройками подсистемы разграничения доступа к объектам файловой системы.
Заявки на доступ пользователей к техническим средствам объекта должны содержать перечень (список) программ и информационных ресурсов, доступ к которым должен быть предоставлен каждому конкретному пользователю с указанием дисков и каталогов, на которых размещены данные ресурсы.
3.2 Оперативный контроль над функционированием СЗИ НСД
Администратор безопасности несет ответственность за нормальное функционирование комплекса СЗИ НСД на ПЭВМ объекта информатизации.
Администратор безопасности должен осуществлять периодическое тестирование работоспособности комплекса СЗИ НСД и корректности реализации ПРД.
В случае, когда средства комплекса СЗИ НСД отказывают в доступе легальным пользователям, администратор безопасности должен анализировать причины отказа в доступе и предпринимать оперативные действия по выявлению возможных нарушений.Администратор безопасности должен предпринимать оперативные действия в случае возникновения внештатных ситуаций при работе ПЭВМ, анализировать причины их возникновения и предпринимать необходимые меры по восстановлению работоспособности комплекса СЗИ НСД и программного обеспечения.
Администратор безопасности должен постоянно контролировать уровень защищенности информации от НСД и, в случае выявления возможных каналов утечки информации за счет НСД, предпринимать оперативные меры по их устранению за счет изменения параметров настройки подсистемы разграничения доступа комплекса СЗИ НСД.
3.3 Контроль соответствия программной среды эталону
Контроль соответствия общесистемной программной среды эталону осуществляется администратором безопасности с использованием средств комплекса. Для этого администратор средствами администрирования формирует для каждого зарегистрированного пользователя списки файлов, входящих в состав общесистемного программного обеспечения, целостность которых контролируется и включает режим проверки целостности «до запуска» ОС.
Все исполняемые модули (файлы, содержащие исполняемый или интерпретируемый программный код), входящие в состав общесистемной программной среды доступ к которым разрешен конкретному пользователю, должны быть включены в список контроля целостности.
В случае выявления фактов нарушения целостности компонентов, входящих в состав общесистемного программного обеспечения, администратором безопасности должны предприниматься действия по анализу причин таких нарушений и действия по восстановлению данных компонент с эталонных копий.
Администратор безопасности должен обеспечивать контроль над сохранностью эталонных копий ПО и периодически проверять состояние учтенных носителей, на которых оно расположено.
Приемка и ввод в эксплуатацию программных средств
3.4.1.Администратор безопасности организует и контролирует выполнение работ по установке новых программных средств, включаемых в состав ИСПДн.
Перед установкой дистрибутивные носители с новыми программными средствами, вводимыми в состав объекта информатизации, должны быть соответствующим образом проверены.
3.4.3.Установка новых программных средств допускается только с проверенных носителей.
3.4.4.Перед установкой новых программных средств ПЭВМ должна быть физически отключена от ИСПДн. Если физическое отключение ПЭВМ не возможно (в силу специфики устанавливаемого ПО), выполнение работ по установке новых программных средств допускается только после полного прекращения обработки конфиденциальной информации в ИСПДн.
3.4.5.После выполнения работ по установке новых программных средств администратор безопасности проверяет их работоспособность и средствами администрирования комплекса СЗИ НСД выполняет необходимые действия по их настройке. По результатам выполненных работ оформляется акт приемки нового программного обеспечения и утверждаются дополнения и изменения матрицы доступа.
Л
3.4.6.Допуск пользователей к работе на ПЭВМ, на которых проводились работы по установке нового программного обеспечения, разрешается только после утверждения акта приемки и матрицы доступа.
3.5 Контроль за ходом технологического процесса обработки информации
Контроль хода технологического процесса обработки информации администратор безопасности осуществляет путем регистрации и анализа действий операторов (пользователей) по системному журналу.
Обработка и анализ системных журналов должны осуществляться регулярно, но не реже чем один раз в неделю.
В случае выявления нарушений администратор безопасности проводит мероприятия по выявлению виновников и причин нарушения. Результаты расследования доводятся до сведения руководства.
Оказание методической и консультационной помощи пользователям
Администратор безопасности организует и проводит инструктаж пользователей правилам применения и эксплуатации комплексов СЗИ НСД и периодически контролирует их знания.
Администратор безопасности должен оказывать методическую и консультационную помощь пользователям при применении и эксплуатации комплексов СЗИ НСД.
|
