Методический документ меры защиты информации в государственных информационных системах
|
Скачать 2.57 Mb.
|
Содержание базовой меры УПД.13:
УПД.14 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ТЕХНОЛОГИЙ БЕСПРОВОДНОГО ДОСТУПА Требования к реализации УПД.14: Оператором должны обеспечиваться регламентация и контроль использования в информационной системе технологий беспроводного доступа пользователей к объектам доступа (стандарты коротковолновой радиосвязи, спутниковой и пакетной радиосвязи), направленные на защиту информации в информационной системе. Регламентация и контроль использования технологий беспроводного доступа должны включать: ограничение на использование технологий беспроводного доступа (беспроводной передачи данных, беспроводного подключения оборудования к сети, беспроводного подключения устройств к средству вычислительной техники) в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление беспроводного доступа в соответствии с УПД.2; предоставление технологий беспроводного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций); мониторинг и контроль применения технологий беспроводного доступа на предмет выявления несанкционированного использования технологий беспроводного доступа к объектам доступа информационной системы; контроль беспроводного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой. Правила и процедуры применения технологий беспроводного доступа регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению УПД.14: 1) в информационной системе обеспечивается аутентификация подключаемых с использованием технологий беспроводного доступа устройств в соответствии с ИАФ.2; 2) в информационной системе обеспечивается мониторинг точек беспроводного подключения устройств к информационной системе на предмет выявления несанкционированного беспроводного подключения устройств; 3) в информационной системе исключается возможность изменения пользователем точек беспроводного доступа информационной системы; 4) оператором одолжен быть предусмотрен запрет беспроводного доступа к информационной системе из-за пределов контролируемой зоны; 5) в информационной системе должен быть запрещен беспроводный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы и ее системы защиты информации; 6) в информационной системе исключается возможность изменения пользователем устройств и настроек беспроводного доступа; 7) оператором обеспечивается определение местонахождения несанкционированного беспроводного устройства; 8) оператором обеспечивается блокирование функционирования несанкционированного беспроводного устройства. Содержание базовой меры УПД.14:
УПД.15 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ Требования к реализации УПД.15: Оператором должны обеспечиваться регламентация и контроль использования в информационной системе мобильных технических средств, направленные на защиту информации в информационной системе. В качестве мобильных технических средств рассматриваются съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства). Регламентация и контроль использования мобильных технических средств должны включать: установление (в том числе документальное) видов доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа), разрешенных для доступа к объектам доступа информационной системы с использованием мобильных технических средств, входящих в состав информационной системы; использование в составе информационной системы для доступа к объектам доступа мобильных технических средств (служебных мобильных технических средств), в которых реализованы меры защиты информации в соответствии с ЗИС.30; ограничение на использование мобильных технических средств в соответствии с задачами (функциями) информационной системы, для решения которых использование таких средств необходимо, и предоставление доступа с использованием мобильных технических средств в соответствии с УПД.2; мониторинг и контроль применения мобильных технических средств на предмет выявления несанкционированного использования мобильных технических средств для доступа к объектам доступа информационной системы; запрет возможности запуска без команды пользователя в информационной системе программного обеспечения (программного кода), используемого для взаимодействия с мобильным техническим средством. Правила и процедуры применения мобильных технических средств, включая процедуры выдачи и возврата мобильных технических средств, а также их передачи на техническое обслуживание (процедура должна обеспечивать удаление или недоступность информации), регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению УПД.15: 1) оператором обеспечивается запрет использования в информационной системе, не входящих в ее состав (находящихся в личном использовании) съемных машинных носителей информации; 2) оператором обеспечивается запрет использования в информационной системе съемных машинных носителей информации, для которых не определен владелец (пользователь, организация, ответственные за принятие мер защиты информации); 3) оператором обеспечивается (в соответствии с процедурами, зафиксированными в организационно-распорядительных документах) очистка машинного носителя информации мобильного технического средства, переустановка программного обеспечения и выполнение иных мер по защите информации мобильных технических средств, после их использования за пределами контролируемой зоны; 4) оператором обеспечивается предоставление доступа с использованием мобильных технических средств к объектам доступа информационной системы только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций); 5) в информационной системе обеспечивается запрет использования мобильных технических средств, на которые в информационной системе может быть осуществлена запись информации (перезаписываемых съемных машинных носителей информации). Содержание базовой меры УПД.15:
УПД.16 УПРАВЛЕНИЕ ВЗАИМОДЕЙСТВИЕМ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ СТОРОННИХ ОРГАНИЗАЦИЙ (ВНЕШНИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ) Требования к реализации УПД.16: Оператором должно быть обеспечено управление взаимодействием с внешними информационными системами, включающими информационные системы и вычислительные ресурсы (мощности) уполномоченных лиц, информационные системы, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения), а также с иными информационными системами, информационное взаимодействие с которыми необходимо для функционирования информационной системы. Управление взаимодействием с внешними информационными системами должно включать: предоставление доступа к информационной системе только авторизованным (уполномоченным) пользователям в соответствии с УПД.2; определение типов прикладного программного обеспечения информационной системы, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних информационных систем; определение системных учетных записей, используемых в рамках данного взаимодействия; определение порядка предоставления доступа к информационной системе авторизованными (уполномоченным) пользователями из внешних информационных систем; определение порядка обработки, хранения и передачи информации с использованием внешних информационных систем. Управление взаимодействием с внешними информационными системами в целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. N 977. Правила и процедуры управления взаимодействием с внешними информационными системами регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению УПД.16: 1) оператор предоставляет доступ к информационной системе авторизованным (уполномоченным) пользователям внешних информационных систем или разрешает обработку, хранение и передачу информации с использованием внешней информационной системы при выполнении следующих условий: а) при наличии договора (соглашения) об информационном взаимодействии с оператором (обладателем, владельцем) внешней информационной системы; б) при наличии подтверждения выполнения во внешней информационной системе предъявленных к ней требований о защите информации (наличие аттестата соответствия требованиям по безопасности информации или иного подтверждения). Содержание базовой меры УПД.16:
УПД.17 ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ Требования к реализации УПД.17: В информационной системе должно обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники информационной системы на этапе его загрузки. Доверенная загрузка должна обеспечивать: блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы; контроль доступа пользователей к процессу загрузки операционной системы; контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники. В информационной системе применяется доверенная загрузка на разных уровнях (уровня базовой системы ввода-вывода, уровня платы расширения и уровня загрузочной записи). Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению УПД.17: 1) в информационной системе должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения; 2) в информационной системе должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения, реализованные на основе программно-аппаратного модуля; 3) в информационной системе должна осуществляться доверенная загрузка программного обеспечения телекоммуникационного оборудования; Содержание базовой меры УПД.17:
3.3. ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ (ОПС) ОПС.1 УПРАВЛЕНИЕ ЗАПУСКОМ (ОБРАЩЕНИЯМИ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ ОПРЕДЕЛЕНИЕ ЗАПУСКАЕМЫХ КОМПОНЕНТОВ, НАСТРОЙКА ПАРАМЕТРОВ ЗАПУСКА КОМПОНЕНТОВ, КОНТРОЛЬ ЗА ЗАПУСКОМ КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Требования к реализации ОПС.1: Оператором должны быть реализованы следующие функции по управлению запуском (обращениями) компонентов программного обеспечения: определение перечня (списка) компонентов программного обеспечения (файлов, объектов баз данных, хранимых процедур и иных компонентов), запускаемых автоматически при загрузке операционной системы средства вычислительной техники; |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Похожие:
 |
Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных... |
|
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Инструкция по регистрации в Единой системе идентификации и аутентификации (есиа) Есиа – это информационная система в Российской Федерации, обеспечивающая санкционированный доступ граждан-заявителей и должностных... |
 |
Инструкция по регистрации в Единой системе идентификации и аутентификации (есиа) Есиа – это информационная система в Российской Федерации, обеспечивающая санкционированный доступ граждан-заявителей и должностных... |
|
Единая система идентификации и аутентификации Единая система идентификации... Российской Федерации, обеспечивающая санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных... |
|
Анализ состояния защиты данных в информационных системах Д 999 Анализ состояния защиты данных в информационных системах: учеб пособие / В. В. Денисов. – Новосибирск: Изд-во нгту, 2012. –... |
|
Инструкция по применению антивирусной защиты информации в Администрации... Во исполнение требований Федерального закона РФ №149-фз от 27. 07. 2006 г. «Об информации, информационных технологиях и о защите... |
|
Техническое задание на оказание услуг по актуализации существующей... Оао «Тольяттинская энергосбытовая компания», поставке оборудования, носителей информации с дистрибутивами по, ключей технической... |
|
Инструкция по обеспечению информационной безопасности при создании... Владивостока (далее – Инструкция) разработана в соответствии с требованиями Федерального закона от 27. 07. 2006 №149-фз «Об информации,... |
|
«защита информации от несанкционированного доступа» Фз о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные... |
|
Теория информационной безопасности и методология защиты информации 5 Российской Федерации. В чем заключается сущность защиты информации, ее место в системе информационной безопасности, информация как... |
|
Выписка из перечня средств защиты информации, сертифицированных фсб россии «Программно-аппаратный комплекс защиты объектов информационных технологий от разведки пэми «лгш-504» |
|
Выписка из перечня средств защиты информации, сертифицированных фсб россии «Программно-аппаратный комплекс защиты объектов информационных технологий от разведки пэми «лгш-504» |
|
Инструкция по работе в информационной системе Реестр государственных... Приложению 1 Инструкции в Комитет компьютерных технологий. Заявителя регистрируют в программе «Реестр государственных информационных... |
|
Учебно-методический комплекс дисциплины обсужден на заседании кафедры... Защита информационных процессов в компьютерных системах 090104. 65 – Комплексная защита объектов информатизации Форма подготовки... |
|
Обработки персональных данных и реализуемых требованиях к защите персональных данных Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,... |