УТВЕРЖДЕНО
приказом ГАУ РК «ЦИТ»
от 24.01.2017 года № 16
(приложение № 1)
ПОЛОЖЕНИЕ
об обеспечении информационной безопасности инфраструктуры электронного правительства в Республике Коми
1.Общие положения и область действия
Настоящее Положение разработано во исполнение п.п.2.2. постановления Правительства Республики Коми от 31 декабря 2010 г. № 506 «О региональном операторе безопасности инфраструктуры электронного правительства в Республике Коми» и включает в себя ключевые направления обеспечения информационной безопасности в Республике Коми и политики информационной безопасности, отражающие совокупность правил и процедур, направленных на защиту инфраструктуры электронного правительства в Республике Коми.
Действие настоящего Положения распространяется на всех работников органов государственной власти Республики Коми, государственных органов Республики Коми, государственных учреждений Республики Коми, а также работников органов местного самоуправления в Республике Коми и иных организаций, подключенных к корпоративной информационно-телекоммуникационной сети органов государственной власти Республики Коми (далее – Работники организаций).
Правила и процедуры, направленные на защиту инфраструктуры электронного правительства в Республике Коми в зависимости от объекта защиты сгруппированы в политики информационной безопасности. Перечень политик информационной безопасности приведен в разделе 7 настоящего Положения.
2.Термины и сокращения
АРМ
|
–
|
автоматизированное рабочее место (рабочий компьютер пользователя)
|
ГАУ РК «ЦИТ»
|
–
|
государственное автономное учреждение Республики Коми «Центр информационных технологий»
|
КСПД
|
–
|
корпоративная информационно-телекоммуникационная сеть органов государственной власти Республики Коми
|
Пользователь КСПД
|
–
|
работник органа государственной власти Республики Коми, государственного органа Республики Коми, государственного или муниципального учреждения, осуществляющего работу:
в информационных системах, доступ к которым предоставляет Оператор;
на сетевых дисках, доступ к которым предоставлен Оператором;
на АРМ и серверах, введенных в домен rk.local.
|
Оператор
|
–
|
региональный оператор безопасности инфраструктуры электронного правительства – государственный орган, на который Правительством РК возложены функции формирования единой технологической политики построения инфраструктуры электронного правительства в РК
|
ЦОД
|
–
|
центр обработки данных ГАУ РК «ЦИТ»
|
3.Цель и задачи обеспечения информационной безопасности инфраструктуры электронного правительства в Республике Коми
Целью обеспечения информационной безопасности инфраструктуры электронного правительства в Республике Коми является защита компонентов инфраструктуры электронного правительства и государственных информационных систем Республики Коми от воздействия со стороны потенциальных источников угроз.
Для достижения поставленной цели необходимо решение следующих задач:
формирование единого подхода к построению системы защиты инфраструктуры электронного правительства в Республике Коми;
идентификация потенциальных источников угроз информационной безопасности;
аттестация государственных информационных систем Республики Коми на соответствие требованиям безопасности текущего законодательства Российской Федерации;
осуществление мероприятий по построению системы защиты информации ограниченного доступа и персональных данных.
4.Ключевые элементы обеспечения информационной безопасности инфраструктуры электронного правительства в Республике Коми
Обеспечение информационной безопасности инфраструктуры электронного правительства в Республике Коми заключается в организации централизованного управления компонентами инфраструктуры электронного правительства, а также формирование единого комплексного подхода к обеспечению информационной безопасности по ключевым направлениям защиты информации.
Ключевыми направлениями защиты информации инфраструктуры электронного правительства в Республике Коми являются:
внедрение политик информационной безопасности, а также регламентов безопасного выполнения отдельных процессов;
классификация информационных систем, в том числе государственных, предназначенных для обработки информации ограниченного доступа;
повышение уровня осведомленности Работников организаций в области защиты информации, в том числе информации ограниченного доступа и персональных данных;
регламентация правил и процедур безопасного администрирования информационных систем, в том числе государственных информационных систем, средств защиты информации, в том числе криптографических;
регламентация правил и порядка обращения с информацией ограниченного доступа и персональными данными;
защита от вредоносного программного обеспечения;
контроль доступа к информационным ресурсам, внедрение процессов минимизации полномочий пользователей;
внедрение и развитие процедур решения инцидентов по информационной безопасности, в том числе во взаимодействии с правоохранительными органами;
непрерывный аудит состояния информационной безопасности в органах государственной власти Республики Коми и государственных учреждениях Республики Коми.
5.Ответственность
За нарушение пунктов настоящего Положения, а также политик информационной безопасности Работники организаций несут персональную ответственность.
Выявленные случаи несоблюдения Работниками организаций настоящего Положения, а также политик информационной безопасности могут послужить причиной приостановки доступа нарушителей к информационным ресурсам КСПД до устранения выявленных нарушений.
Информация по нарушителям передается в правоохранительные органы, если действия таких лиц являются нарушением законодательства Российской Федерации.
6.Контроль
Контроль за выполнением требований настоящего Положения и политик информационной безопасности возлагается на Оператора.
Контроль осуществляется в следующих формах:
регулярный мониторинг состояния системы защиты информации в органах государственной власти, государственных органах, государственных и муниципальных учреждениях Республики Коми посредством электронного взаимодействия работников Оператора с ответственным Работником организации;
плановые выходы работников Оператора в органы государственной власти, государственные органы, государственные и муниципальные учреждения Республики Коми для осуществления мероприятий по контролю и оценке состояния информационной безопасности, в том числе мероприятий по определению достаточности принимаемых мер по защите информации требованиям законодательства Российской Федерации в области информационной безопасности.
Процесс осуществления вышеописанных форм контроля осуществляется в соответствии с Регламентом осуществления мероприятий по контролю и оценке состояния информационной безопасности в органах государственной власти Республики Коми и в государственных учреждениях Республики Коми и Положением о мониторинге информационной безопасности и мер защиты государственных информационных систем Республики Коми и инфраструктуры электронного правительства Республики Коми.
7.Перечень политик информационной безопасности
Политики информационной безопасности функционально разделены на две части:
Часть 1 включает в себя следующие политики информационной безопасности (Политики ИБ), обязательные для исполнения всеми пользователями КСПД:
ПОЛИТИКА ИБ. Парольная защита в КСПД приведена в приложении № 1 к настоящему положению;
ПОЛИТИКА ИБ. Антивирусная защита АРМ домена RK.local приведена в приложении № 2 к настоящему положению;
ПОЛИТИКА ИБ. Антивирусная защита в КСПД приведена в приложении № 3 к настоящему положению;
ПОЛИТИКА ИБ. Использование ресурсов информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет) с АРМ приведена в приложении № 4 к настоящему положению;
Часть 2 включает в себя следующие политики информационной безопасности (Политики ИБ), регламентирующие деятельность работников Оператора по отдельным направлениям информационной безопасности и обязательные для исполнения работниками Оператора:
ПОЛИТИКА ИБ. Права администратора у пользователей АРМ домена RK.local приведена в приложении № 5 к настоящему положению;
ПОЛИТИКА ИБ. Беспроводное подключение к сети Интернет через Wi-fi приведена в приложении № 6 к настоящему положению;
ПОЛИТИКА ИБ. DMZ КСПД приведена в приложении № 7 к настоящему положению;
ПОЛИТИКА ИБ. Межсетевое экранирование на серверах в КСПД приведена в приложении № 8 к настоящему положению;
ПОЛИТИКА ИБ. Использование программного обеспечения на АРМ приведена в приложении № 9 к настоящему положению;
ПОЛИТИКА ИБ. Удаленный доступ в КСПД приведена в приложении № 10 к настоящему положению;
Приложение № 1
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
ПОЛИТИКА ИБ.
Парольная защита в КСПД
Область действия
В данной политике ИБ устанавливаются обязательные для исполнения требования к минимальным характеристикам, защите и передаче паролей пользователей, подключенных к КСПД (далее – Пользователи), в том числе пользователей, осуществляющих администрирование информационных систем (далее – Администраторы).
Термины и обозначения
АНЗ – контроль (анализ) защищенности информации.
АРМ – автоматизированное рабочее место (рабочая станция).
ГИС РК – государственная информационная система Республики Коми.
ИАФ – идентификация и аутентификация.
ИБ – информационная безопасность.
ИС – информационная система.
КСПД – корпоративная информационно-телекоммуникационная сеть органов государственной власти Республики Коми.
ОС – операционная система.
-
Требования к минимальным характеристикам паролей
Пароли Пользователей и Администраторов, используемые для аутентификации в ОС, ИС и ГИС РК, должны отвечать минимальным характеристикам паролей и не подпадать под характеристики слабых паролей, указанных в приложении А к настоящей Политике.
Пароли Пользователей, используемые для аутентификации в ГИС РК должны отвечать тем же минимальным характеристикам, что и пароли Администраторов, если иное не установлено в аттестационных документах на соответствующую ГИС РК.
Пароли, используемые для доступа к настройкам сетевого, коммутационного оборудования, а также пароли, используемые в средствах криптографической защиты информации, должны отвечать минимальным характеристикам
Пользователи обязаны:
хранить пароли в тайне;
не сообщать и не передавать пароли третьим лицам (например: друзьям, коллегам, руководителю и т.п.) за исключением случаев, предусмотренных п.п. 4.5 – 4.6. настоящего документа.
Размещать пароли на материальных носителях информации (например: стикеры, блокноты, листы бумаги) возможно только при условии, что хранение таких носителей будет осуществляться в местах, доступ к которым не может быть получен третьими лицами (например: сейф, бумажник, личный запирающийся шкаф и т.п.).
-
Допустимо хранение паролей Пользователей на АРМ в папках, не доступных другим пользователям (т.е. исключительно на локальных дисках, не на сетевых и не в общих папках). В таких случаях рекомендуется хранить пароли в зашифрованном виде (например, с помощью программы KeePass, зашифрованного архива и т.п.).
Хранение паролей Администраторов может осуществляться только в зашифрованном виде (например, с помощью программы KeePass, зашифрованного архива и т.п.).
Информацию о попытках получения или требования пароля третьими лицами сотрудникам необходимо сообщать непосредственному руководителю.
-
Требования и рекомендации к генерации, передаче и смене паролей
При необходимости сгенерировать пароль для передачи 3-му лицу в рамках исполнения должностных обязанностей (например, для нового сотрудника), рекомендуется использовать Систему генерации и передачи паролей ГАУ РК «ЦИТ» или иные средства генерации и передачи случайных паролей, позволяющих формировать и передавать пароли в соответствии с требованиями настоящей политики.
Передачу сгенерированных паролей рекомендуется осуществлять посредством Системы генерации и передачи паролей ГАУ РК «ЦИТ» по защищенным каналам связи (например, с помощью VPN-соединения), либо в защищенном виде (например, с помощью зашифрованного архива). При отсутствии возможности передачи пароля по защищенным каналам связи, в исключительных случаях, пароль может быть передан по телефону или SMS сообщением.
После получения пароля Пользователям рекомендуется его сменить с использованием генераторов случайных паролей или на основании парольной фразы в соответствии с требованиями к минимальным характеристикам таких паролей.
Для Администраторов действие п.4.3. настоящей Политики носит обязательный характер.
Передача личного пароля от работника руководителю должна осуществляться только в экстренных случаях (например, непредвиденная болезнь или госпитализация работника, без возможности самостоятельного завершения срочных работ или поручений). В таких случаях передача пароля осуществляется в соответствии с п. 4.2 настоящей Политики.
Передача паролей между работниками должна осуществляться только в случае использования общих учетных записей или общих адресов рабочей электронной почты для исполнения должностных обязанностей.
Пользователи обязаны самостоятельно производить смену паролей по истечении 90 дней с момента их последнего изменения.
Администраторы обязаны самостоятельно производить смену паролей по истечении 60 дней с момента их последнего изменения.
Смена паролей, используемых для доступа к настройкам сетевого или коммутационного оборудования, а также средств криптографической защиты информации производится по усмотрению ответственного лица, при условии соответствия сложности пароля минимальным характеристикам безопасности.
Приложение А
к Политике ИБ.
Парольная защита в КСПД
|
