Требования к минимальным характеристикам паролей Пользователей
и Администраторов
Минимальные характеристики паролей Пользователей:
не менее 7 символов;
состоит из комбинации не менее 3-х групп символов из предложенных: строчные буквы, прописные буквы, цифры, специальные символы.
Минимальные характеристики паролей Администраторов и пользователей ГИС:
не менее 8 символов;
состоит из комбинации 4-х групп символов из предложенных: строчные буквы, прописные буквы, цифры, специальные символы.
Минимальные характеристики паролей, используемых для доступа к настройкам сетевого, коммутационного оборудования, и паролей, используемых в средствах криптографической защиты информации
не менее 12 символов;
состав пароля: латинские буквы, специальные символы и (или) цифры;
пароль формируется при помощи специальных программ, предназначенных для генерации парольных фраз.
Характеристики слабых паролей:
состоящие из повторяющегося символа или группы символов (например: 1111qqqq, 123123123);
состоящие из символов, расположенных на клавиатуре подряд (например, qwerty123);
используемые для авторизации в социальных сетях, почтовых сервисах, на форумах или на домашних персональных компьютерах.
Приложение № 2
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
ПОЛИТИКА ИБ.
Антивирусная защита АРМ домена RK.local
Область действия
В данной политике ИБ устанавливаются обязательные для исполнения требования к организации и поддержке функционирования системы антивирусной защиты рабочих станций (физических компьютеров и виртуальных машин) под управлением ОС Windows, введенных в домен RK.local.
Термины и обозначения
АВЗ — антивирусная защита.
АРМ — автоматизированное рабочее место (рабочая станция).
ИБ — информационная безопасность.
ИС — информационная система.
ПО — программное обеспечение.
СЦАЗ Kaspersky Security — Система централизованного управления антивирусной защитой Kaspersky Security Center.
Требования и рекомендации (АВЗ)
На все АРМ, за исключением АРМ, обладающих недостаточными техническими характеристиками (оперативной памяти меньше 1.3 ГБ), должен быть установлен Антивирус Касперского редакции не ниже Kaspersky Endpoint Security 8.
Антивирус на АРМ должен быть включен, а также должны быть работоспособны его модули, отвечающие за автоматическую проверку открываемых пользователями файлов и веб-ресурсов.
Антивирусные базы на АРМ должны быть не старше четырех рабочих дней. При этом допускается временное наличие баз старше данного срока на протяжении двух рабочих дней в случае, если компьютер долго не включался либо в иных ситуациях, при которых отсутствовала техническая возможность обновить базы.
Антивирусные базы на АРМ должны обновляться автоматически не реже одного раза в день, рекомендуется — не реже двух раз в день.
Доступ к настройкам Антивируса Касперского на АРМ должен быть защищен паролем, который не должен сообщаться никому, кроме Управления технического сопровождения АРМ и оргтехники, сотрудников ГАУ РК «ЦИТ», администрирующих ПО и ИС на АРМ, а также подрядных организаций, осуществляющих функции технической поддержки рабочих станций.
Агент администрирования, подключенный к СЦАЗ Kaspersky Security, должен быть установлен на все АРМ.
Запрещается блокировать нормальную работу Агента администрирования и Антивируса Касперского (в частности, отключать или удалять службы Антивируса Касперского или Агента администрирования, блокировать сетевые соединения до серверов СЦАЗ Kaspersky Security, выводить компьютер из политики централизованной настройки) за исключением:
случаев неработоспособности, зарегистрированных в Службе технической поддержки и согласованных с Управлением безопасности и Управлением технического сопровождения АРМ и оргтехники ГАУ РК «ЦИТ»;
работ, проводимых Управлением технического сопровождения АРМ и оргтехники или подрядными организациями ГАУ РК «ЦИТ», осуществляющих техническую поддержку АРМ (на период не более 2 дней подряд).
Настройки Антивируса Касперского должны обеспечивать:
автоматическую отправку событий безопасности, зарегистрированных компонентами антивирусной защиты, в СЦАЗ Kaspersky Security;
автоматическое удаление или блокирование файлов и веб-ресурсов при точной идентификации вируса модулем автоматической проверки;
ежедневную ночную проверку всех файлов на дисках, не выключенных АРМ (факты обнаружения вредоносного ПО должны регистрироваться как события безопасности, а зараженные файлы удаляться не должны);
автоматическое уведомление пользователей о критическом статусе работоспособности антивируса и обнаружении вредоносного ПО.
Сотрудниками Управления по безопасности ГАУ РК «ЦИТ» должен осуществляться регулярный мониторинг и реагирование на события безопасности, регистрируемые антивирусом.
Развертывание компонентов, настройка, администрирование, обновление баз, а также контроль требований настоящей политики должны осуществляться централизованно, за исключением случаев, когда это технически невозможно.
Случаи несоответствия настоящей Политике и неработоспособности Агента администрирования, Антивируса Касперского, а также СЦАЗ Kaspersky Security, должны изучаться, а работы по их устранению должны иметь высокий приоритет.
Контроль соблюдения требований настоящей Политики осуществляет Управление по безопасности ГАУ РК «ЦИТ». Частота контроля должна обеспечивать соблюдение сроков в них указанных.
Приложение № 3
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
ПОЛИТИКА ИБ.
Антивирусная защита в КСПД
Область действия
В данной политике ИБ устанавливаются обязательные для исполнения требования к АВЗ, организованной на АРМ, подключенных к КСПД, не введенных в домен rk.local.
8.Термины и обозначения
АВЗ – антивирусная защита информации.
АРМ – автоматизированное рабочее место (рабочая станция).
ИБ – информационная безопасность.
КСПД – корпоративная информационно-телекоммуникационная сеть органов государственной власти Республики Коми.
ПО – программное обеспечение.
САВЗ – средства антивирусной защиты информации.
9.Требования и рекомендации по АВЗ
На все АРМ должны быть установлены САВЗ.
При выборе САВЗ рекомендуется отдавать предпочтение средствам с возможностью централизованного управления АВЗ.
САВЗ, установленные на АРМ, должны всегда находиться в активном (рабочем) состоянии.
В обязательном порядке САВЗ должны выполнять функции по проверке файлов и программ, запускаемых пользователем, съемных машинных носителей информации, подключаемых к АРМ, а также web-страниц, просматриваемых пользователем.
Руководителям организаций, в которых система антивирусной защиты реализуется не специалистами ГАУ РК «ЦИТ», рекомендуется назначить ответственное лицо за обеспечение АВЗ (далее – Ответственный).
Основной задачей Ответственного является проверка состояния АВЗ и САВЗ, которая должна осуществляться регулярно и в обязательном порядке включать в себя:
проверку работоспособности компонентов и модулей САВЗ;
мониторинг и реагирование на события безопасности, регистрируемые САВЗ;
проведение антивирусного контроля на АРМ в случае обнаружения вредоносного ПО или очагов вирусной активности;
проверку состояния актуальности антивирусных баз (актуальными, считаются базы с датой обновления до 4 дней).
В случае отсутствия Ответственного, обязанности, описанные в п.3.6. настоящей Политики, возлагаются на самих пользователей, работающих на АРМ.
Ответственному в организации рекомендуется:
ограничить доступ пользователей к настройкам САВЗ путем установления стойкого пароля;
осуществить перевод учетных записей пользователей из группы «администраторы» в группу «пользователи» в тех случаях, когда права администратора не требуются;
самостоятельно производить установку ПО на АРМ.
Антивирусные базы на АРМ должны обновляться автоматически не реже одного раза в день, рекомендуется — не реже двух раз в день.
Пользователям, работающим на АРМ, запрещается:
блокировать нормальную работу САВЗ, а именно: отключать или удалять службы, обеспечивающие функционирование САВЗ, блокировать сетевые соединения до серверов обновлений или серверов централизованного управления АВЗ;
использовать съемные машинные носители информации, не учтенные в организации (например, личные запоминающие устройства для USB, CD/DVD диски и т.п.);
посещать интернет сайты, контент которых не связан с исполнением должностных обязанностей;
использовать личную электронную почту.
Приложение № 4
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
ПОЛИТИКА ИБ.
Использование ресурсов сети Интернет с АРМ
Область действия
В данной политике ИБ устанавливаются обязательные для исполнения требования по использованию ресурсов сети Интернет с АРМ, введенных в домен rk.local.
Действие данной политики не распространяется на беспроводные подключения к сети Интернет.
Обозначения
АРМ – автоматизированное рабочее место (рабочая станция).
ЗИС – защита информационной системы, ее средств, систем связи и передачи данных.
Требования по использованию ресурсов сети Интернет
Доступ к сети Интернет предоставляется пользователям, работающим на АРМ, только в рамках исполнения служебных обязанностей.
Доступ к сети Интернет с АРМ должен осуществляться только через Прокси-сервер с доменной аутентификацией ГАУ РК «ЦИТ» (далее – Прокси-сервер).
Пользователям запрещено использовать иные прокси-серверы, в том числе онлайн прокси-серверы (анонимайзеры) или браузеры с встроенными функциями анонимайзеров для выхода в Интернет.
На Прокси-сервере должен вестись журнал обращений пользователей к web-ресурсам.
В организациях, доступ в сеть Интернет которым с АРМ предоставлен средствами ГАУ РК «ЦИТ», запрещено использовать иные каналы выхода в сеть Интернет, а также пользоваться услугами иных интернет провайдеров.
Приложение № 5
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
ПОЛИТИКА ИБ.
Права администратора у пользователей АРМ домена RK.local
Область действия
В данной политике ИБ устанавливаются обязательные для исполнения требования при организации и поддержке функционирования рабочих станций под управлением ОС Windows, введенных в домен RK.local (вне зависимости от того, физический ли это компьютер или виртуальная машина).
Термины и обозначения
АРМ — автоматизированное рабочее место (рабочая станция).
ИБ — информационная безопасность.
ОС — операционная система.
Основная учетная запись пользователя — доменная персонифицированная учетная запись (для работы на АРМ, с общими дисками, почтой).
ПО — программное обеспечение.
УПД — управление доступом субъектов доступа к объектам доступа.
Требования и рекомендации (УПД)
Основная учетная запись пользователя не должна иметь прав администратора на АРМ (не включена в группу «Администраторы» и «Опытные пользователи») за исключением случаев, указанных в п. 3.2 настоящей Политики.
При технической невозможности работы отдельных программ без прав администратора производится попытка выдачи пользователю отдельных полномочий (например, запись в папку программы, выдача отдельных разрешений в локальной политике безопасности); если проблема не решена:
в случае, если полномочия администратора необходимы пользователю не чаще 1—2 раз в месяц, ввод учетных данных по заявке, направленной в Службу технической поддержки ГАУ РК «ЦИТ» осуществляет Управление технического сопровождения АРМ и оргтехники ГАУ РК «ЦИТ»;
в случае, если полномочия администратора необходимы пользователю чаще, ему выдается дополнительная персональная доменная учетная запись с префиксом a3-, которая добавляется в локальную группу администраторов на конкретных АРМ;
в случае технической невозможности использования дополнительной учетной записи a3- права администратора оставляются.
Постоянная работа на АРМ под дополнительной учетной записью a3-, а также использование ее для целей, не соответствующих целям ее выдачи (а именно — запуска отдельных программ), запрещена.
Локальные учетные записи ОС АРМ должны быть заблокированы, за исключением случая, указанного в п. 3.5 настоящей политики.
При технической необходимости наличия служебной локальной учетной записи для функционирования отдельных программ такая учетная запись не блокируется. При этом служебные учетные записи для типового ПО, развернутого на многих АРМ, должны называться одинаково (при наличии технической возможности). При наличии технической возможности на такие учетные записи должен быть установлен уникальный неизвестный пользователю сложный пароль.
Все случаи невозможности удаления прав администратора (выдачи дополнительных полномочий), а также невозможности блокировки локальных учетных записей (далее — исключения) должны быть предварительно согласованы с Управлением по безопасности ГАУ РК «ЦИТ». Заявка на согласование подается через Службу технической поддержки или официальным письмом (служебной запиской). Выдающие полномочия (настраивающие ПО) лица обязаны придерживаться согласованных алгоритмов настройки исключений для этого ПО, а Управление по безопасности ГАУ РК «ЦИТ» должно обеспечивать им оперативное предоставление доступа к указанным алгоритмам.
В случае, когда проводится настройка исключений (выдача полномочий администратора, выдача дополнительных полномочий, сохранение локальной учетной записи), лица, осуществляющие данные действия, должны уведомлять об этом Управление по безопасности ГАУ РК «ЦИТ» не позднее 2 рабочих дней после изменений, за исключением следующих случаев:
в алгоритме указано, что уведомление не нужно;
конкретное исключение для конкретного лица (группы лиц) на конкретном АРМ (группе АРМ) прошло согласование с Управлением по безопасности ГАУ РК «ЦИТ».
Учет и предоставление доступа к результатам учета выданных полномочий администратора, а также иных исключений на основании уведомлений и выданных согласований осуществляет Управление по безопасности ГАУ РК «ЦИТ».
Контроль соблюдения требований настоящей Политики осуществляет Управление по безопасности ГАУ РК «ЦИТ».
Приложение № 6
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
|
