ПОЛИТИКА ИБ.
Беспроводное подключение к сети Интернет через Wi-fi
Область действия
В данной политике ИБ устанавливаются обязательные для исполнения требования к безопасному подключению пользователей к сети Интернет через точки доступа или роутеры Wi-fi, находящиеся в КСПД.
10.Термины и обозначения
ЗИС – защита информационной системы, ее средств, систем связи и передачи данных.
КСПД – корпоративная сеть передачи данных органов государственной власти Республики Коми.
УПД – управление доступом.
11.Требования к безопасному подключению пользователей к сети Интернет через точки доступа или роутеры Wi-fi
Беспроводной доступ к сети Интернет работникам органов государственной власти, государственных и муниципальных учреждений должен предоставляться с учетом:
обязательной идентификации пользователей по МАС-адресу устройства, с которого осуществляется выход в Интернет, с фиксацией данных сведений в журнале учета;
обязательной аутентификации пользователей путем ввода пароля, установленного на Wi-fi-роутере для доступа к сети Интернет.
Беспроводной доступ к сети Интернет, предоставляемый в пунктах коллективного доступа граждан к сети Интернет должен предоставляться с учетом:
обязательной идентификации граждан путем установления фамилии, имени и отчества (при наличии), подтверждаемых документом удостоверяющим личность, либо иными способами, удовлетворяющими требованиям законодательства РФ;
обязательной аутентификации пользователей путем ввода пароля, установленного на Wi-fi-роутере для доступа к сети Интернет.
Порядок хранения и передачи сведений, указанных в п. 3.2 настоящей Политики, осуществляется в соответствии с законодательством Российской Федерации.
Приложение № 7
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
ПОЛИТИКА ИБ.
DMZ КСПД
Область действия
В данной политике ИБ устанавливаются обязательные для исполнения требования к организации межсетевого экранирования трафика на серверах и оборудовании (далее — хосты), размещенных в ЦОД ГАУ РК «ЦИТ», либо имеющих IP из числа внешних IP ГАУ РК «ЦИТ»1. Данные требования не распространяются на МЭ защищенного сегмента сети КСПД, а также на все входящие и исходящие соединения к ресурсам КСПД, расположенным в защищенном сегменте сети.
Обозначения
БД – базы данных.
ИБ – информационная безопасность.
ИС — информационная система.
КСПД – корпоративная информационно-телекоммуникационная сеть органов государственной власти Республики Коми.
МЭ – межсетевой экран.
ПО – программное обеспечение.
УПД – управление доступом.
ЦОД — центр обработки данных.
DMZ – (Demilitarized Zone) сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных.
Определения
Вспомогательная подсеть DMZ – подсеть, выделенная для размещения серверов или оборудования, к службам которых необходим прямой доступ из сети Интернет, но которым не был назначен IP из числа внешних IP ГАУ РК «ЦИТ».
Требования и рекомендации (МЭ)
Трафик, передаваемый из КСПД в сеть Интернет и из сети Интернет в КСПД, при осуществлении такой передачи через каналы, арендуемые ГАУ РК «ЦИТ» у провайдеров, должен проходить через оборудование, обеспечивающее функции его фильтрации (межсетевого экранирования) на сетевом и транспортном уровне стека протоколов TCP/IP (далее — Пограничный МЭ).
Для серверов и оборудования ЦОД ГАУ РК «ЦИТ» в КСПД должна быть организована и реализована DMZ (DMZ КСПД).
В DMZ КСПД должны размещаться все сетевые устройства с адресами из следующих подсетей:
подсети с внешними IP адресами ГАУ РК «ЦИТ»;
вспомогательные подсети DMZ.
Трафик, передаваемый от хостов, размещенных в DMZ, в остальную (далее — внутреннюю) часть КСПД должен проходить через оборудование, обеспечивающее функции его фильтрации (межсетевого экранирования) на сетевом и транспортном уровне стека протоколов TCP/IP (далее — МЭ DMZ).
Запрещается назначать одному хосту IP из DMZ и внутренней части КСПД за исключением случая и в порядке, указанным в п. 4.7 настоящей Политики ИБ.
С хостов в DMZ запрещается осуществлять проброс (проксирование) сетевых соединений на хосты, не находящиеся в DMZ, за исключением случая и в порядке, указанных в п. 4.7 настоящей Политики ИБ.
В случае технической невозможности реализовать требования настоящей Политики ИБ обработка ситуации осуществляется комиссией из числа сотрудников Управления технических средств и телекоммуникаций и Управления по безопасности ГАУ РК «ЦИТ» в следующем порядке:
разделение ИС на несколько хостов с переносом функционала, взлом которого менее вероятен (например, сервер БД), во внутреннюю часть КСПД;
изучение возможности и предоставление доступа к соответствующей ИС через средства удаленного доступа в КСПД (в т.ч. VPN);
изучение возможности и перенос соответствующей ИС, к которой необходим доступ, в ЦОД ГАУ РК «ЦИТ»;
принятие риска, согласование и учет исключения.
МЭ DMZ и Пограничный МЭ должны администрироваться исключительно ГАУ РК «ЦИТ».
Пограничный МЭ должен логически располагаться между пограничными маршрутизаторами КСПД и ядром КСПД.
Пограничный МЭ должен быть сертифицирован ФСТЭК России.
Функции МЭ DMZ должны быть реализованы на оборудовании, не являющемся сервером какой-либо ИС либо автоматизированным рабочим местом (рабочей станцией).
Функции МЭ DMZ должны реализовываться на едином устройстве (кластере устройств) за исключением случаев, согласованных с Управлением по безопасности ГАУ РК «ЦИТ».
Для оперативной смены IP адреса хоста, либо правил доступа к нему из Интернет, доступ2 к хостам, расположенным в DMZ, должен осуществляться по DNS-имени, а не напрямую по IP, за исключением согласованных с Управлением по безопасности ГАУ РК «ЦИТ» случаев технической невозможности применения этого требования.
Требования к настройке межсетевого экранирования, входящего из Интернет трафика на Пограничном МЭ и исходящего из DMZ во внутреннюю часть КСПД трафика на МЭ DMZ:
правила МЭ должны иметь комментарий об основании (необходимости) их создания;
на МЭ должны быть запрещены все соединения, кроме явно разрешенных в правилах МЭ;
разрешающие правила на МЭ должны создаваться по принципу минимальной необходимости для функционирования ИС3:
для Пограничного МЭ: исключительно для тех портов и протоколов, которые необходимы для функционирования ИС, при этом, если есть возможность ограничить список IP, с которых должны идти обращения на сетевую службу, они должны быть ограничены;
для МЭ DMZ: исключительно для тех портов, протоколов и адресов КСПД, которые необходимы для функционирования ИС.
МЭ хостов, находящихся во вспомогательных сетях DMZ, должны быть настроены так, чтобы входящий трафик на них был разрешен только с тех серверов в сети DMZ, с которых такой доступ необходим для функционирования соответствующей ИС, либо в иных целях, согласованных с Управлением по безопасности ГАУ РК «ЦИТ». При этом настройку МЭ таких серверов осуществляет администратор ОС сервера либо, если такой не назначен, то администратор соответствующей ИС.
Настройку Пограничного МЭ и МЭ DMZ должны осуществлять администраторы этих МЭ и исключительно на основании поручения их руководства, либо заявки администратора (менеджера) соответствующей ИС.
Приложение № 8
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
ПОЛИТИКА ИБ.
Межсетевое экранирование на серверах в КСПД
Область действия
В данной политике ИБ устанавливаются обязательные для исполнения требования по организации межсетевого экранирования на серверах, находящихся в КСПД.
12.Термины и обозначения
ИС – информационная система.
МЭ – межсетевой экран.
ОС – операционная система.
КСПД – корпоративная сеть передачи данных органов государственной власти Республики Коми.
УПД – управление доступом.
13.Требования и рекомендации (МЭ, УПД)
Программный МЭ на всех серверах должен быть включен.
На МЭ должны быть запрещены все входящие соединения с сервером кроме явно разрешенных хостов и портов в правилах МЭ, которые необходимы для функционирования ИС.
Запрещается открывать на МЭ доступ к локальным службам, для которых не требуется удаленный доступ для выполнения функций ИС. Функции сервера закреплены в Перечне информационных систем ГАУ РК «ЦИТ».
Созданные на МЭ правила для всех серверов должны иметь комментарий (назначение правила и дата создания правила).
На всех серверах должна производиться регистрация действий по изменению правил фильтрации МЭ посредством встроенных функций ОС.
После настройки МЭ необходимо проводить тестирование правил фильтрации.
Необходимо восстанавливать функции межсетевого экрана (правил на МЭ) после сбоев и отказов оборудования или ОС.
В случае, если указанные выше требования не могут быть выполнены, то необходимо согласование с Управлением по безопасности ГАУ РК «ЦИТ». Заявка на согласование подается через Службу технической поддержки или официальным письмом (служебной запиской).
Приложение № 9
к Положению
об обеспечении информационной безопасности
инфраструктуры электронного правительства
в Республике Коми
ПОЛИТИКА ИБ
Использование программного обеспечения на АРМ
Область действия
В данной политике ИБ устанавливаются требования, обязательные для выполнения на АРМ под управлением ОС Windows, которые введены в домен RK.local или подключены к государственным информационным системам КСПД.
В целях настоящей Политики термин «программное обеспечение» используется для обозначения совокупности устанавливаемых в систему или профиль пользователя программ, отдельных исполняемых файлов и «портативных» программ, плагинов (расширений) браузеров. Веб-сайты к программному обеспечению не относятся.
Разрешение использовать то или иное ПО не свидетельствует о разрешении передавать через него информацию, доступ к которой ограничен федеральными законами, законодательством Республики Коми, а также локальными актами организации.
Термины и обозначения
АРМ — автоматизированное рабочее место (рабочая станция).
ГИС — государственная информационная система.
ИБ — информационная безопасность.
КСПД — корпоративная информационно-телекоммуникационная сеть органов государственной власти Республики Коми.
ОПС — ограничение программной среды.
ОС — операционная система.
ПО — программное обеспечение.
Требования и рекомендации (ОПС)
-
К установке и использованию на АРМ разрешено любое ПО, удовлетворяющее одновременно всем указанным ниже условиям:
Использование ПО не противоречит действующему законодательству Российской Федерации и Республики Коми;
Использование ПО на компьютерах организации разрешено лицензионным соглашением (приобретены права на использование ПО, ПО свободное и т.п.);
ПО необходимо для выполнения сотрудником своих функциональных обязанностей;
ПО не является вредоносным4 (вирусы);
ПО не включено в Перечень категорий запрещенного ПО (приложение А) или его использование согласовано с Управлением по безопасности ГАУ РК «ЦИТ».
Цели разработки Перечня категорий запрещенного ПО:
защита АРМ и ресурсов КСПД от вредоносного ПО и компьютерных атак;
снижение вероятности утечки информации;
снижение вероятности передачи информации через зарубежные серверы;
повышение управляемости и подконтрольности используемого ПО применяемым и перспективным средствам защиты информации и мониторинга.
При разработке Перечня категорий запрещенного ПО применяются следующие принципы:
запрет на использование ПО не должен препятствовать исполнению функциональных обязанностей, работающих с ним лиц (если реальных альтернатив ПО нет);
для распределенного ПО, преимущество в максимальной степени должно отдаваться тому, чьи коммуникационные серверы располагаются в КСПД, организации-пользователе, России.
При необходимости использовать ПО из Перечня категорий запрещенного (например, временно, в рамках проведения мероприятий, исполнения функциональных обязанностей, договора), лицо должно предварительно согласовать использование данного ПО с Управлением по безопасности ГАУ РК «ЦИТ». Заявка на согласование подается через Службу технической поддержки или официальным письмом (служебной запиской). Заявка должна содержать наименование ПО, сроки, в которые будет использоваться ПО, соответствующие ссылки на должностные инструкции, договор или иные документы, цели использования ПО, список АРМ, на которых будет использоваться ПО.
Актуализация Перечня категорий запрещенного ПО производится ежеквартально с учетом полученных замечаний и выданных согласований на использование ПО.
Контроль соблюдения требований настоящей Политики, в частности, соответствие реальных целей использования ПО-исключений заявленным, осуществляет Управление по безопасности ГАУ РК «ЦИТ».
ПО, использование которого не разрешено настоящей Политикой, должно быть удалено с АРМ.
Сведения о наличии на АРМ запрещенного ПО может быть предоставлено пользователю этого АРМ, его руководству, либо лицу, ответственному за обеспечение информационной безопасности в организации, на основании заявки в Службу технической поддержки ГАУ РК «ЦИТ».
Приложение А
к политике ИБ. Использование программного
обеспечения на АРМ
ПЕРЕЧЕНЬ
категорий запрещенного к использованию на АРМ ПО
Настоящий Перечень разработан во исполнение Политики ИБ «Использование программного обеспечения на АРМ».
Нижеуказанная Таблица содержит список категорий программного обеспечения5 (ПО). Для категорий приводятся их описания, а также указываются требования по допустимости установки и использования такого ПО на автоматизированных рабочих местах (АРМ). При этом:
ПО категории может быть запрещено полностью;
допускается использование лишь отдельного ПО этой категории;
запрещается отдельное ПО категории, все остальное — разрешено;
требования могут дополняться и комбинироваться.
Внимание! Разрешение использовать то или иное ПО не свидетельствует о разрешении передавать через него информацию, доступ к которой ограничен федеральными законами, законодательством Республики Коми, а также локальными актами организации (в особенности это касается Яндекс.Диска).
№
|
Категория ПО
|
Описание
|
Требования
|
1
|
Антивирусные программы
|
—
|
Разрешено использование только следующего ПО:
- Kaspersky или эквивалент6
|
2
|
Браузеры
|
Программы для поиска, отображения и обработки информации в Интернете
|
Разрешено использование только следующего ПО:
- Google Chrome
- Яндекс браузер
- Mozilla Firefox
- Internet Explorer
- Opera
|
3
|
Игры и развлечения
|
Помимо игр включает:
- несистемные программы для смены обоев на рабочий стол, заставок;
- гаджеты на рабочий стол (в т.ч. «новогодние елочки»);
- не связанные с работой программы-инструкции (ремонт авто, проектирование кухни и пр.);
- ПО для торговли на биржах, ставок;
- радио.
|
Всё ПО запрещено к использованию
|
4
|
Медиа проигрыватели
|
Программы для воспроизведения медиа файлов (Фото, видео, аудио)
|
Разрешено использование только следующего ПО:
- Windows Media player
- Media Player Classic
- Средство просмотра изображений Windows
- Google Picasa
|
5
|
Мессенджеры
|
Программы для передачи мгновенных сообщений или подключения к социальным сетям (ICQ, Viber, ВКонтакте, Одноклассники, Facebook, Twitter, Instagram и прочие).
|
Разрешено использование только следующего ПО:
- Microsoft Lync
- Skype
- прочие мессенджеры с сервером внутри сети организации или КСПД, обеспечивающие шифрование передаваемого трафика по согласованию с Управлением по безопасности ГАУ РК «ЦИТ»
|
6
|
ПО для хранения файлов в Интернет
|
Клиентское ПО для облачного хранения файлов в сети Интернет (например, Google Диск, Яндекс.Диск, SkyDrive и другие).
|
Разрешено использование только следующего ПО:
- Яндекс.Диск7
|
7
|
Почтовые клиенты
|
—
|
Разрешено использование только следующего ПО:
- Microsoft Outlook
|
8
|
Приложения – магазины
|
Приложения, позволяющие покупать или скачивать книги, фильмы, аудиозаписи, программное обеспечения, игры и прочие.
|
Всё ПО запрещено к использованию
|
9
|
Программы для работы в анонимных сетях, анонимайзеры
|
ПО для работы в TOR, I2P, Freenet и др. анонимных сетях, анонимайзеры.
|
Всё ПО запрещено к использованию
|
10
|
Программы для смены прокси-сервера
|
Не входящее в состав ОС ПО для смены назначенного в системе8 прокси-сервера9
|
Всё ПО запрещено к использованию
|
11
|
Программы для работы с торрентами
|
Программы для загрузки данных с помощью торрентов.
|
Всё ПО запрещено к использованию
|
12
|
Программы для создания удаленного доступа к ресурсам сети
|
Программы, позволяющие организовать удаленный доступ к автоматизированным рабочим местам пользователей и серверам, работающие путем установки (запуска) на АРМ специализированного клиентского ПО и имеющие серверы в сети Интернет.
|
Разрешено использовать RMS Admin с сервером в КСПД, а также иное ПО, по согласованию с Управлением по безопасности ГАУ РК «ЦИТ» (кроме TeamViewer, Ammyy Admin, VuuPC)
|
13
|
Рекламное ПО
|
ПО, основной функцией которого является демонстрация рекламы.
|
Все ПО запрещено
|
|
