Распоряжение Правительства Республики Бурятия от 19.01.2015 N 9-р Об утверждении Положения о защите информационных систем Информационной вычислительной сети Правительства Республики Бурятия (с изменениями и дополнениями)

Распоряжение Правительства Республики Бурятия от 19 января 2015 г. N 9-р

В целях упорядочения и совершенствования системы защиты информационных систем Информационной вычислительной сети Правительства Республики Бурятия, эффективности их использования органами государственной власти Республики Бурятия:

1. Утвердить прилагаемое Положение о защите информационных систем Информационной вычислительной сети Правительства Республики Бурятия.

2. Признать утратившим силу распоряжение Правительства Республики Бурятия от 28.04.2005 N 228-р.

3. Настоящее распоряжение вступает в силу со дня его подписания.

Глава Республики Бурятия - Председатель Правительства Республики Бурятия

В. Наговицын

Положение
о защите информационных систем Информационной вычислительной сети Правительства Республики Бурятия
(Утв. распоряжением Правительства Республики Бурятия от 19 января 2015 г. N 9-р)

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и другими нормативными правовыми актами Российской Федерации по защите информации.

1.2. Требования настоящего Положения являются обязательными для исполнения при проведении работ по формированию, хранению, использованию и защите информационных систем Информационной вычислительной сети Правительства Республики Бурятия (далее - ИВС) в органах государственной власти Республики Бурятия (далее - органы власти).

1.3. Настоящее Положение устанавливает порядок организации работ, требования и рекомендации по защите от деструктивных воздействий общедоступных информационных систем ИВС, не содержащих сведений ограниченного доступа.

1.4. Информационные системы ИВС - совокупность содержащейся в базах данных ИВС информации и обеспечивающих ее обработку информационных технологий и технических средств - являются государственными информационными системами Республики Бурятия, создаются в целях реализации полномочий органов власти и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

1.5. Система защиты информационных систем ИВС создается в целях их эффективного использования, обеспечения полноты и достоверности.

1.6. Мероприятия по защите информационных систем ИВС и контроль их выполнения осуществляются на всех этапах формирования, хранения и использования информационных систем ИВС. Организация выполнения указанных мероприятий возлагается на операторов информационных систем.

1.7. Защита информационных систем ИВС обеспечивается выполнением комплекса организационных мероприятий, применением средств защиты информации от несанкционированного доступа и программно-технических воздействий с целью нарушения целостности и доступности информации, а также поддержанием работоспособности технических средств.

2. Организационные меры защиты информационных систем ИВС

2.1. Органы власти формируют государственные информационные системы ИВС в пределах своей компетенции как часть государственных информационных систем Республики Бурятия.

2.2. Органы власти:

- определяют и утверждают перечни формируемых и используемых информационных систем ИВС;

- разрабатывают, согласовывают с Администрацией Главы Республики Бурятия и Правительства Республики Бурятия, утверждают и вводят в действие информационные системы ИВС;

- оценивают для каждой информационной технологии возможный ущерб при несанкционированном доступе к информационным системам ИВС (модификация, искажение, блокирование, уничтожение), по результатам оценки разрабатывают организационно-технические мероприятия, направленные на защиту информационных систем ИВС, и согласовывают их с Администрацией Главы Республики Бурятия и Правительства Республики Бурятия;

- назначают лиц, ответственных за формирование и использование информационных систем ИВС. На этих лиц возлагается полная ответственность за достоверность сведений, представленных в данных информационных системах;

- назначают лиц, ответственных за сопровождение системы защиты информационных систем ИВС, - администраторов безопасности;

- определяют перечни технических и программных средств, задействованных в технологиях формирования и использования информационных систем ИВС;

- определяют перечни помещений, в которых установлены (находятся) технические средства, задействованные в технологиях формирования и использования информационных систем ИВС;

- осуществляют постоянный контроль соблюдения информационных технологий обработки, полноты и правильности формирования и использования информационных систем ИВС, выполнения мер защиты информационных систем ИВС;

- предусматривают функции импорта - экспорта данных из информационных систем при использовании облачного варианта подключения;

- предъявляют к пользователю информационных систем ИВС требования по защите информационных систем ИВС в соответствии с федеральным законодательством при использовании облачного варианта подключения.

3. Технологические меры защиты информационных систем ИВС

3.1. Технологические меры должны обеспечивать защиту информационных систем ИВС от деструктивных воздействий (уничтожение, модификация, искажение, копирование, блокирование), авторизацию (определение авторства) и контроль правильности формирования информационных систем ИВС.

3.2. Функции формирования информационных систем ИВС и контроля правильности их формирования должны быть разделены.

3.3. Органы власти должны иметь лицензии на все программное обеспечение (прикладное и общесистемное), используемое в технологиях формирования и использования информационных систем ИВС. Перечни программного обеспечения, устанавливаемого на персональные компьютеры в органах власти, согласовываются с Администрацией Главы Республики Бурятия и Правительства Республики Бурятия.

3.4. Для защиты от несанкционированных воздействий на информационные системы ИВС со стороны программного обеспечения на автоматизированных рабочих местах формирования и использования информационных систем ИВС запрещается использовать нелицензионное программное обеспечение и программное обеспечение, не задействованное в информационных технологиях формирования и использования информационных систем ИВС.

3.5. Для предотвращения утраты информационных систем ИВС вследствие объективных воздействий (отключение электроэнергии, пожар, затопление, землетрясение и т. п.) средства хранения информационных систем ИВС должны оборудоваться источниками бесперебойного питания, должно быть обеспечено резервное копирование, раздельное хранение копий и оригиналов, архивирование.

3.6. Независимо от действий лиц, ответственных за формирование и использование информационных систем ИВС, информационной системой должны автоматически вестись протоколы изменения информационных систем ИВС. Доступ к этим протоколам предоставляется лицам, контролирующим правильность формирования информационных систем ИВС.

4. Средства и методы защиты информационных систем ИВС

4.1. Система защиты информационных систем ИВС должна создаваться в соответствии с согласованными и утвержденными организационно-техническими мероприятиями по результатам оценки возможного ущерба при несанкционированном доступе (уничтожение, модификация, искажение, блокирование) к информационным системам ИВС.

4.2. Система защиты информации должна выполнять следующие функции:

- разграничение полномочий доступа к информационным системам ИВС для двух групп: пользователей, имеющих право только на ознакомление с информационными ресурсами ИВС, и лиц, ответственных за формирование и использование информационных систем ИВС, с правом их модификации и уничтожения;

- защита доступа к автоматизированным рабочим местам и к сетевым средствам, задействованным в технологиях формирования и использования информационных систем ИВС;

- регистрация доступа пользователей к информационным системам ИВС и производимых действий;

- блокирование несанкционированных действий пользователей информационных систем ИВС;

- защита от вредоносных программ.

4.3. Реализация функций системы защиты должна осуществляться посредством использования встроенных механизмов разграничения доступа, ведения электронных протоколов, блокирования несанкционированных действий пользователей прикладного, общесистемного программного обеспечения, сетевых операционных систем.

4.4. В случаях, когда важность (ценность) защищаемых информационных систем ИВС высока, должен рассматриваться вопрос о целесообразности использования специальных средств защиты информации.

4.5. Используемые средства защиты информации должны быть сертифицированными.

5. Парольная защита доступа к информационным системам ИВС

5.1. Пароли являются личными и должны выбираться (генерироваться) каждым пользователем (владельцем пароля) самостоятельно в соответствии с требованиями, приведенными в настоящем Положении.

5.2. Рекомендуемая структура пароля:

- длина пароля должна составлять не менее семи символов;

- в числе символов пароля должны присутствовать буквы в верхнем и нижнем регистрах из латинского алфавита, цифры и специальные символы (@, #, &, *, % и т.п.), за исключением тех систем, в которых отсутствует техническая возможность введения в пароль специальных символов;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименование автоматизированного рабочего места и т. п.), а также общепринятые сокращения (ЭВМ, ЛВС, USER, BANK и т. п.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в четырех позициях.

5.3. В случаях отсутствия технической возможности назначения личного пароля для каждого пользователя допускается использование коллективного пароля. При этом назначение пароля, его периодическую смену и своевременное доведение нового значения пароля до пользователей производит администратор безопасности органа власти или один из пользователей коллективного пароля, назначенный руководителем органа власти.

5.4. Плановая смена паролей должна проводиться регулярно, в срок не реже одного раза в три месяца.

5.5. Внеплановая смена пароля:

- в случае прекращения полномочий пользователя администратором безопасности или ответственным, назначенным руководителем органа власти, в течение одного рабочего дня должна быть произведена смена паролей пользователя информационных систем ИВС;

- в случае прекращения полномочий администратора безопасности или руководителя органа власти должна быть произведена смена паролей всех пользователей информационных систем ИВС этого органа власти.

5.6. Допускается вместо смены пароля производить удаление идентификатора пользователя из системы, если нет необходимости его сохранить.

5.7. Ввод значения пароля должен производиться в соответствии с инструкциями и (или) эксплуатационной документацией на конкретные прикладное программное обеспечение, операционную систему, средства защиты информации или информационную систему ИВС.

6. Защита информационных систем ИВС при взаимодействии ИВС с внешними сетями

6.1. Соединение ИВС с внешними сетями, в том числе с сетью международного информационного обмена Интернет, должно осуществляться Администрацией Главы Республики Бурятия и Правительства Республики Бурятия. При этом должны использоваться сертифицированные средства защиты информации, обеспечивающие ее целостность и доступность, в том числе криптографические, для подтверждения достоверности информации.

6.2. Другие необходимые соединения ИВС с внешними сетями, в том числе с сетью международного информационного обмена Интернет, должны осуществляться только по согласованию с Администрацией Главы Республики Бурятия и Правительства Республики Бурятия. При этом должны быть представлены обоснования необходимости такого подключения, схема маршрутизации подключения, используемые средства защиты информации.

7. Антивирусная защита информационных систем ИВС

7.1. Для обеспечения защиты информационных систем ИВС от деструктивных воздействий (уничтожение, модификация, искажение, блокирование) со стороны вредоносных программ (программы-вирусы) на всех этапах формирования и использования информационных систем ИВС должен производиться непрерывный антивирусный контроль.

7.2. Для защиты от вредоносных программ должно использоваться только лицензионное и сертифицированное по требованиям безопасности антивирусное программное обеспечение.

7.3. Установка и настройка антивирусных программ должна регламентироваться Администрацией Главы Республики Бурятия и Правительства Республики Бурятия в соответствующих инструкциях.

8. Контроль состояния системы защиты информационных систем ИВС

8.1. Контроль состояния защиты информационных систем ИВС является неотъемлемой составной частью общего комплекса системы защиты информационных систем ИВС.

8.2. Контроль состояния защиты информационных систем ИВС в органах власти возлагается на администраторов безопасности.

8.3. Общее методическое руководство и контроль деятельности администраторов безопасности по сопровождению защиты информационных систем ИВС возлагается на Администрацию Главы Республики Бурятия и Правительства Республики Бурятия.