Приложение. Регламент информационной безопасности министерства топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края. Приказ министерства топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края от 14.06.2019 N 223 "Об утверждении Регламента информационной безопасности министерства топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края"

Приложение

Утвержден
приказом министерства
топливно-энергетического комплекса
и жилищно-коммунального хозяйства
Краснодарского края
от 14.06.2019 N 223

Регламент
информационной безопасности министерства топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края

I. Общие положения

1.1. Введение

Регламент информационной безопасности министерства топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края (далее - министерство) определяет цели и задачи системы обеспечения информационной безопасности (далее - ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется министерство в своей деятельности.

1.2. Цели

Основными целями регламента ИБ являются защита информации министерства и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в Положении от 28 декабря 2015 г. N 1310 "О министерстве топливно-энергетического комплекса и жилищно-коммунального хозяйства Краснодарского края"

Общее руководство обеспечением ИБ осуществляет заместитель министра, определенный приказом министра. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет ведущий специалист 1-го разряда отдела по защите государственной тайны, ИБ и мобилизационной работе выполняющий функции администратора ИБ в министерстве.

Сотрудники министерства обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящего Регламента и других документов ИБ.

1.3. Задачи

Регламент ИБ направлен на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Задачей настоящего Регламента является организация системы управления ИБ в министерстве.

1.4. Область действия

Настоящий Регламент распространяется на всех сотрудников министерства, и обязателен для исполнения. Положения настоящего Регламента применимы для использования во внутренних нормативных и методических документах, а также в договорах.

1.5. Период действия и порядок внесения изменений

Настоящий Регламент вводится в действие приказом министра. Регламент признается утратившим силу на основании приказа министра. Изменения в Регламент вносятся приказом министра. Инициаторами внесения изменений в Регламент ИБ являются:

- министр;

- заместитель министра;

- начальник подразделения ответственного за ИБ;

- администратор ИБ.

Плановая актуализация настоящего Регламента производится ежегодно и имеет цель приведение в соответствие определенных защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация регламента ИБ производится в обязательном порядке в следующих случаях:

- при изменении политики РФ в области ИБ, указов и законов РФ в области защиты информации;

- при изменении внутренних нормативных документов (инструкций, положений, рекомендаций), касающихся ИБ министерства;

- при происшествии и выявлении инцидента (инцидентов) по нарушению ИБ, влекущего ущерб министерству.

Ответственность за актуализацию Регламента ИБ (плановую и внеплановую) несет администратор ИБ.

Контроль за исполнением требований настоящего Регламента возлагается на администратора ИБ.

2. Обозначения и сокращения

АРМ - Автоматизированное рабочее место.

АС - Автоматизированная система.

БД - База данных.

ЗИ - Защита информации.

ИБ - Информационная безопасность.

ИС - Информационная система.

ИТС - Информационно-телекоммуникационная система.

КЗ - Контролируемая зона.

ЛВС - Локальная вычислительная сеть.

МЭ - Межсетевой экран.

НСД - Несанкционированный доступ.

ОС - Операционная система.

ПБ - Политики безопасности.

ПО - Программное обеспечение.

РМС - Региональная мультисервисная сеть.

PC - Рабочая станция (персональный компьютер).

СВТ - Средства вычислительной техники.

СЗИ - Средство защиты информации.

СКЗИ - Средство криптографической защиты информации.

СПД - Система передачи данных.

СУБД - Система управления базами данных.

СУИБ - Система управления информационной безопасностью.

СЭД - Система электронного документооборота.

ЭВМ - Электронная - вычислительная машина, (персональный компьютер).

ЭЦП - Электронная цифровая подпись.

3. Термины и определения

Автоматизированная система - система, состоящая из персонале, и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор ИБ - специалист министерства, осуществляющий контроль за обеспечением защиты информации на АРМ сотрудников и в ЛВС. Кроме того он осуществляет организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Аудит ИБ - процесс проверки выполнения установленных требований по обеспечению ИБ. Может проводиться как министерством (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются заключением аудита.

Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.

Доступ к информации - возможность получения информации и ее использования.

Защищенный канал передачи данных - логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.

Идентификатор доступа - уникальный признак субъекта или объекта доступа.

Идентификация - присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация - это любые сведения, принимаемые и передаваемые, сохраняемые различными источниками.

Информационная безопасность (ИБ) - механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации, состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

Информационная система - совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач структурных подразделений министерства. В министерстве используются различные типы информационных систем для решения управленческих, учетных, обучающих и других задач.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные активы - информационные системы, информационные средства, информационные ресурсы.

Информационные средства - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин, средства вычислительной техники и связи; словари, тезаурусы и классификаторы, инструкции и методики, положения, уставы, должностные инструкции, схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Информационные ресурсы - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Инцидент ИБ - действительное, предпринимаемое или вероятное нарушение ИБ, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов учреждения.

Источник угрозы - намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность - доступ к информации только авторизованных пользователей.

Критичная информация - информация, нарушение доступности, целостности, либо конфиденциальности которой может оказать негативное влияние на функционирование министерства, привести к причинению материального или иного вида ущерба.

Локальная вычислительная сеть (ЛВС) - группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

Межсетевой экран (МЭ) - программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью министерства и внешними сетями (сетью Интернет).

Несанкционированный доступ к информации (НСД) - доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Регламент ИБ - комплекс регламентов, взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его ИБ.

Пользователь ЛВС - сотрудник министерства, зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.

Программное обеспечение - совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция ~ персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

Регистрационная (учетная) запись пользователя - включает в себя имя пользователя и его уникальный идентификатор, точно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название отдела, телефоны, E-mail и т.п.

Роль - совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.

Системный администратор - сотрудник министерства, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети учреждения и ПК.

Средства криптографической защиты информации - средства шифрования, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).

Угрозы информационным данным - потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Управление ИБ - совокупность целенаправленных действий, осуществляемых в рамках политики ИБ в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).

Уязвимость - недостатки или слабые места информационных активов, которые могут привести к нарушению ИБ учреждения при реализации угроз в информационной сфере.

Целостность информации - состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

ЭВМ - электронная - вычислительная машина, персональный компьютер.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.

VPN (VIRTUAL PRIVATE NETWORK) - "Виртуальная частная сеть": технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях.

4. Основные принципы обеспечения ИБ

Основными принципами обеспечения ИБ являются следующие:

- постоянный и всесторонний анализ информационного пространства с целью выявления уязвимостей информационных активов;

- своевременное обнаружение проблем, потенциально способных повлиять на ИБ, корректировка моделей угроз и нарушителя;

- разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию;

- персонификация и адекватное разделение ролей и ответственности между сотрудниками министерства, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

5. Соответствие Регламента действующему законодательству

Правовую основу настоящего Регламента составляют законы РФ и другие законодательные акты, определяющие права и ответственность сотрудников министерства в сфере ИБ, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

6. Ответственность за реализацию политик ИБ

Ответственность за разработку мер и контроль обеспечения защиты информации несёт администратор ИБ.

Ответственность за исполнение положений Регламента возлагается на каждого сотрудника министерства, согласно его должностным и функциональным обязанностям.

7. Порядок подготовки сотрудников министерства по вопросам ИБ и допуска их к работе

Организация инструктажа сотрудников министерства в облает и ИБ возлагается на администратора ИБ. Подписи сотрудников об ознакомлении заносятся в "Журнал проведения инструктажа по ИБ". Обучение сотрудников министерства правилам соблюдения ИБ, проводится путем:

- проведения администратором ИБ инструктивных занятой с сотрудниками, принимаемыми на работу в министерство;

- самостоятельного изучения сотрудниками внутренних нормативных документов министерства в области ИБ.

Допуск сотрудника к работе с защищаемыми информационными ресурсами министерства осуществляется только после его ознакомления с настоящим Регламентом. Согласие на соблюдение правил и требований настоящих политик ИБ подтверждается подписями сотрудников в "Журнале проведения инструктажа по ИБ".

8. Состав Регламента ИБ министерства

Регламент ИБ министерства - это совокупность регламентов, содержащих нормы, правила и практические рекомендации, на которых строится управление, защита и распределение информации в министерстве.

Регламенты ИБ относятся к организационным мерам обеспечения ИБ и определяют стратегию министерства в области ИБ.

8.1. Регламент предоставления доступа к информационному ресурсу

8.1.1. Назначение

Настоящий Регламент определяет основные правила предоставления сотрудникам доступа к защищаемым информационным ресурсам министерства.

8.1.2. Положение Регламента

К работе с информационным ресурсом допускаются сотрудники, прошедшие инструктаж по ИБ и правилам работы с информационным ресурсом и ответственностью за их нарушение, а также настоящим Регламентом.

Каждому сотруднику министерства, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись), под которым он будет регистрироваться и работать в ИС.

В случае необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей), для работы с несколькими информационными системами. Использование несколькими сотрудниками при работе в министерстве одного и того же имени пользователя ("группового имени") запрещено.

8.2. Регламент защиты АРМ

8.2.1. Назначение

Настоящий Регламент определяет основные правила и требования по защите персональных данных и иной конфиденциальной информации министерства от неавторизованного доступа, утраты или модификации на АРМ сотрудников министерства.

8.2.2. Положение Регламента

Во время работы с конфиденциальной информацией должен предотвращаться ее просмотр не допущенными к ней лицами.

При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие конфиденциальную информацию, извлечены и заперты в помещении, шкафу, ящике стола или в сейфе.

Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем ограничения к ним доступа, с использованием паролей или иных доступных механизмов разграничения доступа.

Доступ к компонентам операционной системы и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только администратору ИБ. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей.

Доступ к информации в ЛВС и PC предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей.

Пользователям запрещается устанавливать и эксплуатировать неавторизованные программы на компьютере министерства. Перечень доступных пользователю авторизированных программ отражается в паспорте PC и доводится до пользователя (сотрудника министерства) под роспись.

Конфигурация программ на компьютерах должна проверяться администратором ИБ ежемесячно на предмет выявления установки неавторизованных программ в ручном режиме или с использованием специальных программ.

Техническое обслуживание может осуществляться на основании обращения пользователя к администратору ИБ или в соответствии с планом-графиком регламентных работ.

Локальное техническое обслуживание предпочтительно должно осуществляться в личном присутствии пользователя.

Дистанционное техническое обслуживание должно осуществляться только со специально выделенных автоматизированных рабочих мест, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться.

При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений.

Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации (в том числе в составе АРМ) допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ.

Программное обеспечение должно устанавливаться со специальных ресурсов или съемных носителей и в соответствии с лицензионным соглашением с его правообладателем.

Конфигурации устанавливаемых рабочих станций должны быть стандартизованы, а процессы установки, настройки и ввода в эксплуатацию - регламентированы.

АРМ, на которых предполагается обрабатывать конфиденциальную информацию, должны быть закреплены за соответствующими сотрудниками министерства. Запрещается использование указанных АРМ другими пользователями без согласования с администратором ИБ министерства. При передаче указанного АРМ другому пользователю, информация на носителях этой PC должна быть гарантированно уничтожена с помощью специализированных программных средств.

8.3. Регламент реагирования на инциденты МБ

8.3.1. Назначение

Настоящий Регламент определяет основные правила реагирования на инциденты ИБ.

8.3.2. Положение Регламента

Инцидент ИБ содержит одно или группу событий, которые могут привести к нарушению (прекращению) функционирования информационных систем (ресурсов), информационно-телекоммуникационной инфраструктуры РМС ОГВ и (или) к возникновению угроз безопасности информации, в том числе персональных данных, нарушению процедур, установленных нормативными правовыми, руководящими, методическими, организационно-распорядительными документами.

Инциденты ИБ могут приводить к нарушению одного или нескольких основополагающих характеристик безопасности информации (конфиденциальности, целостности, доступности) и (или) дополнительных свойств информации (достоверности, неотказуемости и т.п.).

С целью выявления инцидентов ИБ осуществляется мониторинг событий ИБ.

Под событием ИБ понимается любое проявление состояния информационной системы, информационно-телекоммуникационной инфраструктуры и системы защиты информации, указывающее на возможность:

нарушения конфиденциальности, целостности или доступности информации, обрабатываемой в информационной системе;

нарушения доступности компонентов информационной системы (автоматизированных рабочих мест, серверов, сетевого и телекоммуникационного оборудования);

нарушение штатного функционирования компонентов информационных систем и средств защиты информации;

нарушения процедур, установленных организационно-распорядительными документами по защите информации.

К процессу управления инцидентами могут привлекаться эксперты (экспертные организации). Экспертом должно являться лицо (в том числе юридическое лицо), обладающее специальными знаниями (компетенциями) по касающимся вопросам, и привлекаемое в порядке, предусмотренном законодательством РФ.

Положения Регламента не распространяются на обработку информации, содержащей сведения, составляющие государственную тайну.

8.3.3. Действия пользователя при инциденте ИБ

В процессе работы на АРМ, пользователь подвергается опасности со стороны злоумышленников в области ИБ. Переход по неизвестной ссылке может привести к скачиванию вредоносного программного обеспечения, что повлечет угрозу ИБ министерства.

При возникновении нештатной ситуации или подозрения на ненормальное функционирование АРМ, пользователю необходимо:

- прекратить текущую работу в программном обеспечении (если есть возможность, при отсутствии "зависания");

- отсоединить АРМ от сети интернет, посредством отключения кабеля от розетки ЛВС;

- выключить АРМ штатными средствами (программными: или аппаратными);

- немедленно сообщить администратору ИБ о сложившейся ситуации.

8.4. Регламент эксплуатации электронной почты н сети Интернет.

8.4.1. Назначение

Настоящий Регламент разработан для повышения эффективности работы сотрудников министерства, использующих электронные информационные ресурсы РМС администрации Краснодарского края, глобальной сети Интернет, локальной сети министерства, и повышения уровня ИБ локальной информационно-вычислительной сети РМС.

8.4.2. Положение Регламента

Электронная почта используется для обмена в рамках ИС министерства (внутренняя электронная почта) и общедоступных сетей (внешняя электронная почта) служебной информацией в виде электронных сообщений и документов в электронном виде.

Обеспечение локальной настройки на PC функционирования сервиса электронной почты осуществляется специалистами отдела ИБ.

Доступ сотрудников министерства к внутренней электронной почте предоставляется при подключении АРМ к РМС. Доступ сотрудников министерства к внешней электронной почте предоставляется при подключении АРМ к сети Интернет, посредством РМС.

При использовании электронной почты необходимо:

- Соблюдать требования настоящего Положения.

- Использовать электронную почту исключительно для выполнения своих служебных обязанностей.

- Перед отправкой сообщения проверять правильность введенного электронного адреса получателя.

- Ставить в известность администратора ИБ о любых фактах нарушения требований настоящего Положения.

При использовании электронной почты запрещено:

- использовать электронную почту в личных целях;

- передавать электронные сообщения, содержащие:

1. конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя и способ передачи является безопасным.

2. информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.

3. информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также осуществить несанкционированный доступ, а также ссылки на вышеуказанную информацию.

4. угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.

- переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.

- по собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).

- использовать адрес электронной почты для оформления подписки на периодическую рассылку материалов из сети Интернет, не связанных с исполнением служебных обязанностей.

- публиковать свой электронный адрес, либо электронный адрес других сотрудников министерства на общедоступных Интернет-ресурсах (форумы, конференции и т.п.), в случаях, не связанных с исполнением служебных обязанностей.

- предоставлять сотрудникам министерства (за исключением администратора ИБ) и третьим лицам доступ к своему электронному почтовому ящику.

- шифровать электронные сообщения без предварительного согласования с администратором ИБ, если это не обусловлено специальными требованиями к защищенной передаче данных.

- перенаправлять электронные сообщения с личных почтовых ящиков на корпоративный.

Министерство, в лице подразделения по ИБ, оставляет за собой право доступа к электронным сообщениям работников с целью их архивирования и централизованного хранения, а также мониторинга выполнения требований настоящего регламента.

При подозрении сотрудника министерства в нецелевом использовании электронной почты инициализируется служебная проверка, проводимая комиссией, состав которой определяется министром, по предложению руководителя структурного подразделения по ИБ.

По факту выясненных обстоятельств составляется акт расследования инцидента и передается руководителю структурного подразделения по ИБ для принятия мер согласно локальным нормативным актам министерства и действующему законодательству.

Все электронные сообщения и документы в электронном виде, передаваемые посредством электронной почты подлежат обязательной проверке на отсутствие вредоносного ПО штатными средствами антивирусной защиты PC.

9. Правила профилактики нарушений ИБ

Под профилактикой нарушений ИБ понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений ИБ в министерстве и проведение разъяснительной работы по ИБ среди пользователей.

Проведение в ИС министерства регламентных работ по защите информации предполагает выполнение процедур контрольного тестирования (проверки) функций СЗИ, что гарантирует ее работоспособность до периода следующего тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной в ИС министерства степенью периодичности.

Задача предупреждения в ИС министерства возможных нарушений ИБ также решается по мере наступления следующих событий:

- включение в состав ИС министерства новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС министерства;

- изменение конфигурации программных и технических средств ИС (изменение конфигурации программного обеспечения рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС министерства;

- при появлении сведений о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения технических средств, используемых в ИС министерства.

Администратор ИБ (при необходимости с помощью сторонней организации, специализирующейся в области ИБ) собирает и анализирует информацию о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения ИС министерства. Источниками подобного рода сведений могут служить официальные издания и публикации различных компаний, общественных объединений и других организаций, специализирующихся в области защиты информации.

Администратор ИБ (при необходимости с помощью сторонней организации, специализирующейся в области ИБ) организовывает периодическую проверку СЗИ ИС министерства путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам.

Плановая разъяснительная работа по настоящим Правилам, а также инструктаж сотрудников министерства по соблюдению требований нормативных и регламентных документов по ИБ, принятых в министерстве, проводится администратором ИБ ежеквартально.

Внеплановая разъяснительная работа по настоящим Правилам, а также инструктаж сотрудников министерства по соблюдению требований нормативных и регламентных документов по ИБ, принятых в министерстве, проводится при пересмотре настоящих Правил, при возникновении инцидента нарушения ИБ.

Прием на работу новых сотрудников должен сопровождаться ознакомлением их с настоящими Регламентами и Правилами.

10. Ликвидация последствий нарушения ИБ

Администратор ИБ, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать технически выявляемые нарушения ИБ, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.

В случае обнаружения факта нарушения ИБ или осуществления НСД к защищаемым информационным ресурсам сотрудник министерства обязан уведомить администратора ИБ, и далее следовать его указаниям.

Действия администратора ИБ при признаках нарушения политик ИБ регламентируются следующими внутренними документами:

- Инструкцией пользователя автоматизированной системы;

- Должностными обязанностями администратора ИБ;

После устранения инцидента администратор ИБ составляет акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также регистрирует факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

11. Ответственность нарушителей Регламента ИБ

Ответственность за нарушение ИБ несет каждый сотрудник министерства в рамках своего должностного регламента.

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования Регламента, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение.

Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный министерству в результате нарушения ими Регламента (Ст. 238 Трудового кодекса РФ).

12. Регулирующие законодательные нормативные документы

При организации и обеспечении работ по ИБ ответственные сотрудники министерства должны руководствоваться следующими законодательными нормативными документами:

12.1. Основополагающие нормативные документы

К основополагающим нормативным документам относится Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ от 5 декабря 2016 г. N Пр-646).

12.2. Законы Российской Федерации

- Федеральный закон Российской Федерации от 28.12.2010 "О безопасности" N 390-ФЗ (с изменениями от 05.10.2015)

- Гражданский кодекс Российской Федерации;

- Федеральный закон от 06 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (с изменениями от 23 июня 2016 г.);

- Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Уголовный кодекс РФ;

- Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (с изменениями от 05.04.2016);

- Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности" (с изменениями от 30.12.2015 г.).

12.3. Указы и распоряжения президента Российской Федерации

- Указ Президента Российской Федерации от 3 июля 1995 г. N 662 "О мерах по формированию общероссийской телекоммуникационной системы и обеспечению прав собственников при хранении ценных бумаг и расчетах на фондовом рынке Российской Федерации" (с изменениями от 16 октября 2010 г.);

- Указ Президента Российской Федерации от 9 января 1996 г. N 21 "О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации" (с изменениями от 30 декабря 2000 г.).

12.4. Постановления и распоряжения правительства Российской Федерации

- Постановление Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (с изменениями от 21 апреля 2010 г.).

- Постановление Правительства от 15 сентября 2008 г. N 687 "Об утверждении положения об особенностях обработки персональных данных осуществляемой без использования средств автоматизации".

- Постановление Правительства от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

12.5. Нормативные и руководящие документы Федеральных служб РФ

- Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации не составляющей государственную тайну, содержащейся в государственных информационных системах (Зарегистрировано в Минюсте России 31.05.2013 N 28608.

- Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

- Приказ ФСБ России N 416, ФСТЭК России N 489 от 31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования (Зарегистрировано в Минюсте России 13.10.2010 N 18904.

Начальник отдела по защите государственной тайны, информационной безопасности и мобилизационной работе

О.В. Шабля