Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Министерства государственного управления, информационных технологий и связи Астраханской области от 20 апреля 2021 г. N 4-П "О работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области" (с изменениями и дополнениями)
- Приложение N 7. Требования по обеспечению безопасности информации внешними пользователями при работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области
Приложение N 7. Требования по обеспечению безопасности информации внешними пользователями при работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области
Приложение N 7
к постановлению министерства
государственного управления,
информационных технологий и
связи Астраханской области
от 20.04.2021 N 4-П
Требования
по обеспечению безопасности информации внешними пользователями при работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области
1. Общие положения
1.1. Требования по обеспечению безопасности информации внешними пользователями при работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - Требования) разработаны в соответствии с законодательством Российской Федерации в целях повышения уровня информационной безопасности единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - ЕМТС).
1.2. Внешними пользователями являются пользователи, подключенные к центральному коммутационному узлу ЕМТС посредством внешних каналов передачи данных (VPN, Internet и т.д.).
1.3. Для целей настоящих Требований используются понятия, определенные в Положении о единой мультисервисной телекоммуникационной сети Правительства Астраханской области, утвержденном распоряжением Правительства Астраханской области от 18.09.2013 N 424-Пр "О единой мультисервисной телекоммуникационной сети Правительства Астраханской области".
2. Технические меры защиты информации
2.1. Внешние пользователи при подключении к ЕМТС должны применять следующие технические средства защиты информации:
- средство антивирусной защиты;
- криптошлюзы для организации защищенного канала связи;
- межсетевой экран.
2.2. Используемые технические средства защиты информации должны иметь сертификаты ФСТЭК России и ФСБ России, соответствующие следующим классам:
- межсетевые экраны не ниже 4 класса;
- устройства типа межсетевые экраны не ниже 3 уровня и 3 класса контроля отсутствия недекларированных возможностей ФСТЭК России;
- средства криптографической защиты информации (далее - СКЗИ) должны обеспечивать защиту информации при передаче по внешним каналам связи по классу КСЗ;
- средства антивирусной защиты типа В не ниже класса 4 (автоматизированные рабочие места);
- средства антивирусной защиты типа Б не ниже класса 4 (сервера).
3. Организационные меры защиты информации
3.1. Для подключения к ЕМТС в организации-участнике ЕМТС должна иметься организационно-распорядительная документация, регламентирующая следующее:
- перечень лиц, допущенных к обработке информации в ЕМТС;
- контроль и управление физическим доступом к техническим средствам защиты информации, а также в помещения и сооружения, в которых они установлены;
- учет средств криптографической защиты информации;
- хранение и учет съемных носителей информации с персональными данными;
- форму журнала учета съемных носителей информации;
- форму акта затирания информации;
- форму журнала учета ключей и атрибутов доступа;
- форму журнала приема и сдачи помещений под охрану;
- форму журнала учета применяемых СКЗИ, эксплуатационной и технической документации к ним;
- порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
- обязанности в должностных инструкциях пользователей/сотрудников выполнять требования законодательства Российской Федерации и локальных нормативных актов организации-участника ЕМТС, регламентирующих вопросы защиты информации, а также меру ответственности, которую несут пользователи за неисполнение данных требований.
3.2. Дополнительной организационной мерой, необходимой к исполнению организацией-участником ЕМТС, является проведение работ по устранению выявленных ФСТЭК России уязвимостей в используемых сертифицированных средствах защиты информации.