Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 5
к постановлению министерства
государственного управления,
информационных технологий и
связи Астраханской области
от 20.04.2021 N 4-П
Перечень
мер по защите информации при подключении к единой мультисервисной телекоммуникационной сети Правительства Астраханской области
1. Общие положения
1.1. Перечень мер по защите информации при подключении к единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - Перечень) регламентирует организационные и технические меры по защите информации и порядок их проведения при подключении к единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - ЕМТС).
1.2. Настоящий Перечень разработан в целях повышения уровня информационной безопасности ЕМТС.
1.3. Для целей настоящего Перечня используются понятия, определенные в Положении о единой мультисервисной телекоммуникационной сети Правительства Астраханской области, утвержденном распоряжением Правительства Астраханской области от 18.09.2013 N 424-Пр "О единой мультисервисной телекоммуникационной сети Правительства Астраханской области".
1.4. Перечень разработан на основании следующих документов:
- Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
- Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
- приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11.02.2014;
- "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/5-144;
- "Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/6/6-622.
1.5. При подключении и работе в ЕМТС и информационных системах персональных данных внешних пользователей необходимо руководствоваться следующими документами:
- требования по обеспечению безопасности информации внешними пользователями при работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области;
- требования по обеспечению безопасности информации внешними пользователями при работе с информационными системами персональных данных.
2. Мероприятия по защите информации в ЕМТС
2.1. Общие требования
При подключении к ЕМТС должны быть реализованы следующие меры защиты информации:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- обеспечение целостности информационной системы и информации;
- обеспечение доступности информации;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств и систем связи и передачи данных.
2.2. Организационные мероприятия по обеспечению безопасности информации при подключении к ЕМТС
Комплекс организационных мероприятий по защите информации при подключении к ЕМТС обязан включать в себя следующие меры:
- определение и назначение круга лиц, допущенных к обработке информации в информационных системах;
- оснащение помещений с оборудованием, обеспечивающим технологический процесс обработки информации, средствами охранно-пожарной сигнализации;
- физическую охрану технических средств информационных систем и доступа к ним, которая должна предусматривать контроль доступа в помещения;
- допуск и нахождение в помещениях, задействованных в процессе обработки информации с использованием ЕМТС, посторонних лиц, включая вспомогательный и обслуживающий персонал (уборщиц, электромонтеров, сантехников и т.д.), разрешаются только в случаях, исключающих их бесконтрольные несанкционированные действия на автоматизированных рабочих местах пользователей ЕМТС;
- назначение лиц, ответственных за обеспечение безопасности информации в исполнительных органах государственной власти Астраханской области (далее - ИОГВ АО) или органах местного самоуправления муниципальных образований Астраханской области (далее - ОМСУ АО) или подведомственных им учреждениях;
- учет машинных носителей информации, средств защиты информации в соответствующих журналах учета.
2.3. Технические мероприятия
2.3.1. Реализация технических мероприятий по обеспечению безопасности информации
Применяемые технические средства защиты информации должны соответствовать требованиям к средствам защиты информации, определенным в пункте 26 приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" для информационных систем 3 класса защищенности.
Выбранные для использования сертифицированные по требованиям безопасности информации средства защиты должны соответствовать:
- средства вычислительной техники - не ниже 5 класса в соответствии с руководящим документом ФСТЭК России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации";
- системы обнаружения вторжений и средства антивирусной защиты - не ниже 4 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
- межсетевые экраны - не ниже 3 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями междунар
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.