Приложение N 5. Перечень мер по защите информации при подключении к единой мультисервисной телекоммуникационной сети Правительства Астраханской области. Постановление Министерства государственного управления, информационных технологий и связи Астраханской области от 20.04.2021 N 4-П "О работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области" (с изменениями и дополнениями)

Приложение N 5
к постановлению министерства
государственного управления,
информационных технологий и
связи Астраханской области
от 20.04.2021 N 4-П

Перечень
мер по защите информации при подключении к единой мультисервисной телекоммуникационной сети Правительства Астраханской области

1. Общие положения

1.1. Перечень мер по защите информации при подключении к единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - Перечень) регламентирует организационные и технические меры по защите информации и порядок их проведения при подключении к единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - ЕМТС).

1.2. Настоящий Перечень разработан в целях повышения уровня информационной безопасности ЕМТС.

1.3. Для целей настоящего Перечня используются понятия, определенные в Положении о единой мультисервисной телекоммуникационной сети Правительства Астраханской области, утвержденном распоряжением Правительства Астраханской области от 18.09.2013 N 424-Пр "О единой мультисервисной телекоммуникационной сети Правительства Астраханской области".

1.4. Перечень разработан на основании следующих документов:

- Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11.02.2014;

- "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/5-144;

- "Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/6/6-622.

1.5. При подключении и работе в ЕМТС и информационных системах персональных данных внешних пользователей необходимо руководствоваться следующими документами:

- требования по обеспечению безопасности информации внешними пользователями при работе в единой мультисервисной телекоммуникационной сети Правительства Астраханской области;

- требования по обеспечению безопасности информации внешними пользователями при работе с информационными системами персональных данных.

2. Мероприятия по защите информации в ЕМТС

2.1. Общие требования

При подключении к ЕМТС должны быть реализованы следующие меры защиты информации:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации;

- регистрация событий безопасности;

- антивирусная защита;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности информации;

- обеспечение целостности информационной системы и информации;

- обеспечение доступности информации;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств и систем связи и передачи данных.

2.2. Организационные мероприятия по обеспечению безопасности информации при подключении к ЕМТС

Комплекс организационных мероприятий по защите информации при подключении к ЕМТС обязан включать в себя следующие меры:

- определение и назначение круга лиц, допущенных к обработке информации в информационных системах;

- оснащение помещений с оборудованием, обеспечивающим технологический процесс обработки информации, средствами охранно-пожарной сигнализации;

- физическую охрану технических средств информационных систем и доступа к ним, которая должна предусматривать контроль доступа в помещения;

- допуск и нахождение в помещениях, задействованных в процессе обработки информации с использованием ЕМТС, посторонних лиц, включая вспомогательный и обслуживающий персонал (уборщиц, электромонтеров, сантехников и т.д.), разрешаются только в случаях, исключающих их бесконтрольные несанкционированные действия на автоматизированных рабочих местах пользователей ЕМТС;

- назначение лиц, ответственных за обеспечение безопасности информации в исполнительных органах государственной власти Астраханской области (далее - ИОГВ АО) или органах местного самоуправления муниципальных образований Астраханской области (далее - ОМСУ АО) или подведомственных им учреждениях;

- учет машинных носителей информации, средств защиты информации в соответствующих журналах учета.

2.3. Технические мероприятия

2.3.1. Реализация технических мероприятий по обеспечению безопасности информации

Применяемые технические средства защиты информации должны соответствовать требованиям к средствам защиты информации, определенным в пункте 26 приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" для информационных систем 3 класса защищенности.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. "пункте 26 приказа" следует читать: "пункте 26 Требований, утвержденных приказом"

Выбранные для использования сертифицированные по требованиям безопасности информации средства защиты должны соответствовать:

- средства вычислительной техники - не ниже 5 класса в соответствии с руководящим документом ФСТЭК России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации";

- системы обнаружения вторжений и средства антивирусной защиты - не ниже 4 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

- межсетевые экраны - не ниже 3 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями междунар