Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ министерства цифрового развития Красноярского края от 21 января 2022 г. N 73-4-2022 "Об утверждении инструкций и положений к государственной информационной системе "Реестр информационных систем Красноярского края"
- Приложение N 6. Положение по управлению конфигурацией государственной информационной системы "Реестр информационных систем Красноярского края" министерства цифрового развития Красноярского края
Приложение N 6. Положение по управлению конфигурацией государственной информационной системы "Реестр информационных систем Красноярского края" министерства цифрового развития Красноярского края
Приложение N 6
к приказу министерства цифрового
развития Красноярского края
от 21.01.2022 N 73-4-2022
Положение
по управлению конфигурацией государственной информационной системы "Реестр информационных систем Красноярского края" министерства цифрового развития Красноярского края
1. Общие положения
Положение по управлению конфигурацией государственной информационной системы "Реестр информационных систем Красноярского края" (далее - ГИС "РИСКК") министерства цифрового развития Красноярского края (далее - министерство) устанавливает основные положения политики управления конфигурацией ГИС "РИСКК".
Положение разработано во исполнение требований приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
2. Управление изменениями конфигурации гис "рискк" и его системы защиты
В ГИС "РИСКК" определены компоненты информационной системы и ее системы защиты информации, конфигурации которых могут изменяться в ходе эксплуатации информационной системы, в том числе:
виртуальные сервера, выполняющие основные функции ГИС "РИСКК";
средства защиты информации;
сетевое и коммутационное оборудование.
Базовая конфигурация ГИС "РИСКК" должна быть задокументирована. Документированию подлежат:
размещение технических средств (далее - ТС), входящих в состав ГИС "РИСКК", с привязкой к границам контролируемой зоны;
топология ГИС "РИСКК";
состав ТС и программного обеспечения (далее - ПО), входящих в состав ГИС "РИСКК";
состав средств обеспечения информационной безопасности (далее - ИБ).
Изменения в конфигурации ГИС "РИСКК" согласовываются с лицом, ответственным за обеспечение ИБ.
Перед внесением изменений в конфигурацию ГИС "РИСКК", способных привести к нарушению конфиденциальности, целостности или доступности информации, должна производиться оценка возможных последствий от таких изменений. Внесение изменений возможно только в случае, если такие изменения не приведут к отказу ГИС "РИСКК" (сервисов ГИС "РИСКК") и/или нарушению ИБ.
Изменения в конфигурации ГИС "РИСКК" вносятся системным администратором ГИС "РИСКК", лицом ответственным за функционирование и администратором ИБ, в соответствии с выполняемыми должностными обязательствами.
a. Документирование состава ТС
Инвентаризация ТС проводится в отношении всех компьютеров, серверов и сетевого оборудования, входящего в состав ГИС "РИСКК".
Состав ТС, а также схемы их размещения, фиксируются в техническом паспорте информационной системы.
b. Документирование программного обеспечения
Инвентаризация программного обеспечения проводится в отношении серверов, входящих в состав ГИС "РИСКК".
Перечень разрешенного к использованию в ГИС "РИСКК" ПО приведен в "Перечне программного обеспечения, разрешенного к использованию в серверном сегменте государственной информационной системы "Реестр информационных систем Красноярского края".
3. Анализ потенциального воздействия планируемых изменений
При планировании внесений изменений в конфигурацию компонентов ГИС "РИСКК", осуществляется анализ потенциального воздействия планируемых изменений в базовой конфигурации ГИС "РИСКК" и ее системы защиты информации на обеспечение защиты информации, возникновение дополнительных угроз безопасности информации и работоспособность ГИС "РИСКК".
При проведении анализа, необходимо учитывать:
технические преимущества планируемых изменений;
дополнительные угрозы, связанные с изменениями;
установленные законодательством требования;
совместимость вносимых изменений с иными компонентами ГИС "РИСКК".
В результате анализа, должно быть принято решение о необходимости (или отсутствии необходимости) повторной аттестации измененной ГИС "РИСКК" или проведении дополнительных аттестационных испытаний ГИС "РИСКК".
После внесения изменений в конфигурацию ГИС "РИСКК" и ее систему защиты информации, необходимо внести информацию о совершенных изменениях в эксплуатационную документацию.
4. Обязанности
Ответственный за управление конфигурацией осуществляет мониторинг изменений конфигурации ГИС "РИСКК", с целью анализа их эффективности и подтверждения защищенности после внесения изменений в конфигурацию, а также:
осуществляет общее методическое руководство деятельностью по управлению конфигурацией ГИС "РИСКК";
осуществляет контроль за соблюдением настоящего Положения;
проводит мониторинг изменений конфигурации ГИС "РИСКК";
документирует базовую конфигурацию ГИС "РИСКК";
документирует изменения в конфигурации ГИС "РИСКК";
осуществляет санкционированные изменения в конфигурации ГИС "РИСКК".
5. Ответственность
Каждый сотрудник, имеющий доступ в ГИС "РИСКК", несет персональную ответственность за обеспечение ИБ, в соответствии с требованиями настоящего Положения. Лица, нарушившие требования безопасности, изложенные в настоящем Положении, могут быть привлечены к дисциплинарной или административной ответственности, в соответствии с действующим законодательством Российской Федерации.