Приложение N 5. Государственная информационная система Республики Адыгея "Система электронного делопроизводства и документооборота "Дело". Приказ Министерства цифрового развития, информационных и телекоммуникационных технологий Республики Адыгея от 24.11.2020 N 205-П "О Регламенте распространения аттестата соответствия требованиям безопасности информации государственной информационной системы Республики Адыгея "Система электронного делопроизводства и документооборота "Дело" на её типовые пользовательские сегменты"

Приложение N 5

Государственная информационная система Республики Адыгея "Система электронного делопроизводства и документооборота "Дело"

Требования к типовым сегментам системы

Введение

Данный документ содержит перечень требований по обеспечению безопасности типовых сегментов государственной информационной системы Республики Адыгея "Система электронного делопроизводства и документооборота "Дело" (далее - СЭД "Дело"). Данными требованиями в обязательном порядке необходимо руководствоваться при подключении к СЭД "Дело" и включении типовых сегментов СЭД "Дело" Претендентов в состав аттестованной по требованиям безопасности информации СЭД "Дело".

СЭД "Дело" является территориально-распределенной государственной информационной системой, состоящей из серверного сегмента (располагаемого в пределах ЛВС административного здания Администрации Главы Республики Адыгея, Государственного Совета - Хасэ Республики Адыгея и Кабинета Министров Республики Адыгея), типового сегмента N 1, расположенного в границах контролируемой зоны серверного сегмента и 3-х типовых сегментов.

Выполнение данных требований обязательно для распространения действующего аттестата соответствия СЭД "Дело" (Уч. N А-ОИ-ГИС-19/052 от 11.02.2020 г.) на типовой сегмент.

Типовые сегменты СЭД "Дело"

1.1. Виды типовых сегментов

К типовым сегментам СЭД "Дело" относятся следующие сегменты:

- Типовой сегмент N 1 в составе АРМ и аппаратно-программного СКЗИ, расположенных в границах контролируемой зоны серверного сегмента СЭД "Дело";

- Типовой сегмент N 2 в составе АРМ и программного и (или) аппаратно-программного СКЗИ;

- Типовой сегмент N 3 в составе мобильного АРМ и программного СКЗИ.

1.1.1 Типовой сегмент N 1

Типовой сегмент N 1 - сегмент, состоящий из однотипных АРМ пользователей, представленных в виде настольных (стационарных) АРМ с установленными СЗИ от НСД Secret Net Studio и АВПО Kaspersky Endpoint Security и АРМ Администратора, использующих в работе ресурсы серверного сегмента СЭД "Дело" и объединенных с ним в единую локально-вычислительную сеть.

1.1.2 Типовой сегмент N 2

Типовой сегмент N 2 - сегмент, состоящий из однотипных АРМ пользователей, представленных в виде настольных (стационарных) АРМ с установленными СЗИ от НСД Secret Net Studio и АВПО Kaspersky Endpoint Security, объединенных в локальную вычислительную сеть и осуществляющих удаленный доступ к ресурсам серверного сегмента СЭД "Дело" с использованием сертифицированного СКЗИ ViPNet Client и (или) ViPNet Coordinator HW сети ViPNet N 1887.

1.1.3 Типовой сегмент N 3

Типовой сегмент N 3 - сегмент, состоящий из однотипных АРМ пользователей, представленных в виде планшетных персональных компьютеров с установленными СЗИ от НСД Secret Net Studio и АВПО Kaspersky Endpoint Security, осуществляющих удаленный доступ к ресурсам серверного сегмента СЭД "Дело" с использованием сертифицированного СКЗИ ViPNet Client сети ViPNet N 1887.

Требования по организации работ по защите информации от НСД

2.1. Требования к автоматизированным рабочим местам

Автоматизированное рабочее место пользователя сегмента СЭД "Дело" должно соответствовать минимальной нижеприведенной конфигурации. Операционные системы:

- Windows 8.1 Professional Rollup Update KB2919355 (с установленными обновлениями системы последней версии);

- Windows 10 Professional (версии 1903 - 2009) (с установленными обновлениями системы последней версии);

- Жесткий диск (свободное пространство): от 12 Gb;

- Оперативная память: Минимальная от 4 Gb, рекомендуемая от 8 Gb.

2.2. Требования по размещению технических средств

При размещении АРМ пользователей должны учитываться следующие требования:

- должны быть приняты организационные и технические меры по исключению НСД в помещения, в которых размещены АРМ пользователей, посторонних лиц, не являющихся персоналом, допущенным к работе в этих помещениях;

- должна быть организована контролируемая зона, в пределах которой постоянно размещаются стационарные технические средства типового сегмента СЭД "Дело", обрабатывающие информацию, средства защиты информации, а также средства обеспечения функционирования;

- устройства вывода (отображения) информации должны быть размещены таким образом, чтобы исключить ее несанкционированный просмотр.

2.3. Требования по обеспечению безопасности средств криптографической защиты информации

В типовых сегментах для обеспечения безопасности программных средств криптографической защиты информации (далее - СКЗИ), установленных как на АРМ пользователей, так и программно-аппаратных СКЗИ, размещенных вне корпуса АРМ пользователя, должны учитываться следующие требования:

- помещения должны быть оснащены входными дверьми с замками, а для самих помещений должно быть обеспечено постоянное закрытие дверей помещений на замок и их открытие только для санкционированного прохода, а также опечатывание помещений по окончании рабочего дня или оборудование помещений специальными техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;

- должны быть утверждены правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

- должен быть утвержден перечень лиц, имеющих право доступа в помещения;

- должно осуществляться хранение съемных машинных носителей персональных данных (в случае использования) в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);

- должен осуществляться поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров;

- должно осуществляться обучение лиц, использующих СКЗИ;

- должен осуществляться учет используемых СКЗИ, эксплуатационной и технической документации к ним;

- должен осуществляться учет лиц, непосредственно допущенных к работе с СКЗИ;

- АРМ пользователей с установленными СКЗИ, а также программно-аппаратные СЗКИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы);

- должен проводится контроль над соблюдением условий использования СКЗИ, предусмотренных эксплуатационной и технической документации к ним.

2.4. Требования к средствам защиты информации

В составе системы защиты информации всех типовых пользовательских сегментов СЭД "Дело" допускается использование следующих средств защиты информации:

1) Средство защиты информации от несанкционированного доступа (далее - СЗИ от НСД) Secret Net Studio (сертификат ФСТЭК России N 3745, действителен до 16.05.2025 г.).

Для типового сегмента N 3 в составе СЗИ от НСД Secret Net Studio дополнительно должны быть использованы модули защиты диска и шифрование контейнеров.

2) Антивирусное программное обеспечение Kaspersky Endpoint Security 11 для Windows (сертификат ФСТЭК России N 4068, действителен до 22.01.2024 г.).

3) Средства анализа защищенности Программный комплекс "Средство анализа защищенности "Сканер-ВС" (сертификат ФСТЭК России N 2204, действителен до 13.11.2024 г.) и (или) программное изделие "Сетевой сканер безопасности XSpider" (сертификат ФСТЭК России N 3247, действителен до 24.10.2025). Допускается использование программного изделия "Сетевой сканер безопасности XSpider", принадлежащего Министерству цифрового развития, информационных и телекоммуникационных технологий Республики Адыгея.

Для типового сегмента N 1 на логической границе ЛВС Претендента/Участника и в пределах контролируемой зоны должен быть установлен программно-аппаратный комплекс (далее - ПАК) ViPNet Coordinator HW 4 (сертификат ФСТЭК России N 3692, действителен до 26.01.2025 г., сертификат ФСБ России N СФ/124-3674, действителен до 31.10.2021 г., сертификат ФСБ России NСФ/525-3813 действителен до 20.12.2022 г.);

Для типового сегмента N 2 на АРМ пользователя должен быть установлен программный комплекс (далее - ПК) ViPNet Client 4 (сертификат ФСБ России N СФ/515-3772, действителен до 12.08.2022 г., сертификат ФСТЭК России N 3727, действителен до 30.11.2019 г., срок окончания технический поддержки до 31.12.2023 г.) и (или) на логической границе ЛВС Претендента/Участника и в пределах контролируемой зоны должен быть установлен ПАК ViPNet Coordinator HW 4.

Для типового сегмента N 3 на АРМ пользователя должен быть установлен программный комплекс (далее - ПК) ViPNet Client 4 (сертификат ФСБ России N СФ/515-3772, действителен до 12.08.2022 г., сертификат ФСТЭК России N 3727, действителен до 30.11.2019 г., срок окончания технический поддержки до 31.12.2023 г.).

Применение средств защиты информации, отличных от вышеперечисленных, в сегментах СЭД "Дело" не допускается.

Параметры настроек вышеперечисленных средств защиты информации должны обеспечивать выполнение требований мерам защиты аттестованного типового сегмента СЭД "Дело", указанным в программе и методиках приемочных испытаний сегмента.

Установка и настройка средств защиты информации должна проводится в соответствии с эксплуатационной документацией производителя на данные средства с сертифицированных дистрибутивов.

В качестве средства анализа защищенности сегментов всех типов используется Программный комплекс "Средство анализа защищенности "Сканер-ВС" и программное изделие "Сетевой сканер безопасности XSpider", принадлежащий Министерству цифрового развития, информационных и телекоммуникационных технологий Республики Адыгея (далее - Министерство). Сканирование производится сотрудниками Министерства с установленной в организационно-распорядительной документации по защите информации в СЭД "Дело" периодичностью.

2.5. Требования к назначению ответственных лиц

Участник, эксплуатирующий один из типовых сегментов СЭД "Дело" в обязательном порядке, должен определить и документально закрепить следующих лиц:

- Ответственный за организацию обработки конфиденциальной информации (в том числе персональных данных);

- Ответственный за техническое обслуживание информационных систем/сегмента СЭД "Дело";

- Ответственный за обеспечение безопасности информации (Администратор информационной безопасности);

- Ответственный за обезличивание персональных данных;

- Ответственные за планирование и контроль мероприятий по защите информации;

- Ответственные за выявление инцидентов и реагированию на них;

- Пользователи, допущенные к обработке информации в сегменте СЭД "Дело".

2.6. Требования к комплекту организационно-распорядительной документации

Претендент в обязательном порядке должен адаптировать и утвердить высланный на этапе подключения к СЭД "Дело" комплект шаблонов организационно-распорядительной документации, в составе:

1. Акт классификации сегмента СЭД "Дело";

2. Акт установления уровня защищенности ПДн в сегменте СЭД "Дело";

3. Модель угроз безопасности информации;

4. Совокупность предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса средств криптографической защиты информации;

5. Описание определения мер обеспечения безопасности информации;

6. Описание технологического процесса обработки информации;

7. Инструкция пользователя;

8. Технический паспорт сегмента СЭД "Дело";

9. Положение по работе с инцидентами информационной безопасности;

10. Приказ о ведении журнала регистрации инцидентов информационной безопасности;

11. Приказ о создании комиссии по установлению уровня защищенности персональных данных;

12. Приказ о создании комиссии по работе с инцидентами информационной безопасности;

13. Инструкция администратора информационных систем;

14. Инструкция администратора информационной безопасности;

15. Инструкция по модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем;

16. Правила организации антивирусной защиты;

17. Правила аудита и регистрации событий безопасности;

18. Политика резервного копирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств системы защиты информации;

19. Правила идентификации и аутентификации пользователей информационной системы;

20. Журнал резервирования ресурсов информационных систем;

21. Политика управления изменениями программного обеспечения и технических средств;

22. Правила по внесению изменений в списки пользователей и наделению их полномочиями доступа к сегменту СЭД "Дело";

23. Политика контроля и управления доступа к сегменту СЭД "Дело";

24. Политика обеспечения безопасности удаленного доступа;

25. Политика контроля защищенности;

26. Политика защиты технических средств;

27. Политика информирования и обучения персонала;

28. Инструкция об осуществлении контроля выполнения требований по защите персональных данных;

29. Правила использования мобильных устройств (в случае использования мобильных устройств);

30. Политика использования съемных носителей информации;

31. Матрица доступа пользователей к ресурсам сегмента СЭД "Дело";

32. План мероприятий по защите информации;

33. План внутренних проверок состояния защиты персональных данных;

34. Политика обработки персональных данных;

35. Правила обработки персональных данных;

36. Инструкция ответственного за организацию обработки конфиденциальной информации (в том числе персональных данных);

37. Порядок доступа работников в помещения, в которых ведется обработка конфиденциальной информации (в том числе персональных данных);

38. Приказ о назначении ответственного за организацию обработки конфиденциальной информации (в том числе персональных данных);

39. Приказ об ответственности за обработку и защиту конфиденциальной информации (в том числе персональных данных);

40. Приказ об установлении границ контролируемой зоны объектов информатизации;

41. Приказ об утверждении перечня лиц, имеющих право доступа в помещения с СКЗИ;

42. Правила доступа в помещения, в которых ведется эксплуатация средств криптографической защиты информации;

43. Журнал поэкземплярного учета средств криптографической защиты информации;

44. Журнал учета опломбирования;

45. Журнал учета хранилищ средств криптографической защиты информации и ключей к ним;

46. Лицевой счет пользователя СКЗИ;

47. Журнал учета носителей информации;

48. Журнал учета нештатных ситуаций.

Требования к настройкам средств защиты информации

3.1. Общие требования

В типовых сегментах СЭД "Дело", средства защиты информации должны быть настроены так, чтобы реализовывать технические меры требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 N 17 для 3 класса защиты, и требований приказа ФСТЭК России N 21 от 18 февраля 2013 г. "Об утверждении состава организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных да