Приложение N 20. Положение об обеспечении безопасности информации, содержащейся в "Наименование информационной системы". Приказ Министерства цифровых технологий и связи Калининградской области от 12.07.2021 N 273 "Об утверждении методических рекомендаций по обеспечению защиты информации в государственных информационных системах"

Приложение N 20
к Методическим рекомендациям

Положение
об обеспечении безопасности информации, содержащейся в "Наименование информационной системы"

1. Общие положения

1.1. Назначение документа

Настоящий документ определяет порядок обеспечения безопасности информации в "Наименование информационной системы".

1.2. Область применения документа

Состав "Наименование информационной системы" (далее по тексту - ИС), на которую распространяются положения настоящего документа, определен в техническом паспорте ИС.

Настоящий документ обязаны знать и использовать в работе:

- пользователи ИС, в т.ч. привилегированные;

- ответственный за защиту информации, содержащейся в ИС.

1.3. Сокращения, термины и определения

В настоящем документе используются сокращения, термины и определения, приведенные в таблицах 1 и 2 соответственно.

Таблица 1. Перечень сокращений

Сокращение	Расшифровка сокращения
АРМ	Автоматизированное рабочее место
ГРИИБ	Группа реагирования на инциденты информационной безопасности
ИБ	Информационная безопасность
ИС	Информационная система
ИТ	Информационные технологии
НСД	Несанкционированный доступ
ОС	Операционная система
ПО	Программное обеспечение
СВТ	Средство вычислительной техники
СКЗИ	Средство криптографической защиты информации

Таблица 2. Перечень терминов

Термин	Определение термина	Источник
Безопасность информации	Состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность	ГОСТ Р 50922-2006
Вредоносная программа (программное обеспечение)	Программа (ПО), предназначенная для осуществления НСД к информации и или воздействия на информацию или ресурсы ИС	ГОСТ Р 53113.1-2008
Доступ к информации	Возможность получения информации и ее использования	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Доступность информации (ресурсов ИС)	Состояние информации (ресурсов автоматизированной ИС), при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно	Р 50.1.056-2005
Защита информации	Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию	ГОСТ Р 50922-2006
Защита информации от НСД	Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации	ГОСТ Р 50922-2006
Защищаемая информация	Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации	ГОСТ Р 50922-2006
ИС	Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку ИТ и технических средств	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Информационно-телекоммуникационная сеть	Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием СВТ	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
ИТ	Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Информация	Сведения (сообщения, данные), независимо от формы их представления	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Инцидент ИБ	Одно или несколько нежелательных или неожидаемых событий ИБ, которые со значительной вероятностью приводят к компрометации бизнес-операций и создают угрозы для ИБ	ГОСТ Р ИСО/МЭК 27000-2012
Контролируемая зона	Пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации и посторонних транспортных, технических и иных материальных средств	Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15.02.2008
Конфиденциальность информации	Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
НСД к информации (ресурсам ИС)	Доступ к информации (ресурсам ИС), осуществляемый с нарушением установленных прав и (или) правил доступа к информации (ресурсам ИС) с применением штатных средств ИС или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам	Р 50.1.056-2005
Оператор ИС	Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации ИС, в том числе по обработке информации, содержащейся в ее базах данных	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
Прикладная программа	Программа (ПО), предназначенная для решения задачи или класса задач в определенной области применения системы обработки информации	ГОСТ 19781-90
ПО	Совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ	ГОСТ 19781-90
Система защиты информации	Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации	ГОСТ Р 50922-2006
Системная программа (ПО)	Программа (ПО), предназначенная для поддержания работоспособности системы обработки информации или повышения эффективности ее использования в процессе выполнения прикладных программ	ГОСТ 19781-90
Событие ИБ	Выявленное состояние системы, услуги или состояние сети, указывающее на возможное нарушение политики обеспечения ИБ, нарушение или отказ мер и средств контроля и управления или прежде неизвестная ситуация, которая может иметь значение для безопасности	ГОСТ Р ИСО/МЭК 27000-2012
СВТ	Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем	ГОСТ Р 50739-95
Средство защиты информации	Техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для защиты информации	ГОСТ Р 50922-2006
Угроза безопасности информации	Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации	ГОСТ Р 50922-2006
Уязвимость	Недостаток (слабость) программного (программно-технического) средства или ИС в целом, который (которая) может быть использованы для реализации угроз безопасности информации	ГОСТ Р 56545-2015
Уязвимость ИС	Свойство ИС, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации	ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"
Целостность информации	Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право	Р 50.1.056-2005

1.4. Нормативные ссылки

Настоящий документ разработан на основании следующих нормативных правовых актов и методических документов:

- Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказ Федеральной службы по техническому и экспортному контролю Российской Федерации от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- методический документ "Меры защиты информации в государственных информационных системах", утвержден ФСТЭК России 11 февраля 2014 года.

2. Основные мероприятия по обеспечению безопасности информации

Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации ИС, направлены на исключение:

- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

- неправомерного блокирования информации (обеспечение доступности информации).

Обеспечение защиты информации, содержащейся в ИС, предусматривает выполнение следующих основных мероприятий (этапов):

- мероприятия по созданию системы защиты информации ГИС;

- мероприятия по обеспечению защиты информации в ходе эксплуатации аттестованной ИС;

- мероприятия по обеспечению защиты информации при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации.

3. Роли уполномоченных лиц, ответственных за обработку и защиту информации в ИС

3.1. Общие сведения

Для ИС выделены следующие категории пользователей:

- пользователи ИС:

функциональные пользователи: должностные лица, выполняющие свои должностные обязанности (функции) с использованием информации, ИТ и технических средств ИС и которым в ИС присвоены учетные записи;

публичные пользователи: граждане (физические лица) и/или организации (юридические лица) либо их уполномоченные представители, являющиеся потребителями государственных и муниципальных услуг на основе и (или) с использованием ИС и которым в ИС присвоены учетные записи.

Далее по тексту документа рассматривается категория пользователей - функциональные пользователи (обозначение - пользователи ИС);

- привилегированные пользователи ИС:

администраторы ИС;

администраторы ИБ.

К привилегированным пользователям относятся лица, которые обеспечивают функционирование ИС в соответствии с организационно-распорядительными документами организации и которым в ИС присвоены учетные записи.

Для контроля за документированием и выполнением требований по защите информации в ИС в организации назначается лицо, ответственное за защиту информации, содержащейся в ИС (далее - Ответственный за ЗИ).

3.2. Права и обязанности лица, ответственного за защиту информации в ИС

Ответственный за ЗИ обязан:

- обеспечивать организацию эксплуатации системы защиты информации ИС и при необходимости модернизацию (развитие) системы защиты информации ИС;

- обеспечивать организацию, координацию и выполнение работ по защите информации в ИС;

- вносить предложения по подготовке и принятию правовых, организационных и технических мер защиты информации в ИС;

- обеспечивать поддержание в актуальном состоянии организационно-распорядительных документов по защите информации в ИС;

- контролировать соблюдение требований законодательства Российской Федерации и организационно-распорядительных документов организации в ИС;

- обеспечивать проведение контрольных мероприятий по защите информации в ИС;

- обеспечивать реагирование и проведение расследований инцидентов ИБ в ИС, принимать участие в пределах своей компетенции;

- обеспечивать контроль сторонних организаций (подрядчиков) при привлечении последних для обслуживания, настройки и ремонта средств защиты информации из состава системы защиты информации ИС;

- организовывать выполнение требований парольной защиты;

- обеспечивать процесс управления конфигурацией системы защиты информации ИС;

- принимать планы по действиям персонала ИС при возникновении нештатных ситуаций;

- организовывать проведение обучения (инструктажа) пользователей ИС правилам работы со средствами защиты информации, применяемыми в ИС;

- обеспечивать предоставление консультаций и оказывать содействие пользователям ИС, участвующим в процессах обработки и защиты информации, по вопросам обработки и защиты информации в ИС;

- осуществлять взаимодействие с государственными органами Российской Федерации, регулирующими вопросы защиты информации (далее - регулирующие органы), в том числе координировать действия лиц, участвующих в процессах обработки и защиты информации в ИС, при проведении проверок регулирующими органами, а также при обработке запросов указанных органов;

- не разглашать информацию ограниченного доступа, ставшую доступной в ходе исполнения должностных обязанностей.

Ответственный за ЗИ имеет право:

- инициировать проведение внеплановых контрольных мероприятий в области ИБ;

- оценивать необходимость модернизации системы защиты информации ИС;

- давать указания администраторам ИС, администраторам ИБ по вопросам защиты информации в ИС и контролировать их выполнение;

- запрашивать у лиц, участвующих в процессах обработки и защиты информации ИС, информацию и документы, необходимые для выполнения функциональных обязанностей.

3.3. Права и обязанности администраторов ИБ

Описание прав и функциональных обязанностей администратора ИБ приведено в Инструкции администратора ИБ системы защиты информации "Наименование ИС".

3.4. Права и обязанности администраторов ИС

Администраторы ИС в пределах своей компетенции обязаны:

- обеспечивать исполнение в рамках своей компетенции требований по защите информации, содержащейся в ИС, в соответствии с проектной и организационно-распорядительной документацией на систему защиты информации ИС;

- обеспечивать реализацию принятых решений по обеспечению защиты информации, обрабатываемой в ИС, в рамках своей компетенции;

- участвовать в расследовании инцидентов ИБ в ИС в рамках своей компетенции;

- осуществлять настройку правил регистрации и мониторинг событий безопасности на системном и прикладном ПО ИС;

- осуществлять резервное копирование и восстановление ИС;

- согласовывать изменения конфигурации (обновления, изменения) системного и прикладного ПО ИС с Ответственным за ЗИ;

- предоставлять необходимую информацию при проведении проверок регулирующими органами, а также при проведении контрольных мероприятий по защите информации в ИС;

- в случае обнаружения попыток или фактов НСД к информации, обнаружения инцидентов ИБ, уведомлять о выявленных фактах Ответственного за ЗИ;

- не разглашать информацию ограниченного доступа, ставшую доступной в ходе исполнения должностных обязанностей.

Администраторы ИС имеют право:

- запрашивать у Ответственного за ЗИ разъяснения положений законодательства Российской Федерации и локальных актов организации.

3.5. Права и обязанности пользователей ИС

Описание прав и обязанностей пользователей ИС приведено в Инструкции пользователя "Наименование ИС".

4. Система защиты информации

Обеспечение защиты информации, содержащейся в ИС, обеспечивается построением системы защиты информации ИС.

Функционирование ИС обеспечивается комплексом организационных мероприятий, а также применением технических средств защиты информации с целью обеспечения конфиденциальности, целостности и доступности информации в процессе ее обработки.

Объектами защиты в ИС являются:

- информация, обрабатываемая в ИС;

- технические средства ИС;

- общесистемное, прикладное, специальное программное обеспечение ИС;

- ИТ;

- средства защиты информации.

Создание системы защиты информации ИС включает следующие этапы:

- формирование требований к защите информации, содержащейся в ИС;

- разработка системы защиты информации ИС;

- внедрение системы защиты информации ИС;

- аттестация ИС по требованиям безопасности информации и ввод в действие;

- обеспечение защиты информации в ходе эксплуатации аттестованной ИС;

- обеспечение защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации.

В рамках системы защиты информации ИС реализуются организационные и технические меры защиты информации от НСД и других неправомерных воздействий:

- идентификация и аутентификация (ИАФ);

- управление доступом (УПД);

- ограничение программной среды (ОПС);

- защита машинных носителей информации (ЗНИ);

- регистрация событий безопасности (РСБ);

- антивирусная защита (АВЗ);

- обнаружение (предотвращение) вторжений (СОВ);

- контроль и анализ защищенности (АНЗ);

- обеспечение целостности (ОЦЛ);

- обеспечение доступности информации (ОДТ);

- защита среды виртуализации (ЗСВ);

- защита технических средств (ЗТС);

- защита ИС, ее средств, систем связи и передачи данных (ЗИС).

Набор организационных и технических мер защиты информации, содержащейся в ИС, определяется для каждой конкретной ИС. Настоящий документ содержит описание базового набора мер защиты информации, который может быть расширен по решению оператора конкретной ИС по результатам определения/пересмотра класса защищенности ИС; адаптирован с учетом структурно-функциональных характеристик ИС, используемых ИТ и особенной функционирования ИС; уточнен с учетом угроз безопасности информации; дополнен с учетом требований, установленных иными нормативными правовыми актами в области защиты информации (например, отраслевые нормативные правовые акты, устанавливающие требования по защите информации для определенных сфер деятельности).

Кроме того, итоговый состав организационных мер зависит от результатов выбора конкретных средств защиты информации и используемого функционала (в рамках проектирования системы защиты информации ИС).

Все средства защиты информации, применяемые в составе системы защиты ИС, сертифицированы на соответствие требованиям по безопасности информации в порядке, установленном законодательством Российской Федерации.

Для выполнения работ по созданию (развитию, сопровождению и эксплуатации) системы защиты информации ИС в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридические лица, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

5. Порядок предоставления допуска к обработке информации и предоставления доступа в ИС

5.1. Порядок предоставления допуска к обработке информации в ИС

Допуск пользователей ИС к обработке информации в ИС осуществляется в объеме, необходимом для выполнения должностных (служебных) обязанностей.

Пользователи ИС допускаются к обработке информации в ИС на основании заявок в соответствии с установленным порядком.

Допуск к обработке информации в ИС предоставляется исключительно после прохождения обучения (инструктажа) по вопросам обработки и защиты информации в ИС (в соответствии с разделом 20 настоящего документа).

5.2. Порядок предоставления доступа к ИС

5.2.1. Общий порядок

Права доступа к ИС могут быть предоставлены пользователям ИС (субъектам доступа), указанным в разделе 3 настоящего документа.

Права доступа к ИС предоставляются пользователям ИС только в случае необходимости наличия таких прав для выполнения ими своих должностных или договорных (контрактных) обязанностей и только в минимально необходимом и достаточном объеме.

Идентификация и аутентификация пользователей ИС и привилегированных пользователей ИС осуществляются при доступе в ИС.

Каждому лицу, имеющему доступ к ИС, присваивается уникальный персональный идентификатор (учетная запись). Все действия, совершаемые с использованием учетной записи пользователя ИС, рассматриваются как совершаемые лично им.

Учетные записи пользователей ИС персонализированы, то есть однозначно определяют своего владельца.

Запрещается использование разделяемых между несколькими лицами учетных записей. Использование одной учетной записи несколькими лицами допускается в случае использования технологических учетных записей, при этом администратор ИС должен обеспечить ведение и актуальность перечня таких лиц.

При заведении учетной записи пользователя осуществляются верификация пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) и предоставление прав доступа к объектам доступа в ИС в соответствии с должностными (функциональными) обязанностями.

В ИС осуществляются пересмотр и при необходимости корректировка учетных записей пользователей.

Гостевые учетные записи в ИС не используются.

Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки и (или) тестирования ИС. После окончания данного срока временная учетная запись автоматически блокируется администратором ИС.

Заведение учетных записей администраторов ИС и администраторов ИБ осуществляется администратором ИС в соответствии с утвержденным перечнем указанных администраторов. Контроль использования учетных записей администраторов ИС и администраторов ИБ осуществляется Ответственным за ЗИ.

При предоставлении прав доступа к ИС используются встроенные функции контроля доступа системного и прикладного программного обеспечения, требующие перед получением доступа обязательного прохождения аутентификации с минимально возможными требованиями использования механизмов аутентификации на основе учетной записи и пароля.

Администратор ИС обеспечивает:

- формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;

- присвоение идентификатора пользователю и (или) устройству;

- предотвращение повторного использования идентификатора пользователя и (или) устройства в течение не менее 1 года;

- блокирование идентификатора пользователя после неиспользования в течение более 30 дней.

Действия пользователей ИС контролируются со стороны администраторов ИБ, Ответственного за ЗИ с использованием встроенных функций контроля доступа системного и прикладного программного обеспечения ИС.

При удаленном доступе с использованием сети связи общего пользования (в том числе сети Интернет) пользователей ИС и привилегированных пользователей ИС, а также при локальном доступе привилегированных пользователей ИС в ИС обеспечивается многофакторная (двухфакторная) аутентификация.

Также в организации может использоваться система контроля доступа привилегированных пользователей, в этом случае использование многофакторной аутентификации для этой категории пользователей не является обязательным.

Управление учетными данными, идентификаторами пользователей осуществляется в соответствии с ролевой моделью доступа (матрица разграничения доступа к защищаемым информационным ресурсам "Наименование ИС").

Управление учетными записями пользователей обеспечивается на всех уровнях функционирования ИС посредством:

- определения типа учетной записи (пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);

- заведения, активации, блокирования и уничтожения учетных записей пользователей;

- оповещения администратора ИС об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;

- предоставления пользователям прав доступа к объектам доступа ИС, основывается на задачах, решаемых пользователями в ИС и взаимодействующих с ней ИС;

- использования автоматизированных средств поддержки управления учетными записями пользователей;

- автоматического блокирования временных учетных записей пользователей по окончании установленного периода времени для их использования.

Реализация необходимых методов, типов и правил разграничения доступа организована в ИС в соответствии с матрицей разграничения доступа к защищаемым информационным ресурсам "Наименование ИС".

Управление информационными потоками обеспечивает разрешенный (установленный оператором) маршрут прохождения информации между пользователями, устройствами, сегментами в рамках ИС, а также между ИС или при взаимодействии с сетью Интернет (или другими информационно-телекоммуникационными сетями международного информационного обмена) на основе правил управления информационными потоками, включающих контроль конфигурации, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации). Управление информационными потоками блокирует передачу защищаемой информации через сеть Интернет (или другие информационно-телекоммуникационные сети международного информационного обмена) по незащищенным линиям связи, сетевые запросы и трафик, несанкционированно исходящие из ИС и (или) входящие в ИС.

В случае утраты и (или) компрометации средств аутентификации пользователи незамедлительно обязаны сообщить об этом администратору ИС. Администраторы ИС предпринимают незамедлительные действия по блокированию учетных записей пользователей. В случае утраты и (или) компрометации средств аутентификации субъектов и объектов доступа в ИС существует возможность блокирования соответствующих идентификаторов до момента создания новых средств аутентификации.

В ИС осуществляется блокирование сеанса доступа пользователя после его бездействия (неактивности) в течение не более 15 минут или по запросу пользователя. Блокирование сеанса доступа при доступе к веб-приложению осуществляется средствами веб-приложения, при доступе на терминальный сервер - средствами защиты информации из состава системы защиты информации ИС. Блокирование сеанса доступа пользователя сохраняется до прохождения им повторной идентификации и аутентификации.

В ИС до прохождения процедур идентификации и аутентификации пользователям разрешается просмотр общедоступной части веб-приложения. Администраторам ИС разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования ИС в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).

Процедура предоставления удаленного доступа пользователям в ИС осуществляется в соответствии с общим порядком предоставления доступа, определенным в разделе 5.2.1 настоящего документа.

Реализация удаленного доступа пользователей через внешние информационно-телекоммуникационные сети в ИС осуществляется с использованием средства для организации подключения удаленных пользователей из состава ИС.

В ИС обеспечивается доверенная загрузка СВТ с использованием средств защиты информации от НСД из состава системы защиты информации ИС, которые блокируют попытки несанкционированной загрузки нештатной ОС. Средства защиты информации от НСД из состава системы защиты информации ИС выполняют контроль целостности загрузочной записи жесткого диска, ПО средств защиты информации и аппаратных компонентов СВТ.

В ИС до начала информационного взаимодействия (передачи защищаемой информации от устройства к устройству) осуществляется идентификация и аутентификация следующих типов устройств (технических средств), используемых в ИС:

- серверы ИС;

- АРМ пользователей ИС.

В ИС идентификация устройств (технических средств) осуществляется по физическим адресам (МАС-адресам) устройства и логическим именам (имя устройства).

Аутентификация серверов ИС и АРМ пользователей ИС обеспечивается с использованием средства защиты от НСД из состава системы защиты информации ИС.

Пользователи ИС несут персональную ответственность за соблюдение ими установленного порядка обеспечения безопасности информации, обрабатываемой в ИС.

Права доступа пользователей в ИС могут быть приостановлены (блокированы) в следующих случаях:

- выявление несоответствий в ходе проверки прав доступа к информационным ресурсам;

- расследование или предупреждение инцидента ИБ.

5.2.2. Описание процесса организации доступа

5.2.2.1. Общие сведения

Предоставление доступа пользователям ИС осуществляется на основании заявок в соответствии с установленным порядком в организации.

Предоставление доступа к ИС привилегированным пользователям ИС, привлекаемым на договорной основе, осуществляется на основании контракта или договора, в ходе исполнения которого осуществляются администрирование, управление, сопровождение или обслуживание ИС (далее - контракт).

В контракте указываются задачи при получаемом доступе, содержание передаваемой информации, порядок приостановления или прекращения доступа к ИС, а также обязательства и ответственность пользователей:

- обеспечение конфиденциальности информации, ставшей известной при реализации доступа;

- выполнение периодического контроля эффективности принимаемых мер защиты информации;

- незамедлительное информирование о факте разглашения и/или передаче или об угрозе разглашения и/или передачи, о незаконном получении или незаконном использовании третьими лицами информации;

- несение гражданской, административной, уголовной ответственности в случае передачи и разглашения третьим лицам защищаемой информации, а также в других случаях нарушения внешним пользователем требований по защите информации;

- выполнение мероприятий по защите информации, в том числе обеспечение необходимых средств защиты информации;

- предоставление возможности проведения со стороны Организации контроля выполнения администраторами требований по защите информации.

5.2.2.2. Формирование потребности предоставления доступа

Доступ к ИС сотрудников федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, иных государственных органов (далее - государственные органы), органов прокуратуры и других правоохранительных органов, осуществляющих контрольные мероприятия и обладающих соответствующими полномочиями, осуществляется в соответствии с порядком, установленным законодательством Российской Федерации.

5.2.2.3. Формирование запроса на предоставление доступа

Доступ для пользователей ИС и администраторов ИС организуется на основании заявок. Работа с заявками осуществляется в соответствии с установленным в организации порядком.

Все исполненные заявки (закрытые запросы) на предоставление доступа хранятся и могут впоследствии использоваться для:

- контроля правомерности предоставления доступа при разборе инцидентов и конфликтных ситуаций;

- проверки корректности предоставленных для доступа информационных ресурсов.

5.2.2.4. Согласование предоставления доступа

Этапы согласования необходимости предоставления доступа проходят в соответствии с установленным в организации порядком. Инициирует предоставление доступа непосредственно работник либо руководитель работника, которому необходимо предоставить доступ.

Предоставление доступа к ИС привилегированных пользователей согласуется с Ответственным за ЗИ.

5.2.2.5. Предоставление доступа

Предоставление доступа включает:

- создание администраторами ИС учетной записи для идентификации и аутентификации;

- конфигурирование администраторами ИС и администраторами ИБ разрешающих правил средств защиты информации из состава системы защиты информации ИС;

- создание администраторами ИС в соответствии с реквизитами и ресурсами, указанными в заявке, учетных данных для доступа к ресурсам ИС;

- конфигурирование администраторами ИС необходимых профилей и правил доступа;

- создание администраторами ИС учетных записей в соответствии с реквизитами и ресурсами, указанными в заявке.

Работа всех пользователей осуществляется под уникальными учетными записями.

Аутентификация пользователей ИС проводится по логину и паролю (парольной фразе) встроенными функциями контроля доступа системного и прикладного ПО ИС, а также с использованием средства защиты от НСД из состава системы защиты информации ИС.

Выдача, генерация, блокирование, защита и назначение необходимых характеристик ключевой информации для СКЗИ из состава системы защиты информации ИС (при наличии) обеспечиваются в соответствии с положениями эксплуатационной документации на указанные СКЗИ и Инструкцией по обращению со СКЗИ из состава системы защиты информации ИС.

В ИС установлен следующий вид удаленного доступа к объектам доступа ИС - проводной.

Контроль удаленного доступа пользователей к объектам доступа ИС до начала передачи защищаемой информации обеспечивается с использованием СКЗИ, и (или) с использованием защищенных протоколов, и (или) с использованием выделенных каналов связи.

В ИС допускается удаленный доступ от имени привилегированных учетных записей (администраторов ИС, администраторов ИБ) для администрирования ИС и ее системы защиты информации при условии использования необходимых мер защиты информации. По тексту необходимо уточнить конкретные меры защиты информации, к которым могут быть отнесены: СКЗИ, и (или) использование защищенных протоколов, и (или) использование выделенных каналов связи, другое.

Доступ пользователей ИС и администраторов ИС предоставляется на срок, необходимый для выполнения ими своих должностных обязанностей (функций). Прекращение доступа при этом осуществляется на основании увольнения/перевода работника на должность, не предполагающую потребности доступа, и (или) на основании заявки в соответствии с установленным порядком.

Доступ сотрудников государственных органов, органов прокуратуры и других правоохранительных органов предоставляется на срок проведения контрольных мероприятий. Прекращение доступа при этом осуществляется на основании соответствующего распоряжения уполномоченных органов государственной власти.

6. Порядок парольной защиты

6.1. Общие сведения

Целью парольной защиты ИС является исключение неправомерного доступа к информации в ИС, ее неправомерного копирования, предоставления, распространения, уничтожения, модифицирования или блокирования.

Парольная защита организуется в рамках системы защиты информации ИС для идентификации и аутентификации пользователей ИС.

Объектами парольной защиты ИС являются:

- информация, содержащаяся в ИС;

- серверы и рабочие станции пользователей ИС;

- системное и прикладное ПО;

- средства защиты информации.

В качестве идентификатора пользователя ИС для входа в систему и при доступе к ресурсам прикладного ПО ИС используется уникальный для данного пользователя ИС набор буквенно-цифровых символов (логин).

Изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты информации ИС, организуется администратором ИБ.

6.2. Генерация (назначение) паролей

Администратор ИС организует или осуществляет генерацию (назначение) паролей пользователям ИС.

Пароль должен отвечать следующим требованиям:

- длина пароля должна быть не менее восьми буквенно-цифровых символов;

- алфавит пароля - не менее 70 символов;

- максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки - до 5 попыток;

- блокировка не менее чем на 15 минут программно-технического средства или учетной записи пользователя ИС (привилегированного пользователя ИС) в случае достижения установленного максимального количества неуспешных попыток аутентификации в течение не более 15 минут;

- пароль не должен включать в себя легко вычисляемые сочетания символов: имена, фамилии, дни рождения и другие памятные даты, номер телефона, автомобиля, адрес местожительства, наименования ИС, общепринятые сокращения и другие данные, которые могут быть подобраны путем анализа информации о пользователе ИС;

- в качестве пароля не может быть использован один и тот же повторяющийся символ либо повторяющаяся комбинация из нескольких символов;

- в качестве пароля не может быть использована комбинация символов, набираемых в закономерном порядке на клавиатуре (например, 123456, qwerty и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 5 позициях;

- среди символов пароля должны присутствовать латинские буквы в верхнем и нижнем регистрах, цифры и специальные символы;

- в качестве пароля не должны использоваться ранее использовавшиеся пароли, новое значение пароля не должно совпадать с 5 предыдущими значениями паролей для данного пользователя.

6.3. Хранение паролей

Пользователям ИС запрещается:

- записывать значения действующих паролей и хранить их в местах, где с ними могут ознакомиться посторонние лица;

- сообщать кому бы то ни было значения действующих паролей.

6.4. Смена паролей

Плановая смена паролей для доступа пользователей ИС к ресурсам ИС производится не реже одного раза в 3 (три) месяца, для привилегированных пользователей ИС - не реже одного раза в 30 дней, для технологических учетных записей - не реже одного раза в год.

Внеплановая смена паролей производится в следующих случаях:

- в случае компрометации пароля - сразу же при обнаружении факта компрометации или при подозрении о компрометации пароля (под компрометацией понимаются хищение, утрата действующих паролей, передача или сообщение их лицам, не имеющим на то право, другие действия должностных лиц, приведшие к получению пароля лицами, не имеющими на то права);

- в случае замены программных, программно-технических средств, повлекшей за собой необходимость смены паролей, - сразу же после замены средств;

- в случае замены или увольнения администраторов ИБ и администраторов ИС.

6.5. Ответственные за организацию и контроль выполнения требований парольной защиты

Ответственность за организацию выполнения требований парольной защиты возлагается на Ответственного за ЗИ.

Ответственность за контроль выполнения требований парольной защиты возлагается на администратора ИБ.

Пользователи ИС отвечают за соблюдение требований по генерации и сохранности персональных паролей.

7. Порядок ограничения программной среды

При установке (инсталляции) компонентов ПО администраторами осуществляются:

- определение компонентов ПО (состава и конфигурации), подлежащих установке в ИС после загрузки ОС;

- настройка параметров установки компонентов ПО, обеспечивающая исключение установки (если осуществимо) компонентов ПО, использование которых не требуется для реализации ИТ ИС (например, при запуске установщика можно выбрать или не выбрать определенные опции и тем самым разрешить или запретить установку соответствующих компонентов ПО);

- выбор конфигурации устанавливаемых компонентов ПО;

- контроль за установкой компонентов ПО (состав компонентов, параметры установки, конфигурация компонентов);

- определение и применение параметров настройки компонентов ПО, включая программные компоненты средств защиты информации, обеспечивающих реализацию мер защиты информации, а также устранение возможных уязвимостей ИС, приводящих к возникновению угроз безопасности информации.

Установка в ИС ПО и (или) его компонентов осуществляется с учетом Перечня ПО, разрешенного к установке в ИС (приложение А к настоящему документу), формируемого администратором ИБ.

Установка (инсталляция) ПО, обновлений безопасности осуществляется только от имени администратора ИС.

Администратор ИС совместно с администраторами ИБ с периодичностью не реже 1 раза в год проводят контроль установленного на оборудовании в ИС ПО на предмет соответствия его Перечню ПО и его компонентов, разрешенных к установке в ИС.

8. Порядок обращения с машинными носителями информации

8.1. Порядок использования машинных носителей информации

Для хранения и обработки информации в ИС используются неотчуждаемые носители информации (жесткие магнитные диски) серверов и систем хранения данных.

Запрещено хранить информацию, обрабатываемую в ИС на внешних (съемных) носителях информации (таких как внешние жесткие магнитные диски, USB флеш-накопители, карты флеш-памяти, оптические носители и др.).

Для организации могут быть приняты другие правила использования внешних машинных носителей информации для конкретной ИС. В этом случае необходимо описать порядок использования таких носителей.

8.2. Порядок учета и уничтожения машинных носителей информации

Учет и уничтожение машинных носителей информации в ИС осуществляются оператором вычислительной инфраструктуры центра обработки данных, в котором размещаются серверы ИС.

Если в организации разрешено использование внешних (съемных) машинных носителей информации, то необходимо дополнительно описать правила учета и использования таких носителей.

8.3. Контроль использования интерфейсов ввода (вывода)

Доступ к разрешенным к использованию интерфейсам ввода (вывода) предоставляется пользователям ИС и привилегированным пользователям ИС.

Интерфейсы СВТ, которые могут использоваться для ввода (вывода) информации, разрешенные к использованию в ИС:

- серверы ИС:

сетевые интерфейсы;

интерфейсы подключения средств ввода - вывода (монитора, клавиатуры и т.д.).

- АРМ администраторов ИС:

сетевые интерфейсы;

интерфейсы подключения средств ввода - вывода (монитора, клавиатуры и т.д.).

Контроль доступа пользователей к разрешенным к использованию интерфейсам ввода (вывода) обеспечивается:

- серверы ИС:

удалением (отключением) драйверов, обеспечивающих работу интерфейсов ввода (вывода);

средствам защиты от НСД из состава системы защиты информации ИС;

- АРМ администраторов ИС:

удалением (отключением) драйверов, обеспечивающих работу интерфейсов ввода (вывода).

Перечень используемых интерфейсов и правила контроля за их использованием устанавливаются для каждой ИС и могут отличаться от приведенных.

В штатном режиме эксплуатации для ввода (вывода) информации к использованию в СВТ ИС запрещены к использованию интерфейсы ввода (вывода) информации, которые могут быть использованы для копирования информации. Использование указанных интерфейсов допускается в аварийном и сервисном режиме эксплуатации ИС по согласованию с Ответственным за ЗИ.

9. Регистрация событий безопасности

9.1. Общие сведения

В ИС обеспечиваются:

- постоянный мониторинг (просмотр и анализ) записей регистрации (аудита) путем интеграции результатов мониторинга (просмотра и анализа) записей регистрации (аудита) из разных источников (хранилищ информации о событиях безопасности, в том числе системы обнаружения событий ИБ) и их корреляция с целью выявления инцидентов безопасности и реагирования на них;

- генерирование временных меток и (или) синхронизация системного времени в ИС о событиях безопасности. Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только уполномоченным должностным лицам;

- резервное копирование записей регистрации (аудита) (в соответствии с разделом 15 настоящего документа).

Обязанности по настройке правил регистрации событий безопасности на всех уровнях функционирования ИС возложены на администраторов ИБ и администраторов ИС.

9.2. Определение событий безопасности, подлежащих регистрации, и сроков их хранения

Регистрация событий безопасности и оповещение администратора ИБ и администратора ИС о событиях, связанных с нарушением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации, осуществляются с использованием:

- средства защиты от НСД из состава системы защиты информации ИС;

- средства антивирусной защиты из состава системы защиты информации ИС;

- средства анализа защищенности из состава системы защиты информации ИС.

В зависимости от конкретной ИС перечень средств защиты может быть изменен.

Настройка параметров регистрации событий в используемом средстве защиты информации осуществляется администратором ИБ.

Посредством средств защиты информации из состава системы защиты информации ИС регистрируются следующие события безопасности:

- вход (выход), а также попытки входа пользователей в ИС и загрузки (останова) ОС:

дата и время события;

имя пользователя;

имя компьютера, с которого произведен вход, и его IP-адрес;

тип события: загрузка АРМ, вход в ОС, выход из ОС;

результат попытки входа (успешный, неуспешный) и причина отказа;

неверно введенные пароли при попытке загрузки АРМ или входе в ОС;

- действия по созданию, удалению или изменению прав пользователей и события смены пароля учетной записи:

дата и время действий, производимых над правами пользователей;

имя пользователя, осуществившего вышеперечисленные операции администрирования;

имя компьютера, с которого производилось администрирование;

имя пользователя, изменение прав которого было произведено;

результат выполнения операции (успешный, неуспешный);

наименование произведенной операции (заведение учетной записи пользователя, удаление учетной записи пользователя, смена пароля, изменение параметров и др.);

изменение привилегий учетных записей;

- обращения пользователей к объектам файловой системы и устройствам, а также события по настройке идентификаторов правил доступа, назначаемых для объекта файловой системы или устройства:

дата и время события;

имя пользователя, осуществившего действие;

имя компьютера, с которого осуществлялся доступ;

путь к ресурсу файловой системы или имя устройства;

результат попытки доступа (успешный, неуспешный) и причина отказа;

все действия, которые производились с объектом;

права, с которыми был осуществлен доступ к ресурсу файловой системы;

программа, из которой производилась операция по доступу;

- действия, изменяющие настройки параметров средств защиты информации от НСД, используемого для регистрации событий:

дата и время события;

имя пользователя, производящего изменения;

имя компьютера;

название процесса по настройке параметров;

результат редактирования;

- запуск и завершение процессов:

дата и время события;

пользователь, от имени которого был запущен процесс;

путь к файлу процесса и его имя;

уникальный идентификатор процесса;

тип события: запуск или завершение;

результат попытки доступа (успешный, неуспешный);

- запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации:

дата и время запуска;

имя (идентификатор) программы (процесса, задания);

пользователь, запросивший программу (процесс, задание);

результат запуска (успешный, неуспешный);

- операции с записями в базах данных (создание, изменение, удаление):

дата и время операции;

имя пользователя, осуществившего действие;

произведенная операция (имя, идентификатор или др.);

- действия, связанные с резервным копированием информации на резервные машинные носители информации;

- действия, связанные с восстановлением информации с резервных машинных носителей информации.

Посредством средства защиты информации, реализующего функции управления удаленным доступом к ИС, регистрируются попытки удаленного доступа к ИС:

- дата и время попытки удаленного доступа;

- результат (успешная, неуспешная);

- идентификатор субъекта доступа (устройства);

- используемый протокол доступа;

- используемый интерфейс доступа.

Доступ к журналам регистрации событий имеют Ответственный за ЗИ, администратор ИС, администратор ИБ.

Перечень лиц, имеющих доступ к журналам регистрации, может быть изменен в зависимости от специфики организации и ИС.

Для обеспечения непрерывности ведения журналов регистрации при их переполнении содержимое журнала архивируется.

В целях обеспечения доступности и сохранности файлов журналов регистрации событий ИС проводится периодическое резервное копирование файлов журналов регистрации событий на централизованный сервер сбора журналов событий.

Порядок проведения мероприятий по реагированию на выявленные инциденты безопасности в ИС осуществляется в соответствии с установленными процедурами реагирования на инциденты ИБ.

Пересмотр перечня событий безопасности, подлежащих регистрации, осуществляется не менее чем один раз в год.

При регистрации попыток удаленного доступа к ИС состав и содержание информации включают дату и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная), идентификатор субъекта доступа (устройства), используемый протокол доступа, используемый интерфейс доступа и (или) иную информацию о попытках удаленного доступа к ИС.

В ИС обеспечивается запись дополнительной информации о событиях безопасности, включающей полнотекстовую запись привилегированных команд (команд, управляющих системными функциями).

9.3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

Сбор, запись и хранение информации о событиях безопасности предусматривают:

- возможность выбора администратором ИБ событий безопасности, подлежащих регистрации в текущий момент времени, из перечня событий безопасности, определенных в разделе 9.2 настоящего документа;

- генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту);

- хранение информации о зарегистрированных событиях безопасности в течение не менее 3 месяцев в оперативном доступе, в неоперативном доступе - не менее одного года (при этом осуществляется хранение записей о выявленных событиях безопасности и записей системных журналов, которые послужили основанием для регистрации события безопасности).

Объем памяти для хранения информации о событиях безопасности рассчитан и выделен с учетом типов событий безопасности, подлежащих регистрации, состава и содержания информации о событиях безопасности, подлежащих регистрации, прогнозируемой частоты возникновения подлежащих регистрации событий безопасности, срока хранения информации о зарегистрированных событиях безопасности.

9.4. Реагирование на сбои при регистрации событий безопасности

Администраторами ИБ и администраторами ИС в пределах своей компетенции ведется постоянный мониторинг событий безопасности.

Реагирование на сбои при регистрации событий безопасности осуществляется в рамках действий по выявлению и реагированию на инциденты ИБ (в соответствии с разделом 16 настоящего документа) в случае обнаружения:

- сбоев при регистрации событий безопасности, в том числе аппаратных и программных ошибок;

- сбоев в механизмах сбора информации;

- достижения предела или переполнения объема (емкости) памяти при регистрации событий безопасности;

- сбоев при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключения записи информации о событиях безопасности от части элементов ИС, записи поверх устаревших хранимых записей событий безопасности.

В ИС обеспечивается выдача предупреждения администратору при заполнении объема памяти для хранения информации о событиях безопасности:

- более чем на 90%;

- более чем на 70%.

ИС обеспечивает выдачу предупреждения администратору в масштабе времени, близком к реальному, при наступлении критичных сбоев (описанных выше) в механизмах сбора информации.

В случае аппаратных или программных ошибок, сбоев в механизмах сбора информации или достижения предела или переполнения объема (емкости) памяти в ИС администратором ИБ обеспечивается незамедлительное информирование Ответственного за ЗИ в целях принятия им решения о прекращении обработки в ИС информации.

В ИС обеспечиваются регистрация событий и оповещение (сигнализация, индикация) администратора ИБ о событиях, связанных с нарушением работоспособности (правильности функционирования) и параметров настройки ПО и средств защиты информации.

Реагирование на сбои при регистрации событий безопасности осуществляется путем изменения администратором ИБ и администратором ИС параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключения записи информации о событиях безопасности от части компонентов ИС, записи поверх устаревших хранимых записей событий безопасности.

9.5. Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

Мониторинг (просмотр и анализ) записей регистрации (аудита) проводится администратором ИБ и администратором ИС в пределах своей компетенции на всех уровнях функционирования ИС для всех событий, подлежащих регистрации, с периодичностью не реже одного раза в день, обеспечивающей своевременное выявление признаков инцидентов безопасности в ИС.

Анализ журналов регистрации событий в зависимости от специфики ИС, выстроенного в организации процесса управления инцидентами ИБ и используемых технических средств может осуществляться с использованием системы сбора и корреляции событий ИБ.

В случае выявления признаков инцидентов безопасности в ИС осуществляется планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности в соответствии с порядком выявления и реагирования на инциденты ИБ (в соответствии с разделом 19 настоящего документа).

Ответственность за периодический анализ журналов регистрации событий и компонентов ИС возложена на администратора ИБ.

10. Порядок антивирусной защиты

10.1. Правила и процедуры антивирусной защиты

С целью минимизации возможности реализации угроз, связанных с воздействием вредоносного программного кода, в ИС применяются средства антивирусной защиты из состава системы защиты информации ИС.

Ответственный за ЗИ обеспечивает организацию антивирусной защиты, обеспечивающей обнаружение и устранение вредоносных программ и последствий от их функционирования.

Установку, конфигурирование и управление средствами антивирусной защиты в ИС осуществляет администратор ИБ.

Антивирусная проверка должна осуществляться для следующих объектов:

- файлов загрузки - при загрузке ОС;

- системного и прикладного ПО, исполняемых файлов - в автоматическом режиме в период сеанса работы;

- поступающей информации по каналам передачи данных - в автоматическим режиме до открытия информации (запуска исполняемых файлов);

- информации, поступающей на съемных носителях, - при подключении съемного носителя к техническому средству;

- исходящей информации - непосредственно перед ее отправкой (записью на съемный носитель);

- устанавливаемого (изменяемого) ПО - непосредственно перед установкой;

- машинных носителей информации, стационарно установленных в корпус СВТ (например, накопители на жестких дисках), - не реже одного раза в неделю.

Любое устанавливаемое (обновляемое) ПО в ИС проверяется на отсутствие вредоносных программ до момента установки. После установки или обновления ПО проводится повторная антивирусная проверка.

Средства антивирусной защиты ИС обеспечивают протоколирование событий ИБ, включая:

- отказ работоспособности средств антивирусной защиты и их компонентов;

- обнаружение вредоносного ПО;

- изменение любых текущих настроек средств антивирусной защиты;

- установку и распространение обновлений базы данных признаков вредоносных программ.

Журналы регистрации событий средств антивирусной защиты из состава системы защиты информации ИС хранятся не менее 1 года и доступны для оперативного анализа в течение 3 месяцев после регистрации событий.

10.2. Действия при обнаружении вредоносного ПО

При обнаружении вредоносных программ средство антивирусной защиты выполняет следующие действия:

- удаление зараженного файла либо перемещение его в карантин;

- уведомление администратора ИБ в масштабе времени, близком к реальному, о вредоносных программах.

При обнаружении вредоносных программ администратор ИБ сообщает об этом Ответственному за ЗИ. Данные лица совместно принимают меры по предотвращению наступления негативных последствий заражения:

- останавливают эксплуатацию зараженного компонента ИС и изолируют его от остальных компонентов ИС;

- осуществляют удаление вредоносной программы;

- устанавливают причины и источник заражения;

- принимают меры по минимизации возможности подобных заражений в дальнейшем;

- проводят полную антивирусную проверку всех программно-аппаратных компонентов ИС.

Возобновление работы с компонентом ИС, подвергшимся заражению, осуществляется только после окончания работ по удалению вредоносных программ и проведения антивирусной проверки прочих компонентов ИС.

В случае, когда заражение повлекло уничтожение или НСД к информации, обрабатываемой в ИС, проводится служебное расследование. К служебному расследованию могут привлекаться пользователи ИС.

10.3. Обновление базы данных признаков вредоносных программ

Обновление базы данных признаков вредоносных программ (антивирусных баз) средств антивирусной защиты ИС предусматривает:

- централизованное обновление базы данных признаков вредоносных программ;

- получение уведомлений о необходимости обновлений и непосредственном обновлении базы данных признаков вредоносных программ;

- получение из доверенных источников и установку обновлений базы данных признаков вредоносных программ;

- контроль целостности обновлений базы данных признаков вредоносных программ.

Базы данных признаков вредоносных программ средств антивирусной защиты ИС автоматически и централизованно обновляются на ежедневной основе из доверенных источников.

Администратор ИБ не реже одного раза в день проводит контроль обновления баз данных признаков вредоносных программ.

11. Порядок контроля (анализа) защищенности информации

11.1. Выявление, анализ и устранение уязвимостей

С целью минимизации возможности реализации угроз, связанных с эксплуатацией уязвимостей в используемом ПО и (или) некорректной конфигурацией программно-технических средств защиты в ИС, применяется средство анализа защищенности информации.

Установку, конфигурирование и управление средством анализа защищенности информации ИС осуществляет администратор ИБ.

Средство анализа защищенности позволяет осуществить выявление (поиск) уязвимостей, связанных с:

- ошибками кода в ПО (общесистемном, прикладном, специальном), а также ПО средств защиты информации;

- правильностью установки и настройки средств защиты информации, технических средств и ПО;

- корректностью работы средств защиты информации при их взаимодействии с техническими средствами и ПО.

Администратор ИБ ежеквартально осуществляет плановое сканирование сети и узлов ИС с целью поиска и анализа уязвимостей и уточняет перечень сканируемых уязвимостей.

Администратор ИБ осуществляет внеплановый поиск уязвимостей в случае получения или опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и ПО, применяемых в ИС, и уточняет перечень сканируемых уязвимостей.

Средство анализа защищенности по результатам сканирования формирует отчеты, которые анализирует администратор ИБ. Для проверки идентифицированных уязвимостей администратор ИБ может обратиться к администратору ИС с целью получения актуальной информации по настройкам программно-технических средств ИС. Администраторы ИС обязаны предоставить запрашиваемую информацию в рамках своей компетенции. После изучения отчета по результатам анализа уязвимостей администраторами совместно проводится оценка достаточности реализованных мер защиты информации, обрабатываемой в ИС.

По результатам сканирования администратор ИБ формирует план мероприятий по устранению выявленных уязвимостей.

В случае выявления уязвимостей, связанных с устаревшими версиями ПО средств защиты информации, общесистемного или прикладного ПО, проводится обновление соответствующего ПО (в случае технической возможности, иначе необходимо принимать компенсирующие меры).

В качестве источников информации об уязвимостях используются опубликованные данные производителя средства анализа защищенности. Получение и установка обновлений сигнатур уязвимостей осуществляются из доверенных источников путем загрузки сигнатур уязвимости с сайта производителя системы анализа защищенности.

11.2. Выбор компенсирующих мероприятий, направленных на устранение возможностей эксплуатации уязвимостей

В случае невозможности устранения выявленных уязвимостей путем установки обновлений ПО администратором ИБ рассматривается возможность применения других действий (компенсирующих мероприятий), направленных на устранение возможности использования выявленных уязвимостей.

Администратор ИБ информирует руководство о необходимости формирования группы для выработки решения по реализации мероприятий, которые позволят противостоять возможности реализации актуальной уязвимости в ИС (далее - Рабочая группа).

При необходимости к работе группы могут быть привлечены:

- работники, поддерживающие функционирование ИС;

- работники функциональных подразделений владельцев информации, обрабатываемой в ИС.

Рабочая группа рассматривает возможные сценарии эксплуатации выявленной уязвимости и определяет актуальные угрозы безопасности информации ИС, которые могут быть реализованы за счет ее эксплуатации.

Рабочая группа разрабатывает предложения по устранению возможности эксплуатации выявленной уязвимости за счет применения дополнительного комплекса организационных мер и (или) внедрения технических средств. Предложения должны минимизировать возможность реализации угроз безопасности информации ИС, связанных с ее эксплуатацией.

При выработке решения по устранению возможности эксплуатации уязвимости в обязательном порядке рассматриваются следующие возможности:

- изменение конфигурации применяемых программно-технических средств ИС;

- применение дополнительных организационных мер защиты;

- применение дополнительных технических средств защиты;

- изменение технологии обработки информации в ИС.

При выборе компенсирующих мероприятий проводится всесторонняя оценка последствий их внедрения, оценивается возможное негативное влияние на функционирование ИС.

В случае определения общего решения по применению дополнительных технических решений они должны пройти проверку работоспособности в тестовой зоне ИС. Проверка должна включать в себя моделирование процесса эксплуатации уязвимости. Также должна быть проведена проверка работоспособности ИС.

По результатам выбора Рабочей группой компенсирующих мероприятий готовится заключение. Заключение должно содержать:

- описание выявленной уязвимости;

- экспертную оценку возможности ее эксплуатации;

- перечень угроз безопасности информации ИС, которые могут быть реализованы за счет эксплуатации выявленной уязвимости;

- возможные негативные последствия для ИС в случае реализации угроз безопасности информации за счет эксплуатации выявленной уязвимости;

- предложения по применению компенсирующих мероприятий или определение отсутствия таковых.

При выборе компенсирующих мероприятий необходимо привести прогноз необходимости:

- изменения технического проекта на систему защиты информации ИС;

- проведения переаттестации системы защиты информации ИС;

- корректировки действующих эксплуатационных и организационно-распорядительных документов ИС;

- внедрения дополнительных организационных мероприятий по обеспечению функционирования системы защиты информации ИС.

Дополнительно должна быть проведена оценка:

- финансовой составляющей внедрения компенсирующих мероприятий ИС;

- необходимости привлечения специалистов сторонних организаций к внедрению компенсирующих мероприятий.

В случае отсутствия возможности применения компенсирующих мероприятий по устранению возможности эксплуатации уязвимости готовится предложение по:

- модернизации (доработке) специального ПО ИС;

- применению аналогичного ПО;

- разработке самостоятельного ПО.

Заключение подписывается участниками рабочей группы и направляется руководству, при необходимости - начальникам функциональных подразделений - владельцев информации, обрабатываемой в ИС.

Руководство принимает решение о необходимости внесения изменений в ИС и санкционирует процесс внедрения компенсирующих мероприятий, включая проведение конкурсов по закупке программно-технических средств и оказанию услуг, в соответствии с порядком, действующим в учреждении.

В случае невозможности применения компенсирующих мероприятий по устранению возможности эксплуатации уязвимости ИС руководство принимает решение о дальнейшей эксплуатации ИС и (или) возможной модернизации ИС.

11.3. Контроль установки обновлений ПО

С целью своевременного устранения уязвимостей в ПО, используемом в ИС, проводится мониторинг наличия обновлений безопасности, выпускаемых разработчиками для всего используемого в ИС ПО, включая:

- ОС, которые применяются на серверах и АРМ;

- системы управления базами данных;

- ПО используемого активного сетевого оборудования;

- прикладное ПО, используемое на серверах и АРМ;

- ПО средств защиты информации, применяемых в составе системы защиты информации ИС;

- ПО базовой системы ввода - вывода.

Мониторинг наличия обновлений и их установка в ИС проводятся администратором ИС и фиксируются в соответствующих журналах ПО, используемого в ИС.

Мониторинг наличия обновлений безопасности проводится администраторами не реже одного раза в неделю.

Все обновления, классифицированные разработчиками как критические, и/или обновления, устраняющие критические уязвимости в ПО, устанавливаются администраторами не позднее чем через 30 дней с момента их опубликования разработчиком.

Получение обновлений осуществляется из доверенных источников, рекомендованных разработчиком ПО.

Контроль установки обновлений ежеквартально проводит администратор ИБ.

При контроле установки обновлений осуществляются проверка соответствия версий общесистемного, прикладного и специального ПО (включая ПО средств защиты информации), установленного в ИС и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (технический паспорт ИС) об установке (применении) обновлений.

При контроле установки обновлений средств защиты информации осуществляется проверка версий:

- баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты;

- баз решающих правил средств обнаружения вторжений;

- баз сигнатур уязвимостей средства анализа защищенности.

При получении информации о прекращении поддержки разработчиком используемого ПО в части выпуска обновлений безопасности либо о планируемом прекращении такой поддержки администратор, ответственный за эксплуатацию этого ПО, уведомляет администратора ИБ.

11.4. Контроль работоспособности, параметров настройки и функционирования программного обеспечения и средств защиты информации

Администратором ИБ (с возможным привлечением администратора ИС) проводится периодический контроль:

- работоспособности (неотключения) ПО и средств защиты информации в ИС (ежедневно);

- правильности функционирования ПО и средств защиты информации в ИС (ежедневно);

- соответствия настроек ПО и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на ИС (ежемесячно).

В случае выявления сбоев, отказов или несоответствия настройкам проводится восстановление ПО и средств защиты информации (при необходимости).

Восстановление производится с использованием резервных копий и (или) дистрибутивов.

11.5. Контроль состава технических средств, программного обеспечения и средств защиты информации

Контроль состава технических средств, ПО и средств защиты информации в ИС осуществляется с целью поддержания актуальной конфигурации программно-технических средств ИС.

Администратором ИБ ежемесячно проводится контроль на соответствие техническому паспорту ИС: состава технических средств, ПО и средств защиты информации.

Администратором ИБ ежемесячно проводится контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков.

В случаях выявления несоответствия действующей конфигурации ПО и состава технических средств ИС эксплуатационной документации проводятся мероприятия по восстановлению соответствия.

11.6. Контроль управления парольной политикой и учетными записями пользователей ИС

Администратор ИБ в рамках проведения работ по анализу защищенности ИС ежеквартально проводит:

- контроль действующей парольной политики на программно-технических средствах ИС, где возможно провести автоматизированный контроль;

- контроль действительно установленных требований к паролям в программно-технических средствах ИС на соответствие требованиям парольной политики (выполняется с привлечением администратора ИС);

- контроль заведения и удаления учетных записей пользователей, выборочный контроль соответствия реализации правил разграничения доступа, предоставленных пользователям ИС, матрице разграничения доступа к защищаемым информационным ресурсам "Наименование ИС" (может выполняться с привлечением администраторов ИС, ответственных за создание, присвоение, блокирование, уничтожение идентификаторов пользователей);

- контроль наличия документов, подтверждающих разрешение изменений учетных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей;

- устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступом, установлением полномочий пользователей.

В ИС обеспечивается регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей.

12. Порядок обеспечения целостности информации

Контроль целостности программного обеспечения, включая ПО средств защиты информации, предусматривает:

- контроль целостности ПО средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и по контрольным суммам всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы;

- контроль целостности компонентов ПО (за исключением средств защиты информации), определяемого оператором исходя из возможности реализации угроз безопасности информации, по наличию имен (идентификаторов) компонентов ПО и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы ИС;

- тестирование с периодичностью 1 раз в месяц функций безопасности средств защиты информации, в том числе с помощью тест-программ, имитирующих попытки НСД, и (или) специальных программных средств, в соответствии с разделом 11 настоящего документа;

- обеспечение физической защиты технических средств ИС.

С целью восстановления модифицированной или уничтоженной вследствие НСД или случайных действий информации в ИС применяются средства резервного копирования из состава ИС.

Управление средствами защиты осуществляет администратор ИБ.

Для обеспечения восстановления работоспособности ИС в случае возникновения нештатной ситуации в ИС применяются следующие меры защиты:

- принятие Ответственным за ЗИ планов по действиям персонала (пользователей ИС, администраторов ИС, администраторов ИБ) при возникновении нештатных ситуаций;

- применяются средства резервного копирования для восстановления данных ИС и настроек средств защиты;

- проводится периодическое обучение персонала по вопросам обеспечения ИБ.

В ходе восстановления работоспособности ИС при возникновении нештатной ситуации осуществляются:

- восстановление ПО, включая ПО средств защиты информации, из резервных копий (дистрибутивов) ПО;

- восстановление и проверка работоспособности ИС;

- возврат ИС в начальное состояние (до возникновения нештатной ситуации), обеспечивающее ее штатное функционирование.

При наличии сбоев в работе ИС и увеличении времени восстановления ИС администраторы ИБ совместно с администраторами ИС оценивают возможность получения НСД к ИС злоумышленниками и принимают компенсирующие меры, позволяющие снизить возможность негативного влияния на обеспечение конфиденциальности, целостности и доступности информации, обрабатываемой в ИС.

13. Защита технических средств

Защита технических средств ИС осуществляется путем:

- организации контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования;

- контроля и управления физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования ИС, в помещения и сооружения, в которых они установлены;

- размещения устройств вывода (отображения) информации, исключающего ее несанкционированный просмотр.

Технические средства ИС размещаются на площадках, предусматривающих:

- обеспечение контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования;

- закрытую территорию, на которой исключено неконтролируемое пребывание работников и лиц, не имеющих постоянного допуска на объекты ИС, а также транспортных средств;

- наличие периметра охраняемой территории, ограждающих конструкций охраняемого здания.

Контроль доступа к техническим средствам ИС предусматривает:

- определение лиц, допущенных к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения контролируемой зоны;

- санкционирование физического доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, организовано на основе заявительной системы;

- учет доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены.

Организация контролируемой зоны вокруг площадок и контроль доступа в помещения и к техническим средствам обработки информации исключают несанкционированный просмотр выводимой информации как из-за пределов контролируемой зоны, так и в пределах контролируемой зоны. Требования по размещению устройств вывода (отображения) информации, исключающего ее несанкционированный просмотр, предъявляются также к участникам взаимодействия с ИС.

Для защиты информации ИС определяется контролируемая зона.

Контролируемая зона определяется границами, периметр которой отделен стенами, дверьми, забором и другими техническими сооружениями. Работники обладают физическим доступом к помещениям с расположенным оборудованием ИС. В ИС реализованы следующие организационные меры защиты:

- введен контрольно-пропускной и внутриобъектовый режим (доступ посетителей в контролируемую зону осуществляется только при наличии документа, удостоверяющего личность);

- развернута и функционирует система охранного телевидения;

- установлена система контроля и управления доступом;

- посетители и другие лица, не обладающие санкционированным доступом к ИС, могут находиться в помещениях с установленными техническими средствами только в присутствии лиц, имеющих права доступа к техническим средствам ИС;

- правом доступа в серверные помещения защищаемых объектов обладает строго определенный круг лиц, которые выполняют техническое обслуживание и сопровождение элементов ИС;

- доступ к информационным ресурсам предоставляется по заявке, которая согласовывается в соответствии с пропускным внутриобъектовым режимом;

- работники, осуществляющие техническую поддержку и сопровождение ИС, уведомлены об обработке ими информации и о том, что они несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность в случае нарушения правил обработки информации;

- с работниками, осуществляющими техническую поддержку и сопровождение ИС и допущенными к информации, заключены договоры о конфиденциальности.

Перечень мероприятий может корректироваться исходя из особенностей организации.

Помещения, в которых расположены технические средства ИС, оснащены входными дверьми с замками, при этом обеспечивается возможность постоянного закрытия дверей на замок и их открытия только для санкционированного прохода. Учет физического доступа к техническим средствам ИС осуществляется специализированными автоматизированными средствами контроля доступа.

Получение физического доступа к техническим средствам в ЦОД ИС в рабочее и нерабочее время, а также в нештатных ситуациях предоставляется только персоналу из числа привилегированных пользователей ИС либо персоналу, обеспечивающему функционирование технических средств ИС (охрана, уборщики).

О попытках неконтролируемого проникновения посторонних лиц в помещения ИС и в случае возникновения нештатных ситуаций (авария, перебой электроснабжения, сбой в работе системы кондиционирования и т.п.) незамедлительно уведомляется Ответственный за ЗИ.

14. Защита ИС, ее средств, систем связи и передачи данных

Для обеспечения защиты информации, передающейся в ИС из внешних (смежных) систем, от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, применяются сертифицированные ФСБ России СКЗИ.

Для защиты информации, передаваемой по каналам связи, выходящим за пределы контролируемой зоны, применяются средства организации VPN-туннелей.

Для защиты периметра (физических и (или) логических границ) ИС при ее взаимодействии с внешними ИС и информационно-телекоммуникационными сетями (в том числе с сетью Интернет) применяются:

- СКЗИ;

- выделенные каналы связи;

- средства защиты от НСД из состава системы защиты информации ИС;

- средства антивирусной защиты из состава системы защиты информации ИС.

Администрирование указанных в настоящем разделе средств защиты (в том числе СКЗИ) осуществляют администраторы ИБ.

В ИС запрещается несанкционированная удаленная активация видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно.

В ИС не используются технологии передачи речи.

В ИС не используются технологии передачи видеоинформации.

В ИС обеспечивается защита от угроз безопасности информации, направленных на отказ в обслуживании этой системы. В ИС определен перечень угроз (типов угроз) безопасности информации, направленных на отказ в обслуживании:

- угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;

- угроза нарушения технологического/производственного процесса;

- угроза несанкционированного управления указателями;

- угроза перебора всех настроек и параметров приложения;

- угроза приведения системы в состояние "отказ в обслуживании".

Перечень угроз может быть изменен в зависимости от специфики ИС.

Защита от угроз безопасности информации, направленных на отказ в обслуживании, осуществляется посредством реализации мер защиты информации и повышенными характеристиками производительности телекоммуникационного оборудования и каналов передачи совместно с резервированием информации и технических средств, программного обеспечения, каналов передачи информации в соответствии с разделом 15 настоящего документа.

В ИС осуществляется защита периметра (физических и (или) логических границ) при ее взаимодействии с информационно-телекоммуникационными сетями, предусматривающая:

- управление (контроль) входящими в ИС и исходящими из ИС информационными потоками на физической и (или) логической границе ИС;

- обеспечение взаимодействия ИС с сетями только через сетевые интерфейсы, которые обеспечивают управление (контроль) информационными потоками с использованием средств защиты информации из состава системы защиты информации ИС (управляемые (контролируемые) сетевые интерфейсы), установленных на физическом и (или) логическом периметре ИС (маршрутизаторов, межсетевых экранов, коммутаторов, прокси-серверов, шлюзов безопасности и иных средств защиты информации).

15. Порядок резервирования и восстановления информационных ресурсов

15.1. Порядок резервного копирования

Резервное копирование информационных ресурсов ИС обеспечивает возможность восстановления ПО, включая ПО средств защиты информации, при возникновении нештатных ситуаций, а также восстановление информации, модифицированных или уничтоженных вследствие НСД к ним.

Под резервным копированием информационных ресурсов ИС понимается резервное копирование следующих данных:

- данные, которые обрабатываются в ИС;

- лог-файлы и иные протоколы регистрируемых в ИС событий;

- записи регистрации (аудита) событий безопасности;

- настройки системного ПО;

- настройки прикладного ПО;

- настройки средств защиты информации.

Вся информация, критичная для функционирования ИС РиП, подлежит резервному копированию на неотчуждаемые носители информации (жесткие магнитные диски) серверов и систем хранения данных с периодичностью 1 раз в месяц.

Защита резервных копий обеспечивается путем реализации необходимых методов, типов и правил разграничения доступа к резервным копиям информации ИС в соответствии с матрицей разграничения доступа к защищаемым информационным ресурсам "Наименование ИС".

15.2. Обеспечение доступности

Для обеспечения доступности информационных ресурсов ИС в архитектуре ИС предусмотрены следующие организационные и технические меры:

- использование отказоустойчивых технических средств;

- резервирование технических средств, ПО, каналов передачи информации, средств обеспечения функционирования ИС;

- контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование;

- периодическое резервное копирование информации на резервные машинные носители информации;

- обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала;

- контроль состояния и качества вычислительных ресурсов (мощностей), в том числе по передаче информации.

Настройки отказоустойчивых технических средств производятся исходя из требуемых условий обеспечения непрерывности функционирования ИС.

Администраторами ИС производится периодический контроль технических характеристик и настроек используемых отказоустойчивых технических средств и замена технических средств, характеристики надежности которых достигли предельного значения.

15.3. Контроль безотказного функционирования технических средств

Администраторами ИС осуществляется контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование.

Контроль безотказного функционирования проводится в отношении программного обеспечения, серверного и телекоммуникационного оборудования, каналов связи, средств обеспечения функционирования ИС путем периодической проверки работоспособности в соответствии с эксплуатационной документацией (в том числе путем посылки тестовых сообщений и принятия "ответов", визуального контроля, контроля трафика, контроля "поведения" системы или иными методами).

При обнаружении отказов функционирования осуществляются их локализация и принятие мер по восстановлению отказавших средств, их тестирование в соответствии с эксплуатационной документацией, а также регистрация событий, связанных с отказами функционирования, в соответствующих журналах.

Для уведомления администраторов ИС используются общесистемные способы и специальные системы мониторинга и диагностики состояния технических средств.

15.4. Процедура резервного копирования

Для резервирования технических средств отдельных сегментов ИС используются кластеризация и "холодное" резервирование (с использованием ненагруженных дублирующих средств).

При резервировании ПО осуществляется создание резервных копий общесистемного, специального и прикладного ПО, а также ПО средств защиты информации.

При резервировании обрабатываемой информации осуществляется создание их резервных копий.

Резервное копирование разделяется на выполняемое в ручном и в автоматическом режимах. Состав и объем резервируемых информационных ресурсов, периодичность проведения резервного копирования представлены в перечне резервируемой информации.

На протяжении периода времени, когда система резервного копирования находится в аварийном состоянии, ежедневное копирование информации, подлежащей резервированию, осуществляется администраторами ИС вручную с использованием средств файловых систем серверов, располагающих необходимыми объемами дискового пространства для ее хранения.

Администраторы ИС контролируют автоматическое выполнение резервного копирования.

Показателями для проведения Администраторами ИС внепланового резервного копирования и (или) восстановления являются:

- сбой в работе компонентов ИС, подлежащих резервному копированию, или средств резервного копирования и восстановления;

- внесение изменений в конфигурацию компонентов ИС, подлежащих резервному копированию, и (или) средств резервного копирования и восстановления;

- нарушение штатной работы компонентов ИС, подлежащих резервному копированию, и (или) средств резервного копирования и восстановления.

Полнота проведения резервного копирования и (или) восстановления определяется администраторами ИС.

Для проверки работоспособности средств резервного копирования, средств хранения резервных копий и средств восстановления информации из резервных копий администраторами ИС производятся тестовое резервное копирование и восстановление. Процедура тестового резервного копирования проводится не реже одного раза в месяц.

В ИС осуществляются поддержание резервных копий в актуальном состоянии, а также выборочная проверка работоспособности резервных копий путем тестового восстановления с периодичностью не реже одного раза в месяц.

В случае если результаты внепланового тестового резервного копирования и восстановления неудовлетворительны, администраторы ИС проводят разбор ситуации, устраняют выявленные недостатки и повторно проводят внеплановые тестовые резервное копирование и восстановление информации.

Все средства хранения резервных копий размещаются в специально предназначенных помещениях, которые исключают воздействие внешних факторов на хранимые копии.

Для сегментов ИС, находящихся в состоянии "холодного" резервирования, осуществляется синхронизация информации с основным техническим средством или ПО.

15.5. Процедура восстановления после сбоя компонентов

Для обеспечения непрерывности функционирования ИС и доступности информации восстановление информации с резервных носителей в случае сбоя производится в течение одного рабочего дня.

В случае сбоя администратор ИС производит восстановление отказавших сегментов ИС, включающее:

- восстановление конфигурации технических средств;

- восстановление работоспособности и настроек ПО;

- восстановление базы данных.

Восстановление производится в соответствии с эксплуатационной документацией на систему или отдельные отказавшие компоненты ИС.

Любое восстановление информации, не вызванное необходимостью экстренного восстановления, которая связана с потерей работоспособности ИС или ее компонентов, выполняется на основании заявки, прошедшей установленную систему процедуры согласования.

При поступлении заявки администраторы ИС информируют руководство о необходимости восстановления и после подтверждения восстановления приступают к восстановлению данных.

В процессе восстановления резервной копии руководствуются инструкциями по восстановлению информации из резервных копий, описанных в документации системы резервного копирования.

15.6. Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации

В ИС осуществляется контроль состояния и качества предоставления уполномоченными лицами (провайдерами услуг связи и вычислительной инфраструктуры ЦОД) вычислительных ресурсов (мощностей), в том числе по передаче информации, предусматривающий:

- контроль выполнения уполномоченным лицом требований о защите информации, установленных законодательством Российской Федерации и условиями договора (соглашения), на основании которого уполномоченное лицо обрабатывает информацию или предоставляет вычислительные ресурсы (мощности);

- мониторинг состояния и качества предоставления уполномоченным лицом (провайдером) вычислительных ресурсов (мощностей);

- мониторинг состояния и качества предоставления уполномоченным лицом (провайдером) услуг по передаче информации.

Условия, права и обязанности, содержание и порядок определяются в договоре (соглашении), заключаемом между организацией и уполномоченным лицом на предоставление вычислительных ресурсов (мощностей) или передачу информации с использованием информационно-телекоммуникационных сетей связи.

16. Порядок выявления и реагирования на инциденты ИБ

16.1. Основные положения

16.1.1. Цели и задачи управления инцидентами ИБ

Целью управления инцидентами ИБ является обеспечение непрерывности процессов в ИС за счет минимизации возможных негативных последствий, вызванных инцидентами ИБ.

Задачами управления инцидентами ИБ являются:

- обнаружение событий ИБ и их дальнейшая обработка с целью выявления инцидентов ИБ;

- оценка инцидентов ИБ с целью выработки соответствующих мер реагирования;

- своевременное предотвращение возможных негативных воздействий и оперативное восстановление информационной инфраструктуры после инцидента ИБ;

- минимизация потерь организации, вызванных инцидентами ИБ;

- выяснение причин возникновения инцидентов ИБ и снижение риска возникновения повторных инцидентов ИБ;

- внесение необходимых изменений в политику ИБ с целью предотвращения подобных инцидентов ИБ в будущем.

16.1.2. Основные этапы процесса управления инцидентами ИБ

Процесс управления инцидентами ИБ состоит из следующих этапов:

- подготовка;

- использование;

- анализ и улучшение.

На этапе "Подготовка" в организации:

- определяются и назначаются роли, участвующие в процессе управления инцидентами ИБ;

- разрабатываются необходимые организационно-распорядительные документы;

- планируются и реализуются мероприятия по прохождению обучения персонала.

Роли, участвующие в процессе управления инцидентами ИБ:

- ответственные за регистрацию 1 событий ИБ;

- ответственные за разрешение инцидентов ИБ;

- ГРИИБ.

Ответственность лиц, участвующих в процессе управления инцидентами ИБ:

Участник процесса	Функции	Структурное подразделение/должность
Руководство организации	Принятие решения о необходимости обращения в правоохранительные органы для расследования инцидента ИБ. Принятие решения о дальнейших действиях после расследования инцидента ИБ

Таблица должна быть заполнена для всех ролей, которые принимают участие в процессе управления инцидентами ИБ. В частности, указанными ролями могут быть: руководство организации, руководитель ГРИИБ, участники ГРИИБ, ответственный за регистрацию событий ИБ, ответственный за разрешение инцидента ИБ.

В случае использования в организации системы сбора и корреляции событий ИБ необходимо, как минимум:

- создать/подключить источники событий ИБ;

- создать правила корреляции событий ИБ;

- настроить параметры инцидентов ИБ;

- создать/настроить фильтры событий ИБ.

В организации принята следующая классификация инцидентов ИБ (уровни критичности инцидентов ИБ):

Уровень критичности инцидента ИБ	Критерий классификации (описание уровня критичности инцидента ИБ)	Уровень эскалации инцидента ИБ
Низкий (3-й)	Инцидент ИБ, который не влечет за собой негативных последствий в социальной, политической, международной, экономической, финансовой, репутационной или иных областях деятельности организации. Инцидент ИБ не окажет влияния на выполнение ИС возложенных на нее функций
Средний (2-й)	Инцидент ИБ, который может повлечь незначительные негативные последствия в социальной, политической, международной, экономической, финансовой, репутационной или иных областях деятельности организации. В результате инцидента ИБ ИС будет выполнять возложенные на нее функции с недостаточной эффективностью или выполнение функций будет возможно только с привлечением дополнительных сил и средств
Высокий (1-й)	Инцидент ИБ, который может повлечь существенные негативные последствия в социальной, политической, международной, экономической, финансовой, репутационной или иных областях деятельности организации. В результате инцидента ИБ ИС не сможет выполнять одну или несколько возложенных на нее функций

Критичность инцидентов ИБ определяется для каждого инцидента ИБ (сценария, признанного инцидентом ИБ).

В последующих циклах деятельности на данном этапе выполняются корректировка разработанной документации, внесение необходимых изменений в организационно-штатную структуру, совершенствуются мероприятия по прохождению обучения персонала в области обработки и защиты информации.

Этап "Использование" включает в себя мероприятия по обнаружению и оповещению о наступлении события ИБ, сбор информации о событии ИБ, его оценке и принятии решения по отнесению к инцидентам ИБ, реагированию на инцидент ИБ.

На этапе "Анализ и улучшение" оцениваются полнота и адекватность мер, принятых на этапе "Использование", определяются причины возникновения инцидента ИБ, вносятся необходимые изменения в процесс управления инцидентами ИБ в ИС.

16.1.3. ГРИИБ

Если в организации внедряется централизованный процесс управления инцидентами, то ГРИИБ создается не для конкретной системы, а в организации в целом. Также часть процесса управления инцидентами ИБ может быть передана на аутсорсинг сторонним организациям, в этом случае обнаружение (реагирование) может осуществляться представителями сторонних организаций. Таким образом, наполнение разделов, касающихся управления инцидентами ИБ, может быть отличным от приведенного примера. Основными моментами, которые должны быть отражены в разделах, касающихся управления инцидентами ИБ, являются:

- назначение лиц, ответственных за выявление инцидентов ИБ и реагирование на них;

- порядок обнаружения и идентификации инцидентов ИБ;

- порядок информирования лиц, ответственных за выявление инцидентов ИБ и реагирование на них, о возникновении инцидентов ИБ;

- проведение анализа инцидентов ИБ и оценка их последствий;

- планирование и принятие мер по устранению инцидентов ИБ;

- планирование и принятие мер по предотвращению повторного возникновения инцидентов ИБ.

В состав ГРИИБ включаются следующие лица:

- лица, ответственные за эксплуатацию и администрирование ИС;

- администраторы ИБ.

Руководителем ГРИИБ является Ответственный за ЗИ.

Необходимость привлечения к работе в составе ГРИИБ работников из других структурных подразделений, а также представителей сторонних организаций, оказывающих услуги в области ИБ, определяется руководством организации.

Функциями ГРИИБ являются:

- анализ инцидентов ИБ;

- поддержка реагирования на инциденты ИБ;

- координация реагирования на инциденты ИБ;

- отслеживание информации в сфере ИТ (новые угрозы, уязвимости, атаки, инструментарий, технологии, правовые аспекты и др.);

- разработка инструментария для автоматизации процессов реагирования на инциденты ИБ;

- распространение информации о новых угрозах и уязвимостях безопасности информации;

- разработка стратегий подавления инцидентов ИБ;

- подготовка рекомендаций по реагированию на инциденты ИБ и восстановлению работоспособности;

- исследование и анализ тенденций возникновения и сценариев реализации инцидентов ИБ;

- обеспечение ресурсами и справочными материалами для управления инцидентами ИБ;

- ведение базы данных по уязвимостям и инцидентам ИБ;

- организация обмена информацией и предоставление консультаций по вопросам управления инцидентами ИБ.

16.2. Обнаружение и регистрация инцидентов ИБ

16.2.1. Обнаружение событий ИБ

Сбор информации о событиях ИБ в ИС осуществляется как с использованием технических и программных средств, так и организационными мерами. Источниками информации о событиях ИБ могут быть:

- системы мониторинга событий ИБ: средства обнаружения и предотвращения вторжений (IDS/IPS), средства антивирусной защиты из состава системы защиты информации, системы honeypot/tarpit, системы мониторинга журналов событий ИБ, системы сбора и корреляции событий ИБ (SIEM) и др.;

- системы мониторинга сетевых компонентов сети передачи данных (события на межсетевых экранах, системы анализа сетевого трафика, системы веб-фильтрации и другие подобные системы);

- результаты проведения анализа штатных системных журналов с различных устройств, служб, рабочих станций, серверов;

- результаты плановых и внеплановых проверок выполнения требований ИБ в ИС;

- пользователи ИС;

- работники организации;

- внешние организации.

Информация о событиях ИБ поступает администратору ИБ.

Работник, обнаруживший событие ИБ, должен незамедлительно сообщить об этом администратору ИБ. Администратор ИБ заполняет графы отчета о событии ИБ по предоставленной информации. Типовая форма отчета о событии ИБ приведена в приложении Б к настоящему документу.

Если возможно, форма отчета (доклада) о событии ИБ должна быть представлена в электронном виде. В случае отсутствия возможности предоставить данные в электронном виде отчет о событии ИБ представляется в бумажном виде.

Если позднее работник обнаружит, что какая-либо представленная им информация неточна, неполна или ошибочна, то работнику, обнаружившему событие ИБ, следует дополнительно известить администратора ИБ.

16.2.2. Регистрация и предварительная классификация инцидента

После получения информации о событии ИБ администратор ИБ выполняет следующие действия:

- анализирует полученную информацию;

- при необходимости получает дополнительные сведения о событии ИБ из других источников;

- подтверждает, что событие является инцидентом ИБ;

- проверяет взаимосвязь с событиями/инцидентами ИБ, произошедшими ранее.

В случае если по результатам анализа подтверждается, что данное событие или серия событий являются инцидентом ИБ, администратор ИБ осуществляет следующие действия:

- определяет предварительный класс инцидента, руководствуясь классификацией инцидентов ИБ;

- оформляет отчет об инциденте ИБ;

- информирует работников ГРИИБ об инциденте ИБ и передает отчет об инциденте ИБ.

Типовая форма отчета об инциденте ИБ приведена в приложении В к настоящему документу.

Администратор ИБ обеспечивает безопасное хранение заполненных форм регистрации событий ИБ или инцидентов ИБ с целью возможности последующей обработки инцидента ИБ на основании исключительно достоверной информации.

Если возможно, то формы отчетов должны быть выполнены с привязкой к базе инцидентов ИБ.

Ответственный работник ГРИИБ регистрирует инцидент в базе инцидентов ИБ.

16.3. Обработка инцидентов ИБ

16.3.1. Анализ

Анализ инцидента ИБ проводится с целью определения порядка действий по локализации инцидента ИБ, устранению его последствий и сбору доказательств.

В ходе анализа инцидента ИБ осуществляются сбор данных и принятие решений о дальнейших действиях в отношении инцидента ИБ.

Сбор данных об инциденте ИБ включает:

- определение контактных данных лица, сообщившего об инциденте ИБ;

- определение сути произошедшего инцидента ИБ, причин, описание произошедшего инцидента;

- определение задействованных в инциденте ИБ ресурсов ИС;

- уточнение класса инцидента ИБ (по результатам проведения анализа он может быть изменен);

- описание всех выявленных уязвимостей, в результате эксплуатации которых произошел инцидент ИБ;

- определение, является ли инцидент ИБ контролируемым (т.е. требует ли он немедленной реакции).

Принятие решений о дальнейших действиях:

- подготовка вариантов локализации и устранения последствий инцидента ИБ;

- принятие решения об обращении в правоохранительные органы и о сборе доказательств для дальнейшего расследования;

- назначение ответственных за локализацию, устранение последствий и сбор доказательств.

В случае если инцидент ИБ находится под контролем, может быть принято решение о наблюдении за действиями нарушителя (группы нарушителей) или вредоносного ПО без вмешательства в их действия с целью сбора необходимых доказательств для привлечения нарушителя к ответственности.

Все решения, принятые в ходе анализа инцидента, протоколируются путем занесения информации в отчет об инциденте ИБ.

Процессы локализации, устранения последствий и сбора доказательств об инциденте могут конфликтовать между собой. Решение о расстановке приоритетов между этими процессами и их координацию осуществляет ГРИИБ.

16.3.2. Локализация

Локализация инцидента ИБ - это действия, направленные на предотвращение его дальнейшего распространения. К таким действиям, в частности, могут относиться:

- отключение пораженных систем или сервисов;

- блокировка скомпрометированных учетных записей;

- информирование внешних организаций о компрометации ключей электронной подписи;

- активация системы пожаротушения и т.п.

Если в ходе анализа было принято решение о проведении расследования, действия по локализации инцидента ИБ не должны привести к утрате доказательств.

16.3.3. Устранение последствий

Устранение последствий инцидента ИБ выражается в применении мер, направленных на восстановление работоспособности систем и сервисов, функций ИС, которые были затронуты в результате инцидента ИБ.

Меры по устранению последствий инцидента ИБ зависят от характера инцидента ИБ, например, они могут заключаться в смене скомпрометированных паролей, восстановлении данных из резервных копий, удалении вредоносного кода и т.п.

16.3.4. Сбор доказательств

В случае если на этапе анализа инцидента ИБ было принято решение о привлечении правоохранительных органов, важным является сохранение доказательств инцидента ИБ. В зависимости от характера инцидента ИБ такими доказательствами могут служить:

- сведения об операционных средах, применяемых параметрах безопасности, установленных программах, настройках, запущенных службах и т.п.;

- журналы работы ОС, приложений, WEB-серверов, серверов электронной почты, статистические журналы работы сети и т.п.;

- журналы регистрации событий средств и систем защиты (систем обнаружения/предотвращения вторжений, системы антивирусной защиты, системы DLP, межсетевых экранов и т.п.);

- журналы системы контроля и управления доступом, записи системы видеонаблюдения.

Важно помнить, что расследование с привлечением правоохранительных органов проводится в случае необходимости обеспечения доказательной силы материалов/доказательств инцидента ИБ в рамках судебных разбирательств, а также в случае нарушения Уголовного кодекса РФ. При этом сбор свидетельств и доказательств по инциденту ИБ выполняется работниками правоохранительных органов.

До начала работы следствия СВТ и машинные носители, содержащие доказательства, должны быть:

- изолированы от внешних систем (в т.ч. сети Интернет);

- опечатаны и сохранены в том виде, в котором они есть;

- защищены от НСД.

16.3.5. Расследование инцидентов ИБ

Для определения причин возникновения инцидентов ИБ и предотвращения возникновения аналогичных инцидентов в будущем необходимо установить все обстоятельства, приведшие к инциденту ИБ.

Расследование инцидентов 1-го и 2-го классов проводится в обязательном порядке. В ходе расследования необходимо определить:

- причины возникновения инцидента и виновных лиц;

- размер ущерба, нанесенного инцидентом;

- возможность и целесообразность привлечения виновных лиц к ответственности;

- пути совершенствования ИС.

Информация, собранная в ходе расследования, документально фиксируется в форме отчета об инциденте ИБ.

16.3.6. Определение причин и виновных

Процесс расследования инцидента начинается с определения причин его возникновения и лиц, виновных в нанесении ущерба ИС.

К причинам возникновения инцидента ИБ могут относиться:

- ошибки в конфигурировании систем, уязвимости в ПО;

- отсутствие надлежащего контроля за событиями и действиями пользователей;

- недобросовестность внешних организаций;

- нелояльность работника;

- неосведомленность работника в области ИБ.

16.3.7. Определение ущерба

Величина ущерба, нанесенного ИС в результате инцидента ИБ, определяется руководителем ГРИИБ. К оценке нанесенного ущерба могут привлекаться другие работники организации.

В случае если причиной инцидента ИБ послужили действия или бездействие внешних организаций, персонала ИС, работников организации или третьих лиц, необходимо определить возможность и целесообразность привлечения указанных лиц к дисциплинарной, административной, уголовной или гражданско-правовой ответственности.

16.3.8. Заключение об инциденте ИБ

По итогам расследования ГРИИБ составляется заключение об инциденте ИБ, которое вносится в форме регистрации инцидента ИБ.

При подготовке заключения должны быть предложены как непосредственные действия по предотвращению конкретного типа инцидентов ИБ, так и действия по совершенствованию процессов эксплуатации ИС.

Заключение об инциденте ИБ содержит:

- результаты расследования (предпосылки, виновных лиц, доказательства, хронологию событий, нанесенный ущерб);

- рекомендации по внедрению новых или переконфигурированию применяемых средств обработки и защиты информации (закрытие портов, отключение неиспользуемых служб, установку обновлений и т.п.);

- рекомендации по совершенствованию процессов защиты информации ИС.

17. Порядок управления конфигурацией аттестованной ИС и системы защиты информации ИС

17.1. Процесс управления конфигурацией

Процесс управления конфигурацией состоит из ряда последовательных процедур:

- определение базовой конфигурации ИС и ее компонентов;

- управление изменениями базовой конфигурации.

Реализация процесса управления конфигурацией возлагается на Ответственного за ЗИ. Для управления конфигурацией Ответственный за ЗИ может привлекать ответственных лиц структурных подразделений организации.

Ответственный за ЗИ является ответственным за управление конфигурацией ИС:

- контролирует и фиксирует текущее состояние базовой конфигурации ИС;

- управляет изменениями базовой конфигурации ИС;

- осуществляет контроль за внесением изменений в базовую конфигурацию ИС;

- является связующим звеном для организации взаимодействия работников структурных подразделений в рамках управления конфигурацией;

- принимает решение о необходимости проведения аттестационных испытаний ИС.

17.2. Определение базовой конфигурации ИС и ее компонентов

Базовая конфигурация ИС и ее компонентов фиксируется в документе "Описание архитектуры ИС" и техническом паспорте ИС на момент проведения аттестационных испытаний ИС по требованиям безопасности информации.

Документ "Описание архитектуры ИС" составляется администратором ИС и включает в себя:

- краткое описание структуры ИС;

- состав и конфигурацию технических средств ИС;

- параметры настройки ПО ИС;

- места установки программных и технических компонентов ИС;

- наименование и контактные данные подразделений, ответственных за функционирование компонентов ИС.

Технический паспорт ИС включает в себя:

- структуру системы защиты информации ИС;

- состав технических средств ИС и системы защиты информации ИС;

- состав ПО ИС и системы защиты информации ИС;

- места установки программных и технических компонентов ИС и системы защиты информации ИС.

Решение о необходимости внесения изменений в базовую конфигурацию ИС принимается уполномоченными работниками оператора ИС.

Изменения в базовую конфигурацию ИС и системы защиты информации ИС вносятся специализированными организациями после прохождения процедуры управления изменениями базовой конфигурации.

17.3. Управление изменениями базовой конфигурации

17.3.1. Типы возможных изменений базовой конфигурации ИС и системы защиты информации

Существуют следующие типы изменений базовой конфигурации ИС:

- изменение функционала специализированного ПО ИС;

- изменение конфигурационных настроек технических средств ИТ-инфраструктуры ИС;

- обновление/изменение ПО ИС и сервисов ИТ-инфраструктуры ИС;

- изменение технических средств компонентов ИТ-инфраструктуры ИС;

- обновление/изменение ПО средств защиты информации ИС;

- изменение конфигурационных настроек средства защиты информации ИС;

- изменение технических средств ИС.

17.3.2. Порядок внесения изменений в базовую конфигурацию ИС и системы защиты информации

Изменение базовой конфигурации ИС и системы защиты информации ИС осуществляется лицами, обеспечивающими функционирование ИС.

Внесение изменений в конфигурационные настройки компонентов ИС допустимо только после согласования изменений с Ответственным за ЗИ.

Ответственный за ЗИ осуществляет анализ потенциального воздействия планируемых изменений на обеспечение ИБ ИС:

- возникновение дополнительных угроз безопасности информации;

- влияние изменений на работоспособность ИС и системы защиты информации ИС;

- влияние изменений на существующие аттестованные механизмы ИБ в ИС.

В случае если изменения конфигурации ИС влияют на механизмы обеспечения ИБ аттестованной системы, Ответственный за ЗИ принимает решение о подготовке ИС к переаттестации. Изменения, затрагивающие механизмы обеспечения ИБ в ИС, могут быть внесены в конфигурацию системы только в процессе прохождения ее переаттестации.

В случае если изменения конфигурации ИС не влияют на механизмы обеспечения ИБ аттестованной ИС, Ответственный за ЗИ согласовывает изменения конфигурации, при необходимости внося изменения в документацию на ИС (в части моделирования угроз безопасности информации и пр.).

После согласования изменений конфигурации ИС вносятся изменения с обязательным документированием всех действий в соответствии с внутренними регламентирующими документами.

Ответственный за ЗИ осуществляет инструментальный и документальный контроль действий ответственных подразделений по внесению изменений и сохранению данных об изменениях базовой конфигурации ИС и системы защиты информации ИС.

18. Порядок контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИС

18.1. Общий порядок

Реализация мероприятий по контролю за обеспечением уровня защищенности информации, обрабатываемой в ИС, возлагается на администратора ИБ.

В зависимости от специфики контрольного мероприятия контролю подвергаются:

- подразделения, осуществляющие управление ИБ;

- подразделения, осуществляющие управление ИТ-инфраструктурой;

- подразделения, осуществляющие поддержку специализированного ПО ИС.

Контрольные мероприятия за обеспечением уровня защищенности информации (далее - контрольные мероприятия) представляют собой систематические, независимые и документированные процессы, позволяющие определить, что уровень защищенности информации, обрабатываемой в ИС, соответствует требованиям организационно-распорядительных документов организации, действующего законодательства Российской Федерации.

Контрольные мероприятия осуществляются с целью:

- оценки функционирования и определения результативности уровня защищенности информации, обрабатываемой в ИС;

- оценки соответствия мер обеспечения защиты информации в ИС требованиям законодательства Российской Федерации и организационно-распорядительных документов организации;

- определения возможностей и путей развития системы защиты информации;

- проверки выполнения запланированных корректирующих и предупреждающих действий;

- выявления уязвимостей ИБ и потенциальных областей риска;

- оценки эффективности имеющихся мер обеспечения ИБ и процессов управления ИБ;

- оценки эффективности процедуры выявления случаев нарушения ИБ;

- поиска возможностей для улучшения и повышения эффективности процессов обеспечения ИБ.

Контрольные мероприятия могут проходить на плановой и внеплановой основе. Контрольные мероприятия могут быть комплексными либо направленными на проверку отдельных элементов системы защиты информации.

Инициировать проведение внеплановых контрольных мероприятий может Ответственный за ЗИ либо представитель руководства организации, в сферу ответственности которого входит курирование вопросов ИБ. Основанием для проведения внеплановых контрольных мероприятий могут быть:

- нарушения требований законодательства Российской Федерации в ИС, выявленные в ходе проведения проверок регулирующими органами;

- необходимость совершенствования процессов, вызванная либо внутренними причинами (изменение структуры ИС, порядка обработки информации, стратегии ИБ и др.), либо внешними (изменение законодательства, требований регулирующих органов и др.);

- подготовка к плановым и внеплановым проверкам ИС, осуществляемым регулирующими органами.

18.2. Организация и порядок проведения контрольных мероприятий

План контрольных мероприятий составляет Ответственный за ЗИ с учетом результатов предыдущих контрольных мероприятий, а также:

- требований организационно-распорядительных документов организации в области ИБ;

- требований законодательства, регулирующих органов;

- возникновения угроз безопасности информации в ИС.

План контрольных мероприятий утверждается организацией и включает в себя:

- элемент ИС, подлежащий проверке;

- основания проведения контрольного мероприятия;

- плановые сроки проведения контрольных мероприятий;

- список работников, ответственных за проведение контрольных мероприятий.

Мероприятия по контролю за обеспечением уровня защищенности информации по времени проведения разделены на три класса:

- постоянно проводимые;

- периодически проводимые;

- проводимые по необходимости.

Типовой состав мероприятий в зависимости от периодичности осуществления и лица, ответственные за выполнение мероприятий, представлены ниже.

Мероприятия контроля	Периодичность	Ответственный
Постоянно проводимые
Контроль состояния и работоспособности ИС	ежедневно	Администраторы ИС
Мониторинг событий ИБ в системном и прикладном ПО ИС	ежедневно (в автоматическом режиме)	Администраторы ИС
Мониторинг событий ИБ с использованием средств защиты ИС защиты информации ИС	ежедневно (в автоматическом режиме)	Администраторы ИБ
Антивирусная проверка программных средств общего и специального назначения, исполняемых файлов АРМ (в автоматическом режиме)	в период работы СВТ	Пользователи ИС
Периодически проводимые
Антивирусная проверка файлов на серверах	1 раз в неделю	Администраторы ИБ
Анализ журналов системного и прикладного ПО ИС	1 раз в месяц	Администраторы ИС (в пределах своей компетенции)
Анализ журналов средств защиты информации системы защиты информации ИС	1 раз в месяц, в согласованное с администраторами ИС время	Администраторы ИБ
Проведение инструментального контроля состояния защищенности ИС на предмет выявления уязвимостей	1 раз в квартал, в согласованное с администраторами ИС время	Администраторы ИБ
Проведение с привлечением экспертов анализа состояния защиты и оценки эффективности применяемых защитных мер, принятие на основе экспертного заключения необходимых мер по совершенствованию системы защиты информации	1 раз в год	Ответственный за ЗИ
Проводимые по необходимости
Реагирование на инциденты ИБ	При обнаружении инцидента ИБ	Администраторы ИБ
Расследование инцидентов ИБ	При обнаружении инцидента ИБ	Администраторы ИБ
Анализ состояния и проверка эффективности применяемых защитных мер по результатам расследования инцидентов ИБ	По окончании расследования инцидента ИБ	Ответственный за ЗИ
Планирование и принятие мер по предотвращению повторного возникновения инцидентов	По окончании анализа эффективности принимаемых мер по итогам расследования инцидента ИБ	Ответственный за ЗИ. Администратор ИБ
Проверка соответствия применяемых защитных мер при изменении нормативно-правовой базы в области обеспечения безопасности информации	При изменении требований	Ответственный за ЗИ
Антивирусная проверка информации, поступающей на съемных носителях информации	При подключении к носителю информации к СВТ	Администраторы ИБ. Администраторы ИС. Пользователи ИС
Антивирусная проверка устанавливаемого (изменяемого) ПО	Непосредственно перед установкой	Администраторы ИБ. Администраторы ИС (в пределах своей компетенции)
Антивирусная проверка жесткого диска по окончании установки/изменения ПО	По окончании установки ПО	Администраторы ИБ. Администраторы ИС (в пределах своей компетенции)

В таблице приведены примеры возможных проверок.

18.3. Действия по результатам проведения контрольных мероприятий

По результатам проведенных контрольных мероприятий Ответственный за ЗИ разрабатывает план по устранению выявленных замечаний и назначает ответственных по их устранению, определяет сроки, необходимые для устранения выявленных несоответствий. В данном плане определяются также корректирующие действия, необходимые для устранения причин выявленных несоответствий.

По истечении запланированных сроков Ответственный за ЗИ проводит обобщенный анализ предпринятых мер по устранению выявленных замечаний, который направляется руководству организации.

Обобщенный анализ предпринятых мер по устранению выявленных замечаний используется:

- при разработке предупреждающих действий;

- при планировании последующих контрольных мероприятий;

- при планировании изменений в ИС;

- при оценке эффективности ИС.

19. Порядок защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации

19.1. Вывод ИС из эксплуатации

Обеспечение ИБ в ходе вывода из эксплуатации ИС или после окончания обработки информации осуществляется организацией или уполномоченными организациями, действующими на основании заключенных договоров, в соответствии с эксплуатационной документацией на ИС и настоящим документом.

Процесс вывода из эксплуатации ИС включает:

- архивирование информации, содержащейся в ИС;

- уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации;

- вывод машинных носителей информации из эксплуатации.

Вывод ИС из эксплуатации должен осуществляться под контролем комиссии по выводу из эксплуатации ИС. Комиссия назначается руководителем организации.

Решения комиссии по выводу из эксплуатации оформляются актами в установленном порядке.

ИС считается выведенной из эксплуатации после завершения работы комиссии и издания приказа о выводе ИС из эксплуатации.

19.2. Архивирование информации, содержащейся в ИС

Архивирование информации, содержащейся в ИС, обеспечивается при необходимости ее дальнейшего использования в деятельности организации и участников информационного взаимодействия.

Архивная копия информации ИС снимается на учтенные носители в присутствии представителей комиссии по выводу из эксплуатации, о чем составляется акт.

Учтенные в журнале учета носители информации передаются на ответственное хранение в уполномоченное структурное подразделение оператора ИС по акту приема-передачи.

19.3. Уничтожение данных и остаточной информации с машинных носителей информации

Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости их передачи в сторонние организации для ремонта, технического обслуживания или дальнейшей утилизации.

Гарантированное стирание информации с носителя осуществляется комиссией, сформированной из уполномоченных работников организации, с использованием специализированных сертифицированных технических средств. По результатам гарантированного стирания информации оформляется акт. Далее очищенный носитель передается для дальнейшего использования в структурное подразделение, отвечающее за функционирование ИТ-инфраструктуры организации.

19.4. Вывод машинных носителей информации из эксплуатации

При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей информации.

Уничтожение носителя информации осуществляется комиссией, сформированной из уполномоченных работников организации. Уничтожение носителя предполагает нанесение ему физических повреждений способами, исключающими возможность восстановления информации. О факте уничтожения носителя информации составляется акт, который подписывается членами комиссии. Далее Ответственный за ЗИ информирует структурное подразделение, отвечающее за функционирование ИТ-инфраструктуры, о необходимости снятия его с регистрации по причине уничтожения. После снятия носителя с бухгалтерского учета бухгалтерия уведомляет Ответственного за ЗИ о данном факте.

20. Порядок прохождения пользователями обучения по вопросам обработки и защиты информации

20.1. Общие положения

Целью прохождения обучения пользователей ИС в области ИБ является формирование и поддержание необходимого уровня квалификации пользователей ИС с учетом требований законодательства Российской Федерации в области обработки и защиты информации.

Мероприятия по прохождению обучения пользователей ИС в области ИБ обеспечивают:

- обучение порядку обработки и защиты информации в ИС, правилам эксплуатации ИС и средств защиты информации;

- информирование пользователей ИС об изменениях в области обработки и защиты информации, угрозах безопасности информации, о правилах эксплуатации ИС и средств защиты информации из состава системы защиты информации ИС.

Ответственность за контроль проведения обучения пользователей ИС в области ИБ возлагается на Ответственного за ЗИ.

20.2. Обучение

В рамках обучения пользователей ИС проводятся ознакомление пользователей ИС с организационно-распорядительными документами по защите информации и инструктаж по правилам эксплуатации ИС и отдельных средств защиты информации из состава системы защиты информации ИС.

20.3. Информирование

Целью информирования пользователей ИС является оперативное уведомление пользователей об изменениях в области обработки и защиты информации, о возникновении новых угроз ИБ, об изменениях в законодательстве Российской Федерации в области обработки и защиты информации, а также повышение общего уровня осведомленности пользователей ИС в области защиты информации.

Информирование пользователей ИС может осуществляться посредством размещения материалов (инструкций) на внутреннем (корпоративном) портале.

Также возможно обучение пользователей ИС путем прохождения ими электронных курсов по обеспечению ИБ.

Информационные сообщения могут раскрывать следующие темы, но не ограничиваться:

- принятие документов, касающихся обработки и защиты информации в ИС, или изменение (отмена) действующих;

- принятие и (или) публикация новых нормативных правовых актов и методических документов Российской Федерации в области обработки и защиты информации или изменение (отмена) действующих;

- разъяснения к использованию тех или иных требований организационно-распорядительных документов ИС или нормативных правовых актов и методических документов Российской Федерации;

- статистика выявленных инцидентов ИБ, связанных с нарушением требований по ИБ;

- рекомендации, позволяющие предотвратить совершение пользователями ИС распространенных ошибок и (или) избежать повторения выявленных инцидентов ИБ;

- новые угрозы ИБ, методы предотвращения их реализации, оперативного выявления возникающих в связи с их реализацией инцидентов ИБ;

- разъяснения к использованию средств защиты информации.

21. Порядок эксплуатации средств защиты информации

Эксплуатация средств защиты информации осуществляется в соответствии с эксплуатационными документами на ИС и эксплуатационной и технической документацией на средства защиты информации, входящие в состав ИС.

Контроль за соблюдением условий использования средств защиты информации регулярно производится администратором ИБ. Контроль производится в соответствии с эксплуатационной документацией на средства защиты информации, входящие в состав ИС.

22. Модернизация системы защиты информации

Необходимость модернизации системы защиты информации ИС не реже одного раза в три года оценивает Ответственный за ЗИ. Ответственным за ЗИ проводится проверка состава и структуры ИС, состава угроз и классификации ИС.

Модернизация ИС в обязательном порядке производится в случаях, если:

- изменились состав, или структура самой ИС, или технические особенности ее построения (изменились состав информации, состав или структура ПО, технических средств обработки информации, топологии ИС);

- изменился состав угроз безопасности информации в ИС;

- изменился класс защищенности ИС.

Выбор мер и средств защиты информации проводится на основании проведенного анализа угроз и проведенной классификации ИС.

Ответственный за ЗИ один раз в три года разрабатывает план работ по ИБ, в котором определяется перечень необходимых мероприятий по обеспечению безопасности информации с учетом уже выполненных в ИС мероприятий.

В план работ по обеспечению безопасности информации включаются организационные и технические мероприятия, направленные на выполнение требований законодательства Российской Федерации и на совершенствование ИС, а также контрольные мероприятия и мероприятия по проведению обучения. В плане указываются дата, сроки проведения мероприятий, их периодичность (разовые или регулярные) и назначаются ответственные за их организацию и выполнение.

Уполномоченные лица, участвующие в обеспечении ИБ в ИС, вправе подготавливать предложения по совершенствованию ИС и направлять их Ответственному за ЗИ. Сводный перечень предложений по совершенствованию ИС рассматривается руководителем организации.

Ежегодно Ответственный за ЗИ подготавливает отчет о проделанных мероприятиях по выполнению плана работ по обеспечению безопасности информации и предоставляет его руководству совместно со сводным перечнем предложений по совершенствованию ИС.

Ежегодный отчет по выполнению плана работ включает в себя:

- результаты проведенной проверки состава и структуры, состава угроз и классификации ИС;

- результаты проведенных контрольных мероприятий по ИБ;

- результаты проверок регулирующими органами;

- результаты анализа инцидентов ИБ;

- результаты плановых мероприятий по обеспечению безопасности информации;

- предложения по совершенствованию ИС на основе полученных результатов.

На основании решения, принятого руководством оператора ИС, по результатам рассмотрения ежегодного отчета и предложений по совершенствованию ИС составляется план работ по ИБ, обрабатываемых в ИС, на следующий срок.

23. Ответственность за нарушения

Лица, виновные в нарушении законодательства, регулирующего вопросы обработки и защиты информации, в том числе настоящего документа, несут дисциплинарную, административную, гражданскую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.

Прекращение доступа к информации в ИС и/или увольнение не освобождают работников, осуществлявших обработку информации в ИС, от принятых обязательств по неразглашению информации, ставшей доступной/известной при выполнении должностных обязанностей. Виды дисциплинарных взысканий, порядок их применения и снятия установлены Трудовым кодексом Российской Федерации.

Гражданско-правовая ответственность за причинение ущерба, убытков, морального вреда, за нарушение исключительных прав на результаты интеллектуальной деятельности установлена Гражданским кодексом Российской Федерации и иными федеральными, федеральными конституционными законами.

Лица, виновные в нарушении правил работы с информацией, могут быть привлечены к административной и уголовной ответственности в соответствии с законодательством Российской Федерации.

1 В случае использования в организации системы сбора и корреляции событий ИБ роль ответственного за регистрацию событий может совпадать с ролью ответственного за мониторинг событий ИБ (администраторы, операторы системы сбора и корреляции событий ИБ).