Приложение 3. Регламент обеспечения безопасности значимых объектов критической информационной инфраструктуры. Приказ Министерства здравоохранения Кабардино-Балкарской Республики от 18.07.2022 N 270-П "Об обеспечении безопасности значимых объектов критической информационной инфраструктуры"

Приложение 3

Утверждено

приказом

Министерства здравоохранения

Кабардино-Балкарской Республики

от 18 июля 2022 г. N 270-П

Регламент
обеспечения безопасности значимых объектов критической информационной инфраструктуры

1. Общие положения

1.1. Назначение и область применения

Настоящий документ (далее - Регламент) устанавливает правила и общий порядок реализации контроля физического доступа к компонентам значимых объектов критической информационной инфраструктуры (далее - ЗОКИИ) в Министерстве здравоохранения Кабардино-Балкарской Республики (далее - Министерство), идентификации и аутентификации пользователей ЗОКИИ, разграничения доступа пользователей ЗОКИИ, ограничения на действия пользователей ЗОКИИ, а также на изменение условий эксплуатации, состава и конфигурации компонентов ЗОКИИ, порядок отработки действий пользователей и администраторов ЗОКИИ по реализации мер по обеспечению безопасности ЗОКИИ, информирования и обучения персонала ЗОКИИ, контроля за обеспечением безопасности ЗОКИИ и пр.

Регламент разработан на основе приказа ФСТЭК России от 25 декабря 2017 года N 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" и приказа ФСТЭК России 21 декабря 2017 года N 235 "Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования".

Регламент предназначен для специалистов по безопасности или структурного подразделения по безопасности.

1.2. Термины и определения

В Регламенте применены термины, приведенные в Концепции обеспечения безопасности значимых объектов критической информационной инфраструктуры.

1.3. Сокращения

АРМ - Автоматизированное рабочее место;

АС - Автоматизированная система;

ЗОКИИ - Значимый объект критической информационной инфраструктуры;

ИБ - Информационная безопасность;

ИС - Информационная система;

КЗ - Контролируемая зона;

КИИ - Критическая информационная инфраструктура;

НСД - Несанкционированный доступ;

ОРД - Организационно-распорядительные документы;

ОС - Операционная система;

ПБ - Подсистема безопасности;

ПО - Программное обеспечение;

сзи - Средство защиты информации;

скзи - Средство криптографической защиты информации;

СМИ - Средство массовой информации;

ФСБ России - Федеральная служба безопасности Российской Федерации;

ФСТЭК России - Федеральная служба по техническому и экспортному контролю Российской Федерации.

2. Идентификация и аутентификация пользователей ЗОКИИ

2.1. Требования к идентификации и аутентификации пользователей

При осуществлении доступа к объектам доступа в ЗОКИИ, должна осуществляться идентификация и аутентификация субъектов доступа.

К внутренним пользователям в Регламенте относятся должностные лица Министерства (пользователи, администраторы), выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств ЗОКИИ в соответствии с должностными регламентами (инструкциями), утвержденными министром и которым в ЗОКИИ присвоены учетные записи.

В качестве внутренних пользователей дополнительно рассматриваются должностные лица Министерства, а также лица, привлекаемые на договорной основе для обеспечения функционирования ЗОКИИ (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с ОРД Министерства и которым в ЗОКИИ также присвоены учетные записи.

В ЗОКИИ должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами, путем присвоения уникального идентификатора пользователю.

Идентификация пользователей в ЗОКИИ должна обеспечиваться по присвоенным им персональным учетным записям и при использовании систем контроля и управления доступом для осуществления доступа персонала и посетителей на охраняемые объекты (зоны и помещения) электронным подписям (сертификатам ключей проверки электронной подписи (СКПЭП) (ключевым документам) или путем использования биометрических данных.

Аутентификация пользователя должна осуществляться с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации - определенной комбинации указанных средств.

2.2. Идентификация и аутентификация устройств (технических средств)

В ЗОКИИ должна быть обеспечена возможность однозначного сопоставления идентификатора устройства, который однозначно его идентифицирует, путем присвоения уникального идентификатора устройству.

В ЗОКИИ устройствами являются ТС, участвующие в процессе обработки, хранении и передачи защищаемой информации в ЗОКИИ.

Идентификация устройств в ЗОКИИ должна обеспечиваться по логическим именам (имени устройства и (или) уникальному идентификатору (ID), логическим адресам (IP-адресам) и (или) по физическим адресам (МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства.

Аутентификация устройств в ЗОКИИ должна обеспечиваться с использованием соответствующих протоколов аутентификации или с применением в соответствии с законодательством Российской Федерации криптографических методов защиты информации.

Аутентификационная информация (средства аутентификации), заданная производителями и (или) используемая при внедрении или сопровождении ЗОКИИ, системы защиты информации, должна в обязательном порядке быть заменена.

2.3. Идентификация и аутентификация внешних пользователей

В ЗОКИИ должна осуществляться однозначная идентификация и аутентификация пользователей, не являющихся работниками Министерства (внешних пользователей), или процессов, запускаемых от имени этих пользователей.

К пользователям, не являющимися работниками Министерства (внешними пользователями), относятся все пользователи ЗОКИИ, не указанные в разделе 2.1 Регламента в качестве внутренних пользователей.

Внешние пользователи ЗОКИИ должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации.

2.4 Требования к паролям

Личные пароли должны выбираться пользователями ЗОКИИ самостоятельно с учетом следующих требований:

- длина пароля должна быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (!, #, $, %, , &, *, (,), ? и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (qwerty, password, admin, administrator и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

- пароль не должен содержать информацию, связанную с владельцем пароля (имен, номеров телефона, дат рождения и т.д.);

- личный пароль пользователь не имеет права сообщать никому;

- личный пароль нельзя записывать (на бумаге, в файле программного обеспечения или на карманном устройстве), если не может быть обеспечено безопасное хранение и способ хранения не утвержден.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

Для генерации значений паролей могут применяться специальные программные средства. Система генерации паролей должна исключать возможность ознакомления других сотрудников с паролями исполнителей.

2.5. Использование паролей

Количество неуспешных попыток ввода пароля пользователем не должно превышать 10 раз.

Временной период блокировки учетной записи пользователя, в случае превышения допустимого количества неуспешных попыток ввода пароля, должно составлять 10 минут.

Полная плановая смена паролей пользователей должна проводиться через 120 дней использования паролей.

Внеплановая смена личного пароля пользователя или удаление учетной записи пользователя, в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.), должна производиться специалистом по безопасности немедленно после окончания последнего сеанса работы данного пользователя с системой.

При выводе ЗОКИИ из эксплуатации должна быть удалена идентификационная и аутентификационная информация субъектов доступа.

Если увольняемый сотрудник, подрядчик или представитель третьей стороны знал пароли к учетным записям, остающимся активными, то эти пароли должны быть изменены после прекращения занятости, или при ее смене.

2.6. Хранение и контроль

При необходимости, допускается хранить значения своих паролей на бумажном носителе в опечатанном сейфе владельца пароля, специалиста по безопасности или руководителя подразделения, способом, исключающим несанкционированный доступ к паролю, с обязательной возможностью контроля вскрытия носителя, содержащего пароль.

Повседневный контроль за действиями пользователей и обслуживающего персонала ЗОКИИ при работе с паролями, соблюдением порядка их смены, хранения и использования, возлагается на руководителей подразделений, периодический контроль возлагается на специалиста по безопасности.

В случае компрометации личного пароля пользователя ЗОКИИ должны быть немедленно предприняты меры по изменению пароля и выявлению последствий компрометации.

Все учетные записи должны быть изменены таким образом, чтобы не было одинаковых учетных записей и владение учетной записью могло быть отслежено.

Все системные администраторы должны иметь свою собственную учетную запись.

Неактивные учетные записи пользователей должны быть удалены.

Использование одной пользовательской учетной записи для совместной работы несколькими пользователями запрещено. Разрешается совместно использовать только специальные администраторские учетные записи или учетные записи для операций восстановления, при этом данные учетные записи не должны иметь права повышать свои привилегии.

3. Управление доступом пользователей к ЗОКИИ

Должны быть определены субъекты доступа (пользователи, процессы и иные), объекты доступа, являющиеся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа), и политики управления доступом (дискреционная, мандатная, ролевая, комбинированная).

Должны быть определены типы доступа (чтение, запись, выполнение или иные типы доступа) и реализованы правила разграничения доступа, регламентирующие права доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), и введены ограничения на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации программных и программно-аппаратных средств.

Необходимо предотвращать несанкционированное использование фотокопировальных устройств и другой воспроизводящей техники (сканеров, цифровых фотоаппаратов).

Не допускается оставлять информацию, относящуюся к ЗОКИИ, на печатающих устройствах (например, на копировальных устройствах, принтерах, факсах).

В ЗОКИИ не допускается наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе СЗИ, для обновления или управления со стороны лиц, не являющихся работниками Министерства.

В ЗОКИИ не допускается передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе СЗИ, или иным лицам без контроля со стороны Министерства.

При получении информации об увольнении работника, который осуществлял функционирование с ЗОКИИ, специалист по безопасности обеспечивает блокирование доступа данного работника к ЗОКИИ.

Специалист по безопасности ЗОКИИ обязан произвести удаление всех пользовательских учетных записей уволенного работника (в сетевых доменах, почтовых системах, приложениях, сервере удаленного доступа, серверах баз данных и т.п.).

Уничтожение машинных носителей осуществляется комиссией, в состав которой входят ответственный за организацию безопасности ЗОКИИ, специалист по безопасности. По результатам уничтожения носителей составляется акт.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

4.2. Порядок регистрации и выдачи машинных носителей

Учет выдачи машинных носителей ведется в "Журнале учета носителей информации", в котором указывается маркировка носителя, дата, тип/емкость носителя, серийный номер носителя, фамилия, имя и отчество должностного лица, получившего материальный носитель, его роспись, местоположение носителя, сведения об уничтожении носителя/стирании информации.

В случае возврата должностным лицом машинного носителя в "Журнале учета носителей информации" ответственным проставляется отметка о возврате, с указанием времени возврата, личных подписей передающей и принимающей стороны.

5. Антивирусная защита

Реализация антивирусной защиты в ЗОКИИ должна включать обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

К использованию на ЗОКИИ допускаются только сертифицированные антивирусные средства с действующим сертификатом соответствия ФСТЭК России и/или ФСБ России. В случае необходимости использования сторонних антивирусных средств, их применение необходимо согласовывать со специалистом по безопасности.

Установка средств антивирусного контроля на ЗОКИИ осуществляется работниками, обеспечивающими функционирование ЗОКИИ. Настройку параметров средств антивирусного контроля осуществляет специалист по безопасности в соответствии с руководствами по применению конкретных антивирусных средств.

Антивирусный контроль всех дисков и файлов ЗОКИИ после загрузки компьютера должен проводиться в автоматическом режиме (периодическое сканирование или мониторинг).

Периодически, не реже одного раза в месяц, должен проводиться полный антивирусный контроль всех дисков и файлов ЗОКИИ (сканирование).

Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая информация на съемных носителях (CD-диск, flash-носители и т.п.). Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

В случае установки (изменения) ПО компьютера должна быть выполнена антивирусная проверка жестких дисков ЗОКИИ лицом, установившим (изменившим) ПО, под контролем специалиста по безопасности.

Обновление антивирусных баз должно проводиться регулярно, в автоматическом режиме, по мере выхода новых антивирусных баз.

При согласовании со специалистом по безопасности ответственные за установку, модификацию и техническое обслуживание ПО могут отложить процедуру обновления антивирусных баз.

6. Обеспечение целостности

В ЗОКИИ должен осуществляться контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации.

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации, должен предусматривать:

- контроль целостности программного обеспечения средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и (или) по контрольным суммам компонентов средств защиты информации в процессе загрузки и (или) динамически в процессе работы ЗОКИИ;

- контроль целостности компонентов программного обеспечения (за исключением средств защиты информации), определяемого Специалистом по безопасности, исходя из возможности реализации угроз безопасности информации, по наличию имен (идентификаторов) компонентов программного обеспечения и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы ЗОКИИ;

- контроль применения средств разработки и отладки программ в составе программного обеспечения ЗОКИИ;

- тестирование функций безопасности средств защиты информации, в том числе с помощью тест-программ, имитирующих попытки НСД, и (или) средств контроля защищенности ЗОКИИ;

- обеспечение физической защиты технических средств ЗОКИИ.

В случае если функциональные возможности ЗОКИИ предусматривают применение в составе ее программного обеспечения средств разработки и отладки программ, Специалистом по безопасности обеспечивается выполнение процедур контроля целостности программного обеспечения после завершения каждого процесса функционирования средств разработки и отладки программ.

Контроль целостности компонентов программного обеспечения, используемого для реализации критических процессов, а также программного обеспечения средств защиты информации, по наличию имен (идентификаторов) компонентов программного обеспечения и (или) по контрольным суммам должен осуществляться в процессе загрузки ЗОКИИ с использованием функций контроля целостности средств защиты информации от НСД, сертифицированных по требованиям безопасности.

7. Обеспечение доступности

В ЗОКИИ должно обеспечиваться периодическое резервное копирование информации на резервные машинные носители информации, предусматривающее:

- резервное копирование информации на резервные машинные носители информации с установленной периодичностью;

- разработку перечня информации (типов информации), подлежащей периодическому резервному копированию на резервные машинные носители информации;

- регистрацию событий, связанных с резервным копированием информации на резервные машинные носители информации;

- принятие мер для защиты резервируемой информации, обеспечивающих ее конфиденциальность, целостность и доступность.

Резервное копирование информации, обработка которой входит в критические процессы, информации о событиях безопасности, диагностической информации о состоянии компонентов значимого объекта и его ПБ должно производиться ежедневно.

Резервное копирование программного обеспечения и конфигураций компонентов ЗОКИИ и его ПБ должно производиться при вводе их в эксплуатацию, а также по завершении мероприятий по изменению конфигурации ЗОКИИ и его ПБ.

Перечень информации (типов информации), подлежащей периодическому резервному копированию разрабатывается Специалистом по безопасности и утверждается министром. Перечень подлежит актуализации при изменении технологического процесса управления критическими процессами и конфигурации ЗОКИИ и его ПБ.

С целью снижения нагрузки на технические средства и каналы связи, более эффективного использования резервных носителей информации допускается создавать разностные резервные копии информации.

Создание резервных копий и управление резервными копиями должно обеспечиваться сертифицированными по требованиям безопасности информации средствами резервного копирования, обеспечивающими регистрацию событий, связанных с резервным копированием информации на резервные машинные носители информации, и защиту информации об этих событиях.

В ЗОКИИ должна обеспечиваться возможность восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного оператором временного интервала, в том числе:

- определение времени, в течение которого должно быть обеспечено восстановление информации и обеспечивающего требуемые условия непрерывности критических процессов и доступности информации;

- восстановление информации с резервных машинных носителей информации (резервных копий) в течение установленного оператором временного интервала;

- регистрация событий, связанных восстановлением информации с резервных машинных носителей информации.

Восстановление информации с резервных машинных носителей информации (резервных копий) должно обеспечиваться сертифицированными по требованиям безопасности информации средствами резервного копирования, обеспечивающими регистрацию событий, связанных с резервным копированием информации на резервные машинные носители информации, и защиту информации об этих событиях.

В ЗОКИИ должна обеспечиваться возможность восстановления программного обеспечения (в том числе микропрограммного) в нештатных ситуациях в течение установленного организационно-распорядительными документами Министерства временного интервала и включает:

- определение времени, в течение которого должно быть обеспечено восстановление программного обеспечения и обеспечивающего требуемые условия непрерывности критических процессов и доступности информации;

- восстановление программного обеспечения с резервных машинных носителей информации (резервных копий) или установочных (дистрибутивных) носителей в течение установленного временного интервала;

- регистрация событий, связанных восстановлением программного обеспечения.

Восстановление программного обеспечения с резервных машинных носителей информации (резервных копий) должно обеспечиваться сертифицированными по требованиям безопасности информации средствами резервного копирования, обеспечивающими регистрацию событий, связанных с резервным копированием информации на резервные машинные носители информации, и защиту информации об этих событиях.

Восстановление программного обеспечения должно производиться с установочных (дистрибутивных) носителей, полученных только из доверенных источников.

Восстановление микропрограммного обеспечения должно производиться с установочных (дистрибутивных) носителей и с помощью утилит, полученных только из доверенных источников.

В ЗОКИИ должен обеспечиваться контроль состояния и качества предоставления уполномоченными лицами (провайдерами) вычислительных ресурсов (мощностей), в том числе по передаче информации, предусматривающий:

- контроль выполнения провайдерами требований о защите информации, установленных законодательством Российской Федерации и условиями договора (соглашения), на основании которого провайдер обрабатывает информацию или предоставляет вычислительные ресурсы (мощности);

- мониторинг состояния и качества предоставления провайдером вычислительных ресурсов (мощностей);

- мониторинг состояния и качества предоставления провайдером услуг по передаче информации.

8. Защита технических средств и систем

В ЗОКИИ должно обеспечиваться создание контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, реализующие критические процессы, средства защиты информации и средства обеспечения функционирования.

Контролируемая зона включает пространство (территорию, здание, часть здания), в котором исключено неконтролируемое пребывание работников (сотрудников) оператора и лиц, не имеющих постоянного допуска на объекты информационной системы (не являющихся работниками оператора), а также транспортных, технических и иных материальных средств.

В качестве границ контролируемой зоны должны использоваться:

- периметр охраняемой территории;

- ограждающие конструкции охраняемого здания (сооружения) или охраняемой части здания (сооружения), если оно размещено на неохраняемой территории.

Границы контролируемой зоны установлены приказом министра.

Для одного ЗОКИИ (его сегментов) должно быть организовано несколько контролируемых зон при невозможности разместить все технические средства в пределах одной контролируемой зоны.

Министерство должно обеспечивать контроль и управление физическим доступом к техническим средствам ЗОКИИ, средствам защиты информации, средствам обеспечения функционирования, а также доступ в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к техническим средствам, средствам защиты информации и средствам обеспечения функционирования ЗОКИИ и помещения (сооружения), в которых они установлены, в том числе:

- ограничение физического доступа в помещения (сооружения), в которых размещены компоненты ЗОКИИ, обеспечивается установкой прочных дверей и (или) дополнительных ограждающих конструкций на дверных и оконных проемах (решетки и т.п.);

- ограничение физического доступа в сооружения, в которых размещены компоненты ЗОКИИ, обеспечивается установкой ограждающих конструкций по периметру сооружений;

- ограничение физического доступа к техническим средствам (в том числе средствам защиты информации) компонентов ЗОКИИ, размещенных в помещениях и сооружениях ЗОКИИ, обеспечивается размещением защищаемых технических средств внутри ограждающих конструкций (шкафов, закрытых стоек, выделенных огражденных зон в помещении (сооружении).

Все перечисленные средства физической защиты должны быть оснащены средствами разграничения доступа (обеспечивающими только санкционированный доступ), средствами контроля доступа (регистрирующими доступ и (или) сигнализирующими о доступе - охранная сигнализация, средства видеонаблюдения и т.п.).

Контроль и управление физическим доступом должно предусматривать:

- определение лиц, допущенных к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены (далее - объекты физической защиты);

- санкционирование физического доступа к объектам физической защиты;

- учет физического доступа к объектам физической защиты.

Санкционирование доступа к объектам физической защиты должно обеспечиваться с применением технических средств (СКУД, охранная сигнализация) или без применения технических средств (управление выдачей ключей).

Учет доступа к объекту физической защиты, оборудованному СКУД, должно обеспечиваться средствами СКУД.

Учет доступа к объекту физической защиты, оборудованному охранной сигнализацией, должно обеспечиваться средствами охранной сигнализацией. Снятие и постановка объекта физической защиты должна производиться по персональному идентификатору или паролю (пин-коду).

Учет доступа к объекту физической защиты, на котором используется управление выдачей ключей, должна обеспечиваться ведением на объекте журнала доступа, в котором при регистрации доступа указываются: дата и время начала и окончания доступа, Ф.И.О. и должность лица.

Функции контроля и управления физическим доступом могут быть частично делегированы охранной организации на договорной основе. В этом случае правила и процедуры контроля и управления физическим доступом регламентируются договором об оказании услуг в части реализации делегированных функций.

Министерством должно осуществляться размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.

В качестве устройств вывода (отображения) информации в ЗОКИИ следует рассматривать экраны мониторов АРМ пользователей, мониторы консолей управления технических средств (серверов, телекоммуникационного оборудования и иных технических средств), видеопанели, видеостены и другие средства визуального отображения защищаемой информации, печатающие устройства (принтеры, плоттеры и иные устройства), аудиоустройства, многофункциональные устройства.

Размещение устройств вывода (отображения, печати) информации должно исключать возможность несанкционированного просмотра выводимой информации, как из-за пределов контролируемой зоны, так и в пределах контролируемой зоны. Не следует размещать устройства вывода (отображения, печати) информации напротив оконных проемов, входных дверей, технологических отверстий, в коридорах, холлах и иных местах, доступных для несанкционированного просмотра.

Министерством должна обеспечиваться установка на окна помещений ЗОКИИ средств, ограничивающих возможность визуального ознакомления с защищаемой информацией извне помещений (жалюзи, плотные шторы и иные средства), если в этих помещениях размещены устройства вывода информации на печать и (или) осуществляется отображение информации на видеоустройства.

В ЗОКИИ должна осуществляться защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов).

Защита от внешних воздействий в соответствии с требованиями законодательства Российской Федерации (национальных стандартов, технических регламентов), технической и эксплуатационной документации на технические средства ЗОКИИ предусматривает:

- выполнение норм и правил пожарной безопасности;

- выполнение норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления технических средств;

- обеспечение необходимых для эксплуатации технических средств температурно-влажностиого режима и условий по степени запыленности воздуха.

9. Защита информационной (автоматизированной) системы и ее компонентов

В ЗОКИИ должно обеспечиваться разделение функциональных возможностей по управлению (администрированию) ИС, входящих в ЗОКИИ, управлению (администрированию) подсистемой безопасности (функций безопасности) и функциональных возможностей пользователей.

Функциональные возможности по управлению (администрированию) ИС (АС), входящими в ЗОКИИ, управлению (администрированию) подсистемой безопасности включают функции по управлению базами данных, прикладным ПО, телекоммуникационным оборудованием, рабочими станциями, серверами, СЗИ и иные функции, требующие высоких привилегий.

Разделение функциональных возможностей должно обеспечиваться на физическом и (или) логическом уровне путем выделения части программно-технических средств ЗОКИИ, реализующих функциональные возможности по управлению (администрированию) ИС (АС) ЗОКИИ и управлению (администрированию) ПБ, в отдельный домен, использования различных автоматизированных рабочих мест и серверов, различных типов ОС, разных способов аутентификации, различных сетевых адресов, выделенных каналов управления и (или) комбинаций данных способов, а также иными методами.

В ЗОКИИ должна осуществляться защита периметра (физических и (или) логических границ) ИС (АС) при ее взаимодействии с иными ИС, АСУ, ИТКС.

Требования к реализации меры:

1) в ЗОКИИ должна быть обеспечена возможность размещения публичных общедоступных ресурсов (в частности, общедоступный веб-сервер), взаимодействующих с ЗОКИИ через отдельные физические управляемые (контролируемые) сетевые интерфейсы;

2) в ЗОКИИ должно быть обеспечено предоставление доступа во внутренние сегменты ЗОКИИ из внешних ЗОКИИ и сетей только через средства защиты периметра (за исключением внутренних сегментов, которые специально выделены для такого взаимодействия);

3) Министерство должно ограничить количество точек доступа в ЗОКИИ из внешних ЗОКИИ и сетей до минимально необходимого числа для решения постановленных задач, а также обеспечивающего постоянный и всесторонний контроль входящих и исходящих информационных потоков;

4) Министерством:

а) должен применяться отдельный физический управляемый (контролируемый) сетевой интерфейс для каждого внешнего телекоммуникационного сервиса;

б) должны быть установлены правила управления информационными потоками для каждого физического управляемого (контролируемого) сетевого интерфейса;

в) должна обеспечиваться защита информации при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны (при необходимости), путем применения организационно-технических мер или криптографических методов в соответствии с законодательством Российской Федерации;

г) должно обеспечиваться обоснование и документирование всех исключений из правил управления информационными потоками, связанных с решением определенных задач в ИС (АС), и определение продолжительности потребности таких исключений;

д) должно обеспечиваться удаление введенных исключений из правил управления информационными потоками после истечения установленного времени;

5) в ЗОКИИ должен быть исключен выход (вход) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию;

6) Министерством обеспечивается запрет передачи информации за пределы периметра ЗОКИИ при отказе (сбое) функционирования средств защиты периметра;

7) в ЗОКИИ должна быть исключена возможность информационного взаимодействия мобильных и иных технических средств (устройств) с внешними ИС и ИТКС в процессе их удаленного подключения к защищаемой ЗОКИИ с использованием средств построения виртуальных частных сетей;

8) в ЗОКИИ должно обеспечиваться сетевое соединение внутренних сегментов ЗОКИИ (отдельных средств вычислительной техники), определенных Министерством, с установленными им внешними ЗОКИИ и сетями через прокси-серверы, размещенные совместно со средствами защиты периметра, обеспечивающие логирование (отслеживание) TCP-сессий, блокирование конкретных URL, доменных имен, IP-адресов и другим параметрам запросов к внешним информационным ресурсам;

9) в ЗОКИИ должна исключаться возможность выхода через управляемые (контролируемые) сетевые интерфейсы информационных потоков, содержащих вредоносное ПО (вирусы) или признаки компьютерных атак, представляющих угрозу внешним ЗОКИИ и сетям;

10) в ЗОКИИ должна исключаться возможность утечки информации через управляемые (контролируемые) сетевые интерфейсы путем точного соблюдения форматов протоколов, контроля использования стеганографии, отключения внешних сетевых интерфейсов, разборки и сборки пакетов данных, контроля отклонения типа и объема информационного потока от установленного профиля;

11) Министерством должно обеспечиваться исключение возможности несанкционированного физического сетевого подключения к управляемым (контролируемым) сетевым интерфейсам (сетевым интерфейсам средств защиты периметра);

12) в ЗОКИИ для контроля (анализа) защищенности доступ специалиста по безопасности должен обеспечиваться через выделенный отдельный физический управляемый (контролируемый) сетевой интерфейс;

13) в ЗОКИИ должно обеспечиваться корректное завершение ее функционирования в случае нарушения функционирования (сбоя, отказов) средств защиты периметра.

В ЗОКИИ должны быть реализованы меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации на каждом из уровней ЗОКИИ.

Для ЗОКИИ рассматриваются уровни:

1) уровень узлов (рабочих станций, серверов, мобильных устройств и т.д.);

2) уровень внутренней сети;

3) уровень периметра сети;

4) уровень приложений.

Выбранные меры защиты информации рассматриваются для каждого уровня ЗОКИИ отдельно и подлежат реализации с учетом особенностей функционирования каждого из уровней.

При этом в ЗОКИИ должен быть, как минимум, реализован адаптированный для каждого уровня базовый набор мер защиты информации, соответствующий установленной категории значимости.

При отсутствии возможности реализации отдельных мер защиты информации на каком-либо из уровней ЗОКИИ и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на непрерывность критических процессов, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности автоматизированной системы управления.

В ИС (АС), входящих в состав ЗОКИИ, должно быть обеспечено предоставление доступа во внутренние сегменты (демилитаризованную зону) из внешних ЗОКИИ и сетей только через средства защиты периметра (за исключением внутренних сегментов, которые специально выделены для такого взаимодействия). В демилитаризованной зоне размещаются:

- веб-серверы, предоставляющие как общедоступную информацию, так и информацию авторизованным пользователям (как внешним, так и внутренним) через сети связи общего пользования;

- внешние почтовые серверы, взаимодействующие с почтовыми клиентами и другими почтовыми серверами через сети связи общего пользования;

- прокси-серверы;

- иные серверы обмена через сети связи общего пользования.

В ЗОКИИ должно осуществляться управление информационными потоками при передаче информации между устройствами, сегментами в рамках ЗОКИИ, включающее:

- фильтрацию информационных потоков в соответствии с установленными правилами управления потоками;

- разрешение передачи информации в ЗОКИИ только по установленному маршруту;

- изменение (перенаправление) маршрута передачи информации в установленных случаях;

- запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи в установленных случаях.

Управление информационными потоками должно обеспечивать разрешенный маршрут прохождения информации между пользователями, устройствами, сегментами в рамках ЗОКИИ, а также при взаимодействии ЗОКИИ с внешними ИС, иными ЗОКИИ или при взаимодействии с ИТКС на основе правил управления информационными потоками, включающих контроль источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации).

В ИС (АС), входящих в состав ЗОКИИ, должно обеспечиваться сокрытие архитектуры и конфигурации ИС (АС) путем применения:

- средств управления информационными потоками при передаче информации между устройствами, сегментами в пределах ЗОКИИ и за пределы контролируемой зоны;

- организацией эшелонированной системы защиты систем, входящих в состав ЗОКИИ;

- организацией демилитаризованной зоны для размещения средств взаимодействия с внешними ИС, внешними пользователями и внутренними пользователями, использующими средства вычислительной техники и мобильные средства, за пределами сегментов информационных (автоматизированных) систем, входящих в состав ЗОКИИ;

- СЗИ от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны.

Министерством должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы КЗ.

Защита информации должна обеспечиваться путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации СКЗИ или иными методами.

Требования в реализации меры:

1) Министерство должно обеспечивать защиту от модификации и навязывания (ввода ложной информации) видеоинформации (звуковой информации) путем ее маркирования и контроля (в том числе с использованием цифровых водяных знаков) в различных точках тракта ее формирования и распространения;

2) Министерством должно обеспечивать защиту от модификации и навязывания (ввода ложной информации) передаваемой видеоинформации путем выявления и удаления скрытых вставок.

В ЗОКИИ должны обеспечиваться доверенные маршруты передачи данных между компонентами ЗОКИИ. Доверенный канал между пользователем и СЗИ должен обеспечиваться при удаленном и локальном доступе в ЗОКИИ.

В ЗОКИИ должен осуществляться запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств, в том числе путем сигнализации, индикации.

Требования к реализации меры:

1) в ЗОКИИ должна обеспечиваться возможность физического отключения периферийных устройств (например, отключение при организации и проведении совещаний в помещениях, где размещены видеокамеры и микрофоны);

2) в ЗОКИИ должна обеспечиваться возможность блокирования входящего и исходящего трафика от пользователей систем, предоставляющих внешние сервисы (например, системы видеоконференцсвязи), в которых конфигурации (настройки) сервисов для конечных пользователей устанавливаются провайдерами или самими пользователями;

3) Министерством должно обеспечиваться удаление (отключение) из ИС (отдельных сегментов, например, расположенных в защищаемых и выделенных помещениях) периферийных устройств, перечень которых определяется Министерством;

4) Министерством должно обеспечиваться запись и хранение в течение установленного времени информации, переданной (полученной) периферийными устройствами ввода (вывода) информации при разрешенной удаленной активации периферийных устройств ввода (вывода) информации.

В ЗОКИИ должна обеспечиваться защита от угроз безопасности информации, направленных на отказ в обслуживании этой системы:

1) в ЗОКИИ должно обеспечиваться ограничение возможностей пользователей по реализации угроз безопасности информации, направленных на отказ в обслуживании, в отношении отдельных сегментов ЗОКИИ и других ЗОКИИ;

2) в ЗОКИИ должно обеспечиваться управление характеристиками производительности телекоммуникационного оборудования и каналов передачи информации в зависимости от интенсивности реализации угроз безопасности информации, направленных на отказ в обслуживании;

3) Министерством должно обеспечиваться применение СЗИ, предназначенных для нейтрализации угроз безопасности, направленных на отказ в обслуживании.

В ЗОКИИ должно осуществляться управление сетевыми соединениями при передаче информации между устройствами, сегментами в рамках ЗОКИИ, включающее:

- фильтрацию сетевых соединений;

- разрешение передачи информации в ЗОКИИ только по установленному маршруту;

- изменение (перенаправление) маршрута передачи информации в установленных случаях;

- запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи в установленных случаях.

Управление сетевыми соединениями должно обеспечивать разрешенный маршрут прохождения информации между пользователями, устройствами, сегментами в рамках ЗОКИИ, а также при взаимодействии ЗОКИИ с внешними ЗОКИИ, иными ЗОКИИ или при взаимодействии с ИТКС на основе правил управления информационными потоками, включающих контроль источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации).

Министерством должна осуществляться защита применяемых в ЗОКИИ мобильных технических средств.

К мобильным техническим средствам относятся съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные носители), а также портативные вычислительные устройства и устройства связи с возможностью обработки информации (например, ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства).

Требования к реализации меры:

1) Министерством должны применяться средства ограничения доступа к информации на съемных машинных носителях информации с использованием специализированных съемных машинных носителей информации и средств контроля съемных машинных носителей информации;

2) Министерством должна обеспечиваться очистка (удаление) информации в мобильном техническом средстве:

а) при превышении допустимого числа неуспешных попыток входа в ЗОКИИ под конкретной учетной записью (доступа к ЗОКИИ), осуществляемых с мобильного устройства;

б) при превышении допустимого интервала времени с начала осуществления попыток входа в ЗОКИИ под конкретной учетной записью, осуществляемых с мобильного устройства;

3) Министерством должно обеспечиваться применение технических средств защиты периметра уровня узла, устанавливаемых на портативные вычислительные устройства;

4) Министерством должно обеспечиваться шифрование хранимой на носителе мобильного технического средства информации с применением криптографических методов защиты информации в соответствии с законодательством Российской Федерации.

Министерством должно обеспечиваться управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных.

Требования к реализации меры:

1) Министерством должно обеспечиваться перемещение виртуальных машин (контейнеров) и обрабатываемых на них данных в пределах ЗОКИИ только на контролируемые им (или уполномоченным лицом) технические средства (сервера виртуализации, носители, системы хранения данных);

2) Министерством должна осуществляться обработка отказов перемещения виртуальных машин (контейнеров) и обрабатываемых на них данных;

3) в ЗОКИИ должны использоваться механизмы централизованного управления перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных;

4) в ЗОКИИ должна быть обеспечена непрерывность регистрации событий безопасности в виртуальных машинах (контейнерах) в процессе перемещения;

5) в ЗОКИИ должна осуществляться очистка освобождаемых областей памяти на серверах виртуализации, носителях, системах хранения данных при перемещении виртуальных машин (контейнеров) и обрабатываемых на них данных.

10. Управление конфигурацией

Управление изменениями ЗОКИИ и его ПБ должно включать мероприятия:

- определение компонентов и параметров их конфигурации, которые следует изменить;

- разработка изменений, которые предполагается внести (в том числе, обеспечивающие безопасность ЗОКИИ);

- анализ потенциального воздействия планируемых изменений на характеристики ЗОКИИ и обеспечение его безопасности;

- анализ потенциального воздействия на характеристики ЗОКИИ и обеспечение его безопасности в случае отказа от внесения планируемых изменений;

- санкционирование внесения изменений в ЗОКИИ и его ПБ;

- документирование действий по внесению изменений в ЗОКИИ и его ПБ и сохранение данных об изменениях конфигурации.

В ЗОКИИ должна обеспечиваться установка (инсталляция) только разрешенного к использованию в ИС (АС), входящих в ЗОКИИ, ПО и (или) его компонентов.

Установка (инсталляция) в ИС (АС) ЗОКИИ ПО и (или) его компонентов должна осуществляться только от имени администратора соответствующей ИС (АС).

11. Управление обновлениями программного обеспечения

Разрешается установка обновлений ПО, включая ПО СЗИ и ПО базовой системы ввода-вывода, полученных только из доверенных источников.

В качестве доверенных источников должны использоваться:

- дистрибутивные носители, приобретенные у производителей ПО;

- дистрибутивы программного обеспечения, предоставленные организацией, обеспечивающей техническую поддержку программного обеспечения на гарантийной и (или) договорной основе;

- дистрибутивы программного обеспечения, предоставляемые (распространяемые) производителем через свой официальный сайт технической поддержки.

При получении дистрибутивов обновлений ПО данные обновления должны пройти контроль целостности. Контроль целостности компонентов ПО (включая СЗИ) должен осуществляться по наличию имен (идентификаторов) компонентов ПО и по контрольным суммам. Имена (идентификаторов) компонентов ПО и эталонные контрольные суммы должны предоставляться производителем ПО в технической документации, поставляемой вместе с дистрибутивами из доверенного источника.

Контрольные суммы должны рассчитываться по всем компонентам дистрибутива обновлений ПО с помощью средств контроля целостности, встроенных в системное ПО ИС (АС) или средств контроля целостности, приобретаемых дополнительно, в том числе сертифицированных по требованиям безопасности информации.

ПО считается прошедшим контроль целостности, если в предоставленном дистрибутиве обновлений ПО присутствуют все компоненты, указанные в технической документации или в официальном источнике обновлений, и рассчитанные контрольные суммы по каждой компоненте дистрибутива соответствуют эталонной контрольной сумме компонента, указанной в технической документации или в официальном источнике обновлений.

В ЗОКИИ должно обеспечиваться тестирование обновлений ПО, прошедших контроль целостности, на тестовом (стендовом) комплексе технических средств.

В ходе тестирования должно выявляться:

- соответствие параметров ИС (АС) с установленными обновлениями параметрам ИС (АС), заявленным в технической документации ИС (АС);

- отсутствие в ИС (АС) с установленными обновлениями известных уязвимостей;

- отсутствие негативного влияния ИС (АС) с установленными обновлениями на другие компоненты ЗОКИИ.

Если техническая документация, сопровождающая обновления ПО, не содержит программы, методик или рекомендаций по тестированию, то для тестирования обновлений используются соответствующие пункты программ и методик приемочных испытаний ИС (АС).

12. Обеспечение действий в нештатных ситуациях

План действий в нештатных ситуациях представляет собой детальный перечень мероприятий, включающий в себя действия специалиста по безопасности до возникновения нештатной ситуации, во время ее возникновения и после.

К нештатной ситуации в данном Регламенте относятся:

- разглашение информации лицам, не имеющим права доступа к защищаемой информации;

- передача информации по открытым линиям связи;

- обработка информации на незащищенных технических средствах обработки информации;

- опубликование информации в открытой печати и других СМИ;

- передача носителя информации лицу, не имеющему права доступа к ней;

- утрата носителя с информацией, относящейся к ЗОКИИ;

- сбой в работе ПО;

- отключение электроэнергии в Министерстве;

- попытка НСД к ЗОКИИ;

- НСД постороннего лица в место физического хранения носителя информации, к устройству хранения информации, относящейся к ЗОКИИ;

- физическое повреждение ЗОКИИ;

- стихийное бедствие;

- иные нештатные ситуации, не включенные в данный список, но влекущие за собой повреждение ЗОКИИ и возможность потери защищаемой информации, и названные таковыми пользователем ЗОКИИ или специалистом по безопасности.

План должен разрабатываться специалистом по безопасности и утверждаться министром.

Министерство должно провести отработку действий пользователей ЗОКИИ по обеспечению безопасности ЗОКИИ в случае возникновения нештатных ситуаций.

Обучение и отработка действий пользователей ЗОКИИ в случае возникновения нештатных ситуаций должна обеспечить ознакомление пользователей ЗОКИИ с правилами и процедурами обеспечения постоянного функционирования ЗОКИИ и повышение квалификации пользователей ЗОКИИ в части внедрения, реализации и ведения плана мероприятий на случай возникновения нештатных ситуаций.

Программа обучения должна быть определена Министерством. Ответственным за разработку программы и проведение обучения является специалист по безопасности.

Должна проводиться ежегодная проверка процедур восстановления и практическое обучение пользователей ЗОКИИ с целью поддержания возможности восстановления данных в установленном порядке и за определенный интервал времени.

Необходимо определить время, в течение которого должно быть обеспечено восстановление программного и микропрограммного обеспечения, которое обеспечивает требуемые условия непрерывности критических процессов и доступности информации ЗОКИИ в технической документации ЗОКИИ.

Восстановление ПО с резервных машинных носителей информации (резервных копий) должно обеспечиваться сертифицированными по требованиям безопасности информации средствами резервного копирования, обеспечивающими регистрацию событий, связанных с резервным копированием информации на резервные машинные носители информации, и защиту информации об этих событиях.

Восстановление ПО должно производиться с установочных (дистрибутивных) носителей, полученных только из доверенных источников.

Восстановление микропрограммного обеспечения должно производиться с установочных (дистрибутивных) носителей и с помощью утилит, полученных только из доверенных источников.

13. Ответственность

Ответственность за организацию обеспечения безопасности ЗОКИИ несет руководитель Министерства.

Ответственность за реализацию мер по обеспечению безопасности ЗОКИИ несут все подразделения, входящие в состав сил обеспечения безопасности ЗОКИИ.

За несоблюдение требований по обеспечению безопасности, регламентированных ОРД по обеспечению безопасности ЗОКИИ, в том числе настоящей Концепции, а также за халатность и неосторожность при эксплуатации и (или) обеспечении функционирования ЗОКИИ, работники, относящиеся к силам обеспечения безопасности ЗОКИИ, несут дисциплинарную и административную ответственность в соответствии с трудовым договором и действующим законодательством Российской Федерации.

За преднамеренные несанкционированные воздействия на ЗОКИИ работники, относящиеся к силам обеспечения безопасности ЗОКИИ, предусмотрена уголовная ответственность в соответствии с действующим законодательством Российской Федерации.