Приложение N 1. Инструкция администратора безопасности объекта информатизации автоматизированная система "РЭК" Региональной энергетической комиссии Омской области. Приказ Региональной энергетической комиссии Омской области от 07.03.2023 N 3-П "О создании автоматизированной системы для обработки информации ограниченного доступа"

Приложение N 1
к приказу Региональной энергетической
комиссии Омской области
от 7 марта 2023 года N 3-П

Инструкция
администратора безопасности объекта информатизации автоматизированная система "РЭК" Региональной энергетической комиссии Омской области

1. Общие положения

1.1. Настоящая инструкция определяет функции, права и обязанности администратора безопасности автоматизированной системы "РЭК" (далее - АС) Региональной энергетической комиссии Омской области (далее - РЭК) по вопросам обеспечения информационной безопасности при обработке информации, содержащей сведения, составляющие государственную тайну.

1.2. Администратор безопасности назначается из числа сотрудников организации и обеспечивает правильность использования и нормальное функционирование установленных систем и средств защиты информации (далее - СЗИ) от несанкционированного доступа (далее - НСД).

1.3. Настоящая Инструкция является дополнением к действующим руководящим и нормативным документам ФСБ России, ФСТЭК России, Правительства Российской Федерации и Министерства связи и массовых коммуникаций Российской Федерации по вопросам защиты информации, содержащей сведения, составляющие государственную тайну, и не исключает обязательного выполнения их требований.

2. Основные функции администратора безопасности

2.1. Контроль и выполнение требований, действующих нормативных и руководящих документов по вопросам защиты информации, содержащей сведения, составляющие государственную тайну, при проведении работ на автоматизированной системе.

2.2. Настройка и сопровождение в процессе эксплуатации подсистемы управления доступом на ПЭВМ:

- реализация полномочий доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтерам и т.д.);

- ввод описаний пользователей ПЭВМ в информационную базу установленной на ПЭВМ СЗИ от несанкционированного доступа (НСД);

- своевременное удаление описаний пользователей из базы данных СЗИ при изменении списка допущенных к работе на ПЭВМ лиц.

2.3. Контроль доступа к работе на ПЭВМ, в соответствии со списком сотрудников, допущенных к работе на ПЭВМ, контроль соблюдения пользователями требований нормативных и руководящих документов.

2.4. Контроль за проведением смены паролей для доступа пользователями ПЭВМ.

2.5. Настройка и сопровождение подсистемы регистрации и учета действий пользователей при работе на ПЭВМ:

- введение в базу данных установленной на ПЭВМ СЗИ от НСД описания событий, подлежащих регистрации в системном журнале;

- регулярное проведение анализа системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам;

- своевременное информирование председателя РЭК или лица, исполняющего его обязанности, о несанкционированных действиях персонала и проведение расследования попыток НСД;

2.6. Сопровождение подсистемы обеспечения целостности информации на ПЭВМ:

- периодическое тестирование функций установленной на ПЭВМ СЗИ от НСД, особенно при изменении программной среды и полномочий пользователей;

- восстановление программной среды, программных средств и настроек СЗИ при сбоях;

- ведение копии программных средств СЗИ от НСД и контроль их работоспособности;

- поддержание установленного порядка и правил антивирусной защиты информации на ПЭВМ;

- периодическое обновление антивирусных средств (баз данных), установленных на ПЭВМ, контроль соблюдения пользователями порядка и правил проведение антивирусного тестирования ПЭВМ.

2.7. Контроль наличия и целостность пломб (печатей, специальных знаков) на корпусе ПЭВМ и устройств.

3. Права администратора безопасности

Администратор безопасности имеет право:

1) Требовать от пользователей АС и обслуживающего персонала объекта информатизации соблюдения установленных правил обработки информации и выполнения требований руководящих и нормативно-методических документов по защите информации.

2) Обращаться к председателю РЭК или лицу, исполняющему его обязанности, с требованием о прекращении доступа пользователя к работам в АС в случае грубых нарушений требований руководящих и нормативно-методических документов по защите информации, порядка и правил обработки информации, или нарушения функционирования средств и систем защиты информации.

3) Требовать объяснительных документов и назначения служебного расследования в отношении пользователя АС и обслуживающего персонала объекта информатизации по фактам нарушения безопасности информации и НСД к защищаемой информации.

4) Требовать от пользователей прекращения обработки информации на АС в случае:

- нарушения установленного порядка работ,

- нарушения работоспособности средств и систем защиты информации или окончания срока действия сертификатов соответствия ФСБ России или ФСТЭК России,

- получения информации о возможном проведении технической разведки в отношении АС.

5) Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации, и расследованиях фактов (попыток) несанкционированного доступа.

4. Обязанности администратора безопасности

Администратор безопасности обязан:

1) Обеспечивать правильное функционирование и поддерживать работоспособность средств и систем защиты информации от несанкционированного доступа в пределах, возложенных на него функций.

2) Проводить инструктаж пользователей по правилам работы на ПЭВМ с установленными СЗИ от НСД.

3) В случае отказа средств и систем защиты информации принимать меры по их восстановлению.

4) Докладывать председателю РЭК или лицу, исполняющему его обязанности, о фактах и попытках несанкционированного доступа к конфиденциальной информации, о неправомерных действиях пользователей или иных лиц, приводящих к нарушению требований по защите информации, а также об иных нарушениях требований информационной безопасности на объекте информатизации АС.

5) Вносить изменения в документацию на АС в соответствии с требованиями нормативных документов в части, касающейся СЗИ от НСД.

6) Проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учет и принимать меры к их устранению.

7) Контролировать целостность (неизменность, сохранность) программного обеспечения, разрешительной системы доступа, а при обнаружении фактов изменения проверяемых параметров немедленно докладывать соответствующему должностному лицу.

8) Вести учет машинных носителей информации.

9) Проводить работу по выявлению использования пользователями не учтенных машинных носителей информации.

10) Проводить работы по восстановлению данных, модифицированных или уничтоженных вследствие НСД к ним.

11) Не допускать на объекте установку программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.

12) Осуществлять периодическое обновление антивирусных пакетов и контроль их работоспособности.

13) Проводить на постоянной основе мониторинг информационной безопасности и антивирусного контроля.

5. Порядок проведения мониторинга информационной безопасности и антивирусного контроля при обработке информации, содержащей сведения, составляющие государственную тайну

5.1. Мониторинг аппаратного обеспечения.

Мониторинг работоспособности аппаратных компонент автоматизированной системы, обрабатывающей информацию, содержащую сведения, составляющие государственную тайну, осуществляется в процессе их администрирования и при проведении работ по техническому обслуживанию оборудования. Наиболее существенные компоненты системы, имеющие встроенные средства контроля работоспособности (серверы, активное сетевое оборудование) должны контролироваться постоянно в рамках работы администраторов соответствующих систем.

5.2. Мониторинг парольной защиты.

Мониторинг парольной защиты и контроль надежности пользовательских паролей предусматривают:

- установление сроков действия паролей (не более 2 месяцев);

- минимальное количество символов в пароле - восемь;

- в пароле не должны использоваться общеизвестные слова и словосочетания;

- пароли не должны повторять друг друга;

- периодическую (не реже 1 раза в месяц) проверку пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей, которые легко угадать или дешифровать с помощью специализированных программных средств (взломщиков паролей).

5.3. Мониторинг целостности.

Мониторинг целостности программного обеспечения включает следующие действия:

- проверка контрольных сумм и цифровых подписей каталогов и файлов сертифицированных программных средств при загрузке операционной системы;

- обнаружение дубликатов идентификаторов пользователей;

- восстановление системных файлов с резервных копий при несовпадении контрольных сумм.

5.4. Мониторинг попыток несанкционированного доступа.

Предупреждение и своевременное выявление попыток несанкционированного доступа осуществляется с использованием средств операционной системы и специальных программных средств, и предусматривает:

- фиксацию неудачных попыток входа в систему в системном журнале;

- протоколирование работы сетевых сервисов;

- выявление фактов сканирования определенного диапазона сетевых портов, в короткие промежутки времени с целью обнаружения сетевых анализаторов, изучающих систему и выявляющих ее уязвимости.

5.5. Мониторинг производительности.

Мониторинг производительности автоматизированной системы, обрабатывающей информацию, содержащую сведения, составляющие государственную тайну, производится по обращениям пользователей, в ходе администрирования систем и проведения профилактических работ для выявления попыток несанкционированного доступа, повлекших существенное уменьшение производительности системы.

5.6. Системный аудит.

1) Системный аудит производится ежеквартально и в особых ситуациях. Он включает проведение обзоров безопасности, тестирование системы, контроль внесения изменений в системное программное обеспечение.

2) Обзоры безопасности проводятся с целью проверки соответствия текущего состояния системы, обрабатывающей информацию, содержащую сведения, составляющие государственную тайну, тому уровню безопасности, который удовлетворяет требованиям политики безопасности. Обзоры безопасности имеют целью выявление всех несоответствий между текущим состоянием системы и состоянием, соответствующим специально составленному списку для проверки.

3) Обзоры безопасности должны включать:

- отчеты о безопасности пользовательских ресурсов, включающие наличие повторяющихся пользовательских имен и идентификаторов, неправильных форматов регистрационных записей, пользователей без пароля, неправильной установки домашних каталогов пользователей и уязвимостей пользовательских окружений;

- проверку содержимого файлов конфигурации на соответствие списку для проверки;

- обнаружение изменений системных файлов со времени проведения последней проверки (контроль целостности системных файлов);

- проверку прав доступа и других атрибутов системных файлов (команд, утилит и таблиц);

- проверку правильности настройки механизмов аутентификации и авторизации сетевых сервисов;

- проверку корректности конфигурации системных и активных сетевых устройств (мостов, маршрутизаторов, концентраторов и сетевых экранов).

4) Активное тестирование надежности механизмов контроля доступа производится путем осуществления попыток проникновения в систему (с помощью автоматического инструментария или вручную).

5) Пассивное тестирование механизмов контроля доступа осуществляется путем анализа конфигурационных файлов системы. Информация об известных уязвимостях извлекается из документации и внешних источников. Затем осуществляется проверка конфигурации системы с целью выявления опасных состояний системы, т. е. таких состояний, в которых могут проявлять себя известные уязвимости. Если система находится в опасном состоянии, то, с целью нейтрализации уязвимостей, необходимо либо изменить конфигурацию системы (для ликвидации условий проявления уязвимости), либо установить программные коррекции, либо установить другие версии программ, в которых данная уязвимость отсутствует, либо отказаться от использования системного сервиса, содержащего данную уязвимость.

6) Внесение изменений в системное программное обеспечение осуществляется администратором безопасности, с обязательным документированием изменений в соответствующем журнале; уведомлением каждого сотрудника, кого касается изменение; анализ претензий в случае, если это изменение причинило вред; разработкой планов действий в аварийных ситуациях для восстановления работоспособности системы, если внесенное в нее изменение вывело ее из строя.

5.7. Антивирусный контроль.

1) Для защиты серверов и рабочих станций необходимо использовать антивирусные программы:

- резидентные антивирусные мониторы, контролирующие подозрительные действия программ;

- утилиты для обнаружения и анализа новых вирусов.

2) К использованию допускаются только лицензионные средства защиты от вредоносных программ и вирусов или сертифицированные ФСТЭК России средства антивирусной защиты.

3) При подозрении на наличие не выявленных установленными средствами защиты заражений следует использовать Live CD с другими антивирусными средствами.

4) Установка и настройка средств защиты от вредоносных программ и вирусов на рабочих станциях и серверах автоматизированных систем, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, осуществляется администратором безопасности в соответствии с руководствами по установке приобретенных средств защиты.

5) Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено администратором безопасности на отсутствие вредоносных программ и компьютерных вирусов. Непосредственно после установки (изменения) программного обеспечения АС должна быть выполнена антивирусная проверка.

6) Запуск антивирусных программ должен осуществляться автоматически по заданию, централизованно созданному с использованием планировщика задач (входящим в поставку операционной системы либо поставляемым вместе с антивирусными программами).

7) Антивирусный контроль рабочих станций должен проводиться ежедневно в автоматическом режиме. Если проверка всех файлов на дисках рабочих станциях занимает неприемлемо большое время, то допускается проводить выборочную проверку загрузочных областей дисков, оперативной памяти, критически важных инсталлированных файлов операционной системы и загружаемых файлов по сети или с внешних носителей. В этом случае полная проверка должна осуществляться не реже одного раза в неделю в период неактивности пользователя. Пользователям рекомендуется осуществлять полную проверку во время перерыва на обед путем перевода рабочей станции в соответствующий автоматический режим функционирования в запертом помещении.

8) Обязательному антивирусному контролю подлежит любая информация (исполняемые файлы, текстовые файлы любых форматов, файлы данных), получаемая пользователем по сети или загружаемая со съемных носителей (магнитных дисков, оптических дисков, флэш-накопителей и т.п.). Контроль информации должен проводиться антивирусными средствами в процессе или сразу после ее загрузки на рабочую станцию пользователя. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.

9) Устанавливаемое (изменяемое) на серверы программное обеспечение должно быть предварительно проверено администратором на отсутствие компьютерных вирусов и вредоносных программ. Непосредственно после установки (изменения) программного обеспечения сервера должна быть выполнена антивирусная проверка.

10) На серверах систем, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, необходимо применять специальное антивирусное программное обеспечение, позволяющее:

- осуществлять антивирусную проверку файлов в момент попытки записи файла на сервер;

- проверять каталоги и файлы по расписанию с учетом нагрузки на сервер.

11) На серверах электронной почты необходимо применять антивирусное программное обеспечение, обеспечивающее проверку всех входящих сообщений. В случае если проверка входящего сообщения на почтовом сервере показала наличие в нем вируса или вредоносного кода, отправка данного сообщения должна блокироваться. При этом должно осуществляться автоматическое оповещение администратора почтового сервера, отправителя сообщения и адресата.

12) Необходимо организовать регулярное обновление антивирусных баз на всех рабочих станциях и серверах.

13) Необходимо проводить регулярные проверки протоколов работы антивирусных программ с целью выявления пользователей и каналов, через которых распространяются вирусы. При обнаружении зараженных вирусом файлов требуется выполнить следующие действия:

- отключить от компьютерной сети рабочие станции, представляющие вирусную опасность, до полного выяснения каналов проникновения вирусов и их уничтожения;

- немедленно сообщить о факте обнаружения вирусов непосредственному начальнику с указанием предположительного источника (отправителя, владельца и т.д.) зараженного файла, типа зараженного файла, характера содержащейся в файле информации, типа вируса и выполненных антивирусных мероприятий.

5.8. Анализ инцидентов.

1) Если существует подозрение или получено сообщение о том, что информационная система подвергается атаке или уже была скомпрометирована, то необходимо установить:

- факт попытки НСД;

- продолжается ли НСД в настоящий момент;

- кто является источником НСД;

- что является объектом НСД;

- когда происходила попытка НСД;

- как и при каких обстоятельствах была предпринята попытка НСД;

- точка входа нарушителя в систему;

- была ли попытка НСД успешной;

- определить системные ресурсы, безопасность которых была нарушена;

- какова мотивация попытки НСД.

2) Для выявления попытки НСД необходимо установить, какие пользователи в настоящее время работают в системе, на каких рабочих станциях. Выявить подозрительную активность пользователей, проверить, что все пользователи вошли в систему со своих рабочих мест, и никто из них не работает в системе необычно долго. Кроме того, необходимо проверить, что никто из пользователей не выполняет подозрительных программ и программ, не относящихся к его области деятельности.

3) При анализе системных журналов необходимо произвести следующие действия:

- проверить наличие подозрительных записей системных журналов, сделанных в период предполагаемой попытки НСД, включая вход в систему пользователей, которые должны бы были отсутствовать в этот период времени, входы в систему из неожиданных мест, в необычное время и на короткий период времени;

- проверить не уничтожен ли системный журнал и нет ли в нем пробелов;

- просмотреть списки команд, выполненных пользователями в рассматриваемый период времени;

- проверить наличие исходящих сообщений электронной почты, адресованные подозрительным хостам;

- проверить наличие мест в журналах, которые выглядят необычно;

- выявить попытки получить полномочия "суперпользователя" или другого привилегированного пользователя;

- выявить наличие неудачных попыток входа в систему.

4) В ходе анализа журналов активного сетевого оборудования (мостов, переключателей, маршрутизаторов, шлюзов) необходимо:

- проверить наличие подозрительных записей системных журналов, сделанных в период предполагаемой попытки НСД;

- проверить не уничтожен ли системный журнал и нет ли в нем пробелов;

- проверить наличие мест в журналах, которые выглядят необычно;

- выявить попытки изменения таблиц маршрутизации и адресных таблиц;

- проверить конфигурацию сетевых устройств с целью определения возможности нахождения в системе программы, просматривающей весь сетевой трафик.

5) Для обнаружения в системе следов, оставленных злоумышленником, в виде файлов, вирусов, троянских программ, изменения системной конфигурации необходимо:

- составить базовую схему того, как обычно выглядит система;

- провести поиск подозрительных файлов, скрытые файлы, имена файлов и каталогов, которые обычно используются злоумышленниками;

- проверить содержимое системных файлов, которые обычно изменяются злоумышленниками;

- проверить целостность системных программ;

- проверить систему аутентификации и авторизации.

6) В случае заражения значительного количества рабочих станций после устранения его последствий проводится системный аудит.

6. Ответственность администратора безопасности

Администратор безопасности несет ответственность за правонарушения в сфере информации, информационных технологий и защиты информации, которые влекут за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.