Приложение N 5. Инструкция администратора информационной безопасности информационных систем администрации муниципального образования "Город Саратов". Распоряжение администрации муниципального образования "Город Саратов" от 15.06.2023 N 201-р "Об утверждении документов, определяющих политику в отношении обработки персональных данных в администрации муниципального образования "Город Саратов"

Приложение N 5
к распоряжению администрации
муниципального образования
"Город Саратов"
от 15 июня 2023 года N 201-р

Инструкция
администратора информационной безопасности информационных систем администрации муниципального образования "Город Саратов"

1. Общие положения

1.1. Администратор информационной безопасности (далее - администратор ИБ) информационных систем персональных данных (далее - ИСПДн) администрации муниципального образования "Город Саратов" (далее - администрация города), отвечает за обеспечение конфиденциальности, целостности и доступности персональных данных (далее - ПДн) в процессе их обработки в ИСПДн администрации.

1.2. Администратор ИБ обязан поддерживать в актуальном состоянии свои знания законодательных, нормативных правовых актов Российской Федерации и методических материалов в сфере обработки и защиты ПДн.

1.3. Администратор ИБ обязан знать состав, структуру, назначение выполняемых задач ИСПДн, а также состав информационных технологий и технических средств, позволяющих осуществлять обработку ПДн.

1.4. В своей деятельности администратор ИБ руководствуется настоящей Инструкцией, Положением об обработке и защите персональных данных в администрации муниципального образования "Город Саратов", действующим законодательством в сфере защиты персональных данных.

1.5. Настоящая Инструкция разработана с учетом положений следующих законодательных и нормативных правовых актов:

- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119;

- Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17;

- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденный приказом ФСТЭК России от 18 февраля 2013 г. N 21;

- методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 г.;

- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ России от 10 июля 2014 г. N 378.

2. Функции и обязанности администратора информационной безопасности

Администратор ИБ осуществляет:

2.1. Изучение особенностей процессов обработки информации в администрации города с целью принятия решения о необходимости защиты информации и классификации ИСПДн, либо поиск специализированных организаций, производящих на договорной основе такой анализ. В случае привлечения сторонних организаций, администратор ИБ обязан контролировать процесс сбора информации о ИСПДн работниками сторонней организации. По окончании аналитических работ администратор ИБ обязан ознакомиться с их результатами и подписать отчетные документы, либо составить мотивированный отказ в подписании таких документов и отправить их на доработку сторонней организации.

2.2. Определение актуальных угроз безопасности информации и разработку документа "Модель угроз безопасности" либо привлечение на договорной основе сторонних организаций для таких работ.

2.3. Пересмотр актуальных угроз безопасности информации в следующих случаях:

- ежегодный плановый пересмотр актуальных угроз безопасности информации;

- появление в общедоступных источниках информации о новых угрозах и уязвимостях, имеющих предпосылки в ИСПДн;

- существенное изменение условий функционирования ИСПДн, внедрение новых технологий;

- изменение нормативной документации, касающейся моделирования угроз безопасности информации;

- в результате инцидента безопасности.

2.4. Разработку проектной документации на систему защиты информации для ИСПДн (Техническое задание, Технический проект) либо привлечение на договорной основе сторонних организаций для таких работ.

2.5. Участие в подготовке технических заданий для конкурсов и аукционов, связанных с закупкой технических средств, программного обеспечения или средств защиты информации.

2.6. Участие в реализации проекта по защите информации (тестирование системы защиты информации, внедрение системы защиты информации, аттестация ИСПДн по требованиям к защите информации, ввод в действие аттестованной ИСПДн).

2.7. Выработку предложений руководителю аппарата администрации города по вопросам совершенствования системы защиты информации в ИСПДн.

2.8. Ведение учета применяемых в ИСПДн средств защиты информации (в том числе криптосредств), эксплуатационной и технической документации к ним.

2.9. Обеспечение передачи персональных данных через сети связи общего пользования в зашифрованном виде.

2.10. Разработку плана мероприятий по обеспечению безопасности защищаемой информации в ИСПДн и защите периметра информационной системы, а также принятие мер по выполнению мероприятий по обеспечению безопасности защищаемой информации в ИСПДн и непосредственное участие в проведении таких мероприятий, актуализацию плана мероприятий по мере необходимости.

2.11. Контроль неизменности состояния аттестованной ИСПДн (расположение и состав технических средств, состав программного обеспечения, физическое и логическое строение сети). В случае планирования изменения условий функционирования ИСПДн, администратор ИБ должен на основании заявки руководителя подразделения, эксплуатирующего аттестованную ИСПДн, внести изменения в Технический паспорт.

2.12. Контроль физической сохранности и целостности технических средств ИСПДн, а также контроль сохранности и целостности опечатывающих пломб на технических средствах ИСПДн (в том числе и программно-аппаратных средствах защиты информации). Контроль неизменности состава технических средств в ИСПДн.

2.13. Организацию учета съемных носителей информации; настройку соответствующих программных механизмов средств защиты информации для запрета неучтенных съемных носителей; ведение журнала учета съемных носителей.

2.14. Организацию учета иных машинных носителей информации.

2.15. Проведение инструктажей работников, работающих с защищаемой информацией в ИСПДн (далее - пользователи ИСПДн), по темам: правила работы в ИСПДн, защита информации в ИСПДн, положения законодательства в сфере защиты информации и персональных данных, новые угрозы в сфере защиты информации. Повышение осведомленности всех работников администрации города в вопросах информационной безопасности.

2.16. Организацию первоначального доступа пользователям ИСПДн к ресурсам информационный системы; блокировку учетных записей, изменение полномочий пользователей и добавление новых пользователей ИСПДн.

2.17. Резервное копирование защищаемой информации.

2.18. Реализацию горячего резервирования (Hot Standby) ключевых узлов ИСПДн (межсетевых экранов, серверов баз данных, сервера AD, криптошлюзов, коммутаторов, маршрутизаторов).

2.19. Организацию резервных каналов связи и контроль обеспечения провайдером заявленных характеристик канала связи.

2.20. Контроль целостности программного обеспечения (в том числе и средств защиты информации). Периодически (не реже одного раза в месяц) сверяет рассчитанные контрольные суммы ключевых системных и исполняемых файлов программного обеспечения и средств защиты информации (далее - СЗИ) с эталонными значениями.

2.21. Тестирование функций системы защиты от несанкционированного доступа согласно плану мероприятий по обеспечению безопасности информации либо при изменении программной среды или полномочий пользователей ИСПДн.

2.22. Участие в составе группы реагирования на инциденты информационной безопасности в расследованиях причин инцидентов безопасности, внесение по результатам таких расследований предложений по вопросам совершенствования системы безопасности. По мере возможности администратор ИБ должен восстанавливать ущерб, нанесенный информационной системе во время инцидента безопасности, а также восстанавливать ПДн, модифицированную или уничтоженную в результате такого инцидента.

2.23. Контроль выполнения пользователями ИСПДн требований Инструкции пользователя ИСПДн, а также других установленных требований для обеспечения безопасности ПДн.

2.24. Принятие необходимых мер для обеспечения безопасности ПДн в пределах своих полномочий незамедлительно в случае получения от пользователей ИСПДн информации о фактах утраты, компрометации ключевой, парольной и аутентификационной информации, а также любой другой информации ограниченного доступа.

2.25. Обеспечение отсутствия на автоматизированном рабочем месте (далее - АРМ) пользователей ИСПДн средств разработки и отладки программного обеспечения. Контроль отключения на АРМ пользователей и невозможность самостоятельного включения пользователем технологий мобильного кода (JavaScript, Adobe Flash, макросы MS Office и т.д.), кроме случаев, когда использование таких технологий необходимо для выполнения служебных (должностных) обязанностей.

2.26. Выявление уязвимостей ИСПДн посредством периодического сканирования системы сертифицированным сканером безопасности. Принятие решений на основании итогов каждого сканирования.

2.27. Контроль обновлений системного, прикладного программного обеспечения и средств защиты информации (в том числе обновлений антивирусных баз, сигнатур сценариев вторжений, информации об уязвимостях).

2.28. Контроль работников сторонних организаций, производящих ремонт/обслуживание технических средств ИСПДн или настройку/установку программного обеспечения ИСПДн.

2.29. Обеспечение функционирования и поддержания работоспособности в ИСПДн:

- системы защиты информации от несанкционированного доступа;

- системы межсетевого экранирования;

- системы обнаружения и предотвращения вторжений;

- системы криптографической защиты информации;

- системы антивирусной защиты.

2.30. Обеспечение непрерывности процессов в ИСПДн. В случае нарушения работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты, администратор ИБ принимает меры по их своевременному восстановлению и выявлению причин, приведших к нарушению работоспособности.

2.31. Информирование ответственного за организацию обработки ПДн о выявленных нарушениях требований по обеспечению безопасности ПДн и попытках несанкционированного доступа к ресурсам ИСПДн по мере их выявления.

3. Права администратора информационной безопасности

Администратор ИБ имеет право:

3.1. Знакомиться с нормативными актами администрации города, регламентирующими процессы обработки и защиты ПДн.

3.2. Вносить предложения в сфере совершенствования существующей системы защиты информации.

3.3. Требовать от пользователей ИСПДн соблюдения положений Инструкции пользователя ИСПДн и иных нормативных правовых и организационно-распорядительных документов по обеспечению безопасности ПДн.

3.4. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения безопасности ПДн.

3.5. Требовать прекращения работы в ИСПДн, как в целом, так и отдельных пользователей ИСПДн, в случае выявления нарушений требований по обеспечению безопасности ПДн или в связи с нарушением функционирования ИСПДн.

3.6. Обращаться за необходимыми разъяснениями по вопросам обработки и обеспечения безопасности ПДн к ответственному за организацию обработки ПДн.

4. Рабочее место администратора информационной безопасности и централизованное управление системой защиты информации

4.1. Одним из ключевых элементов системы защиты информации в администрации города является АРМ администратора ИБ.

4.2. АРМ администратора ИБ устанавливается таким образом, чтобы исключался как преднамеренный, так и непреднамеренный несанкционированный доступ к техническим средствам АРМ администратора ИБ.

4.3. На АРМ администратора ИБ устанавливаются средства централизованного управления антивирусной защитой ИСПДн, обнаружения вторжений, защиты информации от несанкционированного доступа. Также на АРМ администратора ИБ устанавливается сканер уязвимостей.

4.4. Администратор ИБ осуществляет централизованное управление политикой безопасности в ИСПДн, обновлениями средств защиты информации, обновлениями антивирусных баз и сигнатур, конфигурацией информационной системы. Также администратор ИБ централизованно осуществляет периодическое сканирование уязвимостей ИСПДн.

4.5. Администратор ИБ изучает журналы безопасности СЗИ на предмет выявления инцидентов безопасности.

4.6. АРМ администратора ИБ является объектом защиты и защищается согласно требованиям к тому же классу, по которому классифицирована ИСПДн в целом.

5. Настройка и обслуживание средств защиты информации от несанкционированного доступа

5.1. Администратор ИБ участвует в развертывании СЗИ от несанкционированного доступа в ИСПДн и осуществляет управление и централизованный мониторинг этого средства с АРМ администратора ИБ.

5.2. Администратор ИБ производит настройку подсистемы регистрации, идентификации и аутентификации в соответствии с матрицей разграничения доступа. Идентификации и аутентификации подлежат как пользователи, так и учетные записи служб, приложений, программных процессов.

5.3. Администратор ИБ обеспечивает наличие минимального количества точек входа удаленных пользователей в ИСПДн. Удаленные (внешние) пользователи проходят идентификацию и аутентификацию. Администратор ИБ производит мониторинг подключений и действий внешних пользователей в ИСПДн. Администратор ИБ обеспечивает отсутствие у внешних пользователей привилегированных (административных) прав доступа в ИСПДн. Администратор ИБ обеспечивает доступ внешних (удаленных) пользователей к ИСПДн по защищенным каналам связи. Администратор ИБ предоставляет возможность удаленного доступа в ИСПДн только тем пользователям, которым такой доступ необходим в силу исполнения ими служебных обязанностей. Удаленный доступ запрещается от имени учетных записей с повышенными полномочиями (системные администраторы, администраторы безопасности и т.д.).

5.4. Администратор ИБ осуществляет контроль использования в ИСПДн мобильных технических средств (ноутбуки, нетбуки, планшеты, смартфоны и иные устройства). В случае использования мобильных устройств удаленными пользователями для доступа в ИСПДн, администратор ИБ принимает меры, предусмотренные частью 5.3 данной Инструкции. Учет мобильных технических средств ИСПДн производится администратором ИБ в журнале учета мобильных устройств, имеющих встроенные носители информации.

5.5. Технические средства (мобильные и стационарные) также проходят идентификацию и аутентификацию в ИСПДн. Идентификация и аутентификация устройств производится посредством информационного обмена по специализированным сетевым протоколам (ARP, SNMP, NetBIOS и др.). В качестве идентификаторов устройств могут выступать: логические имена, идентификационные номера, IP-адреса, MAC-адреса или комбинация этих параметров. Администратор ИБ определяет правила идентификации и аутентификации устройств в ИСПДн, конфигурирует протоколы и настраивает в средствах защиты информации соответствующие правила. Администратор ИБ принимает меры для предупреждения таких атак на ИСПДн как MAC-flooding, MAC-spoofing, ARP-spoofing, ARP-poisoning и других.

5.6. Администратор ИБ осуществляет учет машинных носителей информации как стационарных (жесткие диски АРМ и серверов, SSD-накопители и т.д.), так и съемных (флеш-накопители, съемные жесткие диски, карты памяти, память мобильных устройств и т.д.). Каждому носителю присваивается идентификационный номер. Для стационарных машинных носителей информации фиксируется местонахождение носителя (АРМ, кабинет), в случае замены или утилизации стационарного или съемного машинного носителя принимаются меры по гарантированному уничтожению информации на носителе или самого носителя с соответствующей пометкой в журнале учета машинных носителей информации. Съемные машинные носители информации выдаются пользователям под подпись в журнале учета приема/выдачи съемных машинных носителей информации. Дата сдачи машинного носителя также фиксируется в журнале.

5.7. Администратор ИБ осуществляет управление учетными записями. В процессе управления учетными записями администратор ИБ производит следующие действия:

- определяет тип учетной записи (внутренний пользователь, внешний пользователь, системная учетная запись, учетная запись приложения, гостевая учетная запись, временная учетная запись и т.д.);

- объединение учетных записей в группы (при необходимости);

- проводит верификацию пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;

- проводит анализ необходимости тех или иных полномочий в системе для учетных записей служб и приложений;

- производит заведение, активацию, блокирование и уничтожение учетных записей пользователей;

- проводит пересмотр и, при необходимости, корректировку учетных записей пользователей либо в процессе периодического мероприятия, либо в связи с изменением должностных обязанностей того или иного пользователя;

- уничтожает временные учетные записи пользователей, предоставленные для однократного (или ограниченного по времени) выполнения задач в ИСПДн, и учетные записи уволенных работников;

- осуществляет настройку прав доступа пользователей к ресурсам ИСПДн в соответствии с матрицей разграничения доступа;

- настраивает автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования более 90 дней.

5.8. Администратор запрещает любые действия пользователя в ИСПДн до прохождения процедур идентификации и аутентификации, в том числе ограничивает доступ к настройкам BIOS/UEFI. Администратору ИБ до идентификации и аутентификации разрешаются следующие действия с целью диагностики проблем на элементах ИСПДн и восстановления работоспособности элементов ИСПДн:

- загрузка операционной системы в безопасном режиме;

- восстановление операционной системы с последней работоспособной конфигурацией;

- изменение параметров BIOS/UEFI;

- загрузка с внешнего носителя с целью восстановления или переустановки операционной системы, восстановления работоспособности средств защиты информации, сканирования жесткого диска на вирусы, сканирования оперативной памяти или жесткого диска с целью выявления проблем и других действий восстановительного или диагностического характера.

5.9. Администратор ИБ является ответственным за хранение, выдачу, инициализацию средств аутентификации (аппаратных ключей, учетных записей, первичных паролей). Администратор определяет парольную политику и требования к сложности паролей в соответствии с Инструкцией по организации парольной защиты.

5.10. Администратор ИБ устанавливает временной промежуток в 15 минут в качестве допустимого времени бездействия пользователя. После истечения указанного времени происходит блокировка сеанса пользователя.

5.11. Администратор ИБ контролирует наличие и работоспособность средств доверенной загрузки.

5.12. Администратор ИБ запрещает пользователям самостоятельную установку какого-либо программного обеспечения. Перечень разрешенного к установке программного обеспечения определяется исходя из целей и задач, решаемых с помощью ИСПДн. Перечень разрешенного к установке в ИСПДн программного обеспечения подлежит периодическому пересмотру. Установка разрешенного программного обеспечения производится либо администратором ИБ лично, либо в присутствии администратора ИБ и под его контролем.

5.13. Администратор ИБ устанавливает правила использования интерфейсов ввода/вывода технических средств ИСПДн таким образом, чтобы пользователь ИСПДн получал доступ к использованию только тех интерфейсов ввода/вывода, которые необходимы ему для выполнения служебных обязанностей.

5.14. Администратор ИБ настраивает контроль целостности программного обеспечения, осуществляет расчет эталонной контрольной суммы и перерасчет при обновлении (санкционированном изменении) программного обеспечения. Администратор ИБ принимает меры реагирования при нарушении целостности программного обеспечения.

5.15. Администратор ИБ осуществляет настройку и обслуживание средств межсетевого экранирования и средств обнаружения и предотвращения вторжений, обеспечение сетевой безопасности.

6. Обслуживание средств криптографической защиты информации

6.1. Правила работы с криптосредствами определяются комплектной документацией к средствам криптографической защиты информации и соответствующими нормативными актами.

6.2. Администратор ИБ осуществляет настройку и обслуживание системы антивирусной защиты в соответствии с Инструкцией по организации антивирусной защиты.

7. Регистрация и учет событий безопасности

7.1. Под системой регистрации и учета событий безопасности в ИСПДн понимается совокупность средств централизованного управления всех СЗИ в ИСПДн.

7.2. Система регистрации и учета событий безопасности, а также информация, хранящаяся в электронных журналах регистрации событий, сами по себе являются объектами защиты. Администратор ИБ принимает меры по защите этой информации в соответствии с техническим заданием на систему защиты информации. Доступ к записям системы регистрации и учета событий безопасности разрешен только администратору ИБ.

7.3. Администратор ИБ периодически проверяет записи системы регистрации и учета событий безопасности и в случае обнаружения инцидентов информационной безопасности действует согласно Регламенту выявления инцидентов информационной безопасности и порядка реагирования на них в администрации муниципального образования "Город Саратов".

7.4. В ИСПДн реализуется регистрация событий безопасности в виртуальной инфраструктуре. Администратор ИБ участвует в настройке системы регистрации событий безопасности в виртуальной инфраструктуре и проверяет журналы событий с определенной периодичностью. Регистрации подлежат следующие события:

- запуск (завершение) работы компонентов виртуальной инфраструктуры;

- доступ субъектов доступа к компонентам виртуальной инфраструктуры;

- изменения в составе и конфигурации компонентов виртуальной инфраструктуры во время их запуска, функционирования и аппаратного отключения;

- изменения правил разграничения доступа к компонентам виртуальной инфраструктуры.

7.5. Администратор ИБ осуществляет выявление, анализ и устранение уязвимостей.

8. Действия администратора ИБ при ремонте технических средств, обслуживании программного обеспечения и утилизации носителей информации

8.1. Администратор ИБ присутствует в процессе установки, обновления, настройки программного обеспечения в ИСПДн (в том числе и СЗИ) работниками сторонних организаций.

8.2. Администратор ИБ присутствует в процессе ремонта технических средств ИСПДн работниками сторонних организаций на территории администрации. Администратор ИБ обеспечивает гарантированное стирание данных с носителей информации либо демонтаж носителей информации (в том числе и оперативной памяти) с технических средств в случае необходимости отправки технических средств для ремонта на территорию сторонних организаций.

8.3. Администратор ИБ обеспечивает гарантированное стирание данных на машинных носителях информации при утилизации технических средств либо принимает участие в физическом уничтожении машинных носителей информации в составе комиссии по уничтожению.