Приложение N 8. Требования и регламент доступа к внутренним информационным ресурсам извне. Приказ Федерального агентства водных ресурсов от 30.04.2021 N 117 "Об обеспечении технической защиты информации, содержащей сведения конфиденциального характера, в информационных системах Федерального агентства водных ресурсов"

Приложение N 8
к приказу Федерального
агентства водных ресурсов
от 30.04.2021 г. N 117

Требования и регламент доступа к внутренним информационным ресурсам извне

1. Введение

Настоящие требования и регламент доступа к внутренним информационным ресурсам извне предназначены для соблюдения требований ИБ при удаленном подключении к ИС Росводресурсов.

Настоящий документ рассматривает ситуации удаленного подключения отдельных пользователей. Ситуации подключения организаций приводятся в документе "Требования и регламент подключения и доступа к внутренним информационным ресурсам со стороны подсетей территориальных органов и подведомственных организаций".

2. Требования при организации доступа к внутренним информационным ресурсам извне

В общем случае удаленный доступ к внутренним информационным ресурсам извне запрещен.

Удаленный доступ к внутренним информационным ресурсам извне допускается в следующих случаях:

- производится обслуживание информационных систем Росводресурсов работником Росводресурсов, либо работником подрядной организации, в ситуации, когда такое обслуживание согласовано с администратором ИБ и не может быть выполнено очно;

- производится оперативное устранение последствий инцидента с привлечением сторонних организаций;

- организуется удаленный доступ работника Росводресурсов по служебной необходимости и по согласованию с администратором ИБ, системным администратором (при согласовании обращения системным администратором создается учетная запись для пользователя).

При всех случаях удаленного подключения должны соблюдаться следующие условия:

- доступ к внутренним информационным ресурсам извне производится исключительно с применением штатных средств защиты информации в каналах передачи данных, применяемых в Росводресурсах;

- каждому пользователю соответствует одна учетная запись для удаленного доступа с уникальным идентификатором, пользователям запрещается получать удаленный доступ под чужой учетной записью либо передавать атрибуты доступа своей учетной записи другим лицам;

- все случаи организации удаленного доступа пользователей согласуются с администратором ИБ, системным администратором (при согласовании обращения системным администратором создается учетная запись для пользователя);

- при получении удаленного доступа пользователю (в том числе системному администратору) не могут предоставляться полные права доступа ко всем серверам, эксплуатируемым в Росводресурсах;

- права удаленного доступа подлежат регулярному контролю и пересмотру;

- для удаленных подключений устанавливается прерывание сессии подключения при бездействии в течение установленного времени, не превышающего 12 часов.

3. Регламент доступа к внутренним информационным ресурсам извне

3.1 Согласование предоставления доступа

Работники Росводресурсов, которым необходим удаленный доступ к информационным ресурсам, подают заявку, согласованную их прямым руководителем, в бумажном либо электронном виде (в том числе посредством электронной почты) администратору ИБ или системному администратору. Заявка должна содержать:

- ФИО работника;

- должность и подразделение работника;

- перечень ресурсов, к которым необходим доступ.

Работники подрядных организаций, которым необходим удаленный доступ к информационным ресурсам, подают заявку в бумажном либо электронном виде (в том числе посредством электронной почты) администратору ИБ или системному администратору. Заявка должна содержать:

- ФИО и наименование организации работника;

- перечень ресурсов, к которым необходим доступ, и права доступа.

Заявки согласуются администратором ИБ или системным администратором. Администратор ИБ или системный администратор проверяет служебную необходимость и отсутствие избыточности в предоставляемых правах удаленного доступа.

3.2 Организация предоставления доступа

Системный администратор, ответственный за эксплуатацию подсистемы защиты информации в каналах передачи данных, по согласованной заявке создает учетную запись пользователя удаленного доступа и настраивает соответствующие права удаленного доступа.

Системный администратор организует предоставление программного обеспечения для работников Росводресурсов и настройку автоматизированных рабочих мест пользователей для удаленного доступа. Подрядные организации организуют настройку рабочих мест самостоятельно, с применением ПО и настроек для удаленного доступа по указанию системного администратора.

Системный администратор организует передачу атрибутов доступа пользователям. Пользователи обязаны соблюдать конфиденциальность атрибутов доступа и сообщать системному администратору и администратору ИБ о компрометации атрибутов доступа.

Системный администратор проверяет корректность организации удаленного доступа на основании событий успешного подключения пользователей.

3.3 Пересмотр, отзыв, блокировка прав доступа

Права удаленного доступа в случае увольнения пользователя или неактивности учетной записи подлежат блокированию в срок не более чем через 360 дней после даты увольнения.

Сессии удаленного доступа пользователей подлежат автоматическому прерыванию при бездействии в течение установленного времени, не превышающего 12 часов. Для пользователей, обладающих правами администратора, рекомендуется устанавливать прерывание сессии при бездействии более 3 часов.

Действующие права удаленного доступа пользователей подлежат пересмотру системным администратором. При пересмотре должен проводиться контроль соответствия прав удаленного доступа и служебной необходимости либо требованиям договора/контракта.

Администратор ИБ вправе требовать от системного администратора блокировки учетных записей пользователей и прав удаленного доступа в случае подозрения на нарушение требований ИБ или инцидента ИБ.

4. Роли и ответственность

4.1 Системный администратор:

Системный администратор, ответственный за эксплуатацию подсистемы защиты информации в каналах передачи данных:

- согласует заявки на предоставление удаленного доступа;

- обеспечивает настройку учетных записей и прав пользователей для организации удаленного доступа;

- обеспечивает установку и настройку ПО, предназначенного для организации удаленного доступа работников Росводресурсов;

- обеспечивает консультацию и поддержку работников подрядных организаций, получающих удаленный доступ к информационным ресурсам Росводресурсов.

4.2 Администратор ИБ

Администратор ИБ:

- согласует заявки на предоставление удаленного доступа;

- осуществляет периодический выборочный контроль соответствия запрашиваемых прав удаленного доступа служебной необходимости либо условиям действующего договора/контракта;

- организует реагирование на инциденты ИБ, связанные с наличием удаленного доступа к информационным ресурсам.

4.3 Пользователь с правами удаленного доступа:

Пользователь с правами удаленного доступа:

- формирует заявку на предоставление удаленного доступа в соответствии с разделом 3.1 настоящего документа;

- обеспечивает конфиденциальность полученных атрибутов удаленного доступа;

- несет ответственность за все действия, сделанные от лица своей учетной записи;

- уведомляет системного администратора и администратора ИБ о случаях компрометации атрибутов доступа и иных инцидентах, связанных с удаленным доступом к информационным ресурсам.