Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Распоряжение Правительства Республики Саха (Якутия) от 4 сентября 2023 г. N 755-р "О принятии решения о реализации проекта государственно-частного партнерства в отношении создания, обеспечения функционирования, эксплуатации и технического сопровождения автоматизированной информационной системы "Цифровая информационная система учета спортивных достижений Республики Саха (Якутия)"
- Приложение N 2. Существенные условия соглашения о государственно-частном партнерстве в отношении создания, обеспечения функционирования, эксплуатации и технического сопровождения автоматизированной информационной системы "Цифровая информационная система учета спортивных достижений Республики Саха (Якутия)"
- Приложение. Сведения об объекте соглашения
- Приложение N 2. Требования к рабочему месту пользователя системы
Приложение N 2. Требования к рабочему месту пользователя системы
Приложение N 2
к сведениям об объекте соглашения
Требования
к рабочему месту пользователя системы
1. Список сокращений и обозначений
АРМ - автоматизированное рабочее место;
НСД - несанкционированный доступ;
ПО - программное обеспечение;
ПЭВМ - персональная электронная вычислительная машина;
СЗИ - средства защиты информации;
ФСТЭК - Федеральная служба по техническому и экспортному контролю.
2. Введение
Данный документ содержит перечень требований по обеспечению информационной безопасности АРМ пользователей системы. К рабочим местам пользователей системы относятся следующие АРМ):
АРМ сотрудника организации;
АРМ сотрудника органов исполнительной власти и органов местного самоуправления;
АРМ сотрудника спортивных федераций по видам спорта.
Меры по обеспечению информационной безопасности сегментов системы должны определяться политикой информационной безопасности, разработанной в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и постановления Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
3. Требования по организации работ по защите от НСД
Защита информации от НСД должна обеспечиваться на всех технологических этапах обработки информации, в том числе при проведении ремонтных и регламентных работ. Защита информации от НСД должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем или администратором информационной безопасности. В организации, эксплуатирующей АРМ, должен быть назначен администратор информационной безопасности, на которого возлагаются задачи организации работ по использованию АРМ пользователя, выработки соответствующих инструкций для пользователей, а также контроль за соблюдением описанных ниже требований.
3.1. Требования по размещению технических средств
При размещении технических средств с установленным АРМ пользователей:
должны быть приняты меры по исключению НСД в помещения, в которых размещены технические средства с установленным АРМ пользователя, посторонних лиц, по роду своей деятельности, не являющихся персоналом, допущенным к работе в этих помещениях;
внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им персональных и статистических данных.
3.2. Требования по установке общесистемного и специального ПО
При установке ПО на АРМ пользователя необходимо соблюдать следующие требования:
1) на технических средствах, предназначенных для работы с АРМ пользователя, использовать только лицензионное ПО фирм-изготовителей;
2) установку ПО АРМ пользователей необходимо производить только с зарегистрированного, защищенного от записи носителя;
3) на АРМ пользователя не должны устанавливаться средства разработки ПО и отладчики;
4) предусмотреть меры, исключающие возможность несанкционированного необнаруживаемого изменения аппаратной части технических средств, на которых установлено ПО АРМ пользователя (например, путем опечатывания системного блока и разъемов АРМ пользователя);
5) должны использоваться только сертифицированные СЗИ для защиты от НСД;
6) после завершения процесса установки должны быть выполнены действия, необходимые для осуществления периодического контроля целостности, установленного ПО на АРМ пользователей;
7) ПО, устанавливаемое на АРМ пользователей, не должно содержать возможностей, позволяющих:
модифицировать содержимое произвольных областей памяти;
модифицировать собственный код и код других подпрограмм;
модифицировать память, выделенную для других подпрограмм;
передавать управление в область собственных данных и данных других подпрограмм;
несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;
повышать предоставленные привилегии;
модифицировать настройки ОС;
использовать недокументированные фирмой-разработчиком функции ОС.
3.3. Требования по защите от НСД при эксплуатации АРМ
Для обеспечения защиты от НСД при эксплуатации АРМ пользователя необходимо учитывать следующие требования:
1) должна быть предусмотрена система подтверждения легитимности пользователя при работе с АРМ:
аутентификация - сопоставление предъявленных пользователем уникального идентификатора (логина) и соответствующего ему пароля с учетными записями зарегистрированных пользователей на АРМ;
авторизация - сравнение набора прав, присвоенных учетной записи аутентифицированного пользователя с требуемыми для доступа к запрошенному ресурсу, функции, интерфейсу, информационному объекту;
2) должны использоваться сертифицированные ФСТЭК СЗИ для защиты от НСД;
3) должен быть предусмотрен механизм смены пароля для пользователей, при смене пароля в обязательном порядке должно запрашиваться его предыдущее значение;
4) при использовании механизма отсылки по электронной почте забытого пароля должна осуществляться проверка на соответствие учетной записи и электронного адреса;
5) для снижения ошибочных действий пользователей должно быть разработано полное и доступное руководство пользователя;
6) для обеспечения защиты АРМ от вредоносного кода должна использоваться сертифицированная программа для защиты от вирусов.
3.4. Требования к защите от вредоносного кода
Вредоносный код - любой программный код (компьютерный вирус, троян, сетевой червь), приводящий к нарушению функционирования средств вычислительной техники и/или предназначенный для искажения, модификации, уничтожения, блокирования или несанкционированного копирования информации.
Возможен следующий характер проявлений действий вредоносного кода:
искажение изображения на экране монитора;
искажение символов, вводимых с клавиатуры;
блокирование клавиатуры, звуковые эффекты;
стирание или порча отдельных частей диска или файлов;
повреждение загрузочных секторов жесткого диска ПЭВМ;
остановка загрузки или зависание компьютера, значительное замедление его работы;
уничтожение или искажение информации о системной конфигурации АРМ пользователя.
Вредоносный код может попасть на компьютер со сменного носителя (CD-ROM, USB флеш-накопителей и других носителей, даже если эти носители не содержат файлов), при загрузке файлов из сети, с сообщением, полученным по электронной почте, а также через уязвимости операционных систем просто при наличии сетевого подключения компьютера к локальной вычислительной сети. Для защиты АРМ пользователя необходимо использовать сертифицированные антивирусные продукты. При наличии технической возможности, обновление средств защиты и сигнатурных баз должно производиться централизованно, с рабочего места администратора программных средств.
В целях обеспечения защиты от воздействий вредоносного кода пользователю АРМ запрещается:
самостоятельно устанавливать ПО, в том числе командные файлы;
использовать при работе "зараженный" вредоносным кодом либо с подозрением на "заражение" носитель и/или файл;
использовать личные носители на АРМ пользователя;
самостоятельно проводить "лечение" носителя и/или файла;
самостоятельно отключать, удалять и изменять настройки установленных средств защиты.
Пользователь АРМ обязан:
проводить контроль на отсутствие вредоносного кода любых сменных и подключаемых носителей (CD-дисков, DVD-дисков, USB флеш-накопителей и т.п.) и файлов;
входной контроль на отсутствие вредоносного кода компакт-дисков и DVD-дисков, предназначенных для одноразовой записи информации, проводит получатель (владелец) диска однократно с момента приобретения (получения) диска перед использованием его на компьютерах;
пользователь АРМ обязан использовать сертифицированные антивирусные продукты;
обращаться в службу поддержки пользователей системы или непосредственно к администратору.