Приложение N 4. Положение по технической защите информации. Постановление Администрации Ирбитского муниципального образования Свердловской области от 22.04.2024 N 388-ПА "О введении режима безопасности персональных данных в администрации Ирбитского муниципального образования"

Приложение N 4
к постановлению
N 388-ПА от 22.04.2024 г.

Положение
по технической защите информации

1. Общие положения

Положение по технической защите информации (далее - Положение) разработано в целях регламентации защиты персональных данных техническими мерами в Администрации Ирбитского муниципального образования (далее - Оператор).

1.1. Основные понятия, используемые в настоящем Положении

В целях настоящего Положения используются следующие основные понятия:

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

инцидент информационной безопасности - появление одного или нескольких нежелательных, или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации технологического процесса обработки информации и создания угрозы информационной безопасности;

неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств вычислительной техники. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных);

предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

событие информационной безопасности - идентифицированное появление определённого состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.2. Перечень нормативных правовых актов, в соответствии с которыми разработано настоящее Положение

Настоящее Положение разработано в соответствии со следующими нормативными правовыми актами:

- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждённые постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119.

- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённые приказом ФСТЭК России от 18 февраля 2013 года N 21.

1.3. Применение настоящего положения в информационных системах

Требования настоящего положения должны применяться во всех информационных системах оператора. Реализация указанных требований осуществляется администратором информационной системы. Контроль реализации указанных требований осуществляется ответственным за обеспечение безопасности персональных данных. Выявление инцидентов безопасности и реагирование на них осуществляется постоянно действующей экспертной комиссией по информационной безопасности.

2. Правила и процедуры идентификации и аутентификации

При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учётных записей. При этом, пользователю информационной системы должно присваиваться уникальное имя (учётная запись пользователя), которое не должно являться учётной записью публичной электронной почты или иных публичных сервисов.

В информационной системе должна осуществляться идентификация устройств, которая обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, MAC-адресам) устройства или по их комбинации.

Аутентификация должна осуществляться с использованием паролей или иных средств (аппаратных средств, биометрических характеристик и т.п.) или их комбинации. Кроме того, должна осуществляться защита аутентификационной информации от неправомерного доступа к ней и модифицирования. Политики идентификации и аутентификации приведены в Приложении N 1. Владельцы паролей должны быть ознакомлены под подпись с данными требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой на основании письменного указания начальника подразделения данного сотрудника.

Внеплановая смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри организации и другие обстоятельства) администраторов ИСПДн, при этом меняются все пароли, к котором данный сотрудник имел или мог иметь доступ в рамках исполнения служебных обязанностей.

Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри организации и другие обстоятельства) ответственного за обеспечение безопасности персональных данных.

3. Правила и процедуры управления доступом

В информационной системе для управления доступом пользователей (субъектов доступа) к информационным ресурсам (объектам доступа) должны быть реализованы методы управления доступом, назначены типы доступа субъектов к объектам доступа и реализованы правила разграничения доступа субъектов доступа к объектам доступа.

Правила разграничения доступа реализуются на основе должностных обязанностей (функций) работников оператора, которые фиксируются в бумажном или электронном виде в списках доступа или матриц доступа, и должны обеспечивать управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, устройствам, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации, а также иным объектам доступа.

При доступе к информационным ресурсам должны быть запрещены любые действия до прохождения процедур идентификации и аутентификации пользователем, за исключением случая, когда такой ресурс является общедоступным и технологическим процессом предусмотрено ознакомление и (или) модификация информации на нем. В этом случае, в списках доступа или матриц доступа должны быть определены возможные действия пользователя, разрешённые до идентификации и аутентификации. Администратору разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).

Управление информационными потоками должно обеспечивать маршрут прохождения информации, необходимый для выполнения технологических процессов обработки информации оператора, между пользователями, устройствами, сегментами в рамках информационной системы, а также между информационными системами или при взаимодействии с сетью Интернет (или другими информационно-телекоммуникационными сетями международного информационного обмена) на основе правил управления информационными потоками, включающих в себя контроль конфигурации информационной системы, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации). Управление информационными потоками должно блокировать передачу защищаемой информации через сеть Интернет (или другие информационно-телекоммуникационные сети международного информационного обмена) по незащищённым линиям связи, сетевые запросы и трафик, несанкционированно исходящие из информационной системы и (или) входящие в информационную систему.

При реализации удалённого доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети должна осуществляться его защита, которая включает:

- установление видов доступа, разрешённых для удалённого доступа к объектам доступа информационной системы;

- ограничение на использование удалённого доступа в соответствии с задачами (функциями) информационной системы; предоставление удалённого доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);

- мониторинг и контроль удалённого доступа на предмет выявления несанкционированного удалённого доступа к объектам доступа информационной системы;

- контроль удалённого доступа пользователей (процессов, запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой (передачи защищаемой информации).

Форма списка доступа (матрицы доступа) приведена в Приложении N 2. В случае формирования средством защиты информации или программным средством, в которое встроены функции защиты информации, отличных по форме списков доступа или матриц доступа, допускается их использование, если обеспечена их актуальность.

4. Правила и процедуры ограничения программной среды

В информационной системе разрешено использование программного обеспечения, которое необходимо для выполнения технологических процессов обработки информации, предусмотренных оператором.

Правами на установку обладают только лица, определённые в соответствии с правилами разграничения доступа, которые приведены в разделе 3 настоящего документа.

Перечень программного обеспечения, разрешённого в информационной системе, приведён в Приложении N 3.

5. Правила и процедуры защиты машинных носителей информации

Должен осуществляться учёт машинных носителей информации, используемых в информационной системе для хранения и обработки информации.

Учёту подлежат:

- съёмные машинные носители информации (флэш-накопители, внешние накопители на жёстких дисках и иные устройства);

- портативные вычислительные устройства, имеющие встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства);

- машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жёстких дисках).

Учёт машинных носителей информации включает присвоение регистрационных (учётных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учёта, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера. При использовании в составе одного технического средства информационной системы нескольких встроенных машинных носителей информации, конструктивно объединённых в единый ресурс для хранения информации, допускается присвоение регистрационного номера техническому средству в целом.

Регистрационные или иные номера подлежат занесению в журнал учёта машинных носителей информации с указанием должностного лица ответственного за его хранение.

Форма журнала учёта машинных носителей информации приведена в Приложении N 4.

Правила разграничения доступа к машинным носителям информации реализуются аналогично разделу 3. Пользователи или группы пользователей, которым разрешён доступ к машинным носителям информации, фиксируются в списках доступа или матрицах доступа.

При необходимости передачи машинных носителей информации между пользователями (имеющими разный доступ к информации), в сторонние организации для ремонта или утилизации, должно осуществляться уничтожение (стирание), которое исключает возможность восстановления защищаемой информации.

Уничтожение информации на машинных носителях осуществляет постоянно действующая экспертная комиссия по информационной безопасности в соответствии с действующим положением.

6. Правила и процедуры регистрации событий безопасности

В информационной системе должна осуществляться регистрация событий безопасности, которые приведены в Приложении N 5. Инцидентом безопасности является аномальное событие безопасности (не предусмотренное технологическим процессом обработки информации), включая сбои в регистрации событий безопасности. В случае выявления инцидента безопасности, необходимо незамедлительно поставить в известность постоянно действующую экспертную комиссию по информационной безопасности для принятия решения по реагированию на данный инцидент.

Регистрация событий безопасности в информационной системе осуществляется средством защиты информации или программным средством, в которое встроены функции защиты информации.

Правами на доступ к событиям безопасности обладают только лица, определённые в соответствии с правилами разграничения доступа, которые приведены в разделе 3 настоящего документа.

7. Правила и процедуры антивирусной защиты

В информационной системе должны применяться средства антивирусной защиты на автоматизированных рабочих местах, серверах, а также на периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации) и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съёмные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы).

В информационной системе должно осуществляться проведение периодических проверок компонентов информационной системы (автоматизированных рабочих мест, серверов, других средств вычислительной техники) на наличие вредоносных компьютерных программ (вирусов) не реже, чем 1 раз в неделю. Кроме того, объекты (файлы) из внешних источников (съёмных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении должны проверяться в масштабе времени, близком к реальному.

База данных признаков вредоносных компьютерных программ (вирусов) должна поддерживаться в актуальном состоянии; также должен осуществляться контроль её целостности.

8. Правила и процедуры контроля (анализа) защищённости информации

В информационной системе должны осуществляться выявление (поиск), анализ и устранение уязвимостей. Поиск уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации, правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением, выполняется с использованием сканеров уязвимостей. Сканирование всех информационных ресурсов должно проводиться не реже чем 1 раз в квартал.

В качестве источников информации об уязвимостях используются опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей. При этом, анализ источников информации об уязвимостях на предмет появления новых уязвимостей для компонентов информационной системы должен проводиться ежедневно.

В случае выявления уязвимостей, по результатам сканирования или при анализе источников информации об уязвимостях, критических для компонентов информационной системы, должны быть предприняты меры по устранению выявленных уязвимостей, в том числе путём установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств.

В случае невозможности устранения выявленных уязвимостей путём установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств необходимо предпринять действия (настройки средств защиты информации, изменение режима и порядка использования информационной системы), направленные на устранение возможности использования выявленных уязвимостей.

Регистрация событий, связанных с обнаружением уязвимостей в информационной системе, реализуется аналогично разделу 6. О фактах выявления критических уязвимостей необходимо информировать постоянно действующую экспертную комиссию.

В информационной системе должен осуществляться контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.

При контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации, установленного в информационной системе и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений.

Контроль установки обновлений проводится не реже 1 раза в месяц. Регистрация событий, связанных с установкой обновлений, реализуется аналогично разделу 6.

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации проводится постоянно действующей экспертной комиссией по информационной безопасности в соответствии с утверждённым планом мероприятий по информационной безопасности.

Контроль состава технических средств, программного обеспечения и средств защиты информации проводится постоянно действующей экспертной комиссией по информационной безопасности в соответствии с утверждённым планом мероприятий по информационной безопасности.

9. Правила и процедуры обеспечения целостности информационной системы и информации

В информационной системе должны применяться средства резервного копирования для обеспечения возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций.

В случае возникновения нештатных ситуаций, которые привели к нарушениям работы информационных систем, должны быть обеспечены:

- восстановление программного обеспечения, включая программное обеспечение средств защиты информации, из резервных копий (дистрибутивов) программного обеспечения;

- восстановление и проверка работоспособности системы защиты информации, обеспечивающие необходимый уровень защищённости информации;

- возврат информационной системы в начальное состояние (до возникновения нештатной ситуации), обеспечивающее её штатное функционирование, или восстановление отдельных функциональных возможностей информационной системы, определённых оператором, позволяющих решать задачи по обработке информации.

С целью обеспечения своевременного восстановления при инциденте ежемесячно должно осуществляться тестовое восстановление каждого ресурса, подлежащего резервному копированию. При этом проверяется: наличие и целостность резервной копии, возможн