Приказ Департамента информационных технологий и связи Ямало-Ненецкого автономного округа от 23.08.2024 N 109-ОД "Об утверждении Регламента организации двухфакторной аутентификации в едином каталоге пользователей органов власти Ямало-Ненецкого автономного округа"

Во исполнение решения по пункту 2 вопроса III Протокола заочного заседания Совета по защите информации от иностранных технических разведок и от её утечки по техническим каналам в Ямало-Ненецком автономном округе от 13 августа 2024 года N 2, в целях повышения защищенности государственных информационных систем Ямало-Ненецкого автономного округа, приказываю:

1. Утвердить прилагаемый Регламент организации двухфакторной аутентификации в едином каталоге пользователей органов власти Ямало-Ненецкого автономного округа (далее - Регламент).

2. Исполнительным органам Ямало Ненецкого автономного округа руководствоваться Регламентом при получении и использовании средств двухфакторной аутентификации.

3. Государственному казенному учреждению "Ресурсы Ямала" обеспечить выполнение Регламента.

4. Признать утратившим силу приказ департамента информационных технологий и связи Ямало-Ненецкого автономного округа от 31 марта 2021 года N 32-ОД "Об утверждении регламента организации двухфакторной аутентификации в едином каталоге пользователей органов власти Ямало-Ненецкого автономного округа".

5. Контроль за выполнением настоящего приказа возложить на заместителя директора департамента информационных технологий и связи Ямало-Ненецкого автономного округа, курирующего сферу информационных технологий.

И.о. директора департамента

Д.С. Шмелев

Утвержден
приказом департамента
информационных технологий и связи
Ямало-Ненецкого автономного округа
от 23 августа 2024 г. N 109-ОД

Регламент
организации двухфакторной аутентификации в едином каталоге пользователей органов власти Ямало-Ненецкого автономного округа

Перечень используемых сокращений

РСЭД	Региональная система электронного документооборота Ямало-Ненецкого автономного округа
НСД	несанкционированный доступ
СКЗИ	средство криптографической защиты информации
ИО	исполнительные органы Ямало-Ненецкого автономного округа
АРМ	автоматизированное рабочее место
Система	подсистема, интегрированная с Единым каталогом пользователей Участников, реализующая в нём функциональность двухфакторной аутентификации, а также обеспечивающая централизованный учёт и управление жизненным циклом средств аутентификации и электронной подписи на базе программного обеспечения JaCarta Management System
ЕКП	сервис "Единый каталог пользователей Ямало-Ненецкого автономного округа"
Инструкция	инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну

Перечень используемых определений

Оператор	государственное казённое учреждение "Ресурсы Ямала"
Координатор	департамент информационных технологий и связи Ямало-Ненецкого автономного округа
Участник	исполнительные органы автономного округа и их подведомственные учреждения, использующие централизованную систему двухфакторной аутентификации в ЕКП
уполномоченное лицо	сотрудник Участника, уполномоченный на взаимодействие с Оператором и Координатором при получении и возврате средств двухфакторной аутентификации и управление средствами двухфакторной аутентификации в пределах ИО, подведомственного учреждения
средство аутентификации	смарт-карта или иной носитель, содержащий контейнеры PKI или PKI/ГОСТ, используемый для двухфакторной аутентификации
пользователь	сотрудник, для которого требуется управление средством аутентификации
управление жизненным циклом средств аутентификации	выпуск пользовательских ключей и сертификата аутентификации в Едином каталоге пользователей органов власти Ямало-Ненецкого автономного округа, их продление, отзыв и уничтожение

I. Общие положения

1.1. Настоящий Регламент организации двухфакторной аутентификации (далее - Регламент) разработан на основании Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", с учетом положений приказа ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", Методического документа "Меры защиты информации в государственных информационных системах" (утв. ФСТЭК России 11 февраля 2014 года) в целях реализации требований к защите информации в государственных информационных системах ИО.

1.2. Регламент подлежит размещению в форме электронного документа, на официальном сайте Оператора в сети Интернет (https://resources.yanao.ru/).

1.3. Присоединение Участника к Регламенту осуществляется посредством направления заявки Оператору о предоставлении учётной записи уполномоченного лица, что свидетельствует о согласии со всеми положениями Регламента и обязанности его исполнения.

1.4. Присоединение к Регламенту должно учитываться в организационно-распорядительной документации Участника по защите информации.

1.5. Контроль за соблюдением требований Регламента осуществляется Оператором, в части управления жизненным циклом средств аутентификации с помощью Системы и Координатором, в части первичного распределения средств аутентификации.

1.6. Ввиду нахождения в свободном доступе на веб-сайте разработчика аппаратных средств аутентификации (смарт-карт, usb-токенов) стандартных (по умолчанию) пин-кодов администратора и пользователя, высокий уровень безопасности защищаемых средством аутентификации объектов достигается за счет смены стандартных пин-кодов на уникальные и установки ограничения ввод неверных пин-кодов до начала эксплуатации аппаратных средств.

II. Порядок управления и распределения средств аутентификации

2.1. Управление жизненным циклом средств аутентификации осуществляется централизовано с помощью функционала Системы.

2.2. Средства аутентификации, не переданные Участникам, хранятся в отделе информационной безопасности Оператора.

2.3. Каждый Участник назначает уполномоченное лицо, в чьи обязанности вменяется взаимодействие с Оператором и Координатором по вопросам получения и возврата средств двухфакторной аутентификации, а так же управления средствами двухфакторной аутентификации в пределах исполнительного органа или подведомственного учреждения.

2.4. Сведения о назначении уполномоченного лица с указанием его ФИО, должности, номера телефона и адреса электронной почты направляются Координатору, через РСЭД.

2.5. Порядок получения средств аутентификации определяется Координатором.

2.6. Для управления жизненным циклом средств аутентификации Участника на его технических мощностях осуществляется установка консоли управления Системы, позволяющей регистрировать пользователей, выполнять операции со средствами аутентификации.

2.7. Оператор совместно с уполномоченным лицом Участника организуют установку и первичную настройку консоли управления Системы.

2.8. В случае изменения уполномоченного лица (передачи функционала или увольнения) Участник оперативно (не позднее 2 рабочих дней с принятия такого решения) извещает о данном факте Оператора и Координатора посредством направления заявки на портал технической поддержки help.yanao.ru.

Оператор осуществляет процедуру блокировки доступа предыдущего уполномоченного лица и выдачу новых прав на имя нового уполномоченного лица для доступа к консоли управления Системы - не позднее 2 рабочих дней с даты получения заявки.

III. Требования к порядку хранения, выдачи и использования средств аутентификации

3.1. Порядок хранения и выдачи средств аутентификации

3.1.1. Средства аутентификации, переданные Участникам, должны храниться в запираемом хранилище уполномоченного лица до выдачи их пользователям.

3.1.2. Назначение пользователям средств аутентификации осуществляется уполномоченным лицом при создании учетной записи пользователя в ЕКП.

3.1.3. Уполномоченное лицо регистрирует средство аутентификации в консоли управления Системы с привязкой к конкретному пользователю, выпускает и записывает на смарт-карту ключи шифрования и сертификат ЕКП.

3.1.4. Перед выдачей смарт-карты пользователю уполномоченное лицо обязано сменить пин-код администратора контейнера PKI смарт-карты на новый уникальный, состоящий не менее чем из восьми символов. Ввиду невозможности сброса/восстановления пин-кода администратора, уполномоченному лицу необходимо его записать в журнал паролей и хранить в сейфе.

3.1.5. Средства аутентификации выдаются пользователям под роспись в журнале учета аппаратных средств аутентификации (смарт-карт) согласно приложению N 1 к настоящему Регламенту и ознакомления с правилами использования средств аутентификации, определенными настоящим Регламентом.

3.1.6. Считыватели средств аутентификации (смарт-карт) предоставляются Участникам Оператором или Координатором на основании акта приема-передачи. Уполномоченное лицо подключает считыватели к АРМ с занесением соответствующих сведений в журнал учета считывателей согласно приложению N 2 к настоящему Регламенту.

3.2. Правила использования пользователями средств аутентификации

3.2.1. Пользователь несёт персональную ответственность за выданное ему средство аутентификации.

3.2.2. Запрещается оставлять средство аутентификации без присмотра или передавать его другому пользователю.

3.2.3. Запрещается осуществлять деструктивное механическое (сдавливание, скручивание, разрезание, разламывание, растворение оболочки и т.д.) или иное воздействие (подвергание электрическим, электромагнитным или иным излучениям) на средство аутентификации.

3.2.4. С целью обеспечения многократного использования смарт-карты запрещается нанесение несмываемых меток, определяющих принадлежность средства аутентификации конкретному пользователю, за исключением использования смарт-карты совместно с удостоверением государственного служащего автономного округа, выполненного в формате пластиковой наклейки.

3.2.5. Средство аутентификации должно храниться в запираемом хранилище или находиться постоянно при пользователе, которому было передано.

3.2.6. В случае необходимости выдачи пользователю персональной квалифицированной электронной подписи, аппаратное средство аутентификации (смарт-карта) может быть использовано в качестве носителя ключевых документов. После записи на смарт-карту ключей и сертификата квалифицированной электронной подписи, она должна быть учтена в журнале поэкземплярного учета средств криптографической защиты информации в порядке предусмотренном абзацем вторым п. 26 Инструкции, утвержденной приказом ФАПСИ от 13 июня 2001 года N 152.

3.3. Порядок изменения параметров доступа к информационным ресурсам, для которых применяется средство аутентификации

3.3.1. С использованием средств аутентификации возможна реализация двухфакторной аутентификации в любую информационную систему или сетевой ресурс, интегрированные с Единым каталогом пользователей, поддерживающие для авторизации протокол Kerberos.

3.3.2. Перечень информационных ресурсов и систем, доступных для авторизации с использованием средства аутентификации, ограничивается настройками и техническими возможностями систем и ресурсов.

3.4. Порядок возврата средств аутентификации и действия при утере или неисправности средств аутентификации

3.4.1. В случае увольнения или длительного отсутствия пользователя (более 2-х месяцев, например, декретный отпуск), выданное ему средство аутентификации подлежит возврату уполномоченному лицу Участника.

3.4.2. Возврат аппаратного средства аутентификации осуществляется пользователем уполномоченному лицу, о чем последним делается отметка о дате возврата и проставляется личная подпись в журнале учета аппаратных средств аутентификации.

3.4.3. В случае невозможности возврата средства аутентификации пользователем допускается возврат средства аутентификации его непосредственным руководителем.

3.4.4. В случае невозврата уволенным пользователем средства аутентификации оно считается утраченным и незамедлительно блокируется.

3.4.5. В случае утери или неисправности средства аутентификации пользователем, он обязан незамедлительно оповестить о данном факте своего непосредственного руководителя и уполномоченное лицо.

3.4.6. Неисправное средство аутентификации возвращается уполномоченному лицу, с занесением сведений о выводе данного средства из эксплуатации в журнал учёта аппаратных средств аутентификации. Внесенная в журнал запись заверяется подписью уполномоченного лица. Пользователю выдается новое средство аутентификации с новыми пользовательскими ключами и сертификатом ЕКП. Факт выдачи нового средства аутентификации заносится в журнал учета аппаратных средств аутентификации (смарт-карт) и подписывается пользователем.

3.4.7. Контроль за соблюдением пользователем порядка возврата или действий при утере или неисправности средств аутентификации возлагается на непосредственного руководителя пользователя.

3.4.8. Уполномоченное лицо не позднее дня, возврата или получения сообщения об утере средства аутентификации, блокирует возвращенные или утерянные средства аутентификации в консоли управления Системы.

3.5. Контроль за соблюдением требований к использованию средств аутентификации

3.5.1. Уполномоченное лицо ежеквартально осуществляет сверку уволенных или отсутствующих сотрудников, выполняет блокировку выявленных не заблокированных средств аутентификации, а также сообщает руководителю ИОГВ о выявленных нарушениях;

3.5.2. Уполномоченное лицо ежегодно проводит сверку учтенных выданных, возвращенных или утерянных средств аутентификации с фактически имеющимися у него средствами аутентификации. По результатам сверки принимаются меры к розыску недостающих средств аутентификации или их блокировке (в случае невозможности розыска).

IV. Ответственность за выполнение требований Регламента

4.1. Оператор несёт ответственность за:

4.1.1. работоспособность аппаратных и программных средств, обеспечивающих функционирование Системы;

4.1.2. соблюдение сроков исполнения отдельных процедур предоставления сервиса Системы;

4.1.3. соблюдение требований информационной безопасности при эксплуатации Системы, в том числе:

постоянный контроль за событиями безопасности;

защита Системы от несанкционированного доступа;

соблюдение политики разграничения прав доступа и привилегий администраторов, уполномоченных лиц и пользователей Системы;

обеспечение сетевой фильтрации клиентских подключений к серверам Системы в минимальном объеме, достаточном для нормального функционирования;

обновление и устранение уязвимостей Системы;

обеспечение резервного копирования и восстановления Системы;

расследование инцидентов информационной безопасности, связанных с эксплуатацией Системы.

4.2. Координатор несет ответственность за:

4.2.1. предоставление ИОГВ средств аутентификации (смарт-карт) и считывателей к ним;

4.2.2. обеспечение ежегодной технической поддержки от разработчика Системы;

4.2.3. поддержание Системы в соответствии с требованиями федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

4.3. Уполномоченное лицо несет ответственность за:

4.3.1. выполнение требований настоящего Регламента в ИОГВ;

4.3.2. соблюдение порядка и сроков предоставления Оператору и Координатору сведений, необходимых для реализации возложенных на них полномочий;

4.3.3. исполнение требований информационной безопасности, в том числе:

неразглашение учетных данных доступа к Системе;

недопущение попыток повышения привилегий в Системе;

недопущение доступа к информации других Участников, содержащейся в Системе;

недопущение попыток выпуска ключей двухфакторной

аутентификации пользователей других Участников;

недопущение попыток несанкционированного удаления

информации из Системы;

своевременное оповещение ответственного лица Оператора о компрометации учетной.

4.3.4. исполнение требований эксплуатационной документации;

4.3.5. выполнение требований по учёту смарт-карт;

3.1.1. смену пин-кода администратора средства аутентификации и использование уникальных пин-кодов пользователями средств аутентификации.

4.4. Пользователь несет ответственность за:

4.4.1. выполнение настоящего Регламента;

4.4.2. использование средств аутентификации в соответствии с их функциональным назначением;

4.4.3. обеспечение сохранности средств аутентификации;

4.4.4. своевременное предоставление сведений уполномоченному лицу об утрате, поломке средства аутентификации;

4.4.5. соблюдение мер информационной безопасности, препятствующих компрометации ключей средства аутентификации.

4.5. Ответственность сторон, не урегулированная положениями настоящего Регламента, регулируется законодательством Российской Федерации.

Приложение N 1
к Регламенту
организации двухфакторной
аутентификации в едином
каталоге пользователей органов
власти Ямало-Ненецкого
автономного округа

       Типовая форма журнала аппаратных средств аутентификации

                             ЖУРНАЛ

         учета аппаратных средств аутентификации (смарт-карт)

                                      Начат: "___" _____________  20__ г.

                                    Окончен: "___" ______________ 20__ г.

N п/п	Номер корпуса карты	Выдано			Сдано		Примечание
		Ф.И.О. сотрудника	Должность	Дата подпись	Ф.И.О. сотрудника принявшего карту	Дата подпись
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

Приложение N 2
к Регламенту
организации двухфакторной
аутентификации в едином
каталоге пользователей органов
власти Ямало-Ненецкого
автономного округа

     Типовая форма журнала учета считывателей смарт-карт "JaCarta"

                             ЖУРНАЛ

                учета считывателей смарт-карт "JaCarta"

                                      Начат: "___" _____________  20__ г.

                                    Окончен: "___" ______________ 20__ г.

N п/п	Модель считывателя	Серийный номер	Инвентарный номер АРМ	Номер кабинета
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

Памятка по работе с носителями ключевой информации "JaCarta" (PKI/ГОСТ)

1. Носитель ключевой информации "JaCarta" (PKI/ГОСТ) (далее - "JaCarta") предназначен для двухфакторной аутентификации в АРМ, работающих на ОС Windows/Linux, и иных информационных ресурсах Участников, безопасного хранения ключей электронной подписи, а так же в качестве карт доступа к системе контроля и управления доступом.

2. Установленные Участниками правила работы с электронной подписью (СКЗИ) так же распространяются на "JaCarta".

3. Пин-коды по умолчанию администратора и пользователя на всех выпускаемых смарт-картах "11111111", при первом подключении к АРМ, должны быть сменены уполномоченным лицом и пользователем на свои собственные уникальные. Передача "JaCarta" третьим лицам, за исключением непосредственного руководителя запрещена, разглашение собственного пин-кода не допускается никому.

4. Администрирование системы двухфакторной аутентификации "JaCarta" осуществляется уполномоченным сотрудником.

5. Карты "JaCarta" являются собственностью Ямало-Ненецкого автономного округа и не могут быть использованы для личных не связанных с выполнением должностных обязанностей целей.

6. В случае ухода сотрудника в, отпуск по уходу за ребенком, увольнения или иных случаях длительного отсутствия на работе (более 2-х месяцев), смарт-карта должна быть сдана непосредственному руководителю либо лицу, исполняющему его обязанности.