Распоряжение Администрации Курской области от 28.07.2016 N 268-ра "Об утверждении Плана по устранению выявленных уязвимостей и повышению информационной безопасности информационно-телекоммуникационной сети Администрации Курской области"

В целях повышения уровня информационной безопасности единой информационно-коммуникационной среды Администрации Курской области:

1. Утвердить План по устранению выявленных уязвимостей и повышению информационной безопасности информационно-телекоммуникационной сети Администрации Курской области (далее - План).

2. Органам исполнительной власти Курской области:

на основе Плана разработать и утвердить собственные планы по устранению уязвимостей и повышению информационной безопасности собственных информационных систем и сетей;

обеспечить реализацию мероприятий, предусмотренных планом, в пределах бюджетных ассигнований и лимитов бюджетных обязательств, утвержденных им в областном бюджете на 2017 год и на плановый период 2018 - 2019 годов;

проинформировать комитет информатизации, государственных и муниципальных услуг Курской области о проведенных мероприятиях в месячный срок со дня утверждения вышеуказанных планов.

3. Рекомендовать органам местного самоуправления Курской области:

на основе Плана разработать собственные планы по устранению уязвимостей и повышению информационной безопасности собственных информационных систем и сетей, предусмотрев в них объемы финансирования, требуемые для реализации мероприятий, указанных в планах, и включить эти расходы в бюджеты соответствующих уровней на заверенные копии утвержденных планов направить в адрес комитета информатизации, государственных и муниципальных услуг Курской области на бумажном носителе (адрес для отправки корреспонденции: 305002, г. Курск, Красная площадь, Дом Советов) или в электронном виде путем направления на адрес электронной почты (uzi@rkursk.ru).

4. Комитету информатизации, государственных и муниципальных услуг Курской области (Б.В. Юровчик) рассчитать объемы финансирования, требуемые для реализации мероприятий Плана, и включить их в финансирование подпрограммы 2 "Развитие системы защиты информации Курской области" государственной программы Курской области "Развитие информационного общества в Курской области", утвержденной постановлением Администрации Курской области от 24.10.2013 N 775-па.

5. Контроль за исполнением настоящего распоряжения возложить на Управляющего делами Администрации Курской области А.Т. Стрелкова.

6. Распоряжение вступает в силу со дня его подписания.

Губернатор Курской области

А.Н. Михайлов

План
по устранению выявленных уязвимостей и повышению информационной безопасности информационно-телекоммуникационной сети Администрации Курской области
(утв. распоряжением Администрации Курской области
от 28 июля 2016 г. N 268-ра)

N	Наименование мероприятия	Срок	Исполнитель	Результат
1.	Актуализация сведений об использовании антивирусного программного обеспечения в органах исполнительной власти Курской области	июль 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Формирование актуального перечня используемого антивирусного программного обеспечения
2.	Анализ перечня почтовых серверов, используемых в органах исполнительной власти Курской области	июль 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Формирование актуального перечня почтовых серверов органов исполнительной власти Курской области
3.	Изменение настроек DHCP-сервера для увеличения времени актуальности выданных IP-адресов в здании Дома Советов	июль 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Возможность контроля выданных IP-адресов DHCP-сервером на значительном временном отрезке
4.	Разработка Порядка и организация своевременной установки критических обновлений безопасности для прикладного программного обеспечения, в том числе офисных пакетов, средств просмотра PDF документов, интернет-браузеров, средств работы с Flash и Java приложениями и т.д.	октябрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Утвержденный Порядок установки критических обновлений программного обеспечения
5.	Проработка вопроса учета устройств для беспроводного доступа в сеть Интернет	октябрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Исключение наличия сторонних беспроводных сетей
6.	Разработка регламента осуществления резервного копирования информации	октябрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Утвержденный регламент резервного копирования информации
7.	Настройка системы разграничения прав доступа операционных систем с целью предоставления пользователям минимально необходимого перечня прав доступа (ограничение возможности установки программного обеспечения, создания файлов в системных директориях, запуска исполняемых файлов из пользовательских каталогов и т.д.)	октябрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Исключение наличия автоматизированных рабочих мест с превышением необходимых прав для пользователей
8.	Настройка периодической (не реже 1 раза в неделю) полной антивирусной проверки системных и пользовательских каталогов операционной системы, а также полной (не реже 1 раза в месяц) антивирусной проверки всех несъемных носителей информации и процедуры принудительной антивирусной проверки подключаемых внешних носителей информации	ноябрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Минимизация количества вредоносного программного обеспечения на автоматизированных рабочих местах пользователей и серверах
9.	Разработка парольной политики, а также политики обеспечения разграничения прав доступа пользователей информационных систем органов исполнительной власти Курской области	ноябрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Минимизация угроз, связанных с возможностью внутреннего злоумышленника по подбору паролей, используемых для аутентификации пользователей и администраторов на объектах информационно-телекоммуникационной сети, функционирующих с использованием операционных систем семейства Microsoft Windows
10.	Внесение изменений в требования к оснащению автоматизированных рабочих мест органов исполнительной власти Курской области и порядка их использования, в части: установки, настойки и эксплуатации антивирусного программного обеспечения; порядка работы с почтовыми серверами и клиентами, в том числе настройки фильтрации поступающих сообщений; работы с машинными носителями информации	ноябрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Доработанный документ (распоряжение Администрации Курской области N 600-ра от 20.08.2015)
11.	Антивирусная проверка и фильтрация интернет-трафика автоматизированных рабочих мест сотрудников органов исполнительной власти Курской области, серверного и сетевого оборудования	декабрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Минимизация количества вредоносного программного обеспечения на автоматизированных рабочих местах пользователей и серверах
12.	Организация фильтрации доступа к ресурсам "Интернет" по "белым" и "черным" листам (в здании Дома Советов)	декабрь 2016	Комитет информатизации, государственных и муниципальных услуг Курской области	Минимизация угроз при доступе к ресурсам "Интернет"
13.	Обеспечение безопасного использования криптографических протоколов SSL и TLS (в здании Дома Советов)	декабрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Минимизация угроз при получении информации по зашифрованным соединениям
14.	Обучение сотрудников органов исполнительной власти Курской области принципам работы с криптографическими протоколами SSL и TLS (в здании Дома Советов)	декабрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Минимизация угроз при получении информации по зашифрованным соединениям
15.	Взаимодействие с разработчиками официального сайта Губернатора Курской области на предмет устранения выявленных уязвимостей, в том числе с внедрением SQL-кода (SQL injection)	декабрь 2016 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Устранение уязвимостей официального сайта Губернатора Курской области
16.	Переход на 100% использование в органах исполнительной власти Курской области антивирусных средств защиты информации, сертифицированных ФСТЭК и ФСБ России, в том числе на почтовых и web-серверах	февраль 2017 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Обеспечение рабочих мест пользователей и серверов сертифицированными средствами антивирусной защиты
17.	Анализ и внедрение программных продуктов отечественного производства для удаленного доступа к рабочим местам и серверам Администрации Курской области с целью исключения использования иностранного программного обеспечения	март 2017 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Исключение использование несертифицированного иностранного программного обеспечения при удаленном доступе
18.	Организация на серверах электронной почты антивирусной проверки всех входящих писем и фильтрации входящей электронной корреспонденции на предмет наличия спам-сообщений, а также электронных писем, содержащих во вложении исполняемые файлы (EXE, ВАТ, CPL, DLL, JAR, MSI, SCR и т.д.)	март 2017 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Минимизация угроз, связанных с пересылкой электронных почтовых сообщений, содержащих спам и исполняемые файлы
19.	Взаимодействие с разработчиками официальных сайтов органов исполнительной власти Курской области с целью устранения уязвимостей	апрель 2017 г.	Органы исполнительной власти Курской области	Устранение уязвимостей официальных сайтов органов исполнительной власти Курской области
20.	Закупка антивирусных средств защиты информации, сертифицированных ФСТЭК и ФСБ России, для операционных систем Windows и Linux	апрель 2017 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Приобретение сертифицированных средств антивирусной защиты
21.	Комплексная оценка информационной безопасности в информационных системах персональных данных. Разработка моделей угроз безопасности информации и их согласование с УФСБ по Курской области и ФСТЭК России	июнь 2017 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Выработанные модели угроз безопасности информации, согласованные с УФСБ по Курской области и ФСТЭК России
22.	Создание общей политики информационной безопасности органов исполнительной власти Курской области и политики информационной безопасности единой информационной коммуникационной среды Курской области	июль 2017 г.	Комитет информатизации, государственных и муниципальных услуг Курской области	Утвержденные политики информационной безопасности органов исполнительной власти Курской области и единой информационно-коммуникационной среды Курской области
23.	Обновление устаревших и неподдерживаемых операционных систем автоматизированных рабочих мест пользователе	февраль 2018 г.	Комитет информатизации, государственных и муниципальных услуг Курской области, органы исполнительной власти Курской области	Исключение использования на автоматизированных рабочих местах пользователей устаревших и неподдерживаемых операционных систем