Приложение. Политика информационной безопасности администрации муниципального образования Гусь-Хрустальный район. Постановление администрации муниципального образования Гусь-Хрустальный район Владимирской области от 01.03.2017 N 203 "Об утверждении Политики информационной безопасности администрации муниципального образования Гусь-Хрустальный район"

Приложение
к постановлению
администрации района
от 01.03.2017 N 203

Политика информационной безопасности администрации муниципального образования Гусь-Хрустальный район

1. Общие положения

Настоящая Политика информационной безопасности администрации муниципального образования Гусь-Хрустальный район (далее - Политика) разработана в соответствии с законодательством Российской Федерации и нормами права в части обеспечения информационной безопасности, требованиями нормативных актов федерального органа исполнительной власти, уполномоченного в области безопасности (ФСБ России), федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), и основывается, в том числе, на:

- Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 05.12.2016 N 646;

- Федеральном законе от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации";

- Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральном законе от 06.04.2011 N 63-ФЗ "Об электронной подписи";

- Указе Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

- Постановлении Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Постановлении Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- Постановлении Правительства Российской Федерации от 18.05.2009 N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям";

- Приказе ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- Приказе ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Приказе ФСБ России от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

- Приказе ФСБ России N 416, ФСТЭК России N 489 от 31.08.2010 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования";

- Приказе ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- Приказе ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

- Методических рекомендациях по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденных ФСБ России 31.03.2015 N 149/7/2/6-432.

Настоящая Политика является нормативным документом администрации муниципального образования Гусь-Хрустальный район (далее - администрация района), устанавливает принципы построения системы информационной безопасности (далее - ИБ) в информационно-телекоммуникационной сети (далее - ИТС) администрации района с целью обеспечения требуемого уровня безопасности обрабатываемой в ней информации, не содержащей сведений, составляющих государственную тайну.

Настоящая Политика предназначена для муниципальных служащих, работников органов и структурных подразделений администрации района, подведомственных муниципальных учреждений администрации района (далее - сотрудники), а также для подрядных организаций (разработчиков), осуществляющих создание или модернизацию ИТС администрации района.

Настоящая Политика должна служить нормативно-методическим материалом при формулировании требований по обеспечению безопасности информации в технических заданиях на создание (модернизацию) ИТС администрации района.

Настоящая Политика не исключает необходимости выполнения требований действующих федеральных нормативных правовых актов, российских и международных стандартов, устанавливающих требования к обеспечению безопасности и разработке автоматизированных систем.

2. Термины и определения

В настоящей Политике использованы термины с соответствующими определениями согласно действующим федеральным нормативным правовым актам, российским и международным стандартам, устанавливающим требования к обеспечению информационной безопасности.

Безопасность информации (1) - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

Вирус (компьютерный, программный) (2) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа (3) - программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

Доступ к информации (4) - возможность получения информации и ее использования.

Защита информации (5) - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защита информации от несанкционированного воздействия (6) - защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от несанкционированного доступа (7) - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Защищаемая информация (8) - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Инцидент безопасности (9) - одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.

Информация (10) - сведения (сообщения, данные) независимо от формы их представления.

Информационная безопасность (в широком смысле) (11) - состояние защищенности национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Информационная безопасность (в узком смысле) (12) - защита конфиденциальности, целостности и доступности информации.

Информационные ресурсы (13) - информация, содержащаяся в информационных системах, а также иные имеющиеся в распоряжении органов власти сведения и документы.

Информационная система (14) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система персональных данных (15) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационно-телекоммуникационная сеть (16) - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Источник угрозы безопасности информации (17) - субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Ключ проверки электронной подписи (18) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи).

Ключ электронной подписи (19) - уникальная последовательность символов, предназначенная для создания электронной подписи.

Конфиденциальная информация (20) - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальность персональных данных (21) - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран (22) - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей из информационной системы.

Модель угроз (23) - описательное представление свойств или характеристик угроз безопасности информации.

Модель нарушителя - описательное представление опыта, знаний, доступных ресурсов возможных нарушителей информационной безопасности, необходимых им для реализации угрозы информационной безопасности, и возможной мотивации действий.

Недекларированные возможности (24) - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) (25) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.

Носитель информации (26) - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обладатель информации (27) - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Объект защиты информации (28) - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.

Оператор информационной системы (29) - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Персональные данные (30) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Пользователь информации (31) - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника, в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.

Роль - заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом.

К субъектам относятся лица из числа руководителей администрации района, сотрудников, граждан или инициируемые от их имени процессы по выполнению действий над объектами.

Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.

Сертификат ключа проверки электронной подписи (32) - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Событие информационной безопасности (33) - идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Угрозы безопасности персональных данных (34) - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Угроза информационной безопасности (35) - совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.

Электронная подпись (36) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Электронное сообщение (37) - информация, переданная или полученная пользователем информационно-телекоммуникационной сети.

3. Информационно-телекоммуникационная сеть администрации района

Информационно-телекоммуникационная сеть администрации района состоит из двух взаимосвязанных (интегрированных, но функционально самостоятельных) контуров:

- внутренний (служебный) контур - муниципальная информационная инфраструктура (муниципальная информационно-телекоммуникационная сеть).

- внешний (публичный, открытый) контур - публичная информационная инфраструктура, обеспечивающая взаимодействие администрации района с гражданами и юридическими лицами.

Под инфраструктурой в данном случае понимаются информационные ресурсы и информационные системы (далее - ИС) администрации района, информационные сервисы, программно-технологические (в том числе технические) решения и пользовательские приложения, методы организации и управления, система защиты информации, сотрудники, а также средства доступа граждан и юридических лиц к информационным ресурсам и ИС.

Информационно-телекоммуникационная инфраструктура состоит из нескольких функциональных сегментов (компонентов):

- инфраструктура электронного взаимодействия органа местного самоуправления с гражданами;

- инфраструктура электронного взаимодействия органов местного самоуправления с организациями;

- инфраструктура электронного взаимодействия органов местного самоуправления с партнерами и поставщиками необходимых для администрации района товаров и услуг;

- инфраструктура межведомственного электронного взаимодействия органов государственной власти;

- инфраструктура, поддерживающая внутрикорпоративное электронное взаимодействие и поддерживающая административно-управленческие, экспертно-аналитические, планирующие, контрольные и иные процедуры и процессы повседневной деятельности администрации района, включая взаимодействие между отдельными сотрудниками.

4. Принципы обеспечения информационной безопасности

Основным принципом обеспечения информационной безопасности ИТС администрации района является реализация права на доступ к информации и обеспечения защиты информации от уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

Основными объектами защиты системы информационной безопасности в ИТС администрации района являются:

- информационные ресурсы, относящиеся в соответствии с действующими федеральными нормативными правовыми актами к конфиденциальной информации, включая персональные данные, а также общедоступные информационные ресурсы, необходимые для обеспечения функций и реализации полномочий администрации района;

- информационно-телекоммуникационная сеть администрации района, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы.

Перечень защищаемых информационных ресурсов определяется нормативными актами администрации района.

5. Цели и задачи деятельности по обеспечению информационной безопасности

Целью деятельности по обеспечению информационной безопасности ИТС администрации района является снижение угроз информационной безопасности до приемлемого уровня.

Приемлемым уровнем является то состояние ИТС администрации района, при котором обеспечивается реализация функций и полномочий органов местного самоуправления (в том числе и администрации района в целом).

Основные задачи деятельности по обеспечению информационной безопасности ИТС администрации района:

- выявление потенциальных угроз информационной безопасности и уязвимостей объектов защиты;

- предотвращение инцидентов информационной безопасности;

- исключение либо минимизация выявленных угроз.

6. Угрозы информационной безопасности

Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в ИТС (ИС) администрации района, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания элементов ИТС (ИС) и формирования требований по их защите, так и в ходе их эксплуатации. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором ИС, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах.

Источники угроз безопасности информации могут быть следующих типов:

- антропогенные источники (антропогенные угрозы);

- техногенные источники (техногенные угрозы);

- стихийные источники (угрозы стихийных бедствий, иных природных явлений).

В качестве источников антропогенных угроз безопасности информации могут выступать:

- лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры, в силу умышленных действий, связанных с корыстными, идейными или иными устремлениями людей (преднамеренные угрозы безопасности информации);

- лица, имеющие доступ к информационной системе, не преднамеренные (неумышленные) действия (ошибки и т.п.) которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:

- низким качеством (надежностью) технических, программных или программно-технических средств;

- низким качеством (надежностью) сетей связи и (или) услуг связи;

- отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;

- низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);

- низким качеством обслуживания со стороны обслуживающих организаций и лиц.

Возникновение стихийных (природных) угроз обусловлено воздействиями на объект угрозы объективных физических процессов природного характера, стихийных природных явлений, состояний физической среды, не обусловленных напрямую деятельностью человека.

К естественным (природным) угрозам относятся угрозы метеорологические, атмосферные, геофизические, геомагнитные и прочие, включая экстремальные климатические условия, метеорологические явления, стихийные бедствия.

Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

Модели угроз безопасности информации разрабатываются для ИС, защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11.02.2013 N 17 или по решению оператора персональных данных в информационных системах персональных данных (ИСПДн), защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 N 21.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:

- изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;

- изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;

- выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;

- появления сведений и фактов о новых возможностях нарушителей.

С целью обеспечения единого подхода к определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, в соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в органах местного самоуправления в пределах своих полномочий должны быть приняты нормативные правовые акты, в которых должны быть определены угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

7. Модель нарушителя информационной безопасности

Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:

- типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;

- цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;

- возможные способы реализации угроз безопасности информации.

7.1. Типы нарушителей

Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

Анализ прав доступа проводится, как минимум, в отношении следующих компонентов информационной системы:

- устройств ввода/вывода (отображения) информации;

- беспроводных устройств;

- программных, программно-технических и технических средств обработки информации;

- съемных машинных носителей информации;

- машинных носителей информации, выведенных из эксплуатации;

- активного (коммутационного) и пассивного оборудования каналов связи;

- каналов связи, выходящих за пределы контролируемой зоны.

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:

- внешние нарушители (тип I) - лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;

- внутренние нарушители (тип II) - лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

7.2. Виды и потенциал нарушителей

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:

- специальные службы иностранных государств (блоков государств);

- террористические, экстремистские группировки;

- преступные группы (криминальные структуры);

- внешние субъекты (физические лица);

- конкурирующие организации;

- разработчики, производители, поставщики программных, технических и программно-технических средств;

- лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;

- лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);

- пользователи информационной системы;

- администраторы информационной системы и администраторы безопасности;

- бывшие работники (пользователи).

Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:

- нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;

- реализация угроз безопасности информации по идеологическим или политическим мотивам;

- организация террористического акта;

- причинение имущественного ущерба путем мошенничества или иным преступным путем;

- дискредитация или дестабилизация деятельности органов местного самоуправления;

- получение конкурентных преимуществ;

- внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;

- любопытство или желание самореализации;

- выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;

- реализация угроз безопасности информации из мести;

- реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются на:

- нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе;

- нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе;

- нарушителей, обладающих высоким потенциалом нападения при реализации угроз безопасности информации в информационной системе.

7.3. Возможные способы реализации угроз безопасности информации

Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

Угрозы безопасности информации могут быть реализованы нарушителями за счет:

- несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), "прошитые" в аппаратных компонентах (чипсетах));

- несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);

- несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);

- несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);

- несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;

- воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).

Возможные способы реализации угроз безопасности информации включаются в модель угроз безопасности информации.

8. Основные положения по обеспечению информационной безопасности

Требования по обеспечению информационной безопасности ИТС администрации района обязательны к соблюдению всеми сотрудниками администрации района и пользователями информационных систем.

Неисполнение или некачественное исполнение обязанностей по обеспечению информационной безопасности может повлечь лишение доступа к информационным системам, а также применение к виновным мер административного воздействия в соответствии с требованиями действующего законодательства.

Руководители органов и структурных подразделений администрации района, муниципальных учреждений должны обеспечить разработку, принятие и внедрение положений об информационной безопасности компонентов ИТС (ИС) - частных политик информационной безопасности, включая выделение требуемых для реализации этого положения ресурсов.

Положения об информационной безопасности компонентов ИТС (ИС) должны описывать цели и задачи системы обеспечения информационной безопасности и определять совокупность правил, требований и руководящих принципов в области информационной безопасности, которыми необходимо руководствоваться в деятельности по обеспечению функционирования компонентов ИТС (ИС).

С целью реализации мероприятий по обеспечению информационной безопасности в органах и структурных подразделениях администрации района, муниципальных учреждений должны быть назначены лица, ответственные за обеспечение защиты информации, не составляющей государственную тайну, обрабатываемой в соответствующих компонентах ИТС администрации района. Руководители органов и структурных подразделений администрации района, муниципальных учреждений должны обеспечить регулярное повышение квалификации этих лиц.

8.1. Основные мероприятия по обеспечению информационной безопасности в администрации района

Требования по обеспечению информационной безопасности в ИТС администрации района должны быть взаимосвязаны и представлять собой непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла (далее - ЖЦ) компонентов ИТС комплекс мероприятий.

Положения настоящего раздела образуют базовый набор требований к системе информационной безопасности в ИТС администрации района. В соответствии с особенностями деятельности конкретных органов и структурных подразделений администрации района и муниципальных учреждений данный базовый набор требований может быть расширен.

Требования к системе обеспечения информационной безопасности ИТС администрации района должны быть сформулированы, в том числе по следующим направлениям:

- назначение и распределение ролей сотрудникам администрации района;

- обеспечение информационной безопасности компонентов ИТС (ИС) на стадиях ЖЦ;

- защита от несанкционированного доступа (далее - НСД), управления доступом и регистрацией действий в ИС;

- антивирусная защита;

- использование ресурсов информационно-телекоммуникационной сети "Интернт" (далее - сеть "Интернет");

- использование средств криптографической защиты информации;

- использование электронной подписи;

- защита персональных данных;

- защита основных компонентов ИТС (ИС).

8.2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к сотрудникам

Для обеспечения эффективного функционирования компонентов ИТС должны быть определены соответствующие роли сотрудников администрации района.

Формирование и назначение ролей сотрудников следует осуществлять с учетом соблюдения принципа предоставления минимальных прав и полномочий, необходимых для выполнения служебных обязанностей.

Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть зафиксирована в должностных инструкциях или организационно-распорядительных документах органов и структурных подразделений администрации района и муниципальных учреждений.

С целью предупреждения возникновения и снижения рисков нарушения информационной безопасности не рекомендуется совмещения в рамках одной роли функций пользователя и администратора компонентов ИТС (ИС).

Должны быть определены, выполняться и регистрироваться процедуры контроля деятельности сотрудников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить контроль над защищаемым информационным ресурсом.

Должны быть определены, выполняться и регистрироваться процедуры поступления на муниципальную службу (приема на работу), влияющие на обеспечение ИБ и включающие:

- проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;

- проверку в части знаний и навыков в области обеспечения ИБ, оценку профессиональной пригодности.

Указанные процедуры должны предусматривать фиксацию результатов проводимых проверок.

Рекомендуется определить, выполнять и регистрировать с фиксацией результатов процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности сотрудников в области обеспечения ИБ, а также внеплановой проверки - при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии.

Все сотрудники, работающие с конфиденциальной информацией, должны давать письменное обязательство о соблюдении конфиденциальности. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей.

При взаимодействии с внешними организациями требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.

Обязанности сотрудников по выполнению требований по обеспечению ИБ должны включаться в служебные (трудовые) контракты (соглашения, договоры) и (или) должностные инструкции.

8.3. Общие требования по обеспечению информационной безопасности основных компонентов информационно-телекоммуникационной сети

В информационных системах, реализующих компоненты ИТС администрации района, информация может классифицироваться как:

- открытая информация, предназначенная для официальной передачи во внешние организации, средства массовой информации или гражданам, например, для размещения на официальном сайте администрации района либо органа администрации района;

- информация ограниченного распространения, предназначенная для использования исключительно сотрудниками администрации района при выполнении ими своих служебных обязанностей, например, ИС межведомственного электронного документооборота;

- информация, содержащая сведения конфиденциального характера, например, персональные данные, подлежащая защите в соответствии с законодательством Российской Федерации, ИС "Портал государственных услуг", включающий информационную систему межведомственного электронного взаимодействия.

Каждому виду информации соответствует свой необходимый уровень защиты (свой набор требований по защите).

В качестве объектов защиты должны рассматриваться:

- информационные ресурсы;

- управляющая информация ИС;

- информационный технологический процесс.

Администрация района, в части касающейся защиты информации, несёт ответственность за:

- достоверность информации, официально предоставляемой внешним организациям и гражданам;

- достоверность и выполнение регламента предоставления внешним организациям и гражданам информации, обязательность и порядок предоставления которой определены законодательством Российской Федерации и/или нормативными документами администрации района или соглашением сторон;

- обеспечение соответствующего законодательству Российской Федерации уровня защиты, как собственной информации, так и информации, официально полученной из внешних организаций и от граждан.

Если в ИС обрабатывается информация, требующая организации защиты, то соответствующим правовым актом администрации района, органа администрации района либо муниципального учреждения должен быть назначен администратор информационной безопасности ИС. Допускается назначение одного администратора информационной безопасности на несколько ИС, а также совмещение выполнения указанных функций с другими обязанностями.

Администратор ИС должен иметь служебные полномочия по настройке параметров системы, определяющих полномочия пользователей по доступу к информации. Он должен иметь право добавлять в систему нового пользователя, а также удалять из системы такого пользователя, но с обязательным предварительным согласованием устанавливаемых прав доступа пользователей к информации с администратором информационной безопасности.

Администратор информационной безопасности ИС должен иметь служебные полномочия и технические возможности по контролю действий соответствующих администраторов ИС (без вмешательства в их действия) и пользователей, а также полномочия по настройке для каждого пользователя только тех параметров системы (матрицы доступа), которые определяют права доступа к информации. Устанавливаемые права доступа к информации должны назначаться владельцем информационного ресурса.

Для каждой ИС должен быть определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.

Процессы подготовки, ввода, обработки и хранения информации, а также порядок установки, настройки, эксплуатации и восстановления необходимых технических и программных средств должны быть регламентированы и обеспечены инструктивными и методическими материалами, согласованными с ответственным за обеспечение информационной безопасности.

Должна быть регламентирована и осуществляться процедура периодического тестирования всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ. Регламентирующие документы должны быть также согласованы с ответственным за обеспечение информационной безопасности.

Должна быть регламентирована и осуществляться процедура восстановления системы обеспечения ИБ.

8.4. Общие требования по обеспечению информационной безопасности компонентов информационно-телекоммуникационной сети на стадиях жизненного цикла

Информационная безопасность должна обеспечиваться на всех стадиях ЖЦ компонентов ИТС (ИС) с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений, администраторов систем и конечных пользователей).

Стадии и этапы создания компонентов ИТС (ИС) описываются в соответствующих комплексах стандартов на автоматизированные системы.

Защита информации, содержащейся в ИС, является составной частью работ по созданию и эксплуатации ИС и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в ИС, в рамках системы (подсистемы) защиты информации ИС (далее - СЗИ ИС).

Организационные и технические меры защиты информации, реализуемые в рамках СЗИ ИС, в зависимости от информации, содержащейся в ИС, целей создания ИС и задач, решаемых этой ИС, должны быть направлены на исключение:

- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

- неправомерного блокирования информации (обеспечение доступности информации).

Для обеспечения защиты информации, содержащейся в ИС, проводятся следующие мероприятия:

- формирование требований к защите информации, содержащейся в ИС;

- разработка СЗИ ИС;

- внедрение СЗИ ИС;

- аттестация ИС по требованиям защиты информации (далее - аттестация ИС) и ввод ее в действие;

- обеспечение защиты информации в ходе эксплуатации аттестованной ИС;

- обеспечение защиты информации при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации.

Для обеспечения защиты информации, содержащейся в ИС, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности".

Выполнение работ на всех стадиях ЖЦ компонентов ИТС (ИС) в части вопросов обеспечения ИБ должно осуществляться по согласованию и под контролем специалистов по ИБ.

Эксплуатируемые ИС и (или) их компоненты должны быть снабжены документацией, содержащей описание реализованных в ИС защитных мер, в том числе описание состава и требований к реализации организационных защитных мер, состава и требований к эксплуатации технических защитных мер.

В договор (контракт) о разработке СЗИ ИС или поставке готовых СЗИ ИС и их компонентов должны включаться положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект документации, обеспечивающий возможность сопровождения СЗИ ИС и их компонентов без участия разработчика.

На стадии эксплуатации компонентов ИТС (ИС) должны быть определены, выполняться и регистрироваться процедуры:

- контроля работоспособности (функционирования, эффективности) реализованных в ИС защитных мер, в том числе контроль реализации организационных защитных мер, контроль состава и параметров настройки применяемых технических защитных мер;

- контроля отсутствия уязвимостей в оборудовании и программном обеспечении ИС;

- контроля внесения изменений в параметры настройки ИС и применяемых технических защитных мер;

- контроля необходимого обновления программного обеспечения ИС, включая программное обеспечение технических защитных мер.

На стадии эксплуатации компонентов ИТС (ИС) должны быть определены, выполняться и регистрироваться процедуры контроля состава устанавливаемого и (или) используемого программного обеспечения.

Должны быть определены, выполняться и контролироваться процедуры, необходимые для обеспечения сохранности носителей защищаемой информации.

На стадии сопровождения (модернизации) компонентов ИТС (ИС) должны быть определены, выполняться и регистрироваться процедуры контроля, обеспечивающие защиту от:

- умышленного несанкционированного раскрытия, модификации или уничтожения информации;

- неумышленной модификации, раскрытия или уничтожения информации;

- отказа в обслуживании или ухудшения обслуживания.

На стадии снятия с эксплуатации должны быть определены, выполняться и регистрироваться процедуры, обеспечивающие удаление информации с использованием алгоритмов и (или) методов, обеспечивающих невозможность восстановления удаленной информации, несанкционированное использование которой может нанести ущерб собственникам информации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти ИС и с внешних носителей.

8.5. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации

В составе ИС должны применяться защитные меры от НСД и нерегламентированных действий (далее - НРД), а также средства защиты информации, сертифицированные по требованиям безопасности информации.

Защитные меры от НСД должны обеспечивать сокрытие вводимых субъектами доступа аутентификационных данных на устройствах отображения информации. Размещение устройств отображения информации ИС должно препятствовать ее несанкционированному просмотру.

Должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры:

- идентификации, аутентификации, авторизации субъектов доступа, в том числе внешних субъектов доступа, которые не являются сотрудниками администрации района, и программных процессов (сервисов);

- разграничения доступа к информационным ресурсам на основе ролевого метода, с определением для каждой роли полномочий по доступу к информационным ресурсам;

- управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети;

- регистрации действий субъектов доступа с обеспечением контроля целостности и защиты данных регистрации;

- управления идентификационными данными, аутентификационными данными и средствами аутентификации;

- управления учетными записями субъектов доступа;

- ограничения действий пользователей по изменению настроек их автоматизированных рабочих мест (в том числе использование ограничений на изменение BIOS);

- ограничения действий пользователей по изменению параметров настроек ИС;

- выявления и блокирования несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин;

- использования технологий беспроводного доступа к информации, в случае их применения, и защиты внутренних беспроводных соединений;

- использования мобильных устройств для доступа к информации в случае их применения.

Должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные действия.

Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.

Должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и ИС с целью их использования при реагировании на инциденты ИБ. Журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ.

Система управления доступом, регистрации и учета может быть реализована с помощью штатных средств ИС (операционных систем, приложений и СУБД) и/или использовать сертифицированные или разрешенные к применению средства защиты информации от НСД. Для некоторых компонентов ИТС, например, обработки обращений граждан, необходимо использование биометрических и технических (с помощью электронных ключей или ЭП) мер аутентификации.

Документацией на компоненты ИТС должны быть регламентированы процедуры внесения изменений в конфигурацию сетевого оборудования.

Должен быть определен, выполняться, регистрироваться и контролироваться порядок доступа к объектам ИТС, в том числе в помещения, в которых размещаются компоненты ИТС.

Должны быть определены и доведены до сведения сотрудников администрации района процедуры, определяющие действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев.

При увольнении или изменении должностных обязанностей сотрудников администрации района, имевших доступ к информации, необходимой для идентификации, аутентификации и (или) авторизации пользователей компонентов ИТС (ИС), необходимо выполнить регламентированные процедуры соответствующего пересмотра прав доступа.

Работа всех сотрудников администрации района в сети ИТС должна осуществляться под уникальными и персонифицированными учетными записями.

8.6. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты

На всех автоматизированных рабочих местах и серверах, образующих компоненты ИТС администрации района, должны применяться средства антивирусной защиты.

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры установки и регулярного обновления средств антивирусной защиты (актуализация версий и баз данных) на автоматизированных рабочих местах и серверах ИС.

Рекомендуется организовать функционирование постоянной антивирусной защиты в автоматическом режиме и автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных.

Отключение или невыполнение процедур обновления антивирусных средств не допускается.

Использование съемных носителей информации должно быть регламентировано с обязательной их проверкой средствами антивирусной защиты.

При обеспечении антивирусной защиты должны быть разработаны и введены в действие инструкции и рекомендации по антивирусной защите, учитывающие особенности функционирования компонентов ИТС. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.

Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. После установки или изменения программного обеспечения должна быть выполнена антивирусная проверка.

На рабочих местах компонентов ИТС не допускается установка и использование программного обеспечения и данных, не связанных с выполнением конкретных функций в технологических процессах ИТС.

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых, в частности, необходимо зафиксировать:

- необходимые меры по отражению и устранению последствий вирусной атаки;

- порядок официального информирования руководства;

- порядок приостановления при необходимости работы (на период устранения последствий вирусной атаки).

Контроль за установкой и обновлением антивирусных средств должен быть возложен на лиц, ответственных за обеспечение ИБ.

Ответственность за организацию выполнения требований по антивирусной защите должна быть возложена на руководителя органа, структурного подразделения администрации района, муниципального учреждения, а обязанности по выполнению предписанных мер антивирусной защиты должны быть возложены на каждого сотрудника, имеющего доступ к ПЭВМ и (или) ИС.

8.7. Общие требования по обеспечению информационной безопасности при использовании ресурсов сети "Интернет"

Ресурсы сети "Интернет" могут использоваться для оказания государственных и муниципальных услуг в электронном виде, получения и распространения информации, связанной с их деятельностью (путем создания информационных web-сайтов), информационно-аналитической работы в интересах администрации района, обмена почтовыми сообщениями а также ведения межведомственного информационного взаимодействия.

Иное использование ресурсов сети "Интернет", решение о котором не принято руководством в установленном порядке, должно рассматриваться как нарушение ИБ.

В связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет, должны применяться соответствующие средства защиты информации (межсетевые экраны, Proxy-сервера, антивирусные средства, средства криптографической защиты информации (СКЗИ) и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Предназначенные для этого средства защиты информации, в том числе шифровальные (криптографические) средства, должны пройти в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и/или иметь подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.

В органах и структурных подразделениях администрации район, муниципальных учреждениях должны быть разработаны и введены в действие инструкции и рекомендации по использованию сети "Интернет", учитывающие особенности функционирования компонентов ИТС.

Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ПЭВМ, с помощью которых осуществляется непосредственное взаимодействие с сетью "Интернет".

Должны быть определены состав и порядок применения мер защиты, применяемых для организации почтового обмена через сеть "Интернет".

Почтовый обмен через сеть "Интернет" должен осуществляться с использованием защитных мер, включая антивирусную защиту.

Электронная почта должна архивироваться. Архив должен быть доступен только ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен.

Порядок использования электронной почты должен быть строго регламентирован.

При взаимодействии с сетью "Интернет" должно обеспечиваться противодействие атакам хакеров и распространению спама.

Для обнаружения компьютерных атак необходимо использовать системы обнаружения вторжений, реализованные программными или программно-аппаратными средствами.

Порядок подключения и использования ресурсов сети "Интернет" должен контролироваться ответственными за обеспечение ИБ.

Любое подключение и использование сети "Интернет" должно быть санкционировано руководителем.

8.8. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации

Средства криптографической защиты информации или шифровальные (криптографические) средства (далее - СКЗИ) предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи.

Применение СКЗИ должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ.

Работы по обеспечению с помощью СКЗИ безопасности информации проводятся в соответствии с законодательством Российской Федерации, нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требованиями ФСБ России.

Для обеспечения безопасности необходимо использовать СКЗИ, которые:

- допускают встраивание в технологические процессы обработки электронных сообщений, обеспечивают взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;

- обладают полным комплектом эксплуатационной документации, предоставляемых разработчиком СКЗИ, включая описание ключевой системы, правил работы с ней и обоснование необходимого организационно-штатного обеспечения;

- сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России.

Установка и ввод в эксплуатацию, а также эксплуатация СКЗИ должны осуществляться в соответствии с эксплуатационной и технической документацией к этим средствам.

Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.

К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами.

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.

Рекомендуется назначение администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкции для пользователей, а также контролю за соблюдением требовании по безопасности.

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.

На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек.

Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т.д.).

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

8.9. Общие требования по обеспечению информационной безопасности при работе с электронной подписью

Электронная подпись (далее - ЭП) выдаётся уполномоченному сотруднику администрации района и предназначена для использования в ИС электронного документооборота, межведомственного электронного взаимодействия и других ИС, в которых электронные документы признаются эквивалентными их бумажным аналогам.

Сертификат открытого ключа ЭП выдается специализированным удостоверяющим центром по запросу уполномоченного сотрудника администрации района.

Для получения Сертификата открытого ключа ЭП необходимо:

- назначить приказом уполномоченных сотрудников администрации района;

- провести мероприятия по подготовке к эксплуатации средств криптографической защиты информации в соответствии с требованиями, определяемыми Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 N 152;

- оформить акт о готовности к обмену электронными документами, подписанными ЭП;

- провести on-line тестирование на получение допуска к самостоятельной работе с СКЗИ уполномоченного сотрудника администрации района и оформить заключение о допуске.

Удостоверяющий центр на основании заявления уполномоченного сотрудника администрации района изготавливает сертификаты ключей ЭП уполномоченных сотрудников администрации района в электронном виде и в форме документа на бумажном носителе (в двух экземплярах). Сертификат в форме документа на бумажном носителе оформляется на бланке удостоверяющего центра, заверяется собственноручной подписью уполномоченного сотрудника удостоверяющего центра и печатью удостоверяющего центра.

Срок действия сертификатов ключей ЭП уполномоченных сотрудников администрации района составляет один год. Замена сертификатов ключей ЭП уполномоченных сотрудников администрации района с истекшим сроком действия производится в таком же порядке.

В случае компрометации закрытого ключа ЭП (компрометация закрытого ключа - утрата доверия к тому, что используемый закрытый ключ обеспечивает подлинность, защищенность и безопасность информации) владелец сертификата (уполномоченное сотрудник) администрации района немедленно извещает удостоверяющий центр о возникшей ситуации. Удостоверяющий центр после получения извещения немедленно приостанавливает действие сертификата. Владелец сертификата в течение одного рабочего дня направляет заявление об аннулировании сертификата в удостоверяющий центр.

К событиям, связанным с компрометацией ключей, относятся следующие ситуации:

- утрата ключевых носителей;

- утрата ключевых носителей с их последующим обнаружением;

- увольнение сотрудника администрации района, имевшего доступ к ключевой информации;

- нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа;

- нарушение целостности печатей на сейфах с носителями ключевой информации (если используется процедура опечатывания сейфов);

- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

- доступ посторонних сотрудников администрации района к ключевой информации.

Удостоверяющий центр после получения заявления немедленно помещает сертификат данного уполномоченного сотрудника администрации района в список аннулированных сертификатов.

Выведенные из действия закрытые ключи ЭП уничтожаются с составлением акта об уничтожении закрытых ключей ЭП.

В целях обеспечения безопасности уполномоченные сотрудники администрации района обязаны:

- не использовать для ЭП открытые и закрытые ключи ЭП, если им стало известно, что эти ключи используются или использовались ранее другими сотрудниками администрации района;

- хранить в тайне ключ ЭП (закрытый ключ);

- немедленно требовать от удостоверяющего центра приостановления действия с последующим аннулированием сертификата, если тайна закрытого ключа ЭП нарушена.

- участвовать в плановой смене сертификатов ключей подписи, организуемой по инициативе удостоверяющего центра;

- принимать участие в работе комиссии при рассмотрении спорных вопросов и конфликтных ситуаций, из касающихся.

Должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

Запрещается:

- снимать несанкционированные администратором безопасности копии с ключевых носителей.

- знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.

- устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.

- записывать на ключевой носитель постороннюю информацию.

- использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.

8.10. Общие требования по обеспечению информационной безопасности при работе с персональными данными

Обработка персональных данных должна производиться в соответствии с требованиями нормативных и методических документов регуляторов: ФСБ России, ФСТЭК России и Роскомнадзора.

Обработка персональных данных производится в таких компонентах ИТС администрации района, как осуществление межведомственного электронного взаимодействия, использовании специализированного ПО для обеспечения деятельности администрации района.

Для осуществления деятельности по обработке персональных данных (далее - ПДн), должны быть:

- установлены цели обработки ПДн;

- установлена необходимость осуществления уведомления уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор) об обработке ПДн и организована деятельность по своевременному направлению указанного уведомления в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в случае наличия такой необходимости;

- установлены критерии отнесения ИС к ИСПДн;

- определены, выполняться, регистрироваться и контролироваться процедуры учета ресурсов ПДн, в том числе учета ИСПДн;

Для каждого ресурса ПДн должно быть обеспечено:

- установление цели обработки Пдн;

- установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;

- определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные Пдн);

- выполнение процедур учета количества субъектов ПДн, в том числе субъектов ПДн, не являющихся сотрудниками администрации района;

- выполнение ограничения обработки ПДн достижением цели обработки Пдн;

- соответствие содержания и объема обрабатываемых ПДн установленным целям обработки;

- точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки Пдн;

- выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", в том числе при отзыве субъектом ПДн согласия на обработку его Пдн.

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета лиц, имеющих доступ к Пдн.

Документ, определяющий перечень лиц, имеющих доступ к ПДн, утверждается администрацией района.

Обработка ПДн сотрудниками администрации района должна осуществляться только с целью выполнения их должностных обязанностей.

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры ознакомления сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и внутренними документами, содержащими требования по обработке и обеспечению безопасности ПДн в части, касающейся их должностных обязанностей.

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета помещений, в которых осуществляется обработка ПДн, а также доступа сотрудников администрации района и иных лиц в помещения, в которых ведется обработка Пдн.

При работе с материальными носителями ПДн должно быть обеспечено:

- обособление ПДн от иной информации, в частности, путем фиксации их на отдельных съемных носителях ПДн, в специальных разделах или на полях форм документов (при обработке ПДн на бумажных носителях);

- учет съемных носителей Пдн;

- установление, выполнение и контроль выполнения порядка хранения съемных, в том числе машинных, носителей ПДн и доступа к ним;

- хранение ПДн, цели обработки которых заведомо несовместимы, на отдельных съемных носителях;

- регистрация и учет мест хранения материальных носителей ПДн с фиксацией категории обрабатываемых персональных данных (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн) включая раздельное хранение ресурсов ПДн, обработка которых осуществляется с различными целями;

- назначение сотрудников администрации района, ответственных за организацию хранения материальных носителей Пдн;

- установление и выполнение порядка уничтожения (стирания) информации с машинных носителей Пдн.

Поручение обработки ПДн третьему лицу (далее - обработчик) должно осуществляться на основании договора. В указанном договоре должны быть определены перечень действий (операций) с ПДн, которые будут совершаться обработчиком, и цели обработки, должна быть установлена обязанность обработчика обеспечивать безопасность ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности ПДн. При поручении обработки персональных данных обработчику необходимо получить согласие субъекта ПДн, если иное не предусмотрено законодательством РФ.

Должно быть назначено лицо, ответственное за организацию обработки ПДн. Полномочия лица, ответственного за организацию обработки ПДн, а также его права и обязанности должны быть установлены руководителем.

Использование в ИСПДн сертифицированных по требованиям безопасности информации средств защиты информации осуществляется в соответствии с требованиями регуляторов.

Ответственность за обеспечение безопасности персональных данных в ИСПДн несет руководитель органа, структурного подразделения администрации района, муниципального учреждения.

При необходимости официального обмена ПДн с внешними организациями необходимо применять защищённые каналы передачи информации (VPN - сети), использующие криптографические средства защиты информации и ЭП.

9. Система менеджмента информационной безопасности администрации района

Система менеджмента информационной безопасности администрации района представляет собой совокупность организационных мероприятий, направленных на разработку, внедрение, реализацию, мониторинг и совершенствование настоящей Политики.

Система менеджмента информационной безопасности (далее - СМИБ) администрации района включает в себя:

- разработку положений об информационной безопасности органов администрации района, муниципальных учреждений, направленных на обеспечение ИБ компонентов ИТС (ИС) администрации района;

- разработку технических, организационных и административных планов обеспечения реализации положений об информационной безопасности;

- разработку нормативно-методических документов обеспечения ИБ;

- создание административного и кадрового обеспечения комплекса СМИБ администрации района;

- обеспечение функционирования комплекса СМИБ администрации района;

- осуществление контроля (мониторинга) функционирования СМИБ администрации района;

- обучение (повышение) квалификации сотрудников органов и структурных подразделений администрации района, муниципальных учреждений по вопросам обеспечения ИБ;

- оценку рисков, связанных с нарушениями ИБ.

Обеспечение реализации задач СМИБ в части касающейся информации, не составляющей государственную тайну, обрабатываемой в компонентах ИТС (ИС), в администрации района возлагается на информационно-компьютерный отдел администрации район (далее - ИКО). При необходимости, к реализации задач СМИБ могут привлекаться другие органы и структурные подразделения администрации района и муниципальные учреждения в пределах своих полномочий.

В системе менеджмента информационной безопасности администрации района ИКО наделен полномочиями:

- разрабатывать и вносить предложения по изменению положений об ИБ компонентов ИТС (ИС) администрации района;

- разрабатывать и вносить предложения по изменению существующих и принятию новых нормативно-методических документов по обеспечению ИБ администрации района;

- выбирать средства управления и обеспечения ИБ администрации района;

- осуществлять контроль за действиями пользователей компонентов ИТС (ИС) администрации района;

- контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также с применением других средств обеспечения ИБ;

- осуществлять мониторинг событий, связанных с ИБ;

- инициировать и принимать участие в расследовании событий, связанных с нарушениями ИБ;

- участвовать в действиях по восстановлению работоспособности компонентов ИТС (ИС) после сбоев и аварий.

Основным средством реализации СМИБ является мониторинг состояния ИБ. Целями мониторинга являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели, определяемые СМИБ. Такими целями анализа могут быть:

- контроль за реализацией положений правовых актов по обеспечению ИБ;

- выявление нештатных (или злоумышленных) действий в компонентах ИТС (ИС);

- выявление потенциальных нарушений ИБ.

Для достижения целей оперативного и постоянного наблюдения объектов мониторинга могут использоваться как специализированные (программные) средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т. п.

Выявляемые отклонения подлежат обязательной регистрации и реагированию с целью исключения угроз ИБ.

10. Реагирование на инциденты информационной безопасности

Своевременное реагирование на инциденты информационной безопасности является одним из необходимых условий минимизации последствий нерегламентированных воздействий на компоненты ИТС (ИС) администрации района.

При планировании деятельности, направленной на реагирование на инциденты информационной безопасности, наряду с настоящей Политикой необходимо руководствоваться действующими стандартами, содержащими требования к системе менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001-2006) и менеджменту инцидентов информационной безопасности (ГОСТ Р ИСО МЭК ТО 18044-2007).

Целесообразно выделить следующие этапы процесса реагирования на инциденты информационной безопасности:

- подготовка к факту возникновения инцидента ИБ (принятие превентивных мер);

- обнаружение и регистрация инцидента ИБ (идентификация инцидента ИБ);

- начальное реагирование на инцидент ИБ;

- формирование стратегии реагирования на инцидент ИБ;

- восстановление штатного функционирования компонентов ИТС (ИС), подвергшихся влиянию инцидента ИБ;

- расследование инцидента;

- составление отчета;

- выработка решения.

10.1. Подготовка к факту возникновения инцидента информационной безопасности

Практика превентивных мероприятий в сфере информационной безопасности основана на оценке рисков наступления того или иного события инцидента информационной безопасности.

Первопричиной наступления события инцидента информационной безопасности является потенциальная способность злоумышленника получить необоснованные привилегии для доступа к активу администрации района.

Основой эффективности превентивных мер является грамотная разработка модели угроз безопасности информации и модели нарушителя для каждого компонента ИТС (ИС) администрации района.

10.2. Обнаружение и регистрация инцидента информационной безопасности

Предположение о том, что произошёл инцидент информационной безопасности, как правила, базируется на трёх основных факторах:

- сообщение об инциденте информационной безопасности поступают одновременно из нескольких источников (пользователи, система обнаружения вторжений (IDS - Intrusion Detection System), журнальные файлы (log files));

- IDS сигнализируют о множественном повторяющемся событии;

- анализ журнальных файлов автоматизированной системы даёт основание для вывода системным администраторам о возможности наступления события инцидента.

В общем случае, признаки инцидента делятся на две основные категории: сообщения о том инцидент происходит в настоящий момент и сообщения о том, что инцидент, возможно, произойдёт в скором будущем. Ниже перечислены некоторые признаки совершающегося события:

- IDS фиксирует переполнение буфера;

- уведомление антивирусной программы;

- крах WEB - интерфейса;

- пользователи сообщают о крайне низкой скорости при попытке выхода в сеть "Интернет";

- системный администратор фиксирует наличие файлов с нечитабельными названиями;

- пользователи сообщают о наличие в своих почтовых ящиках множества повторяющихся сообщений;

- хост производит запись в журнал аудита об изменении конфигурации;

- приложение фиксирует в журнальном файле множественные неудачные попытки авторизации;

- администратор сети фиксирует резкое увеличение сетевого трафика, и.т.д.

Примерами событий, которые могут послужить источниками информационной безопасности могут служить:

- журнальные файлы сервера фиксируют сканирование портов;

- объявление в СМИ о появлении нового вида эксплойта (эксплойт - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему);

- открытое заявление киберпреступников и т. д.

10.3. Начальное реагирование на инцидент информационной безопасности

Содержит комплекс первоочередных мероприятий, направленных на недопущение усугубления последствий инцидента ИБ, проведение начального расследования, запись основных деталей событий, сопровождающих инцидент, заседание комиссии по расследованию (при необходимости) и информирование заинтересованных лиц (подразделений, организаций), которые должны знать о произошедшем инциденте, пресечение незаконных действий.

Документирование событий инцидента информационной безопасности необходимо для сбора и последующего обобщения результатов расследования. Документированию подлежат все факты и доказательства злонамеренного воздействия. Различают технологические свидетельства и операционные свидетельства воздействия. К технологическим свидетельствам относят информацию, полученную от технических средств сбора и анализа данных (снифферы - анализаторы трафика, IDS), к операционным - данные, собранные в процессе опроса сотрудников администрации района, свидетельства обращений.

Типичной практикой является ведение журнала расследования инцидента. Ключевыми позициями подобных журналов могут служить:

- текущий статус расследования;

- описание инцидента;

- действия, производимые в процессе обработки инцидента;

- список факторов расследования с описанием их функций и процентом занятости в процедуре расследования;

- перечень свидетельств (с обязательным указанием источников), собранных в ходе обработки инцидента;

- комментарии участников расследования инцидента;

- описание последующих действий и состояние процесса.

В ходе расследования инцидента все свидетельства должны быть защищены от дискредитации, поскольку данные могут содержать информацию о действенных уязвимостях информационной системы.

10.4. Формирование стратегии реагирования на инцидент информационной безопасности

Стратегия реагирования на инцидент ИБ базируется на всех известных фактах и определяет лучший путь реагирования на инцидент. Стратегия также определяет, какие действия будут предприняты по факту возникновения инцидента (возбуждение гражданского или уголовного дела, административное воздействие), в зависимости от предполагаемых причин и последствий возникновения инцидента. Стратегия является результатом коллективной работы.

10.5. Восстановление штатного функционирования компонентов информационно-телекоммуникационной сети, подвергшихся влиянию инцидента информационной безопасности

Восстановление штатного функционирования компонентов ИТС (ИС) представляет собой последовательность действий в соответствии с разработанным регламентом и напрямую зависит от особенности функционирования информационной системы и способа атаки, который был применён злоумышленником.

Масштабы восстановления могут быть различны: от лечения заражённых вирусом файлов и восстановления операционной среды с резервных копий, до отстаивания репутации администрации района в суде.

10.6. Расследование инцидента информационной безопасности

Расследование инцидента безопасности осуществляется в пределах компетенции, а также технических и организационных возможностей администрации района.

Расследование инцидента ИБ должно дать ответы на следующие вопросы:

- кто или что явилось источником (источниками) инцидента (реализованной угрозы);

- реализованные уязвимости;

- реализованные риски, последствия, зона влияния инцидента;

- идентификация нарушителя;

- оценка полноты и эффективности мер, предпринятых для устранения инцидента и предотвращения негативных последствий инцидента.

10.7. Составление отчета

Данный этап является логическим завершением работы по документированию событий инцидента информационной безопасности, рассмотренной в п. 10.3 настоящего раздела. Содержит детализированный отчет, содержащий полученную в ходе расследования информацию. Представляется в форме, удобной для принятия решения.

10.8. Выработка решения

По результатам расследования инцидентов ИБ реализуется комплекс организационных и технических мер, имеющий своей целью минимизацию последствий реализовавшихся рисков, а также предотвращение повторения инцидентов (повторения реализации подобных угроз).

Результаты организационного и технического реагирования должны быть отражены в журнале инцидентов безопасности.

11. Проверка и оценка информационной безопасности

Проверка и оценка информационной безопасности проводится путем выполнения следующих процессов:

- мониторинга информационной безопасности и контроля защитных мер;

- самооценки информационной безопасности;

- аудита информационной безопасности;

- анализа функционирования системы обеспечения информационной безопасности.

Основными целями мониторинга ИБ и контроля защитных мер являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:

- контроль за реализацией положений внутренних документов по обеспечению ИБ;

- выявление нештатных, в том числе злоумышленных, действий в ИТС (ИС);

- выявление инцидентов ИБ.

Мониторинг и контроль защитных мер проводится сотрудниками, ответственным за ИБ.

При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ.

Аудит ИБ, проводимый внешними независимыми проверяющими организациями, является одной из форм проверки и оценки (контроля) выполнения требований настоящей Политики.

Анализ функционирования системы обеспечения информационной безопасности (далее - СОИБ) проводится сотрудниками администрации района, ответственными за обеспечение ИБ, а также руководством, в том числе на основании подготовленных для руководства документов (данных).

Основными целями проведения анализа функционирования СОИБ являются:

- оценка эффективности СОИБ;

- оценка соответствия СОИБ требованиям законодательства Российской Федерации и стандартов;

- оценка соответствия СОИБ существующим и возможным угрозам ИБ;

- оценка следования принципам ИБ и выполнения требований по обеспечению ИБ, закрепленным в политике ИБ, а также в иных внутренних документах.

Результаты, полученные в ходе анализа функционирования СОИБ, являются, среди прочего, основой для совершенствования СОИБ.

12. Ответственность за соблюдение положений Политики

Общее руководство обеспечением информационной безопасности администрации района осуществляет заместитель главы администрации района, управделами.

Ответственность сотрудников за невыполнение настоящей Политики определяется соответствующими положениями внутренних правовых актов.

13. Контроль за соблюдением положений Политики

Общий контроль состояния информационной безопасности в администрации района осуществляет заместитель главы администрации района, управделами.

Текущий контроль соблюдения настоящей Политики осуществляет ИКО. Контроль осуществляется путем проведения мониторинга и менеджмента инцидентов информационной безопасности, по результатам оценки информационной безопасности, а также в рамках иных контрольных мероприятий.

14. Заключительные положения

Требования настоящей Политики могут развиваться другими правовыми актами администрации района, которые дополняют и уточняют ее.

В случае изменения действующего законодательства и иных нормативных актов настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам.

Внесение изменений в настоящую Политику осуществляется:

- в случае существенных изменений действующего законодательства в области информационной безопасности;

- по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.

-------------------------------------------

(1) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(2) "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008).

(3) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(4) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".

(5) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(6) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(7) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(8) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(9) ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

(10) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".

(11) Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации от 05.12.2016 N 646).

(12) ГОСТ Р ИСО/МЭК 27002-2012. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности.

(13) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".

(14) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".

(15) Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных"

(16) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".

(17) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(18) Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 30.12.2015) "Об электронной подписи".

(19) Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 30.12.2015) "Об электронной подписи".

(20) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".

(21) "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008).

(22) "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008).

(23) ГОСТ Р 53114-2008. Национальный стандарт Российской Федерации. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения (утв. и введен в действие Приказом Ростехрегулирования от 18.12.2008 N 532-ст).

(24) "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008).

(25) "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008).

(26) "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008).

(27) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".

(28) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(29) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".

(30) Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных"

(31) ГОСТ Р 50922-2006 Защита информации. Основные термины и определения (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

(32) Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 30.12.2015) "Об электронной подписи".

(33) ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности (утв. Приказом Ростехрегулирования от 27.12.2007 N 513-ст).

(34) "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008).

(35) ГОСТ Р 53114-2008. Национальный стандарт Российской Федерации. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения (утв. и введен в действие Приказом Ростехрегулирования от 18.12.2008 N 532-ст.)

(36) Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 30.12.2015) "Об электронной подписи".

(37) Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) "Об информации, информационных технологиях и о защите информации".