Приложение N 5. Перечень мер по защите информации при подключении к Единой мультисервисной телекоммуникационной сети Правительства Астраханской области. Постановление Службы безопасности и информационной защиты Астраханской области от 20.09.2013 N 6-П "О правилах работы в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области" (с изменениями и дополнениями) (документ утратил силу)

Информация об изменениях:

Постановлением Службы по обеспечению безопасности жизнедеятельности населения Астраханской области от 25 января 2016 г. N 1-П настоящее постановление дополнено приложением N 5

Приложение N 5
к постановлению
службы безопасности
и информационной защиты
Астраханской области
от 20 сентября 2013 г. N 6-П

Перечень
мер по защите информации при подключении к Единой мультисервисной телекоммуникационной сети Правительства Астраханской области

1. Общие положения

Технические и организационные меры по защите информации в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - ЕМТС) разработаны на основании следующих руководящих документов:

- Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказов Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11.02.2014;

- "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/5-144;

- "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/6/6-622.

2. Мероприятия по защите информации в ЕМТС

2.1. Общие требования.

При подключении к ЕМТС должны быть реализованы следующие меры защиты информации:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации;

- регистрация событий безопасности;

- антивирусная защита;

- контроль (анализ) защищенности информации;

- обеспечение целостности информационной системы и информации;

- обеспечение доступности информации;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств и систем связи и передачи данных.

Применение беспроводных технологий связи для доступа к информационным ресурсам ЕМТС возможно только при соблюдении рекомендаций по использованию беспроводных сетей в исполнительных органах государственной власти Астраханской области, утвержденных операторами ЕМТС. Использование беспроводных технологий для подключения к ресурсам ЕМТС иными организациями-участниками запрещено.

2.2. Организационные мероприятия по обеспечению безопасности информации при подключении к ЕМТС.

Комплекс организационных мероприятий по защите информации при подключении к ЕМТС обязан включать в себя следующие меры:

- определение и назначение круга лиц, допущенных к обработке информации в информационных системах;

- оснащение помещений с оборудованием, обеспечивающим технологический процесс обработки информации, средствами охранно-пожарной сигнализации;

- физическую охрану технических средств информационных систем и доступа к ним, которая должна предусматривать контроль доступа в помещения;

- оснащение входных дверей в помещения надежными замками;

- допуск и нахождение в помещениях, задействованных в процессе обработки информации с использованием ЕМТС, посторонних лиц, включая вспомогательный и обслуживающий персонал (уборщиц, электромонтеров, сантехников и т.д.), разрешаются только в случаях, исключающих их бесконтрольные несанкционированные действия на АРМ пользователей ЕМТС;

- назначение лиц, ответственных за обеспечение безопасности информации в каждом отдельном сегменте ЕМТС;

- учёт машинных носителей информации, средств защиты информации в специальных журналах (журналах учета).

2.3. Технические мероприятия.

2.3.1. Общие требования к реализации технических мероприятий по обеспечению безопасности информации.

Применяемые технические средства защиты информации должны соответствовать требованиям к средствам защиты информации, определенным в п. 26 Приказа ФСТЭК России от 11.02.2013 N 17 для информационных систем 3 класса защищенности.

Выбранные для использования сертифицированные по требованиям безопасности информации средства защиты должны соответствовать:

- средства вычислительной техники - не ниже 5 класса в соответствии с РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации";

- системы обнаружения вторжений и средства антивирусной защиты - не ниже 4 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

- межсетевые экраны - не ниже 3 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.

2.3.2. Обеспечение безопасности информации при передаче по телекоммуникационным каналам связи.

При передаче информации по телекоммуникационным каналам связи необходимо обеспечить защиту передаваемой информации от несанкционированного доступа к ней криптографическими средствами защиты информации.

Применяемые криптографические средства защиты информации должны быть полностью совместимы с уже использующимися средствами защиты каналов связи ЕМТС.

3. Порядок проведения мероприятий по защите информации при подключении к информационным системам ЕМТС

Для проведения работ по защите информации при подключении к информационным системам ЕМТС необходимо руководствоваться нормативными документами, перечисленными в разделе 1 настоящего Перечня; для проведения указанных мероприятий допускается привлечение организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности".

4. Рекомендации к средствам защиты информации

Применяемые технические средства защиты информации должны быть сертифицированы ФСТЭК России (ФСБ России - в части средств криптографической защиты информации) и соответствовать требованиям к средствам защиты информации, определенным:

- приказом ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" для информационных систем 3 класса защищённости;

- приказом ФСТЭК России от 06.12.2011 N 638 "Об утверждении требований к системам обнаружения вторжений";

- приказом ФСТЭК России от 20.03.2012 N 28 "Требования к средствам антивирусной защиты".

Меры по защите АРМ пользователей ЕМТС определяются пользователями ЕМТС самостоятельно (или с привлечением организаций - лицензиатов ФСТЭК России и ФСБ России по направлениям технической и криптографической защиты информации) в зависимости от уже реализованных мер организационного и технического характера по обеспечению безопасности информации в соответствии с требованиями федеральных законов и нормативных документов ФСТЭК России и ФСБ России, а также в соответствии с требованиями настоящего документа.