Приложение N 5. Перечень мер по защите информации при подключении к Единой мультисервисной телекоммуникационной сети Правительства Астраханской области. Постановление Службы безопасности и информационной защиты Астраханской области от 20.09.2013 N 6-П "О правилах работы в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области" (с изменениями и дополнениями) (документ утратил силу)

Информация об изменениях:

Постановлением Службы по обеспечению безопасности жизнедеятельности населения Астраханской области от 25 января 2016 г. N 1-П настоящее постановление дополнено приложением N 5

Приложение N 5
к постановлению
службы безопасности
и информационной защиты
Астраханской области
от 20 сентября 2013 г. N 6-П

Перечень
мер по защите информации при подключении к Единой мультисервисной телекоммуникационной сети Правительства Астраханской области

1. Общие положения

Технические и организационные меры по защите информации в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - ЕМТС) разработаны на основании следующих руководящих документов:

- Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказов Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11.02.2014;

- "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/5-144;

- "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/6/6-622.

2. Мероприятия по защите информации в ЕМТС

2.1. Общие требования.

При подключении к ЕМТС должны быть реализованы следующие меры защиты информации:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации;

- регистрация событий безопасности;

- антивирусная защита;

- контроль (анализ) защищенности информации;

- обеспечение целостности информационной системы и информации;

- обеспечение доступности информации;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств и систем связи и передачи данных.

Применение беспроводных технологий связи для доступа к информационным ресурсам ЕМТС возможно только при соблюдении рекомендаций по использованию беспроводных сетей в исполнительных органах государственной власти Астраханской области, утвержденных операторами ЕМТС. Использование беспроводных технологий для подключения к ресурсам ЕМТС иными организациями-участниками запрещено.

2.2. Организационные мероприятия по обеспечению безопасности информации при подключении к ЕМТС.

Комплекс организационных мероприятий по защите информации при подключении к ЕМТС обязан включать в себя следующие меры:

- определение и назначение круга лиц, допущенных к обработке информации в информационных системах;

- оснащение помещений с оборудованием, обеспечивающим технологический процесс обработки информации, средствами охранно-пожарной сигнализации;

- физическую охрану технических средств информационных систем и доступа к ним, которая должна предусматривать контроль доступа в помещения;

- оснащение входных дверей в помещения надежными замками;

- допуск и нахождение в помещениях, задействованных в процессе обработки информации с использованием ЕМТС, посторонних лиц, включая вспомогательный и обслуживающий персонал (уборщиц, электромонтеров, сантехников и т.д.), разрешаются только в случаях, исключающих их бесконтрольные несанкционированные действия на АРМ пользователей ЕМТС;

- назначение лиц, ответственных за обеспечение безопасности информации в каждом отдельном сегменте ЕМТС;

- учёт машинных носителей информации, средств защиты информации в специальных журналах (журналах учета).

2.3. Технические мероприятия.

2.3.1. Общие требования к реализации технических мероприятий по обеспечению безопасности информации.

Применяемые технические средства защиты информации должны соответствовать требованиям к средствам защиты информации, определенным в п. 26 Приказа ФСТЭК России от 11.02.2013 N 17 для информационных систем 3 класса защищенности.

Выбранные для использования сертифицированные по требованиям безопасности информации средства защиты должны соответствовать:

- средства вычислительной техники - не ниже 5 класса в соответствии с РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации";

- системы обнаружения вторжений и средства антивирусной защиты - не ниже 4 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекомму