Приложение. Постановление Службы по обеспечению безопасности жизнедеятельности населения Астраханской области от 25.01.2016 N 1-П "О внесении изменений в постановление службы безопасности и информационной защиты Астраханской области от 20.09.2013 N 6-П" (документ прекратил действие)

Приложение
к постановлению
службы по обеспечению безопасности
жизнедеятельности населения
Астраханской области
от 25 января 2016 г. N 1-П

Приложение N 4
к постановлению
службы безопасности
и информационной защиты
Астраханской области
от 20 сентября 2013 г. N 6-П

Порядок
подключения к Единой мультисервисной телекоммуникационной сети Правительства Астраханской области

1. Общие положения

1.1. Настоящий Порядок подключения к Единой мультисервисной телекоммуникационной сети (далее - ЕМТС) Правительства Астраханской области (далее - Порядок) разработан в соответствии с Федеральным законом от 27.07.2007 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", распоряжением Правительства Астраханской области от 18.09.2013 N 424-Пр "О единой мультисервисной телекоммуникационной сети Правительства Астраханской области", распоряжением Правительства Астраханской области от 24.07.2014 N 302-Пр "О дополнительных мерах по обеспечению информационной безопасности единой мультисервисной телекоммуникационной сети Правительства Астраханской области" и постановлением службы безопасности и информационной защиты Астраханской области от 20.09.2013 N 6-П "О правилах работы в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо "Федеральным законом от 27.07.2007 N 149-ФЗ" имеется в виду "Федеральным законом от 27.07.2006 N 149-ФЗ"

1.2. Для целей настоящего Порядка используются следующие понятия:

"оператор ЕМТС" - исполнительный орган государственной власти Астраханской области, определяющий архитектуру ЕМТС;

"технический оператор ЕМТС" - исполнительный орган государственной власти Астраханской области или подведомственное учреждение, отвечающее за бесперебойную работу ядра и границы сети до пограничного маршрутизирующего оборудования ЕМТС, а также осуществляющее техническую и программную поддержку;

"оператор безопасности ЕМТС" - исполнительный орган государственной власти Астраханской области, осуществляющий мониторинг и анализ событий в ЕМТС в сфере информационной безопасности;

"операторы ЕМТС" - оператор ЕМТС, технический оператор ЕМТС, оператор безопасности ЕМТС;

"автоматизированное рабочее место" (далее - АРМ, рабочая станция) - комплекс технических и программных средств, предназначенных для выполнения пользователем ЕМТС его функциональных обязанностей. АРМ как место работы пользователя ЕМТС представляет собой компьютер с соответствующим программным обеспечением;

"сегменты ЕМТС" - локально-вычислительная система (далее - ЛВС), сегменты ЛВС и/или АРМ организаций-участников, подключенные к ресурсам ЕМТС;

"организация-участник ЕМТС" - исполнительный орган государственной власти Астраханской области, орган местного самоуправления Астраханской области, подведомственное учреждение, иная организация различных форм собственности, имеющие собственные сегменты ЕМТС и отвечающие за их бесперебойную работу;

"пользователи ЕМТС" - работники исполнительного органа государственной власти, работники органа местного самоуправления, работники государственного или муниципального учреждения или работники сторонних организаций различных форм собственности;

"владелец информационной системы или сервиса" - исполнительный орган государственной власти или организация, являющиеся собственником или осуществляющие полномочия собственника информационной системы или сервиса;

"ресурсы ЕМТС" - совокупность аппаратных, программных и информационных систем и сервисов, доступ к которым предоставляется через ЕМТС;

"защищенное криптографическое соединение с ЕМТС" (далее - ЗКС) - организация удаленного защищенного доступа по открытым каналам связи к ресурсам ЕМТС с использованием средств криптографии;

"топология сети" - способ описания конфигурации сети, схема расположения и соединения сетевых устройств.

2. Порядок подключения к ЕМТС новых сегментов

2.1. Подключение к ЕМТС новых сегментов осуществляется в соответствии с техническими условиями, утвержденными операторами ЕТМС.

2.2. В целях подключения нового сегмента к ЕМТС организация-заявитель представляет операторам ЕМТС заявку, содержащую:

- полное наименование, фирменное наименование (последнее - при наличии) юридического лица с указанием организационно-правовой формы или фамилию, имя, отчество (последнее - при наличии) индивидуального предпринимателя, а также фамилию, имя, отчество (последнее - при наличии) и наименование должности руководителя (для юридического лица);

- юридический адрес, почтовый адрес, адрес электронной почты, телефонный номер контактного лица для осуществления связи с ним;

- перечень необходимых ресурсов ЕМТС.

Заявка должна быть подписана руководителем юридического лица, либо индивидуальным предпринимателем, иным уполномоченным в установленном порядке лицом.

2.3. К заявке прилагаются следующие документы:

- топология сети;

- планы помещений.

2.4. Операторы ЕМТС в течение 10 рабочих дней рассматривают возможность подключения нового сегмента к ЕМТС в соответствии с настоящим Порядком.

2.5. Подключение к ЕМТС осуществляется при помощи средств криптографической защиты каналов передачи данных, сертифицированных по соответствию следующим требованиям:

- к СКЗИ класса не ниже КС3 ФСБ России;

- шифровальным (криптографическим) средствам класса не ниже КС3 ФСБ России;

- к межсетевым экранам не ниже 4 класса защищенности ФСБ России;

- к устройствам типа межсетевые экраны не ниже 3 уровня и 3 класса контроля отсутствия недекларированных возможностей ФСТЭК России.

2.6. Генерация ключевых дистрибутивов, ключей обновления и справочной информации производится техническим оператором ЕМТС.

2.7. При выявлении несоответствия представленного организацией оборудования требованиям подключения к ЕМТС, технический оператор ЕМТС направляет организации-заявителю мотивированное уведомление об отказе в подключении.

После устранения обстоятельств, послуживших основанием для отказа, организация-заявитель вправе повторно предоставить техническому оператору ЕМТС заявку на подключение, в порядке, установленном настоящим Порядком.

2.8. Для возможности работы с ресурсами ЕМТС после согласования операторами ЕМТС подключения к ЕМТС заявитель заключает Соглашение о предоставлении соответствующих услуг (далее - Соглашение) с оператором ЕМТС. Соглашение должно содержать:

- описание сегмента ЕМТС заявителя;

- технические характеристики;

- ответственные лица;

- перечень информационных сервисов систем с указанием рабочих станций.

2.9. В ходе подключения нового сегмента ЕМТС настройка ЗКС производится организацией-заявителем совместно с техническим оператором ЕМТС.

3. Порядок подключения к ЕМТС новых пользователей

3.1. Доступ к ресурсам ЕМТС пользователю организации-участника предоставляется в целях обеспечения надлежащих организационно-технических условий, необходимых для исполнения его должностных обязанностей.

3.2. Доступ к информационным и программным ресурсам ЕМТС осуществляется при соблюдении всех следующих условий:

3.2.1. Наличие доступа пользователя ЕМТС к аппаратным ресурсам (наличие АРМ).

3.2.2. Наличие на рабочей станции пользователя ЕМТС лицензионной операционной системы, лицензионного прикладного программного обеспечения и лицензионных средств антивирусной защиты, совместимых со средствами управления, установленными на серверном оборудовании технического оператора ЕМТС.

4. Порядок актуализации сведений

4.1. ЕМТС может использоваться только для предоставления тех информационных сервисов, систем для пользователя, которые указаны в соглашении. В случае необходимости расширения перечня используемых информационных сервисов, систем необходимо внести соответствующие изменения в Соглашение.

Организация-участник обязана уведомлять оператора в течение 3 рабочих дней обо всех изменениях условий, зафиксированных в Соглашении.

4.2. Требования настоящего Порядка касаются только подключения к ЕМТС и защите каналов связи таких подключений.

4.3. Операторы ЕМТС, владелец информационной системы или сервиса вправе отказать в предоставлении соответствующих услуг при несоблюдении установленных требований информационной безопасности.

Приложение N 5
к постановлению
службы безопасности
и информационной защиты
Астраханской области
от 20 сентября 2013 г. N 6-П

Перечень
мер по защите информации при подключении к Единой мультисервисной телекоммуникационной сети Правительства Астраханской области

1. Общие положения

Технические и организационные меры по защите информации в Единой мультисервисной телекоммуникационной сети Правительства Астраханской области (далее - ЕМТС) разработаны на основании следующих руководящих документов:

- Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказов Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11.02.2014;

- "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/5-144;

- "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные руководством 8 центра ФСБ России 21.02.2008 N 149/6/6-622.

2. Мероприятия по защите информации в ЕМТС

2.1. Общие требования.

При подключении к ЕМТС должны быть реализованы следующие меры защиты информации:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации;

- регистрация событий безопасности;

- антивирусная защита;

- контроль (анализ) защищенности информации;

- обеспечение целостности информационной системы и информации;

- обеспечение доступности информации;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств и систем связи и передачи данных.

Применение беспроводных технологий связи для доступа к информационным ресурсам ЕМТС возможно только при соблюдении рекомендаций по использованию беспроводных сетей в исполнительных органах государственной власти Астраханской области, утвержденных операторами ЕМТС. Использование беспроводных технологий для подключения к ресурсам ЕМТС иными организациями-участниками запрещено.

2.2. Организационные мероприятия по обеспечению безопасности информации при подключении к ЕМТС.

Комплекс организационных мероприятий по защите информации при подключении к ЕМТС обязан включать в себя следующие меры:

- определение и назначение круга лиц, допущенных к обработке информации в информационных системах;

- оснащение помещений с оборудованием, обеспечивающим технологический процесс обработки информации, средствами охранно-пожарной сигнализации;

- физическую охрану технических средств информационных систем и доступа к ним, которая должна предусматривать контроль доступа в помещения;

- оснащение входных дверей в помещения надежными замками;

- допуск и нахождение в помещениях, задействованных в процессе обработки информации с использованием ЕМТС, посторонних лиц, включая вспомогательный и обслуживающий персонал (уборщиц, электромонтеров, сантехников и т.д.), разрешаются только в случаях, исключающих их бесконтрольные несанкционированные действия на АРМ пользователей ЕМТС;

- назначение лиц, ответственных за обеспечение безопасности информации в каждом отдельном сегменте ЕМТС;

- учёт машинных носителей информации, средств защиты информации в специальных журналах (журналах учета).

2.3. Технические мероприятия.

2.3.1. Общие требования к реализации технических мероприятий по обеспечению безопасности информации.

Применяемые технические средства защиты информации должны соответствовать требованиям к средствам защиты информации, определенным в п. 26 Приказа ФСТЭК России от 11.02.2013 N 17 для информационных систем 3 класса защищенности.

Выбранные для использования сертифицированные по требованиям безопасности информации средства защиты должны соответствовать:

- средства вычислительной техники - не ниже 5 класса в соответствии с РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации";

- системы обнаружения вторжений и средства антивирусной защиты - не ниже 4 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

- межсетевые экраны - не ниже 3 класса защиты в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.

2.3.2. Обеспечение безопасности информации при передаче по телекоммуникационным каналам связи.

При передаче информации по телекоммуникационным каналам связи необходимо обеспечить защиту передаваемой информации от несанкционированного доступа к ней криптографическими средствами защиты информации.

Применяемые криптографические средства защиты информации должны быть полностью совместимы с уже использующимися средствами защиты каналов связи ЕМТС.

3. Порядок проведения мероприятий по защите информации при подключении к информационным системам ЕМТС

Для проведения работ по защите информации при подключении к информационным системам ЕМТС необходимо руководствоваться нормативными документами, перечисленными в разделе 1 настоящего Перечня; для проведения указанных мероприятий допускается привлечение организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности".

4. Рекомендации к средствам защиты информации

Применяемые технические средства защиты информации должны быть сертифицированы ФСТЭК России (ФСБ России - в части средств криптографической защиты информации) и соответствовать требованиям к средствам защиты информации, определенным:

- приказом ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" для информационных систем 3 класса защищённости;

- приказом ФСТЭК России от 06.12.2011 N 638 "Об утверждении требований к системам обнаружения вторжений";

- приказом ФСТЭК России от 20.03.2012 N 28 "Требования к средствам антивирусной защиты".

Меры по защите АРМ пользователей ЕМТС определяются пользователями ЕМТС самостоятельно (или с привлечением организаций - лицензиатов ФСТЭК России и ФСБ России по направлениям технической и криптографической защиты информации) в зависимости от уже реализованных мер организационного и технического характера по обеспечению безопасности информации в соответствии с требованиями федеральных законов и нормативных документов ФСТЭК России и ФСБ России, а также в соответствии с требованиями настоящего документа.