версия
для печати

Документы

30.06.2021

Политика информационной безопасности в ОГУ «Духовницкая райСББЖ»

УТВЕРЖДЕНА
приказом начальника ОГУ «Духовницкая райСББЖ»
от «11» июня 2021г. №123

Политика информационной безопасности
в ОГУ «Духовницкая райСББЖ»


1.    ОБЩИЕ ПОЛОЖЕНИЯ
1.1.    Настоящая политика информационной безопасности (далее - Политика) утверждается начальником ОГУ «Духовницкая райСББЖ» (далее – учреждение) и определяет мероприятия, процедуры и правила по защите информации в информационных системах учреждения.
1.2.    Положения настоящей Политики распространяются на следующие информационные системы учреждения:
- 1 С Бухгалтерия
- Меркурий
- Веста
- Цербер
- Ветис/паспорт
- Учет поголовья
- СЭД
- ПОС
1.3.    Положения настоящей Политики обязательны к исполнению для всех пользователей, указанных в п. 1.2 информационных систем (далее - Пользователи), а также для администратора безопасности (далее - Администратор).
1.4.    В соответствии с действующим в Российской Федерации законодательством к сведениям конфиденциального характера (защищаемой информации) в учреждение относятся:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
- сведения о контрагентах (гражданах, юридических лицах, обращающихся за оказанием ветеринарных услуг), позволяющие идентифицировать их персональные данные, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
1.5.    Целями настоящей Политики являются:
- обеспечение конфиденциальности, целостности, доступности защищаемой информации;
- предотвращение утечек защищаемой информации;
- мониторинг событий безопасности и реагирование на инциденты безопасности;
- нейтрализация актуальных угроз безопасности информации;
- выполнение требований действующего законодательства по защите информации.
1.6.    В настоящей Политике используются термины и определения, установленные законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также термины и определения, установленные национальными стандартами в области защиты информации.

2.    ТЕХНОЛОГИЧЕСКИЙ ПРОЦЕСС ОБРАБОТКИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ.
2.1.    В данном разделе настоящей Политики описан технологический процесс обработки различных видов защищаемой информации в информационных системах учреждения.
    Администратор и Пользователи, допущенные к обработке той или иной защищаемой информации, обязаны производить обработку этой информации в соответствии с соответствующими описаниями технологического процесса обработки информации, приведенными в данном разделе.
2.2.    Технологический процесс обработки информации в информационных системах учреждения, в том числе информационных системах персональных данных:
2.2.1. Перечень использованных сокращений, единиц и терминов.
- АИБ – администратор информационной безопасности.
- АС – автоматизированная система.
- АРМ – автоматизированное рабочее место.
- ГМД – гибкий магнитный диск.
- ИСПДн – информационная система персональных данных.
- КИ – конфиденциальная информация.
- ЛВС – локальная вычислительная сеть.
- МНИ – отчуждаемые машинные носители информации.
- МЭ – межсетевой экран.
- НСД – несанкционированный доступ.
- ОИ – объект информатизации.
- ОС – операционная система.
- ПДн – персональные данные.
- ПО – программное обеспечение.
- ПЭВМ – персональная электронно-вычислительная машина.
- СЗИ – средство защиты информации.
- ЭВМ – электронно-вычислительная машина.
Описание технологического процесса обработки информации в информационных системах учреждения, в том числе информационных системах персональных данных, разработано в соответствии с Федеральным законом от 26.07.2007 г. №152-ФЗ «О персональных данных».
2.2.2. Назначение применения АС.
1. АС учреждения предназначены для разработки, распечатки, хранения в электронном виде КИ и ПДн. С документами, содержащими сведения ограниченного распространения, работают сотрудники учреждения, имеющие соответствующий доступ к ресурсам АС и ИСПДн.
Технологический процесс обработки информации в АС и ИСПДн включает в себя:
– внесение КИ и ПДн в базы данных, просмотр и редактирование необходимой информации, печать документов на бумажном носителе, обмен файлами на МНИ по каналам связи;
– обеспечение необходимого уровня безопасности обработки, хранения и передачи КИ и ПДн.
2.2.3. Расположение ОИ.
1. Организация охраны и контроля доступа: АС, обрабатывающие КИ, расположены в здании по адресу: р.п.Духовницкое, ул. Заводская, д.1.
Помещения учреждения оборудованы техническими средствами защиты (надежные двери с запирающимися замками), ведется физическая охрана помещений (ежедневное ночное дежурство сторожей учреждения).
Доступ сотрудников и других лиц в помещения учреждения, в которых осуществляется обработка КИ, осуществляется в соответствии с утвержденным списком лиц, имеющих доступ к КИ.
2. ИСПДн, обрабатывающие ПДн, расположена в здании по адресу: р.п.Духовницкое, ул. Заводская, д.1. Помещения учреждения оборудованы техническими средствами защиты (надежные двери с запирающимися замками), ведется физическая охрана помещений (ежедневное ночное дежурство сторожей учреждения).
Доступ сотрудников и других лиц в помещения учреждения, в которых осуществляется обработка КИ, осуществляется в соответствии с утвержденным списком лиц, имеющих доступ к КИ.
2.2.4. В состав АС и ИСПДн учреждения, обрабатывающие КИ и ПДн, входят АРМ, которые функционируют в рамках локальной сети и имеют подключение к сети Интернет. Питание ПЭВМ и принтера обеспечивается от сети электропитания 220В. Трансформаторная подстанция находится за пределами контролируемой зоны.
2.2.5. Источники данных АС:
1. Источниками данных для АС учреждения являются:
– Данные на бумажных носителях.
– Данные на МНИ - файлы, подготовленные в другой АС.
– Вводимые пользователями данные - сведения, вводимые с клавиатуры операторами (пользователями).
2. Входными данными является информация, поступающая в АС и ИСПДн на различных носителях: данные на бумажных носителях, данные на МНИ, данные, вводимые операторами (пользователями) с клавиатуры.
Исходные данные поступают в АС и ИСПДн учреждения от сотрудников, сторонних организаций и клиентов, обращающихся в учреждение.
Все носители информации регистрируются, хранятся и передаются в соответствии с требованиями инструкции по обращению с носителями КИ и ПДн.
3. Выходными данными являются подготовленные и распечатанные в АС и ИСПДн конфиденциальные и неконфиденциальные текстовые документы, файлы, содержащие КИ и ПДн, передаваемые по каналам связи.
2.2.6. Используемые программные средства:
На ПЭВМ учреждения установлена ОС Windows.
Функции, права и обязанности, ответственных за эксплуатацию объекта информатизации регламентируются инструкцией о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав АС и ИСПДн. Пользователям запрещено приносить и устанавливать на рабочие станции АС и ИСПДн ПО без согласования с АИБ.
2.2.7. Ресурсы АС:
К ресурсам АС и ИСПДн учреждения относятся файлы, каталоги, тома, диски, устройства вывода информации (СD-RW, LPT порты, порты USB).
Информационные ресурсы, предназначенные для хранения и обработки КИ и ПДн, перечислены в утвержденном перечне защищаемых информационных ресурсов.
Разграничение доступа пользователей к портам ввода-вывода информации в АС и ИСПДн учреждения реализовано в разрешительной системе доступа.
Если доступ Пользователя к конкретному информационному ресурсу не определен, то доступа к нему он не имеет.
2.2.8. Антивирусная защита:
Антивирусная защита осуществляется с применением разрешенных программных средств в соответствии с инструкцией по проведению антивирусного контроля в АС и ИСПДн.
Используемые антивирусные средства указываются в Перечне разрешенного к использованию в АС и ИСПДн программного обеспечения.
2.2.9. Обеспечение безопасности информации:
Оператор должен обеспечивать надлежащие условия защиты КИ и ПДн, хранящихся в используемых АС и ИСПДн, от несанкционированного доступа, использования, распространения, искажения и уничтожения.
Сотрудники, уполномоченные осуществлять обработку персональных данных, несут ответственность за защиту КИ и ПДн в порядке, предусмотренном действующим законодательством Российской Федерации.
Настройку СЗИ от НСД для конкретных пользователей, контроль её работы, обновление антивирусных баз, диагностику и устранение неисправностей или сбоев в работе программного или аппаратного обеспечения осуществляет АИБ.
Функции, права и обязанности АИБ регламентируются специально разработанной  инструкцией.
Повседневный контроль защищенности АС и ИСПДн от НСД проводится АИБ.
Контроль осуществляется с помощью штатных средств СЗИ от НСД.
Основным средством контроля является анализ системного журнала.
Доступ пользователей к работе в АС и ИСПДн осуществляется строго в соответствии со списком постоянных пользователей АС и ИСПДн, разрабатываемым АИБ.
Допускается наличие только пользователей, указанных в списке постоянных пользователей АС и ИСПДн, имеющих доступ к КИ и ПДн.
2.2.10. Пользователи:
Пользователями АС и ИСПДн являются сотрудники учреждения строго в соответствии со списком постоянных пользователей ИСПДн, имеющими соответствующие права допуска.
В рамках управления доступом пользователей АС и ИСПДн к ресурсам АС и ИСПДн и в соответствии с решаемыми задачами выделены следующие категории пользователей:
– АИБ – обладает всей полнотой доступа к ресурсам АС и ИСПДн, организует и контролирует работу АС и ИСПДн объектов информатизации, других пользователей;
– программист;
– пользователи – имеющие доступ к АРМ объектов информатизации на основании приказа о допуске к АРМ.
Программист и/или АИБ осуществляет: настройку систем защиты от НСД, контроль их работы, обновление антивирусных баз, диагностику и устранение неисправностей или сбоев в работе программного или аппаратного обеспечения, также в его обязанности входит выполнение резервного копирования и восстановления информации.
Функции, права и обязанности программиста и АИБ регламентируются должностными инструкциями.
Пользователи АС (операторы) непосредственно осуществляют подготовку, ввод, обработку, хранение и удаление информации в АС ИСПДн.
В зависимости от выполняемых в АС задач и для реализации правил разграничения доступа к ресурсам АС и ИСПДн могут выделяться группы пользователей.
Группы пользователей и права доступа различных групп к информационным ресурсам назначаются в соответствии с разрешительной системой доступа.
Функции, права и обязанности пользователя АС и ИСПДн регламентируются специально разработанной инструкцией по работе пользователя в АС и ИСПДн.
2.2.11. Задачи технологического процесса обработки информации в АС и ИСПДн:
Технологический процесс обработки информации в АС учреждения включает в себя:
1. Задачу получения от сторонних организаций исходных данных, их подготовка, оформление, регистрация и выдача пользователям АС учреждения. Задача выполняется работниками учреждения.
Она состоит из следующих этапов:
- получение конфиденциальной информации и персональных данных на бумажных носителях и в электронном виде от сторонних организаций, работников учреждения и выдача пользователям АС учреждения.
- распечатка электронных файлов документов, содержащих конфиденциальную информацию и персональные данные на принтере АС.
- передача сведений на бумажных носителях и в электронном виде обработанных пользователями АС учреждения в сторонние организации по каналам передачи данных.
Полученные МНИ регистрируются, ставятся на учет и хранятся в соответствии с требованиями инструкции по обращению с носителями конфиденциальной информации, а затем используются работниками учреждения для обработки информации.
2. Задачу оформления, регистрации и передачи выходных данных.
Задачи данного пункта выполняются работниками ответственными за ведение конфиденциального делопроизводства в учреждение.
Они регистрируют МНИ в соответствии с требованиями инструкции по обращению с носителями конфиденциальной информации. В соответствии с указанной инструкцией происходит оформление МНИ.
3. Задачу ввода, подготовки, обработки, хранения и вывода информации в АС.
Задачи данных пунктов выполняются работниками ответственными за ведение конфиденциального делопроизводства в учреждение.
Задачи выполняются с помощью, установленного на рабочей станции АС программного обеспечения, указанного в утвержденном перечне разрешенного к использованию в АС программного обеспечения.
Все файлы, содержащие конфиденциальную информацию и персональные данные, хранятся и обрабатываются только в специальных каталогах, входящих в утвержденный перечень защищаемых информационных ресурсов. Права доступа назначаются администратором информационной безопасности в соответствии с разрешительной системой доступа.
Копирование файлов с МНИ в специальные каталоги на жестком диске ПЭВМ, а также (в случае необходимости) предварительное изменение скопированных файлов. Файлы содержат текстовую информацию (техническую документацию, электронные документы и т.д.).
Создание работниками ответственными за ведение конфиденциального делопроизводства конфиденциальных документов, их редактирование, уничтожение, хранение в специальных каталогах на жестком диске ПЭВМ или учтенных МНИ.
Запись созданных текстовых файлов на учтенные МНИ осуществляется работниками в соответствии с его функциональными обязанностями и разрешительной системой доступа.
Регистрация созданных текстовых файлов.
Задача выполняется пользователями АС вручную сразу после подготовки конфиденциальных файлов и сохранения их на жесткий диск ПЭВМ, копирования конфиденциальных файлов на МНИ.
Удаление файлов с жестких магнитных дисков или МНИ в сроки, установленные производственной необходимостью и режимными требованиями.
Удаление осуществляется специальными средствами удаления информации, несколькими циклами затирания информации.
В случае если МНИ выводится из обращения он подлежит физическому уничтожению в соответствии с требованиями инструкции по обращению с носителями конфиденциальной информации.
4. Настройка, управление и техническое сопровождение СЗИ.
Настройка, управление и техническое сопровождение СЗИ проводится АИБ и включает следующие операции:
- установка и настройка безопасной операционной среды для пользователей АС.
На этом этапе производится: установка и настройка ОС рабочих станций, подключение и конфигурирование устройств ввода-вывода информации в/из АС, установка и настройка СЗИ, регистрация в СЗИ пользовательских учетных записей и настройка прав доступа для каждого пользователя в соответствии с его функциональными обязанностями, создание, предварительное наполнение информацией (не содержащей сведения, составляющие государственную тайну) и конфигурирование ресурсов АС, реализация правил разграничения доступа к этим ресурсам в соответствии с разрешительной системой доступа, настройка парольной политики, политики затирания данных и т.д. Права доступа пользователей к программам, каталогам, файлам определены в разрешительной системе доступа к защищаемым ресурсам АС учреждения.
- непрерывный мониторинг безопасности в АС с целью выявления нарушений правил разграничения доступа пользователями АС, диагностики и последующего устранения выявленных неисправностей или ошибок в работе программно-аппаратного обеспечения операционной среды АС.
Данная задача выполняется АИБ путем регулярного анализа системных журналов операционной системы и СЗИ от НСД, регулярных проверок соответствия реализованных в АС правил разграничения доступа к ресурсам, требованиям разрешительной политики доступа, регулярных проверок правильности соблюдения пользователями требований по защите информации.
- регулярное сопровождение подсистемы безопасности с целью обеспечения эффективности работы пользователей АС и обеспечения защиты информации.
Данная задача выполняется АИБ и ответственным за эксплуатацию ПЭВМ (в части касающейся организационных мероприятий по защите информации) при обнаружении внештатных ситуаций и регламентируется должностной инструкцией программиста и инструкцией о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав АС.
Задача включает следующие операции: устранение выявленных неисправностей и ошибок (осуществляется администратором информационной безопасности), регулярные обновление прикладного ПО и обеспечение его целостности.
2.2.12. Этапы технологического процесса:
1. Доступ пользователей к работе в АС и ИСПДн.
Доступ пользователей к информационным ресурсам определяется на основании списка постоянных пользователей АС и ИСПДн и перечня защищаемых информационных ресурсов, учреждения.
Права доступа к информационным ресурсам назначаются каждому пользователю на основании разрешительной системы доступа, разрабатываемой АИБ.
Разграничение прав доступа пользователей к информационным ресурсам и установление полномочий этим пользователям реализуется АИБ средствами ОС и дополнительными средствами СЗИ от НСД.
Вход в систему осуществляется по персональному имени (персональному идентификатору) и паролю конкретного пользователя.
При успешном входе в систему пользователь получает права доступа к устройствам, каталогам, файлам и программам, установленные АИБ.
При увольнении пользователя АИБ на основании приказа, в последний день работы пользователя (или иной день, указанный в приказе), производится удаление учетной записи пользователя и всех его ресурсов (за исключением необходимых для работы других пользователей).
2. Начало сеанса работы.
Перед началом сеанса работы пользователь включает свою рабочую станцию и проходит процедуру аутентификации. В процессе аутентификации пользователь использует свои личные логин и пароль. Смена личного пароля производится не реже 1 раза в три месяца. Контроль данного процесса осуществляется АИБ.
3. Регистрация пользователей и назначение прав доступа.
Регистрация пользователей и назначение прав доступа производится АИБ на основании заявки/ указания руководителя.
Зарегистрированный пользователь устанавливает свой личный пароль.
Права доступа устанавливаются пользователю средствами ОС в соответствии с разрешительной системой доступа.
Удаление пользователя выполняется однократно при необходимости выведения сотрудника из числа пользователей АС и ИСПДн учреждения.
4. Работа с файлами документов, внесение изменений, хранение.
Файлы документов разрабатываются на рабочем месте пользователем, зарегистрированным в АС и ИСПДн учреждения.
Работа пользователя при подготовке файла документа возможна только после успешного прохождения процедуры аутентификации в АС и ИСПДн.
Разработка и подготовка к печати документов производится с применением, установленных на рабочей станции, текстовых и табличных редакторов.
Распечатка документов производится на принтере, размещенном на ОИ.
По окончании сеанса подготовки документа производится его сохранение в виде файла в разрешенном каталоге или на закрепленный за пользователем МНИ, соответствующим образом зарегистрированный.
В случае отсутствия необходимости дальнейшей работы с документом, впервые набранным с клавиатуры, пользователь может отказаться от сохранения его в виде файла. Также пользователь может отказаться от сохранения внесенных в файл изменений.
5. Уничтожение файлов, содержащих конфиденциальные данные.
Удаление данных (файлов) и временных файлов производится штатными средствами ОС при включенном режиме затирания данных или СЗИ от НСД (в том числе автоматическое обнуление файла подкачки).
Уничтожение файла может быть произведено без распечатки документа, если в документе отпала необходимость.
При установке операционной системы должна быть отключена функция удаления файлов через «корзину».
При установке СЗИ от НСД в ней должна быть активирована функция затирания данных с применением не менее 3-х циклов затирания.
Факт удаления КИ и ПДн с МНИ регистрируется в специальном журнале.
Запись в журнал производит пользователь, уничтоживший эту информацию.
6. Работа с МНИ.
Правила работы с МНИ определены в утвержденном локальном акте учреждения «Об организации учета, хранения и выдачи машинных носителей информации».

3.    ПРАВИЛА И ПРОЦЕДУРЫ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ ГИС, ПОЛИТИКА РАЗГРАНИЧЕНИЯ ДОСТУПА К РЕСУРСАМ ГИС.
3.1.    С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику учреждения, допущенному к работе с ресурсами ГИС присваивается уникальное имя (учетная запись Пользователя), под которым он будет регистрироваться и работать в ГИС.
3.2.    Под учетной записью Пользователя понимается учетная запись для доступа к информационной системе.
3.3.    Использование одного и того же имени Пользователя несколькими Пользователями (или группового имени для нескольких Пользователей) в ГИС запрещено.
3.4.    Процедура регистрации (создания учетной записи) Пользователя ГИС для сотрудника учреждения и предоставления ему (или изменения его) прав доступа к ресурсам ГИС инициируется заявкой/ указанием руководителя.
3.5.    Администратор перед рассмотрением заявки/ заявления осуществляет верификацию пользователя (подтверждает его личность), а также уточняет его должностные и функциональные обязанности и сопоставляет их с технологическими процессами обработки информации, описанным в разделе 2 настоящей Политики.
3.6.    Перечень помещений, в которых разрешена работа с ресурсами ГИС, расположены технические средства ГИС, а также перечень лиц, допущенных в эти помещения, приведены в разделе 2 к настоящей Политике.
3.7.    Пользователям запрещены любые действия в ГИС до прохождения процедуры идентификации и аутентификации в системе.

4.    ПРАВИЛА И ПРОЦЕДУРЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ ПОТОКАМИ.
4.1. В ИС АИБ обеспечивается управление информационными потоками при передаче информации между устройствами, сегментами в рамках ИС.
4.2. Для каждого устройства, сегмента ИС АИБ определяет минимальный набор правил фильтрации, необходимость ограничивать информационные потоки, необходимость записи во временное хранилище информации для анализа и принятия решений о возможности ее дальнейшей передачи.
4.3. Условия, установленные пунктом 4.2 настоящего раздела Правил определяются на основании анализа угроз безопасности информации и требований нормативных правовых актов.
4.4. При установлении правил фильтрации должен быть обеспечен принцип «Запрещено всё, кроме разрешенного», например, при формировании правил фильтрации основным правилом фильтрации должен быть «запрещены любые сетевые пакеты в любом направлении»

5.    ПРАВИЛА И ПРОЦЕДУРЫ УПРАВЛЕНИЯ УСТАНОВКОЙ (ИНСТАЛЯЦИЕЙ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
5.1. Перечень использованных терминов:
- Установка программного обеспечения, инсталляция - процесс установки программного обеспечения на компьютер конечного пользователя.
- Инсталляция выполняется особой программой, присутствующей в операционной системе, или же входящим в состав самого программного обеспечения средством установки.
- Инсталлятор - это компьютерная программа, которая устанавливает файлы, такие как приложения, драйверы, или другое ПО, на компьютер. Она запускается из файла SETUP.EXE или INSTALL.EXE
- Каждый программный продукт - это, прежде всего, исполняемый модуль с расширением *.ЕХЕ (например, ARJ.EXE) или *.СОМ (например, WIN.COM), и этот модуль может работать либо автономно (например, ARJ.EXE), либо в сопровождении множества служебных файлов и других программ (например, WIN.COM).
5.2. В ГИС учреждения разрешено использование только того программного обеспечения, его компонентов, утилит и драйверов, которые необходимы для обеспечения функционирования информационной системы, а также необходимы для выполнения служебных (должностных) обязанностей пользователями.
5.3. Установка программного обеспечения, его компонент, утилит и драйверов осуществляется только АИБ. Пользователям запрещена установка любого ПО в ГИС.
5.5. Для большинства современных программных продуктов разработчики предусматривают специальную процедуру установки (инсталляции), при которой используется специальная дистрибутивная копия продукта. Эта копия поставляется либо на нескольких дискетах, либо на компакт-диске, причем на первой дискете (или на компакт-диске) всегда находится программа установки SETUP.EXE (или INSTALL.EXE). Запускается эта программа и идет следование ее указаниям.
В данном пункте перечислены типичные шаги, которые выполняются во время установки продукта:
- ввод имени пользователя, обладающего лицензией на использование данной программы, и названия учреждения;
- проверка аппаратных элементов системы (памяти на диске, оперативной памяти, подключенных внешних устройств и т. п.);
- конфигурирование продукта в соответствии с требованиями пользователя и запись на жесткий диск всех программных и служебных файлов, необходимых для работы продукта в заказанной конфигурации (при этом часть функций продукта может быть исключена);
- создание и (или) модификация файлов настроек - как системных (например, CONFIG.SYS), так и специализированных файлов WINDOWS (с расширением *.INI).
Вне зависимости от того, какую программа устанавливается, основная процедура, которую необходимо выполнить перед установкой, одна и та же - копируете программа с гибких дисков на жесткий диск компьютера. Затем переносится так называемая кнопка «Начни-с-меня» (пиктограмму) в меню кнопки Пуск, чтобы обеспечить возможность запуска инсталлированного приложения сразу после простого щелчка мышью.
Программа установки – специальная программа, предназначенная для инсталляции приложений.
Программа, известная как программа установки, управляет процессом копирования файлов на жесткий диск компьютера и проверяет совместимость программного обеспечения с Windows.
Устанавливая новую программу необходимо соблюдать последовательность:
Диск с программой - Вставить его в дисковод – Просмотреть содержимое диска, используя приложение Мой компьютер - Найти и загрузить программу установки и прочитать файл README (Прочитай меня) - Создать новую папку на жестком диске - Скопировать файлы программы в эту папку - Поместить имя программы и пиктограмму в меню Пуск.

6. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ, КОНТРОЛЬ ИНТЕРФЕЙСОВ ВВОДА-ВЫВОДА, ГАРАНТИРОВАННОЕ УНИЧТОЖЕНИЕ ИНФОРМАЦИИ.
6.1. Защита машинных носителей информации (ЗНИ):
1. Учет машинных носителей информации:
Учреждением (оператором) должен быть обеспечен учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации.
Учету подлежат:
- съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);
- машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках).
Учет машинных носителей информации включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера.
Учет съемных машинных носителей информации ведется в журналах учета машинных носителей информации.
Требования к усилению ЗНИ:
1) оператором обеспечивается маркировка машинных носителей информации (технических средств), дополнительно включающая:
а) информацию о возможности использования машинного носителя информации вне информационной системы;
б) информацию о возможности использования машинного носителя информации за пределами контролируемой зоны (конкретных помещений);
в) атрибуты безопасности, указывающие на возможность использования этих машинных носителей информации для обработки (хранения) соответствующих видов информации;
2) оператором обеспечивается маркировка машинных носителей информации (технических средств), дополнительно включающая неотторгаемую цифровую метку носителя информации для обеспечения возможности распознавания (идентификации) носителя в системах управления доступом;
3) оператором обеспечиваться маркировка машинных носителей информации (технических средств), дополнительно включающая использование механизмов распознавания (идентификации) носителя информации по его уникальным физическим характеристикам.
2.  Управление доступом к машинным носителям информации:
Оператором должны быть реализованы следующие функции по управлению доступом к машинным носителям информации, используемым в информационной системе:
определение должностных лиц, имеющих физический доступ к машинным носителям информации, а именно к следующим:
- съемным машинным носителям информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);
- машинным носителям информации, стационарно устанавливаемым в корпус средств вычислительной техники (например, накопители на жестких дисках);
- предоставление физического доступа к машинным носителям информации только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций).
Требования к усилению:
1) применение автоматизированной системы контроля физического доступа в помещения, в которых осуществляется хранение машинных носителей информации;
2) опечатывание корпуса средства вычислительной техники, в котором стационарно установлен машинный носитель информации;
3) в информационной системе должно обеспечиваться применение программных (программно-технических) автоматизированных средств управления физическим доступом к машинным носителям информации;
4) контроль физического доступа лиц к машинным носителям информации в соответствии с атрибутами безопасности, установленными для этих носителей.
3. Контроль перемещения машинных носителей информации за пределы контролируемой зоны:
Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны. При контроле перемещения машинных носителей информации должны осуществляться:
- определение должностных лиц, имеющих права на перемещение машинных носителей информации за пределы контролируемой зоны;
- предоставление права на перемещение машинных носителей информации за пределы контролируемой зоны только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функций);
- учет перемещаемых машинных носителей информации;
- периодическая проверка наличия машинных носителей информации.
Требования к усилению:
1) оператором информационной системы определяются задачи (виды деятельности, функции), для решения которых необходимо перемещение машинных носителей информации за пределы контролируемой зоны;
2) применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации, хранимой на носителе, при перемещении машинных носителей информации за пределы контролируемой зоны;
3) оператором определяется должностное лицо, ответственное за перемещение машинных носителей информации;
4) оператором информационной системы осуществляется периодическая проверка машинных носителей информации после их возврата в пределы контролируемой зоны.
4. Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах:
Оператором должно обеспечиваться исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах.
Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах должно предусматривать:
- физический контроль и хранение машинных носителей информации в помещениях, оборудованных техническими средствами защиты (надежные двери с запирающимися замками), в железном шкафу/сейфе;
- защита машинных носителей информации до уничтожения (стирания) с них данных и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов) с использованием средств стирания данных и остаточной информации.
Требования к усилению:
1) оператором должны применяться средства контроля съемных машинных носителей информации;
2) оператором должны применяться в соответствии с законодательством Российской Федерации криптографические методы защиты информации, хранящейся на машинных носителях;
6.2. Контроль использования интерфейсов ввода (вывода):
1. В информационной системе должен осуществляться контроль использования интерфейсов ввода (вывода).
Контроль использования (разрешение или запрет) интерфейсов ввода (вывода) должен предусматривать:
- определение оператором интерфейсов средств вычислительной техники, которые могут использоваться для ввода (вывода) информации, разрешенных и (или) запрещенных к использованию в информационной системе;
- определение оператором категорий пользователей, которым предоставлен доступ к разрешенным к использованию интерфейсов ввода (вывода);
- принятие мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода);
- контроль доступа пользователей к разрешенным к использованию интерфейсов ввода (вывода).
В качестве мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода), могут применяться:
- опечатывание интерфейсов ввода (вывода);
- использование механических запирающих устройств;
- удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода);
- применение средств защиты информации, обеспечивающих контроль использования интерфейсов ввода (вывода).
Требования к усилению:
1) в информационной системе должна быть обеспечена регистрация использования интерфейсов ввода (вывода);
2) оператором обеспечивается конструктивное (физическое) исключение из средства вычислительной техники запрещенных к использованию интерфейсов ввода (вывода);
3) оператором информационной системы обеспечивается программное отключение запрещенных к использованию интерфейсов ввода (вывода).
2. Контроль ввода (вывода) информации на машинные носители информации:
В информационной системе должен осуществляться контроль ввода (вывода) информации на машинные носители информации.
Контроль ввода (вывода) информации на машинные носители информации должен предусматривать:
- определение оператором типов носителей информации, ввод (вывод) информации на которые подлежит контролю;
- определение оператором категорий пользователей, которым предоставлены полномочия по вводу (выводу) информации на машинные носители;
- запрет действий по вводу (выводу) информации для пользователей, не имеющих полномочий на ввод (вывод) информации на машинные носители информации, и на носители информации, на которые запрещен ввод (вывод) информации;
- регистрация действий пользователей и событий по вводу (выводу) информации на машинные носители информации.
Требования к усилению:
1) в информационной системе должна создаваться копия информации, записываемой пользователями на съемные машинные носители информации (теневое копирование);
2) оператором должны применяться средства контроля подключения съемных машинных носителей информации.
3. Контроль подключения машинных носителей информации:
В информационной системе должен обеспечиваться контроль подключения машинных носителей информации.
Контроль подключения машинных носителей информации должен предусматривать:
- определение оператором типов носителей информации, подключение которых к информационной системе разрешено;
- определение оператором категорий пользователей, которым предоставлены полномочия по подключению носителей к информационной системе;
- запрет подключения носителей информации, подключение которых к информационной системе не разрешено;
- регистрация действий пользователей и событий по подключению к информационной системе носителей.
Требования к усилению:
1) оператором должен обеспечиваться контроль подключения машинных носителей информации с использованием средств контроля подключения съемных машинных носителей информации, позволяющих устанавливать разрешенные и (или) запрещенные типы и (или) конкретные съемные машинные носители информации для различных категорий пользователей;
2) запрет подключения к информационной системе носителей пользователями, не имеющими полномочий на подключение носителей.
6.3. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания):
Оператором должно обеспечиваться уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) информации.
Уничтожение (стирание) информации на машинных носителях должно исключать возможность восстановления защищаемой информации при передаче машинных носителей между пользователями, в сторонние организации для ремонта или утилизации.
Уничтожению (стиранию) подлежит информация, хранящаяся на цифровых и нецифровых, съемных и несъемных машинных носителях информации.
Требования к усилению:
1) оператором должны быть обеспечены регистрация и контроль действий по удалению защищаемой информации и уничтожению машинных носителей информации;
2) оператором должны проводиться периодическая проверка процедур и тестирование средств стирания информации и контроля удаления информации;
3) оператором перед подключением к информационной системе должно быть обеспечено уничтожение (стирание) информации с носителей информации после их приобретения и при первичном подключении к информационной системе, при использовании в иных информационных системах, при передаче для постоянного использования от одного пользователя другому пользователю, после возвращения из ремонта, а также в иных случаях, определяемых оператором;
4) оператором должно быть обеспечено уничтожение машинных носителей информации, которые не подлежат очистке;
5) оператором должны применяться следующие меры по уничтожению (стиранию) информации на машинных носителях, исключающие возможность восстановления защищаемой информации:
а) удаление файлов штатными средствами операционной системы и (или) форматирование машинного носителя информации штатными средствами операционной системы;
6)перезапись уничтожаемых (стираемых) файлов случайной битовой последовательностью, удаление записи о файлах, обнуление журнала файловой системы или полная перезапись всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием;
в) очистка всего физического пространства машинного носителя информации, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя;
г) полная многократная перезапись машинного носителя информации специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации, затем очистка всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя;
д) размагничивание машинного носителя информации;
е) физическое уничтожение машинного носителя информации (в том числе сжигание, измельчение, плавление, расщепление, распыление и другое).

7. ПРАВИЛА И ПРОЦЕДУРЫ ОБНАРУЖЕНИЯ (ПРЕДОТВРАЩЕНИЯ) ВТОРЖЕНИЙ.
Обнаружение вторжений – это процесс мониторинга событий, происходящих в информационной системе и их анализа на наличие признаков, указывающих на попытки вторжения: нарушения конфиденциальности, целостности, доступности информации или нарушения политики информационной безопасности.
Предотвращение вторжений - процесс блокировки выявленных вторжений.
Средства подсистемы обнаружения и предотвращения вторжений автоматизируют данные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.
По способу мониторинга средства подсистемы делятся на:
- средства предотвращения вторжений сетевого уровня (network-based IDS/IPS), которые осуществляют мониторинг сетевого трафика сегментов сети.
- средства предотвращения вторжений системного уровня (host-based IDS/IPS), которые выявляют события информационной безопасности и выполняют корректирующие действия в пределах защищаемого узла.
Выделяется несколько методов анализа событий:
- обнаружение злоупотреблений, при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), который описывает известную атаку. Шаблон известной атаки называется сигнатурой.
- обнаружение аномалий, при котором определяются ненормальные (аномальные) события. Данный метод предполагает, что при попытке вторжении, полученные события отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния.
В подсистеме выделяются средства защиты от DDoS атак, которые анализируют пограничный сетевой трафик методом обнаружения аномалий.
Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.
Сервер управления получает информацию от сенсоров и управляет ими. Обычно на серверах осуществляется консолидация и корреляция событий. Для более глубокой обработки важных событий, средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.
Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции.
Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.
Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.
7.1. Предотвращение вторжений системного уровня:
Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.
Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.
К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.
7.2. Предотвращение вторжений сетевого уровня:
Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.
Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.
Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия. Предотвращение вторжений системного уровня
Подсистема предотвращения вторжений системного уровня (host-based IDS/IPS) обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц. Агенты (сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельной операционной системе.
Преимуществами данной подсистемы является возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрацию аномальной деятельности конкретного пользователя.
К недостаткам можно отнести не возможность обнаруживать комплексных аномальных событий, использование дополнительные ресурсы защищаемой системы, необходимость установки на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.
7.3. Предотвращение вторжений сетевого уровня:
Подсистема предотвращения вторжений сетевого уровня (network-based IPS или NIPS) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.
Программные или программно-аппаратные сенсоры, устанавливаются в разрыв соединения или пассивно просматривают сетевой трафик определенных узлов или сегментов сети и анализируют сетевые, транспортные и прикладные протоколы взаимодействия.
Захваченный трафик сравнивается с набором определенных образцов (сигнатур) атак или нарушений правил политики безопасности. Если сигнатуры будут обнаружены в сетевом пакете, применяются меры противодействия.
В качестве мер противодействия, может выполняться:
- блокирование выбранных сетевых пакетов;
- изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
- сохранения выбранных пакетов для последующего анализа;
- регистрация событий и оповещение ответственных лиц.
Дополнительной возможностью данных средств может являться сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.
7.4. Защита от DDoS атак:
Одним из наиболее критичных, по последствиям, классов компьютерных атак являются атаки типа «Распределенный отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет. Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.
Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.
Общий подход к защите от атак DDoS включает реализацию следующих механизмов:
- обнаружение вторжения;
- определение источника вторжения;
- предотвращение вторжения.

8. ПРАВИЛА И ПРОЦЕДУРЫ ВЫЯВЛЕНИЯ, АНАЛИЗА И УСТРАНЕНИЯ УЯЗВИМОСТЕЙ.
8.1. Для обнаружения уязвимостей в ИС проводится процедура аудита информационной безопасности, которая состоит из двух этапов - анализа текущего уровня защищённости ИС и разработки предложений по устранению выявленных уязвимостей. Аудит состоит из комплекса проверок, часть из которых направлена на обнаружение и устранение уязвимостей, который были описаны выше. Рассмотрим различные методы, при помощи которых можно обнаружить слабые места в ПО ИС.
Выявление уязвимостей типа " buffer overflow ", " SQL Injection " и " format string " возможно либо путём анализа исходных текстов потенциально уязвимой программы, либо при помощи поведения анализа безопасности уже работающей программы. Первый способ предполагает экспертный анализ исходных текстов программы с целью поиска и исправления ошибок, которые были допущены на этапе её разработки. В большинстве случае для устранения выявленных уязвимостей необходимо добавление новых функций, обеспечивающих проверку корректности входных данных, поступающих в программу. Исправление уязвимости " SQL Injection " возможно путём защиты от вставки символа "'", который в большинстве случаев и позволяет модифицировать исходный SQL -запрос. Для устранения уязвимостей типа " format string " необходимо использовать такой формат вызова функций, в котором форматирующая строка задаётся в явном виде разработчиком программы.
Второй метод выявления уязвимостей используется для анализа защищённости ПО, которое уже установлено и функционирует в ИС. Метод предполагает использование специализированных программных средств - так называемых сканеров безопасности или систем анализа защищённости. Эти средства позволяют обнаруживать уязвимости на основе активного и пассивного методов. При помощи пассивного метода осуществляется сбор информации о настройках ПО, присутствующего в ИС и на основе этих данных делается вывод о наличии или отсутствии в системе уязвимостей. Активные методы анализа защищённости приложений имитируют информационные атаки и затем на основе анализа результатов делается вывод о наличии уязвимостей в системе. Совместное использование пассивных и активных методов анализа защищённости приложений ИС позволяет выявить не только уязвимости " buffer overflow ", " SQL Injection " и " format string ", но и эксплуатационные уязвимости конфигурации ПО. Устранение уязвимостей в этом случае возможно путём установки соответствующих модулей обновления (service packs, hotfixes, patches и др.) или изменения настроек используемого ПО.
8.2. Администратор по мере необходимости проводит полное сканирование системы на выявление уязвимостей. В случае поступления информации из новостных источников об уязвимостях в операционных системах и/или прикладном программном обеспечении применяемых в ГИС производится внеплановое обновление базы данных сканера уязвимостей и полное сканирование информационной системы.
8.3. Администратор изучает отчеты по результатам сканирования и принимает решение о немедленном устранении выявленных уязвимостей, либо о включении мероприятий по устранению выявленных уязвимостей в план мероприятий по защите информации, в случае если выявленные уязвимости не являются критичными, или если есть возможность сделать невозможным их эксплуатацию потенциальным злоумышленником. При необходимости, для адекватного реагирования на вновь выявленные угрозы может созываться ГРИИБ.
8.4. Критичность уязвимостей может быть установлена как на основании рейтинга уязвимости по шкале CVSS, так и на основании оценки рисков информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
8.5. При выявлении уязвимостей, Администратор анализирует системные журналы и журналы средств защиты информации, на предмет выявления эксплуатации выявленной уязвимости в информационной системе и последствий такой эксплуатации.
8.6. В случае невозможности оперативного устранения критичной уязвимости, Администратор уведомляет об этом руководителя учреждения.

9. ПРАВИЛА И ПРОЦЕДУРЫ КОНТРОЛЯ УСТАНОВКИ ОБНОВЛЕНИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.
9.1. АИБ должен осуществляться контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.
9.2. АИБ должно осуществляться получение из доверенных источников и установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.
9.3. При контроле установки обновлений АИБ должен осуществлять проверки соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации, установленного в информационной системе и выпущенного разработчиком.
9.4. Контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации должен проводиться не реже 1 раза в 6 месяцев.

Возврат к списку