Основная информация
| Дата опубликования: | 29 июля 2020г. |
| Номер документа: | RU90009005202000112 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Пермский край |
| Принявший орган: | Администрация Еловского муниципального района |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
1
АДМИНИСТРАЦИЯ ЕЛОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
29.07.2020 №280-п
Об организационных мерах защиты информации, обрабатываемой в сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края "Архивы Прикамья"
В соответствии с приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
администрация Еловского муниципального района ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые:
1.1. Перечень защищаемых ресурсов и матрица доступа субъектов сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» (далее – сегмент непривилегированных пользователей) к защищаемым ресурсам сегмента непривилегированных пользователей.
1.2. Перечень пользователей сегмента непривилегированных пользователей (далее – Перечень 1).
1.3. Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию сегмента непривилегированных пользователей и (или) в систему защиты информации в его составе (далее – Перечень 2);
1.4. План мероприятий по контролю над обеспечением безопасности информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, достигнутым классом защищенности информационной системы и обеспечиваемым уровнем защищенности персональных данных при их обработке в сегменте непривилегированных пользователей (далее – План мероприятий по контролю защищенности сегмента непривилегированных пользователей);
1.5. Регламент защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья».
2. Назначить консультанта по информатизации отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района Гунину Ольгу Петровну ответственным за обеспечение безопасности информации, обрабатываемой в сегменте непривилегированных пользователей (далее – администратор безопасности информации).
2.1. Администратору безопасности информации при выполнении своих обязанностей руководствоваться документами «Руководство администратора на систему защиты информации сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» и «Инструкция по эксплуатации комплекса средств защиты информации и иных технических средств Единой архивной информационной системы Пермского края «Архивы Прикамья» в части, его касающейся.
2.2. Администратору безопасности информации ознакомить пользователей сегмента непривилегированных пользователей под подпись с локальными актами архивного отдела администрации Еловского муниципального района по защите информации ограниченного доступа, не относящейся к государственной тайне, в том числе персональных данных.
2.3. Администратору безопасности информации обеспечить своевременное внесение необходимых изменений в утвержденные документы по защите информации в сегменте непривилегированных пользователей в связи с изменяющейся организационной или технической структурой сегмента непривилегированных пользователей и (или) в связи с изменениями действующего законодательства Российской Федерации о защите информации.
3. Назначить Смыслову Светлану Георгиевну, заведующего архивным отделом администрации Еловского муниципального района ответственным за регистрацию и ведение учета пользователей в сегменте непривилегированных пользователей (далее – ответственный за регистрацию и ведение учета пользователей).
3.1. Ответственному за регистрацию и ведение учета пользователей при выполнении своих обязанностей руководствоваться документом «Инструкция по эксплуатации комплекса средств защиты информации и иных технических средств Единой архивной информационной системы Пермского края «Архивы Прикамья» в части, его касающейся.
4. Назначить консультанта по информатизации отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района Гунину Ольгу Петровну ответственным за выявление инцидентов информационной безопасности в сегменте непривилегированных пользователей и реагирование на них (далее – ответственный за выявление инцидентов и реагирование на них).
4.1. Ответственному за выявление инцидентов и реагирование на них при выполнении своих обязанностей руководствоваться документом «Инструкция по реагированию на инциденты информационной безопасности в Единой архивной информационной системе Пермского края «Архивы Прикамья» в части, его касающейся.
5. Назначить консультанта по информатизации отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района Гунину Ольгу Петровну ответственным за организацию мероприятий по контролю над защитой информации, в отношении которой установлено требование об обеспечении ее конфиденциальности (далее – ответственный за организацию мероприятий по контролю над защитой информации).
5.1. Ответственному за организацию мероприятий по контролю над защитой информации при выполнении своих обязанностей руководствоваться положениями приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», регламентирующими обеспечение защиты информации в ходе эксплуатации аттестованных информационных систем, и Планом мероприятий по контролю защищенности сегмента непривилегированных пользователей.
6. Допустить к обработке информации ограниченного доступа, не относящейся к государственной тайне, в том числе персональным данным, в сегменте непривилегированных пользователей сотрудников архивного отдела администрации Еловского муниципального района включенных в Перечень 1 (далее – Пользователи).
6.1. Пользователям руководствоваться документом «Руководство пользователя на систему защиты информации Единой архивной информационной системы Пермского края «Архивы Прикамья».
7. Разрешить сотрудникам архивного отдела администрации Еловского муниципального района включенным в Перечень 2, внесение изменений в конфигурацию сегмента непривилегированных пользователей и (или) в конфигурацию системы защиты информации в его составе.
7.1. Указанным лицам при исполнении должностных обязанностей руководствоваться документом «Инструкция по эксплуатации комплекса средств защиты информации и иных технических средств Единой архивной информационной системы Пермского края «Архивы Прикамья», в части, их касающейся.
7.2. Действия по внесению изменений в конфигурацию сегмента непривилегированных пользователей и (или) в конфигурацию системы защиты информации в его составе должны быть в обязательном порядке согласованы с администратором безопасности информации в случае, если он не является ответственным за организацию и (или) исполнение задач по внесению изменений в конфигурацию сегмента непривилегированных пользователей и (или) конфигурацию системы защиты информации в его составе.
8. Допустить возможность выполнения одним должностным лицом ролей по обработке информации, администрированию сегмента непривилегированных пользователей, его системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования сегмента непривилегированных пользователей.
9. Администратору безопасности информации не допускать несанкционированного расширения субъектами доступа минимально необходимых им прав и привилегий, позволяющих им исполнять их служебные обязанности и (или) пользоваться необходимыми им ресурсами сегмента непривилегированных пользователей.
10. Контроль за исполнением Постановления возложить на руководителя аппарата администрации Еловского муниципального района Санникову Н.В.
Глава муниципального района –
глава администрации Еловского
муниципального района А.А. Чечкин
1
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
ПЕРЕЧЕНЬ
защищаемых ресурсов и матрица доступа субъектов сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» к защищаемым информационным ресурсам сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья»
В сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» (далее – сегмент непривилегированных пользователей) предусмотрены роли, приведенные в таблице 1.
Таблица 1..
№ п/п
ФИО ответственного
Роли сегмента непривилегированных пользователей
1
Санникова Н.В.
Смыслова С.Г.
Гунина О.П.
Комиссия по вопросам информационной безопасности (издает акты по вопросам управления информационной безопасностью в сегменте непривилегированных пользователей)
2
Гунина О.П.
Ответственный за обеспечение безопасности персональных данных в сегменте непривилегированных пользователей (администратор безопасности информации)
3
Смыслова С.Г.
Ответственный за регистрацию и ведение учета пользователей в сегменте непривилегированных пользователей
4
Смыслова С.Г.
Ответственный пользователь средств криптографической защиты информации
5
Радостев А.Ю.
Системный администратор сегмента непривилегированных пользователей
6
Смыслова С.Г.
Непривилегированный пользователь сегмента непривилегированных пользователей
7
Гунина О.П.
Ответственный за контроль (мониторинг) над защитой информации в сегменте непривилегированных пользователей
8
Радостев А.Ю.
Ответственный за обеспечение функционирования сегмента непривилегированных пользователей
9
Гунина О.П.
Ответственный за выявление инцидентов информационной безопасности в сегменте непривилегированных пользователей и реагирование на них
Права на доступ к защищаемым ресурсам для каждой из ролей представлены в таблице 2.
Таблица 2. Права на доступ к защищаемым ресурсам
№ п/п
Роль
Защищаемый ресурс
Права доступа[1]
R
W
D
A
X
1
Комиссия по вопросам информационной безопасности
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–[2]
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
+
–
–
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
+
–
–
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
–
+
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
+
–
–
2
Администратор безопасности информации сегмента непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
+
–
–
–
+
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
+
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
+
+
+
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
+
+
+
+
+
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
–
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
–
+
+
3
Ответственный за регистрацию и ведение учета пользователей в сегменте непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
+
+
+
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
+
+
+
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
–
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
+
–
+
+
4
Ответственный пользователь средств криптографической защиты информации
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
–
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
+
–
+
+
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
+
–
+
+
5
Системный администратор сегмента непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
+
–
+
+
Файлы конфигурации программных и аппаратных средств сегмента
+
+
+
+
+
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
+
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
–
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
–
+
+
6
Непривилегированный пользователь сегмента
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
+
–
–
–
+
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
+
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
–
–
–
+
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
–
–
–
7
Ответственный за контроль (мониторинг) над защитой информации в сегменте непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента
+
–
–
–
+
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
–
–
–
+
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
+
–
+
+
8
Ответственный за обеспечение функционирования сегмента непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
+
+
+
+
Файлы конфигурации программных и аппаратных средств сегмента
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
–
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
–
–
–
–
–
9
Ответственный за выявление инцидентов информационной безопасности в сегменте непривилегированных пользователей и реагирование на них
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента
+
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
+
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
–
–
+
Таблица 3. Пояснительная таблица по правам доступа в матрице доступа
Физическая или логическая сущность защищаемого ресурса
Право доступа
R – право на чтение
W – право на запись
D – право на удаление
А – право на добавление объекта
Х – право на исполнение объекта
Твердые копии (журналы, лицензионные соглашения, сертификаты, формуляры, паспорта)
Просмотр содержимого бумажных журналов и других документов
Проставление записей в бумажные журналы, формуляры, паспорта
Физическое уничтожение бумажных документов (отдельных записей/ страниц) или передача их в архив
Заведение нового (пустого) журнала для записей, добавление пустых страниц в имеющиеся журналы
Извлечение бумажных документов из сейфа (архива) для работы с ними
Аппаратная платформа
Просмотр состава (комплектующих) аппаратной платформы
Замена аппаратного компонента на идентичный по функциональности
Извлечение аппаратного компонента без последующей его замены, списание (утилизация) аппаратной платформы
Добавление аппаратного компонента с новой функциональностью
Запуск/останов работы аппаратной платформы
Съемные машинные носители информации (МНИ)
Просмотр реквизитов (серийный или учетный номер, принадлежность) МНИ
Замена МНИ на идентичный по функциональности
Физическое уничтожение МНИ или отмена его регистрации
Регистрация нового МНИ
Извлечение съемных машинных МНИ из сейфа для работы с ними
Учетная запись
Просмотр перечня прав и данных учетной записи
Изменение прав и данных учетной записи
Удаление (блокирование) учетной записи
Создание новой учетной записи
Авторизация по предъявленным учетным данным
Каталоги ФС
Получение списка файлов из каталога
Изменение содержимого каталога
Удаление каталога
Создание каталога
Право на доступ внутрь каталога
Неисполняемые файлы (текстовые, файлы конфигураций (настроек), баз данных, журналов и прочее)
Просмотр содержимого файла «как есть» (без предварительной обработки)
Перезапись файла «вручную» (затирание, а затем создание нового содержимого)
Удаление данного файла «вручную»
Добавление информации в файл «вручную» без его перезаписи
Запуск соответствующего программного обеспечения, сопоставленного для работы с файлом
Исполняемые файлы, файлы скриптов
Просмотр содержимого файла «как есть» (без предварительной обработки)
Перезапись файла (обновление версии файла)
Удаление файла («вручную» или при обновлении/ переустановке)
Добавление нового исполняемого файла, нового скрипта
Запуск исполняемого файла, скрипта
Программное обеспечение (ПО – набор взаимосвязанных исполняемых файлов, модулей, подсистем)
Просмотр результатов работы ПО
Обновление ПО
Отключение (удаление, блокирование) ПО
Расширение функциональности ПО (добавление модуля, подсистемы)
Запуск ПО
1
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
ПЕРЕЧЕНЬ
пользователей сегмента непривилегированных пользователей
Единой архивной информационной системы Пермского края «Архивы Прикамья»
№
Ф.И.О.
Должность
Привилегированный/ непривилегированный
1
Смыслова Светлана Георгиевна
Заведующий архивным отделом
2
Лузина Елена Сергеевна
Ведущий специалист архивного отдела
1
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
ПЕРЕЧЕНЬ
лиц, которым разрешены действия по внесению изменений в конфигурацию сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» и (или) в систему защиты информации в его составе
№
Ф.И.О.
Должность
Примечание
1
Смыслова Светлана Георгиевна
Заведующий архивным отделом администрации Еловского муниципального района
2
Лузина Елена Сергеевна
Ведущий специалист архивного отдела администрации Еловского муниципального района
3
Гунина Ольга Петровна
Консультант по информатизации отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района
4
Радостев Андрей Юрьевич
Системный администратор отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района
1
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
ПЛАН
мероприятий по контролю над обеспечением безопасности информации ограниченного доступа, не относящейся к государственной тайне, достигнутым классом защищенности информационной системы и обеспечиваемым уровнем защищенности персональных данных при их обработке в сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья»
Мероприятие
Периодичность
Исполнитель
1
2
3
Периодичность обновления базы сигнатур вредоносных программ (вирусов)
Ежедневно
Администратор безопасности информации
Проведение проверок на наличие вредоносных компьютерных программ (вирусов)
Еженедельно
Администратор безопасности информации
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности
Еженедельно
Ответственный за регистрацию инцидентов
Администратор безопасности информации
Системный администратор
Контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа
Еженедельно
Системный администратор
Резервное копирование записей регистрации событий безопасности
Ежемесячно
Администратор безопасности информации
Системный администратор
Периодичность анализа уязвимостей, либо при публикации новых уязвимостей в Банке данных угроз безопасности информации (https://bdu.fstec.ru/), а также при обновлении или установке программного (микропрограммного) обеспечения (общесистемного, прикладного, специального) и оперативное устранение вновь выявленных уязвимостей
Ежемесячно
Администратор безопасности информации
Ответственный за регистрацию инцидентов
Контроль работоспособности, параметров настройки и правильности функционирования программного (микропрограммного) обеспечения и средств защиты информации
Ежемесячно
Администратор безопасности информации
Непривилегированные пользователи
Мониторинг актуального состояния организационно-распорядительных документов по защите информации Оператора
Ежеквартально
Администратор безопасности информации
Контроль за знанием пользователями принятых мер по обеспечению безопасности информации
Ежеквартально
Администратор безопасности информации
Контроль установки обновлений программного (микропрограммного) обеспечения, включая обновление программного обеспечения средств защиты информации
Ежеквартально
Администратор безопасности информации
Организация контроля и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования Системы и помещения и сооружения, в которых они установлены
Ежеквартально
Администратор безопасности информации
Контроль за соблюдением режима обработки персональных данных
Ежеквартально
Ответственный за мероприятия по контролю над защитой информации
Контроль установленного программного обеспечения на предмет соответствия его «белому» списку
Ежеквартально
Администратор безопасности информации
Системный администратор
Контроль обеспечения защиты информации от неправомерного доступа о событиях безопасности (записях регистрации)
Ежеквартально
Администратор безопасности информации
Контроль за реализацией антивирусной защиты и обновлением базы данных признаков вредоносных компьютерных программ (вирусов)
Ежеквартально
Администратор безопасности информации
Контроль состава технических средств, программного обеспечения и средств защиты информации
Ежеквартально
Администратор безопасности информации
Системный администратор
Контроль безотказного функционирования технических средств
Ежеквартально
Системный администратор
Периодичность тестирования функций безопасности средств защиты информации
Ежегодно
Администратор безопасности информации
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты персональных данных
Ежегодно
Ответственный за мероприятия по контролю над защитой информации
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
РЕГЛАМЕНТ
защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья»
Принятые сокращения
АРМ – автоматизированное рабочее место.
ЕАИС Архивы – Единая архивная информационная система Пермского края «Архивы Прикамья»
ИС – информационная система.
НДВ – недекларированные возможности.
НСД – несанкционированный доступ.
СМЭ – средство межсетевого экранирования.
Оператор –архивный отдел администрация Еловского муниципального района
ОС – операционная система.
ПДн – персональные данные.
ПО – программное обеспечение.
Сегмент – сегмент непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья».
СЗИ – средство защиты информации.
СКЗИ – средство криптографической защиты информации.
ТС – технические средства.
NAT (с англ. Network Address Translation) – трансляция сетевых адресов – технология подмены в сетевых пакетах адресов и портов:
источника – для доступа во внешнюю сеть нескольких компьютеров посредством одного или нескольких внешних IP-адресов;
приемника – для доступа внешней сети к конкретным компьютерам из внутренней локальной сети через один или несколько внешних IP-адресов.
VPN (с анг. Virtual Private Network) – виртуальная частная сеть – технология криптографического преобразования сетевого пакета и передачи такого сетевого пакета во внешнюю сеть получателю, который способен расшифровать содержимое полученного сетевого пакета и передать его маршрутизатору для отправки конечному получателю из внутренней сети.
1. Общие положения
1.1. Настоящий Регламент защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей ЕАИС Архивы (далее – Сегмент) с ЕАИС Архивы разработан в целях реализации Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» на основании:
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
1.2. Сегмент располагается по адресу: Ленина ул., д. 32, с. Елово, Пермский край, 618170. Сегмент представляет собой АРМ. Набор технических и программных средств, средств защиты информации Сегмента представлен в документе «Технический паспорт Единой архивной информационной системы Пермского края «Архивы Прикамья» в части, его касающейся.
1.4. Целью создания Сегмента является участие оператора в процессе автоматизации деятельности государственных и муниципальных архивов Пермского края.
1.5. Настоящим Регламентом определяются правила подключения к защищенной сети передачи данных, обеспечивающей информационно-технологическое взаимодействие Сегмента с ЕАИС Архивы (далее – защищенная сеть передачи данных), требования к средствам и системам обеспечения информационного обмена, межсетевого взаимодействия и защите информации.
2. Правила подключения Сегмента к ЕАИС Архивы
2.1. Перечень мероприятий по подключению Сегмента
регистрация в качестве участника межсетевого взаимодействия с ЕАИС Архивы;
подключение Сегмента к защищенной сети передачи данных.
2.1.1. Регистрация в качестве участника межсетевого взаимодействия с ЕАИС Архивы.
Оператор подает заявку в службу поддержки пользователей ViPNet-сети № 13099 на подключение по защищенной сети передачи данных к ЕАИС Архивы.
2.1.2. Подключение Сегмента к защищенной сети передачи данных
После получения согласования на подключение Оператора к защищенной сети передачи данных, организация, обслуживающая ViPNet-сеть № 13099 (далее – Организация), настраивает правила межсетевого экранирования ПО «ViPNet Client» на взаимодействие с защищенной сетью передачи данных.
2.2. Эксплуатация Сегмента
За эксплуатацию и обслуживание Сегмента, а также установленного в ней ПО отвечают системные администраторы Сегмента.
В случае выхода Сегмента из строя (отказ программного или аппаратного обеспечения) настройка его аппаратного или программного обеспечения производится силами системных администраторов.
2.3. Техническое сопровождение ПО «ViPNet Client»
Сопровождение и консультации ответственных лиц по вопросам, связанным с эксплуатацией ПО «ViPNet Client», при наличии сертификата или договора технической поддержки, обеспечивают специалисты Организации.
Специалисты Организации предоставляют следующие услуги по сопровождению:
обновление ПО «ViPNet Client» при выходе новых версий, прошедших сертификацию;
консультационная поддержка пользователей ПО «ViPNet Client».
Услуги предоставляются с 9:00 до 18:00 часов по местному времени в рабочие дни. Ответы на вопросы Организация осуществляет по электронной почте и по телефону.
3. Требования к средствам и системам обеспечения информационного обмена, межсетевого взаимодействия и защите информации в Сегменте
3.1. Политика безопасности защищенной связи
3.1.1. Необходимо назначить лицо, ответственное за эксплуатацию СКЗИ.
3.1.2. Для хранения носителей с ключевой информацией, установочного комплекта, эксплуатационной и технической документации, полученных для установки и настройки ПО «ViPNet Client», должно быть предусмотрено надежное металлическое хранилище, оборудованное внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.
3.1.3. Необходимо наличие журнала учета хранилищ, в которых будут хранится носители, перечисленные в пункте 3.1.2, и журнала учета средств криптографической защиты информации и ключевых документов к ним.
3.1.4. В Сегменте должен быть определен перечень ПО, реализующий информационную технологию ввода, обработки и передачи текстовой и графической информации по сети информационного обмена: веб-обозреватель, ПО «ViPNet Client», программа для работы с текстовыми документами, программа для чтения и редактирования файлов графических форматов, программы для печати и сканирования электронных документов.
На все установленные в Сегменте программные продукты имеются документы (лицензионное соглашение, договор поставки, товарные накладные), однозначно подтверждающие права на их использование.
3.1.5. Все используемые программные и программно-аппаратные СЗИ в Сегменте должны иметь действующие сертификаты соответствия требованиям безопасности информации ФСТЭК России или ФСБ России.
3.1.6. СЗИ от НСД должны иметь формуляр, эксплуатационную документацию, действующий сертификат ФСТЭК России и (или) ФСБ России по требованиям безопасности информации и соответствующий голографический знак, однозначно определяющий его в реестре сертифицированных СЗИ.
3.1.7. СЗИ должны быть настроены и эксплуатироваться строго в соответствии с эксплуатационной документацией на них.
3.1.8. Ответственный за обеспечение безопасности ПДн (далее – администратор безопасности информации) Сегмента, должно быть ознакомлен под подпись с документом «Руководство администратора на систему защиты информации в сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья».
3.1.9. Правом настройки СЗИ должен обладать только администратор безопасности информации или системный администратор.
3.1.10. Пользователям запрещается менять настройки СЗИ, а также передавать защищаемую информацию при отключенных СЗИ и работать в Сегменте с отключенными средствами антивирусной защиты.
3.2. Требования к организации подключения Сегмента к ЕАИС Архивы.
3.2.1. Для подключения Сегмента к ЕАИС Архивы необходимо включить Сегмент в состав ViPNet-сети № 13099 (далее – ViPNet-сеть).
3.2.2. Для обеспечения защищенного взаимодействия Сегмента с ViPNet-сетью в Сегменте должно функционировать СЗИ, выполняющее функции криптографической защиты данных и СМЭ.
3.2.3. В качестве такого СЗИ необходимо использовать ПО «ViPNet Client», сертифицированное ФСБ России как шифровальное (криптографическое) средство защиты по классу КС1 и выше, и ФСТЭК России – как СМЭ четвертого класса защиты.
3.2.4. Схема подключения Сегмента к ЕАИС Архивы представлена на Рисунке 1.
Рисунок 1 – Схема подключения Сегмента к ЕАИС Архивы
3.3. Требования к АРМ, на котором реализовано СКЗИ и среда функционирования СКЗИ
3.3.1. Требования к составу ТС и ОС:
x86-совместимый процессор с 2 и более ядрами;
не менее 2 Гбайт оперативной памяти;
не менее 500 Мбайт свободное места на жестком диске;
сетевой адаптер;
ОС семейства «Windows» версии 7 или более новая.
3.3.2. Установку должен выполнять пользователь, обладающий правами администратора в ОС «Windows».
3.3.3. В ОС АРМ должно быть установлено средство антивирусной защиты, прошедшие оценку соответствия во ФСТЭК России, не ниже четвертого класса защищенности согласно информационному сообщению ФСТЭК России от 30.07.2012 № 240/24/3095 «Об утверждении требований к средствам антивирусной защиты».
3.3.4. СЗИ АРМ должны соответствовать шестому или выше уровню доверия согласно информационному сообщению ФСТЭК России от 29.03.2019 № 240/24/1525 «О требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
3.3.5. В BIOS/UEFI АРМ должен быть установлен один вариант загрузки ОС – с жесткого диска, все альтернативные варианты загрузки должны быть отключены, в том числе сетевая загрузка.
3.3.6. В ОС АРМ должны быть выполнены корректные настройки часового пояса, даты и времени.
3.3.7. Если на АРМ установлена ОС семейства «Windows», локализация которой отличается от русской, то для правильного отображения кириллицы в интерфейсе ПО «ViPNet Client» необходимо установить поддержку кириллицы для программ, не поддерживающих Unicode.
3.3.8. Запрещается пользоваться отладочными версиями ОС, а также устанавливать средства отладки и трассировки ПО.
3.3.9. В Сегменте должны быть отключены сторонние СМЭ и приложения, обеспечивающие преобразование сетевых адресов (NAT).
3.4. Требования к каналам связи
3.4.1. Для передачи данных в ЕАИС Архивы АРМ должен быть подключен к каналам сети связи общего пользования и (или) международного информационного обмена.
3.4.2. Пропускная способность канала связи должна быть не менее 128 Кбит/c.
3.4.3. При наличии внешнего СМЭ необходимо обеспечить прохождение пакетов протокола UDPv4 с портом источника 55777 из внутренней (локальной сети) во внешнюю (Интернет) с подменой IP-адреса локальной сети на IP-адрес сети Интернет без смены портов и ответный трафик (NAT).
3.5. Требования к протоколам передачи данных
3.5.1. VPN-туннель, созданный сертифицированным СКЗИ ПО «ViPNet Client», должен передавать зашифрованные сетевые пакеты в ViPNet-сеть по протоколу UDPv4:55777.
3.5.2. Внутри защищенного VPN-туннеля сетевые пакеты передаются по протоколу TCPv4 на 80, 443 порты получателя.
3.5.3. Не допускается использование других протоколов и узлов для передачи защищаемой информации.
[1] Расшифровка прав доступа и необходимые пояснения даны в таблице 3.
[2] «+» – есть права доступа; «–» – нет права доступа.
1
АДМИНИСТРАЦИЯ ЕЛОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
29.07.2020 №280-п
Об организационных мерах защиты информации, обрабатываемой в сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края "Архивы Прикамья"
В соответствии с приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
администрация Еловского муниципального района ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые:
1.1. Перечень защищаемых ресурсов и матрица доступа субъектов сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» (далее – сегмент непривилегированных пользователей) к защищаемым ресурсам сегмента непривилегированных пользователей.
1.2. Перечень пользователей сегмента непривилегированных пользователей (далее – Перечень 1).
1.3. Перечень лиц, которым разрешены действия по внесению изменений в конфигурацию сегмента непривилегированных пользователей и (или) в систему защиты информации в его составе (далее – Перечень 2);
1.4. План мероприятий по контролю над обеспечением безопасности информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, достигнутым классом защищенности информационной системы и обеспечиваемым уровнем защищенности персональных данных при их обработке в сегменте непривилегированных пользователей (далее – План мероприятий по контролю защищенности сегмента непривилегированных пользователей);
1.5. Регламент защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья».
2. Назначить консультанта по информатизации отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района Гунину Ольгу Петровну ответственным за обеспечение безопасности информации, обрабатываемой в сегменте непривилегированных пользователей (далее – администратор безопасности информации).
2.1. Администратору безопасности информации при выполнении своих обязанностей руководствоваться документами «Руководство администратора на систему защиты информации сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» и «Инструкция по эксплуатации комплекса средств защиты информации и иных технических средств Единой архивной информационной системы Пермского края «Архивы Прикамья» в части, его касающейся.
2.2. Администратору безопасности информации ознакомить пользователей сегмента непривилегированных пользователей под подпись с локальными актами архивного отдела администрации Еловского муниципального района по защите информации ограниченного доступа, не относящейся к государственной тайне, в том числе персональных данных.
2.3. Администратору безопасности информации обеспечить своевременное внесение необходимых изменений в утвержденные документы по защите информации в сегменте непривилегированных пользователей в связи с изменяющейся организационной или технической структурой сегмента непривилегированных пользователей и (или) в связи с изменениями действующего законодательства Российской Федерации о защите информации.
3. Назначить Смыслову Светлану Георгиевну, заведующего архивным отделом администрации Еловского муниципального района ответственным за регистрацию и ведение учета пользователей в сегменте непривилегированных пользователей (далее – ответственный за регистрацию и ведение учета пользователей).
3.1. Ответственному за регистрацию и ведение учета пользователей при выполнении своих обязанностей руководствоваться документом «Инструкция по эксплуатации комплекса средств защиты информации и иных технических средств Единой архивной информационной системы Пермского края «Архивы Прикамья» в части, его касающейся.
4. Назначить консультанта по информатизации отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района Гунину Ольгу Петровну ответственным за выявление инцидентов информационной безопасности в сегменте непривилегированных пользователей и реагирование на них (далее – ответственный за выявление инцидентов и реагирование на них).
4.1. Ответственному за выявление инцидентов и реагирование на них при выполнении своих обязанностей руководствоваться документом «Инструкция по реагированию на инциденты информационной безопасности в Единой архивной информационной системе Пермского края «Архивы Прикамья» в части, его касающейся.
5. Назначить консультанта по информатизации отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района Гунину Ольгу Петровну ответственным за организацию мероприятий по контролю над защитой информации, в отношении которой установлено требование об обеспечении ее конфиденциальности (далее – ответственный за организацию мероприятий по контролю над защитой информации).
5.1. Ответственному за организацию мероприятий по контролю над защитой информации при выполнении своих обязанностей руководствоваться положениями приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», регламентирующими обеспечение защиты информации в ходе эксплуатации аттестованных информационных систем, и Планом мероприятий по контролю защищенности сегмента непривилегированных пользователей.
6. Допустить к обработке информации ограниченного доступа, не относящейся к государственной тайне, в том числе персональным данным, в сегменте непривилегированных пользователей сотрудников архивного отдела администрации Еловского муниципального района включенных в Перечень 1 (далее – Пользователи).
6.1. Пользователям руководствоваться документом «Руководство пользователя на систему защиты информации Единой архивной информационной системы Пермского края «Архивы Прикамья».
7. Разрешить сотрудникам архивного отдела администрации Еловского муниципального района включенным в Перечень 2, внесение изменений в конфигурацию сегмента непривилегированных пользователей и (или) в конфигурацию системы защиты информации в его составе.
7.1. Указанным лицам при исполнении должностных обязанностей руководствоваться документом «Инструкция по эксплуатации комплекса средств защиты информации и иных технических средств Единой архивной информационной системы Пермского края «Архивы Прикамья», в части, их касающейся.
7.2. Действия по внесению изменений в конфигурацию сегмента непривилегированных пользователей и (или) в конфигурацию системы защиты информации в его составе должны быть в обязательном порядке согласованы с администратором безопасности информации в случае, если он не является ответственным за организацию и (или) исполнение задач по внесению изменений в конфигурацию сегмента непривилегированных пользователей и (или) конфигурацию системы защиты информации в его составе.
8. Допустить возможность выполнения одним должностным лицом ролей по обработке информации, администрированию сегмента непривилегированных пользователей, его системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования сегмента непривилегированных пользователей.
9. Администратору безопасности информации не допускать несанкционированного расширения субъектами доступа минимально необходимых им прав и привилегий, позволяющих им исполнять их служебные обязанности и (или) пользоваться необходимыми им ресурсами сегмента непривилегированных пользователей.
10. Контроль за исполнением Постановления возложить на руководителя аппарата администрации Еловского муниципального района Санникову Н.В.
Глава муниципального района –
глава администрации Еловского
муниципального района А.А. Чечкин
1
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
ПЕРЕЧЕНЬ
защищаемых ресурсов и матрица доступа субъектов сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» к защищаемым информационным ресурсам сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья»
В сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» (далее – сегмент непривилегированных пользователей) предусмотрены роли, приведенные в таблице 1.
Таблица 1..
№ п/п
ФИО ответственного
Роли сегмента непривилегированных пользователей
1
Санникова Н.В.
Смыслова С.Г.
Гунина О.П.
Комиссия по вопросам информационной безопасности (издает акты по вопросам управления информационной безопасностью в сегменте непривилегированных пользователей)
2
Гунина О.П.
Ответственный за обеспечение безопасности персональных данных в сегменте непривилегированных пользователей (администратор безопасности информации)
3
Смыслова С.Г.
Ответственный за регистрацию и ведение учета пользователей в сегменте непривилегированных пользователей
4
Смыслова С.Г.
Ответственный пользователь средств криптографической защиты информации
5
Радостев А.Ю.
Системный администратор сегмента непривилегированных пользователей
6
Смыслова С.Г.
Непривилегированный пользователь сегмента непривилегированных пользователей
7
Гунина О.П.
Ответственный за контроль (мониторинг) над защитой информации в сегменте непривилегированных пользователей
8
Радостев А.Ю.
Ответственный за обеспечение функционирования сегмента непривилегированных пользователей
9
Гунина О.П.
Ответственный за выявление инцидентов информационной безопасности в сегменте непривилегированных пользователей и реагирование на них
Права на доступ к защищаемым ресурсам для каждой из ролей представлены в таблице 2.
Таблица 2. Права на доступ к защищаемым ресурсам
№ п/п
Роль
Защищаемый ресурс
Права доступа[1]
R
W
D
A
X
1
Комиссия по вопросам информационной безопасности
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–[2]
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
+
–
–
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
+
–
–
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
–
+
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
+
–
–
2
Администратор безопасности информации сегмента непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
+
–
–
–
+
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
+
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
+
+
+
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
+
+
+
+
+
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
–
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
–
+
+
3
Ответственный за регистрацию и ведение учета пользователей в сегменте непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
+
+
+
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
+
+
+
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
–
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
+
–
+
+
4
Ответственный пользователь средств криптографической защиты информации
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
–
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
+
–
+
+
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
+
–
+
+
5
Системный администратор сегмента непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
+
–
+
+
Файлы конфигурации программных и аппаратных средств сегмента
+
+
+
+
+
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
+
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
–
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
–
+
+
6
Непривилегированный пользователь сегмента
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
+
–
–
–
+
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента непривилегированных пользователей
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
+
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
–
–
–
+
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
–
–
–
7
Ответственный за контроль (мониторинг) над защитой информации в сегменте непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента
+
–
–
–
+
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
–
–
–
+
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
+
–
+
+
8
Ответственный за обеспечение функционирования сегмента непривилегированных пользователей
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
+
+
+
+
Файлы конфигурации программных и аппаратных средств сегмента
–
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
–
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
–
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
–
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
–
–
–
–
–
9
Ответственный за выявление инцидентов информационной безопасности в сегменте непривилегированных пользователей и реагирование на них
Информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, обрабатываемая в Единой архивной информационной системе Пермского края «Архивы Прикамья»
–
–
–
–
–
Программные и аппаратные средства сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации программных и аппаратных средств сегмента
+
–
–
–
–
Учетная запись привилегированного пользователя (администратора) сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Учетная запись непривилегированного пользователя сегмента непривилегированных пользователей для авторизации в сегменте непривилегированных пользователей
+
–
–
–
–
Средства защиты информации сегмента непривилегированных пользователей
+
–
–
–
+
Файлы конфигурации средств защиты информации сегмента непривилегированных пользователей
+
–
–
–
–
Средства криптографической защиты информации, эксплуатационная и техническая документация к ним, ключевые документы в сегменте непривилегированных пользователей
+
–
–
–
–
Данные электронных и бумажных журналов регистрации событий в сегменте непривилегированных пользователей
+
–
–
–
+
Таблица 3. Пояснительная таблица по правам доступа в матрице доступа
Физическая или логическая сущность защищаемого ресурса
Право доступа
R – право на чтение
W – право на запись
D – право на удаление
А – право на добавление объекта
Х – право на исполнение объекта
Твердые копии (журналы, лицензионные соглашения, сертификаты, формуляры, паспорта)
Просмотр содержимого бумажных журналов и других документов
Проставление записей в бумажные журналы, формуляры, паспорта
Физическое уничтожение бумажных документов (отдельных записей/ страниц) или передача их в архив
Заведение нового (пустого) журнала для записей, добавление пустых страниц в имеющиеся журналы
Извлечение бумажных документов из сейфа (архива) для работы с ними
Аппаратная платформа
Просмотр состава (комплектующих) аппаратной платформы
Замена аппаратного компонента на идентичный по функциональности
Извлечение аппаратного компонента без последующей его замены, списание (утилизация) аппаратной платформы
Добавление аппаратного компонента с новой функциональностью
Запуск/останов работы аппаратной платформы
Съемные машинные носители информации (МНИ)
Просмотр реквизитов (серийный или учетный номер, принадлежность) МНИ
Замена МНИ на идентичный по функциональности
Физическое уничтожение МНИ или отмена его регистрации
Регистрация нового МНИ
Извлечение съемных машинных МНИ из сейфа для работы с ними
Учетная запись
Просмотр перечня прав и данных учетной записи
Изменение прав и данных учетной записи
Удаление (блокирование) учетной записи
Создание новой учетной записи
Авторизация по предъявленным учетным данным
Каталоги ФС
Получение списка файлов из каталога
Изменение содержимого каталога
Удаление каталога
Создание каталога
Право на доступ внутрь каталога
Неисполняемые файлы (текстовые, файлы конфигураций (настроек), баз данных, журналов и прочее)
Просмотр содержимого файла «как есть» (без предварительной обработки)
Перезапись файла «вручную» (затирание, а затем создание нового содержимого)
Удаление данного файла «вручную»
Добавление информации в файл «вручную» без его перезаписи
Запуск соответствующего программного обеспечения, сопоставленного для работы с файлом
Исполняемые файлы, файлы скриптов
Просмотр содержимого файла «как есть» (без предварительной обработки)
Перезапись файла (обновление версии файла)
Удаление файла («вручную» или при обновлении/ переустановке)
Добавление нового исполняемого файла, нового скрипта
Запуск исполняемого файла, скрипта
Программное обеспечение (ПО – набор взаимосвязанных исполняемых файлов, модулей, подсистем)
Просмотр результатов работы ПО
Обновление ПО
Отключение (удаление, блокирование) ПО
Расширение функциональности ПО (добавление модуля, подсистемы)
Запуск ПО
1
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
ПЕРЕЧЕНЬ
пользователей сегмента непривилегированных пользователей
Единой архивной информационной системы Пермского края «Архивы Прикамья»
№
Ф.И.О.
Должность
Привилегированный/ непривилегированный
1
Смыслова Светлана Георгиевна
Заведующий архивным отделом
2
Лузина Елена Сергеевна
Ведущий специалист архивного отдела
1
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
ПЕРЕЧЕНЬ
лиц, которым разрешены действия по внесению изменений в конфигурацию сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» и (или) в систему защиты информации в его составе
№
Ф.И.О.
Должность
Примечание
1
Смыслова Светлана Георгиевна
Заведующий архивным отделом администрации Еловского муниципального района
2
Лузина Елена Сергеевна
Ведущий специалист архивного отдела администрации Еловского муниципального района
3
Гунина Ольга Петровна
Консультант по информатизации отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района
4
Радостев Андрей Юрьевич
Системный администратор отдела внутренней политики, муниципальной службы и кадров администрации Еловского муниципального района
1
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
ПЛАН
мероприятий по контролю над обеспечением безопасности информации ограниченного доступа, не относящейся к государственной тайне, достигнутым классом защищенности информационной системы и обеспечиваемым уровнем защищенности персональных данных при их обработке в сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья»
Мероприятие
Периодичность
Исполнитель
1
2
3
Периодичность обновления базы сигнатур вредоносных программ (вирусов)
Ежедневно
Администратор безопасности информации
Проведение проверок на наличие вредоносных компьютерных программ (вирусов)
Еженедельно
Администратор безопасности информации
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности
Еженедельно
Ответственный за регистрацию инцидентов
Администратор безопасности информации
Системный администратор
Контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа
Еженедельно
Системный администратор
Резервное копирование записей регистрации событий безопасности
Ежемесячно
Администратор безопасности информации
Системный администратор
Периодичность анализа уязвимостей, либо при публикации новых уязвимостей в Банке данных угроз безопасности информации (https://bdu.fstec.ru/), а также при обновлении или установке программного (микропрограммного) обеспечения (общесистемного, прикладного, специального) и оперативное устранение вновь выявленных уязвимостей
Ежемесячно
Администратор безопасности информации
Ответственный за регистрацию инцидентов
Контроль работоспособности, параметров настройки и правильности функционирования программного (микропрограммного) обеспечения и средств защиты информации
Ежемесячно
Администратор безопасности информации
Непривилегированные пользователи
Мониторинг актуального состояния организационно-распорядительных документов по защите информации Оператора
Ежеквартально
Администратор безопасности информации
Контроль за знанием пользователями принятых мер по обеспечению безопасности информации
Ежеквартально
Администратор безопасности информации
Контроль установки обновлений программного (микропрограммного) обеспечения, включая обновление программного обеспечения средств защиты информации
Ежеквартально
Администратор безопасности информации
Организация контроля и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования Системы и помещения и сооружения, в которых они установлены
Ежеквартально
Администратор безопасности информации
Контроль за соблюдением режима обработки персональных данных
Ежеквартально
Ответственный за мероприятия по контролю над защитой информации
Контроль установленного программного обеспечения на предмет соответствия его «белому» списку
Ежеквартально
Администратор безопасности информации
Системный администратор
Контроль обеспечения защиты информации от неправомерного доступа о событиях безопасности (записях регистрации)
Ежеквартально
Администратор безопасности информации
Контроль за реализацией антивирусной защиты и обновлением базы данных признаков вредоносных компьютерных программ (вирусов)
Ежеквартально
Администратор безопасности информации
Контроль состава технических средств, программного обеспечения и средств защиты информации
Ежеквартально
Администратор безопасности информации
Системный администратор
Контроль безотказного функционирования технических средств
Ежеквартально
Системный администратор
Периодичность тестирования функций безопасности средств защиты информации
Ежегодно
Администратор безопасности информации
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты персональных данных
Ежегодно
Ответственный за мероприятия по контролю над защитой информации
УТВЕРЖДЕН
Постановлением
администрации Еловского муниципального района
от 29.07.2020 № 280-п
РЕГЛАМЕНТ
защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья» с Единой архивной информационной системой Пермского края «Архивы Прикамья»
Принятые сокращения
АРМ – автоматизированное рабочее место.
ЕАИС Архивы – Единая архивная информационная система Пермского края «Архивы Прикамья»
ИС – информационная система.
НДВ – недекларированные возможности.
НСД – несанкционированный доступ.
СМЭ – средство межсетевого экранирования.
Оператор –архивный отдел администрация Еловского муниципального района
ОС – операционная система.
ПДн – персональные данные.
ПО – программное обеспечение.
Сегмент – сегмент непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья».
СЗИ – средство защиты информации.
СКЗИ – средство криптографической защиты информации.
ТС – технические средства.
NAT (с англ. Network Address Translation) – трансляция сетевых адресов – технология подмены в сетевых пакетах адресов и портов:
источника – для доступа во внешнюю сеть нескольких компьютеров посредством одного или нескольких внешних IP-адресов;
приемника – для доступа внешней сети к конкретным компьютерам из внутренней локальной сети через один или несколько внешних IP-адресов.
VPN (с анг. Virtual Private Network) – виртуальная частная сеть – технология криптографического преобразования сетевого пакета и передачи такого сетевого пакета во внешнюю сеть получателю, который способен расшифровать содержимое полученного сетевого пакета и передать его маршрутизатору для отправки конечному получателю из внутренней сети.
1. Общие положения
1.1. Настоящий Регламент защищенной связи с сетью передачи данных, обеспечивающей информационно-технологическое взаимодействие сегмента непривилегированных пользователей ЕАИС Архивы (далее – Сегмент) с ЕАИС Архивы разработан в целях реализации Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» на основании:
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
1.2. Сегмент располагается по адресу: Ленина ул., д. 32, с. Елово, Пермский край, 618170. Сегмент представляет собой АРМ. Набор технических и программных средств, средств защиты информации Сегмента представлен в документе «Технический паспорт Единой архивной информационной системы Пермского края «Архивы Прикамья» в части, его касающейся.
1.4. Целью создания Сегмента является участие оператора в процессе автоматизации деятельности государственных и муниципальных архивов Пермского края.
1.5. Настоящим Регламентом определяются правила подключения к защищенной сети передачи данных, обеспечивающей информационно-технологическое взаимодействие Сегмента с ЕАИС Архивы (далее – защищенная сеть передачи данных), требования к средствам и системам обеспечения информационного обмена, межсетевого взаимодействия и защите информации.
2. Правила подключения Сегмента к ЕАИС Архивы
2.1. Перечень мероприятий по подключению Сегмента
регистрация в качестве участника межсетевого взаимодействия с ЕАИС Архивы;
подключение Сегмента к защищенной сети передачи данных.
2.1.1. Регистрация в качестве участника межсетевого взаимодействия с ЕАИС Архивы.
Оператор подает заявку в службу поддержки пользователей ViPNet-сети № 13099 на подключение по защищенной сети передачи данных к ЕАИС Архивы.
2.1.2. Подключение Сегмента к защищенной сети передачи данных
После получения согласования на подключение Оператора к защищенной сети передачи данных, организация, обслуживающая ViPNet-сеть № 13099 (далее – Организация), настраивает правила межсетевого экранирования ПО «ViPNet Client» на взаимодействие с защищенной сетью передачи данных.
2.2. Эксплуатация Сегмента
За эксплуатацию и обслуживание Сегмента, а также установленного в ней ПО отвечают системные администраторы Сегмента.
В случае выхода Сегмента из строя (отказ программного или аппаратного обеспечения) настройка его аппаратного или программного обеспечения производится силами системных администраторов.
2.3. Техническое сопровождение ПО «ViPNet Client»
Сопровождение и консультации ответственных лиц по вопросам, связанным с эксплуатацией ПО «ViPNet Client», при наличии сертификата или договора технической поддержки, обеспечивают специалисты Организации.
Специалисты Организации предоставляют следующие услуги по сопровождению:
обновление ПО «ViPNet Client» при выходе новых версий, прошедших сертификацию;
консультационная поддержка пользователей ПО «ViPNet Client».
Услуги предоставляются с 9:00 до 18:00 часов по местному времени в рабочие дни. Ответы на вопросы Организация осуществляет по электронной почте и по телефону.
3. Требования к средствам и системам обеспечения информационного обмена, межсетевого взаимодействия и защите информации в Сегменте
3.1. Политика безопасности защищенной связи
3.1.1. Необходимо назначить лицо, ответственное за эксплуатацию СКЗИ.
3.1.2. Для хранения носителей с ключевой информацией, установочного комплекта, эксплуатационной и технической документации, полученных для установки и настройки ПО «ViPNet Client», должно быть предусмотрено надежное металлическое хранилище, оборудованное внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин.
3.1.3. Необходимо наличие журнала учета хранилищ, в которых будут хранится носители, перечисленные в пункте 3.1.2, и журнала учета средств криптографической защиты информации и ключевых документов к ним.
3.1.4. В Сегменте должен быть определен перечень ПО, реализующий информационную технологию ввода, обработки и передачи текстовой и графической информации по сети информационного обмена: веб-обозреватель, ПО «ViPNet Client», программа для работы с текстовыми документами, программа для чтения и редактирования файлов графических форматов, программы для печати и сканирования электронных документов.
На все установленные в Сегменте программные продукты имеются документы (лицензионное соглашение, договор поставки, товарные накладные), однозначно подтверждающие права на их использование.
3.1.5. Все используемые программные и программно-аппаратные СЗИ в Сегменте должны иметь действующие сертификаты соответствия требованиям безопасности информации ФСТЭК России или ФСБ России.
3.1.6. СЗИ от НСД должны иметь формуляр, эксплуатационную документацию, действующий сертификат ФСТЭК России и (или) ФСБ России по требованиям безопасности информации и соответствующий голографический знак, однозначно определяющий его в реестре сертифицированных СЗИ.
3.1.7. СЗИ должны быть настроены и эксплуатироваться строго в соответствии с эксплуатационной документацией на них.
3.1.8. Ответственный за обеспечение безопасности ПДн (далее – администратор безопасности информации) Сегмента, должно быть ознакомлен под подпись с документом «Руководство администратора на систему защиты информации в сегменте непривилегированных пользователей Единой архивной информационной системы Пермского края «Архивы Прикамья».
3.1.9. Правом настройки СЗИ должен обладать только администратор безопасности информации или системный администратор.
3.1.10. Пользователям запрещается менять настройки СЗИ, а также передавать защищаемую информацию при отключенных СЗИ и работать в Сегменте с отключенными средствами антивирусной защиты.
3.2. Требования к организации подключения Сегмента к ЕАИС Архивы.
3.2.1. Для подключения Сегмента к ЕАИС Архивы необходимо включить Сегмент в состав ViPNet-сети № 13099 (далее – ViPNet-сеть).
3.2.2. Для обеспечения защищенного взаимодействия Сегмента с ViPNet-сетью в Сегменте должно функционировать СЗИ, выполняющее функции криптографической защиты данных и СМЭ.
3.2.3. В качестве такого СЗИ необходимо использовать ПО «ViPNet Client», сертифицированное ФСБ России как шифровальное (криптографическое) средство защиты по классу КС1 и выше, и ФСТЭК России – как СМЭ четвертого класса защиты.
3.2.4. Схема подключения Сегмента к ЕАИС Архивы представлена на Рисунке 1.
Рисунок 1 – Схема подключения Сегмента к ЕАИС Архивы
3.3. Требования к АРМ, на котором реализовано СКЗИ и среда функционирования СКЗИ
3.3.1. Требования к составу ТС и ОС:
x86-совместимый процессор с 2 и более ядрами;
не менее 2 Гбайт оперативной памяти;
не менее 500 Мбайт свободное места на жестком диске;
сетевой адаптер;
ОС семейства «Windows» версии 7 или более новая.
3.3.2. Установку должен выполнять пользователь, обладающий правами администратора в ОС «Windows».
3.3.3. В ОС АРМ должно быть установлено средство антивирусной защиты, прошедшие оценку соответствия во ФСТЭК России, не ниже четвертого класса защищенности согласно информационному сообщению ФСТЭК России от 30.07.2012 № 240/24/3095 «Об утверждении требований к средствам антивирусной защиты».
3.3.4. СЗИ АРМ должны соответствовать шестому или выше уровню доверия согласно информационному сообщению ФСТЭК России от 29.03.2019 № 240/24/1525 «О требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
3.3.5. В BIOS/UEFI АРМ должен быть установлен один вариант загрузки ОС – с жесткого диска, все альтернативные варианты загрузки должны быть отключены, в том числе сетевая загрузка.
3.3.6. В ОС АРМ должны быть выполнены корректные настройки часового пояса, даты и времени.
3.3.7. Если на АРМ установлена ОС семейства «Windows», локализация которой отличается от русской, то для правильного отображения кириллицы в интерфейсе ПО «ViPNet Client» необходимо установить поддержку кириллицы для программ, не поддерживающих Unicode.
3.3.8. Запрещается пользоваться отладочными версиями ОС, а также устанавливать средства отладки и трассировки ПО.
3.3.9. В Сегменте должны быть отключены сторонние СМЭ и приложения, обеспечивающие преобразование сетевых адресов (NAT).
3.4. Требования к каналам связи
3.4.1. Для передачи данных в ЕАИС Архивы АРМ должен быть подключен к каналам сети связи общего пользования и (или) международного информационного обмена.
3.4.2. Пропускная способность канала связи должна быть не менее 128 Кбит/c.
3.4.3. При наличии внешнего СМЭ необходимо обеспечить прохождение пакетов протокола UDPv4 с портом источника 55777 из внутренней (локальной сети) во внешнюю (Интернет) с подменой IP-адреса локальной сети на IP-адрес сети Интернет без смены портов и ответный трафик (NAT).
3.5. Требования к протоколам передачи данных
3.5.1. VPN-туннель, созданный сертифицированным СКЗИ ПО «ViPNet Client», должен передавать зашифрованные сетевые пакеты в ViPNet-сеть по протоколу UDPv4:55777.
3.5.2. Внутри защищенного VPN-туннеля сетевые пакеты передаются по протоколу TCPv4 на 80, 443 порты получателя.
3.5.3. Не допускается использование других протоколов и узлов для передачи защищаемой информации.
[1] Расшифровка прав доступа и необходимые пояснения даны в таблице 3.
[2] «+» – есть права доступа; «–» – нет права доступа.
Вопрос юристу
Поделитесь ссылкой на эту страницу:
