АДМИНИСТРАЦИЯГОРОДА ЮЖНО-САХАЛИНСКА

РАСПОРЯЖЕНИЕ

от 22.07.2019№ 451-р

О назначенииответственных за защиту информации в муниципальной информационной системе«Единая мультисервисная телекоммуникационная сетьадминистрации города Южно-Сахалинска»

В соответствии с Постановлением Правительства РФ от06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода вэксплуатацию, эксплуатации и вывода из эксплуатации государственныхинформационных систем и дальнейшего хранения содержащейся в их базах данныхинформации», Приказом ФСТЭК России от 11.02.2013 № 17 «Об утвержденииТребований о защите информации, не составляющей государственную тайну,содержащейся в государственных информационных системах», постановлениемадминистрации города Южно-Сахалинска от04.10.2018 № 2590-па «О возложении обязанностей оператора муниципальнойинформационной системы «Единая мультисервиснаятелекоммуникационная сеть администрации города Южно-Сахалинска», в целяхраспределения функций по организации и обеспечению защиты информации :

1. Назначить ответственнымиза защиту информации в муниципальной информационной системе «Единая мультисервисная телекоммуникационная сеть администрациигорода Южно-Сахалинска» (далее — ЕМТС):

            1.1.Департамент мобилизационной подготовки и защиты информации в части исполненияфункций и обязанностей администрации города Южно-Сахалинска как заказчика МИСЕМТС и закрепить за ним:

            -нормативно-методическое регулирование системы защиты информации в ЕМТС, включаяформирование требований к защите информации, содержащейся в ЕМТС;

            -разработку предложений по модернизации системы защиты информации ЕМТС;

            -аттестацию ЕМТС по требованиям защиты информации;        - периодический контроль заобеспечением уровня защищенности информации в ЕМТС;

            -планирование и проведение мероприятий по реагированию на выявленные инцидентыбезопасности в ЕМТС.

            1.2. МКУ «Управление деламиадминистрации города Южно-Сахалинска», как оператора ЕМТС обеспечивающегоэксплуатацию аппаратно-технического и программного обеспечения ЕМТС и закрепитьза ним:      - обязанность по обеспечениюзащиты информации в ходе эксплуатации аттестованной ЕМТС в соответствии спроектными решениями системы защиты информации ЕМТС и эксплуатационнойдокументации используемой в составе ЕМТС, средств защиты информации, включаяуправление (администрирование) системой защиты информации ЕМТС;

            - обязанность по выявлениюинцидентов безопасности в ЕМТС;

            - управление конфигурацией исистемой защиты информации аттестованной ЕМТС;

            - внутренний контроль заобеспечением уровня защищенности информации в ЕМТС.

2. Утвердить:

2.1. Регламент управленияконфигурацией ЕМТС (приложение № 1);

2.2. Порядок выявленияинцидентов безопасности в ЕМТС и реагирования на них (приложение № 2).

3. Настоящее распоряжениеразместить на официальном сайте администрации города Южно-Сахалинска.

4. Контроль исполненияраспоряжения администрации города Южно-Сахалинска возложить на первоговице-мэра, руководителя аппарата.

Исполняющий обязанностимэра города                                                                        Н.Ю.Куприна

Приложение № 1

УТВЕРЖДЕН

 распоряжением администрации

города Южно-Сахалинска

от22.07.2019 № 451-р

РЕГЛАМЕНТ

управленияконфигурацией

Единой мультисервисной телекоммуникационной сети

администрациигорода Южно-Сахалинска

1. Общиеположения

1.1.Настоящий регламент определяет правила и процедуры следующих процессовобеспечения защиты информации в муниципальной информационной системе «Единая мультисервисная телекоммуникационная сеть администрациигорода Южно-Сахалинска» (далее – ЕМТС) :

1.1.1.Определения лиц, которым разрешены действия по внесению изменений вконфигурацию ЕМТС и её системы защиты информации;

1.1.2.Управления изменениями конфигурации ЕМТС и её системы защиты информации;

1.1.3.Анализа потенциального воздействия планируемых изменений в конфигурации ЕМТС иеё системы защиты информации на обеспечение защиты информации и согласованиеизменений в конфигурации ЕМТС и её системы защиты информации с должностнымлицом (работником), ответственным за обеспечение безопасности ЕМТС;

1.1.4.Документирования информации (данных) об изменениях в конфигурации ЕМТС и еёсистемы защиты информации;

1.1.5.Регламентации и контроля технического обслуживания, в том числе дистанционного(удалённого), технических средств и программного обеспечения ЕМТС.

1.2.Лицами, осуществляющими управление конфигурацией ЕМТС и системой защитыинформации в ЕМТС, являются:

1.2.1.Администраторы ЕМТС, в полном объеме архитектуры ЕМТС и центра обработки данных(далее - ЦОД) в ее составе;

1.2.2.Системные администраторы, в пределах делегированных им полномочий:

1.2.2.1.В части управления параметрами учётных записей пользователей ЕМТС –аккаунт-менеджеры;

1.2.2.2.В части управления конфигурацией активных и пассивных сетевых устройств –администраторы сетевых устройств;

1.2.2.3.В части управления конфигурацией информационных систем в составе ЕМТС –администраторы информационных систем.

1.3.Изменения в конфигурацию ЕМТС и систему защиты информации вносятся всоответствии с Правилами, прилагаемыми к настоящему регламенту.

1.4.В целях настоящего регламента под Оператором понимается МКУ «Управление деламиадминистрации города Южно-Сахалинска» и/или структурное подразделение аппарата,отраслевой (функциональный) орган администрации города Южно-Сахалинска,муниципальное предприятие или учреждение в пределах полномочий, установленныхпостановлением администрации города о возложении обязанностей оператора ЕМТСили постановлением администрации города о создании муниципальной информационнойсистемы в составе ЕМТС.

2. Определениелиц, которым разрешены действия по внесению

 изменений в конфигурацию

2.1.Лица, которым разрешены действия по внесению изменений в конфигурацию ЕМТС и еёсистемы защиты информации, приведены в п.1.2 настоящего Регламента.

2.2.Полномочия системных администраторов закрепляются в должностных инструкциях,разработанных в соответствии с распоряжением администрации городаЮжно-Сахалинска об утверждении Порядка разработки и утверждения должностныхинструкций сотрудников администрации города Южно-Сахалинска.

3. Управлениеизменениями конфигурации

3.1.Поиск и получение предложений по изменению конфигурации

3.1.1.Поиск и получение предложений по изменению конфигурации ЕМТС и её системызащиты информации от их разработчиков или уполномоченными ими лиц должныохватывать:

-средства защиты информации;

-системное и прикладное программное обеспечение;

-сетевое оборудование.

3.1.2.Изменения конфигурации средств защиты информации, сертифицированных потребованиям безопасности информации, должны соответствовать требованиямбезопасности информации и не снижать общий уровень защищённости ЕМТС.

3.1.3.Каждое изменение конфигурации должно пройти проверку на наличие уязвимости всоответствии с Правилами выявления инцидентов и реагирования на них в ЕМТС.

3.2.Подготовка среды тестирования изменений конфигурации

3.2.1.Методы управления изменениями конфигурации определяются комбинацией подхода ктестированию изменений конфигурации и подхода к развёртыванию релизов сизменениями конфигурации.

3.2.2.Тестирование изменений конфигурации ЕМТС может проводиться:

3.2.2.1.На виртуальных машинах («метод тестирования на макете»);

3.2.2.2.В тестовой среде, идентичной реальной («метод тестирования в тестовой зоне»).

3.2.3.Тестирование изменений конфигурации ЕМТС на виртуальных машинах используется,как правило, для последующего разворачивания изменений конфигурации на рабочихместах пользователей.

3.2.4.Тестирование изменений конфигурации ЕМТС в тестовой среде, идентичной реальнойприменяется для последующего изменения конфигурации одной или несколькихинформационных систем в составе ЕМТС.

3.3.Тестирование изменений конфигурации программного обеспечения

3.3.1.Тестирование изменений конфигурации включает:

3.3.1.1.Попытку войти в систему под тестовой учётной записью после установки измененияконфигурации и перезагрузки системы, анализ сообщений об ошибках/предупрежденийсистемы;

3.3.1.2.Проверку изменений системных переменных (например, PATH);

3.3.1.3.Проверку наличия в журнале системных событий записи об успешности установкивсех изменений конфигурации и отсутствии ошибок;

3.3.1.4.Проверку работоспособности прикладного ПО типового автоматизированного рабочегоместа пользователя ЕМТС (далее - ТАРМ) или ПО соответствующей информационнойсистемы типовой/специальной деятельности.

3.4.Принятие решения о применении протестированного изменения конфигурации

3.4.1.Принятие решения о применении протестированного изменения конфигурации ЕМТСвозлагается на соответствующего администратора в зоне его ответственности,определённой в п.1.2 настоящего регламента.

3.4.2.При принятии решения о применении протестированного изменения конфигурации ЕМТСадминистратору следует принять во внимание:

3.4.2.1.Результаты тестирования изменения конфигурации ЕМТС;

3.4.2.2.Приоритетность изменения конфигурации (критичность изменения конфигурации,уровень опасности уязвимости, которую оно нейтрализует);

3.4.2.3.Возможность нарушения технологических процессов обработки информации в ЕМТС входе или в результате установки изменения конфигурации, их важность дляфункционирования ЕМТС;

3.4.2.4.Возможность отменить («откатить») применение изменений конфигурации.

3.4.3.Применение изменений конфигурации операционной системы и микропрограммногообеспечения серверов, с которых не сделано резервное копирование, недопускается.

3.4.4.Перечни изменений конфигурации для применения должны быть задокументированы.

3.5.Централизованное применение изменений конфигурации

3.5.1.Централизованное применение измененийконфигурации ЕМТС включает:

3.5.1.1.Составление перечней подлежащих к установке изменений конфигурации (конфиг-листов) отдельно для каждого сервера и ТАРМ;

3.5.1.2.Выбор времени начала изменения конфигурации ЕМТС на каждом сервере и ТАРМ дляраспределения нагрузки на вычислительные возможности и учёта необходимостиперезапуска ЕМТС;

3.5.1.3.Составление задания на применение изменений конфигурации в соответствии с конфиг-листами и временем начала;

3.5.1.4.Запуск изменения конфигурации ЕМТС;

3.5.1.5.Выборочную проверку работоспособности элементов ЕМТС, на которые были примененыизменения конфигурации;

3.5.1.6.Выборочную (или полную) проверку устранения выявленных уязвимостей конфигурацииЕМТС;

3.5.1.7.Актуализацию документации ЕМТС в части параметров настройки, версий программныхсредств в соответствии с применёнными изменениями конфигурации (принеобходимости);

3.5.1.8.Пересчёт контрольных сумм файлов с параметрами настройки системного ПО исредств защиты информации, критичных с точки зрения безопасности (принеобходимости).

3.5.2.Изменение конфигурации серверов ЕМТС :

3.5.2.1.Изменение конфигурации серверов ЕМТС осуществляется администратором ЕМТС илиавторизованным системным администратором.

3.5.2.2.Все изменения конфигурации серверов ЕМТС должны проходить тестирование втестовой среде не менее двух недель.

3.5.2.3.Для каждого сервера ЕМТС должна регистрироваться история измененийконфигурации, включая список приложений, запущенных на нём при установкеизменения конфигурации.

3.5.3.Изменение конфигурации ТАРМ :

3.5.3.1.Изменение конфигурации ТАРМ может быть сделано с помощью штатных средствсертифицированной операционной системы.

3.5.3.2.Все изменения конфигурации ТАРМ должны проходить тестирование не менее двухдней.

3.5.3.3.Результаты изменения конфигурации, включая пересчёт контрольных сумм файлов спараметрами настройки сертифицированной операционной системы и средств защитыинформации, критичных с точки зрения безопасности, вносятся в формулярсертифицированной операционной системы (при необходимости).

4. Анализ потенциального воздействия планируемыхизменений в конфигурации на обеспечение защиты информации

4.1.Анализ потенциального воздействия планируемых изменений в конфигурации ЕМТС иеё системы защиты информации на обеспечение защиты информации, проводится входе тестирования планируемых изменений в конфигурации, проводимого всоответствии с пунктом 3.3. настоящего регламента.

4.2.Согласование изменений в конфигурации ЕМТС и/или входящих в ее составинформационных систем и компонентов, системы защиты информации, садминистратором безопасности ЕМТС, проводится в письменном (с использованиемСЭД) или электронном (с использованием OTRS ) виде.

4.3.Изменения в конфигурации ЕМТС, и/или входящих в ее состав информационных системи компонентов, системы защиты информации вносятся только при условии ихсогласования лицом, указанном в пункте 4.2. настоящего регламента.

5. Документирование информации (данных) обизменениях

в конфигурации

5.1.Документированию подлежит следующая информация (данные) об изменениях вконфигурации ЕМТС и системы защиты информации:

5.1.1.Перечни конфигураций для внедрения отдельно для каждого технического средства ипрограммного обеспечения;

5.1.2.Перечни конфигураций ранее внедрённых отдельно покаждому техническому средству и программному обеспечению.

6. Регламентацияи контроль технического обслуживания, в том числе дистанционного (удалённого),технических средств и программного обеспечения

6.1.Регламентация технического обслуживания, в том числе дистанционного(удалённого), технических средств и программного обеспечения ЕМТС

6.1.1.Техническое обслуживание, в том числе дистанционное (удалённое), техническихсредств и программного обеспечения ЕМТС осуществляет:

6.1.1.1.В течение гарантийного срока технических средств и программного обеспечениязащиты информации – разработчики этих средств защиты информации или разработчиксистемы защиты информации ЕМТС

6.1.1.2.В постгарантийный период - Оператор ЕМТС и иное лицо,в соответствии с муниципальным контрактом.

6.1.2.Дистанционное (удалённое) техническое обслуживание технических средств ипрограммного обеспечения допускается при одновременно выполнении следующихусловий:

6.1.2.1.Использование средств криптографической защиты каналов дистанционного(удалённого) технического обслуживания, совместимых с криптографическимоборудованием ЕМТС;

6.1.2.2.Осуществление дистанционного (удалённого) технического обслуживания только срабочего места и/или из информационной системы, аттестованных по требованиямбезопасности информации по классу защищённости, не ниже класса сегмента ЕМТС«разработка и сопровождение информационных систем»;

6.1.2.3.Наличие действующего муниципального контракта между Оператором ЕМТС и лицом,осуществляющим дистанционное (удалённое) техническое обслуживание техническихсредств и программного обеспечения ЕМТС, с оговоркой соблюдения Исполнителемпорядка оборота служебной информации ограниченного распространения,установленного в администрации г.Южно-Сахалинска.

6.2.Контроль технического обслуживания, в том числе дистанционного (удалённого),технических средств и программного обеспечения ЕМТС проводится администратором безопасностиЕМТС по окончанию выполнения текущих работ по техническому обслуживанию всоответствии с Правилами контроля (мониторинга) за обеспечением уровнязащищённости информации в ЕМТС.

Приложения:

1.Правила организации идентификации и аутентификации субьектовдоступа и объектов доступа в ЕМТС;

2.Правила управления обновлениями программногообеспечения в ЕМТС;

3. Правила контроля (мониторинга) за обеспечением уровнязащищённости информации в ЕМТС;

4. Правила использования технологий беспроводного доступав ЕМТС;

5. Правила информирования и обучения пользователей ЕМТС;

Приложение 1

к Регламенту управления

конфигурацией ЕМТС

Правила организации идентификации и аутентификации субьектов доступа и объектов доступа в ЕМТС

1. Действие настоящих Правил обеспечиваетсяадминистраторами ЕМТС и системными администраторами, осуществляющимиэксплуатацию ЕМТС в пределах делегированных им полномочий.

2. Доступ в ЕМТС должен осуществляться при помощиидентификации и аутентификации пользователей, идентификации процессов,запускаемых от имени этих пользователей, а также процессов, запускаемых отимени системных учетных записей.

2.1. Категории пользователей ЕМТС определены вПоложении о ЕМТС, утвержденном постановлением администрации городаЮжно-Сахалинска о возложении обязанностей оператора ЕМТС.

3. Пользователи ЕМТС должны однозначноидентифицироваться и аутентифицироваться для всех видов доступа, кроме техвидов доступа, которые определяются как действия, разрешенные до идентификациии аутентификации.

4. Оператором ЕМТС устанавливается перечень действийпользователей, разрешенных до прохождения ими процедур идентификации иаутентификации, и запрет действий пользователей, не включенных в переченьразрешенных действий, до прохождения ими процедур идентификации и аутентификации.

4.1. Разрешение действий пользователей до прохожденияими процедур идентификации и аутентификации осуществляется, в том числе, припредоставлении пользователям доступа к публичным ресурсам ЕМТС (веб- сайтам, порталам, иным общедоступным ресурсам).

4.2. Администратору ЕМТС разрешаются действия в обходустановленных процедур идентификации и аутентификации, необходимые только длявосстановления функционирования ЕМТС в случае сбоев в работе или выходе изстроя отдельных технических средств (устройств).

4.3. Системному администратору разрешаются действия вобход установленных процедур идентификации и аутентификации, необходимые длявосстановления функционирования отдельных компонентов ЕМТС в случае сбоев вработе или выходе из строя отдельных технических средств (устройств), только впределах делегированных ему полномочий и с разрешения администратора ЕМТС.

5. Аутентификация пользователя ЕМТС можетосуществляться с использованием паролей, аппаратных средств, биометрическиххарактеристик, иных средств или в случае многофакторной (двухфакторной)аутентификации – определенной комбинации указанных средств. В ЕМТС должна бытьобеспечена возможность однозначного сопоставления идентификатора пользователя сзапускаемыми от его имени процессами.

6. Оператор ЕМТС устанавливает и обеспечиваетреализацию следующих функций управления идентификаторами пользователей иустройств в ЕМТС:

6.1. Определение должностного лица (администратора),ответственного за создание, присвоение и уничтожение идентификаторовпользователей и устройств;

6.2. Формирование идентификатора, который однозначноидентифицирует пользователя и (или) устройство;

6.3. Присвоение идентификатора пользователю и (или)устройству; предотвращение повторного использования идентификатора пользователяи (или) устройства в течение установленного оператором периода времени;

6.4. Блокирование идентификатора пользователя послеустановленного оператором времени неиспользования.

7. Оператором установлены и реализованы следующиефункции управления средствами аутентификации (аутентификационнойинформацией) пользователей и устройств в ЕМТС :

7.1. Определение должностного лица (администратора),ответственного за хранение, выдачу, инициализацию, блокирование средстваутентификации и принятие мер в случае утраты и (или) компрометации средстваутентификации;

7.2. Изменение аутентификационнойинформации (средств аутентификации), заданных их производителями и (или)используемых при внедрении системы защиты информации ЕМТС;

7.3. Выдача средств аутентификации пользователям ЕМТС;

7.4. Генерация и выдача начальной аутентификационнойинформации (начальных значений средств аутентификации);

7.5. Установление характеристик пароля (прииспользовании в информационной системе механизмов аутентификации на основепароля):

7.5.1. Задание минимальной сложности пароля с определяемыми  требованиямик регистру, количеству символов, сочетанию букв верхнего и нижнего регистра,цифр и специальных символов;

7.5.2. Задание минимального количества измененныхсимволов при создании новых паролей;

7.5.3. Задание максимального времени действия пароля;

7.5.4. Задание минимального времени действия пароля;

7.5.5. Запрет на использование пользователямиопределенного Оператором числа последних использованных паролей при созданииновых паролей;

7.6. Блокирование (прекращение действия) и заменаутерянных, скомпрометированных или поврежденных средств аутентификации;

7.7. Назначение необходимых характеристик средстваутентификации (в том числе механизма пароля);

7.8. Обновление аутентификационнойинформации (замена средств аутентификации) с периодичностью, установленнойоператором;

7.9. Защита аутентификационнойинформации от неправомерных доступа к ней и модифицирования.

8. В ЕМТС должна осуществляться защита аутентификационной информации в процессе ее ввода для аутентификацииот возможного использования лицами, не имеющими на это полномочий. Защитаобратной связи «система - субъект доступа» в процессе аутентификацииобеспечивается исключением отображения для пользователя действительногозначения аутентификационной информации и (или)количества вводимых пользователем символов аутентификационнойинформации.

9. В ЕМТС должна осуществляться однозначнаяидентификация и аутентификация внешних пользователей или процессов, запускаемыхот имени этих пользователей.

10. В установленных законодательством случаяхидентификация и аутентификация пользователей ЕМТС в целях предоставлениягосударственных и муниципальных услуг в электронной форме должна осуществляетсяс использованием единой системы идентификации и аутентификации, созданной всоответствии с постановлением Правительства РФ от 28 ноября 2011 г. № 977.

11. Оператором ЕМТС установлены и реализованыследующие функции управления учетными записями пользователей:

11.1. Определение типа учетной записи (внутреннегопользователя, внешнего пользователя, системная, приложения, гостевая(анонимная), временная и (или) иные типы записей);

11.2. Объединение учетных записей в группы (принеобходимости);

11.3. Верификацию пользователя (проверка личностипользователя, его должностных (функциональных) обязанностей) при заведенииучетной записи пользователя;

11.4. Заведение, активация, блокирование и уничтожениеучетных записей пользователей;

11.5. Пересмотр и, при необходимости, корректировкаучетных записей пользователей с периодичностью, определяемой оператором;

11.6. Порядок заведения и контроля использованиягостевых (анонимных) и временных учетных записей пользователей, а такжепривилегированных учетных записей администраторов;

11.7. Оповещение администратора, осуществляющегоуправление учетными записями пользователей, об изменении сведений опользователях, их ролях, обязанностях, полномочиях, ограничениях;

11.8. Уничтожение временных учетных записейпользователей, предоставленных для однократного (ограниченного по времени)выполнения задач в информационной системе;

11.9. Предоставление пользователям прав доступа кобъектам доступа ЕМТС, основываясь на задачах, решаемых пользователями в ЕМТС ивзаимодействующими с ней информационными системами;

12. Временная учетная запись может быть заведена дляпользователя ЕМТС на ограниченный срок для выполнения задач, требующихрасширенных полномочий, или для проведения настройки, тестированияинформационной системы в составе ЕМТС, для организации гостевого доступа(посетителям, сотрудникам сторонних организаций, стажерам и иным пользователямс временным доступом к информационной системе в составе ЕМТС).

13. В ЕМТС для управления доступом субъектов доступа кобъектам доступа должны быть реализованы установленные оператором методыуправления доступом, назначены типы доступа субъектов к объектам доступа иреализованы правила разграничения доступа субъектов доступа к объектам доступа.

14. Методы управления доступом реализуются взависимости от особенностей функционирования сегмента ЕМТС с учетом угрозбезопасности информации и должны включать один или комбинацию следующихметодов:

14.1. Дискреционный метод управления доступом,предусматривающий управление доступом субъектов доступа к объектам доступа наоснове идентификационной информации субъекта и для каждого объекта доступа –списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированныхс ними типов доступа;

14.2. Ролевой метод управления доступом,предусматривающий управление доступом субъектов доступа к объектам доступа наоснове ролей субъектов доступа (совокупность действий и обязанностей, связанныхс определенным видом деятельности);

14.3. Мандатный метод управления доступом,предусматривающий управление доступом субъектов доступа к объектам доступа наоснове сопоставления классификационных меток каждого субъекта доступа и каждогообъекта доступа, отражающих классификационные уровни субъектов доступа иобъектов доступа, являющиеся комбинациями иерархических и неиерархическихкатегорий.

15. Типы доступа к объектам доступа должны включать операциипо чтению, записи, удалению, выполнению и иные операции, разрешенные квыполнению пользователем (группе пользователей) или запускаемому от его именипроцессу при доступе к объектам доступа.

16. Правила разграничения доступа реализуются наоснове установленных оператором списков доступа или матриц доступа и должныобеспечивать управление доступом пользователей (групп пользователей) изапускаемых от их имени процессов при входе в систему, доступе к техническимсредствам, устройствам, объектам файловой системы, запускаемым и исполняемыммодулям, объектам систем управления базами данных, объектам, создаваемымприкладным и специальным программным обеспечением, параметрам настройки средствзащиты информации, информации о конфигурации системы защиты информации и инойинформации о функционировании системы защиты информации, а также иным объектамдоступа.

17. Оператором ЕМТС должно быть обеспечено разделениеполномочий (ролей) пользователей и администраторов, обеспечивающихфункционирование ЕМТС и/или информационных систем в ее составе, в соответствиис их должностными обязанностями (функциями), фиксирование ворганизационно-распорядительных документах по защите информации(документирование) полномочий (ролей) пользователей и администраторов,обеспечивающих функционирование ЕМТС и/или информационных систем в ее составе,а также санкционирование доступа к объектам доступа в соответствии сразделением полномочий (ролей).

18. Оператором должно быть обеспечено назначение прави привилегий пользователям и запускаемым от их имени процессам,администраторам, обеспечивающим функционирование ЕМТС и/или информационныхсистем в ее составе, минимально необходимых для выполнения ими своихдолжностных обязанностей (функций), и санкционирование доступа к объектамдоступа в соответствии с минимально необходимыми правами и привилегиями.

19. Оператором ЕМТС должны быть однозначно определеныи зафиксированы в организационно-распорядительных документах по защитеинформации (задокументированы) роли и (или) должностные обязанности (функции),также объекты доступа, в отношении которых установлен наименьший уровеньпривилегий.

20. В ЕМТС должно быть установлено и зафиксировано ворганизационно-распорядительных документах по защите информации(задокументировано) ограничение количества неуспешных попыток входа в ЕМТС(доступа к ЕМТС) за период времени, установленный оператором, а такжеобеспечено блокирование устройства, с которого предпринимаются попытки доступа,и (или) учетной записи пользователя при превышении пользователем ограничения количестванеуспешных попыток входа в ЕМТС (доступа к ЕМТС).

21. В ЕМТС должно обеспечиваться блокирование сеансадоступа пользователя после установленного оператором времени его бездействия(неактивности) в ЕМТС или по запросу пользователя.

21.1. Блокирование сеанса доступа пользователя винформационную систему обеспечивает временное приостановление работыпользователя со средством вычислительной техники, с которого осуществляетсядоступ к ЕМТС (без выхода из ЕМТС). Для заблокированного сеанса должно осуществлятьсяблокирование любых действий по доступу к информации и устройствам отображения,кроме необходимых для разблокирования сеанса.

22. Оператором должна обеспечиваться защита информациипри доступе пользователей (процессов запускаемых от имени пользователей) и(или) иных субъектов доступа к объектам доступа ЕМТС черезинформационно-телекоммуникационные сети, в том числе сети связи общегопользования, с использованием стационарных и (или) мобильных техническихсредств (защита удаленного доступа).

23. Защита удаленного доступа должна обеспечиватьсяпри всех видах доступа (беспроводной, проводной (коммутируемый), широкополосныйи иные виды доступа) и включает:

23.1. Установление (в том числе документальное) видовдоступа, разрешенных для удаленного доступа к объектам доступа ЕМТС;

23.2. Ограничение на использование удаленного доступав соответствии с задачами (функциями) ЕМТС, для решения которых такой доступнеобходим, и предоставление удаленного доступа для каждого разрешенного видаудаленного доступа;

23.3. Предоставление удаленного доступа только темпользователям, которым он необходим для выполнения установленных должностныхобязанностей (функций);

23.4. Мониторинг и контроль удаленного доступа напредмет выявления несанкционированного удаленного доступа к объектам доступаЕМТС;

23.5. Контроль удаленного доступа пользователей(процессов запускаемых от имени пользователей) к объектам доступа ЕМТС доначала информационного взаимодействия с ЕМТС (передачи защищаемой информации).

24. Оператором должны обеспечиваться регламентация иконтроль использования в ЕМТС технологий беспроводного доступа пользователей кобъектам доступа (стандарты коротковолновой радиосвязи, спутниковой и пакетнойрадиосвязи), направленные на защиту информации в ЕМТС.

25. Регламентация и контроль использования технологийбеспроводного доступа должны включать:

25.1. Ограничение на использование технологийбеспроводного доступа (беспроводной передачи данных, беспроводного подключенияоборудования к сети, беспроводного подключения устройств к средствувычислительной техники) в соответствии с задачами (функциями) ЕМТС, для решениякоторых такой доступ необходим, и предоставление беспроводного доступа;

25.2. Предоставление технологий беспроводного доступатолько тем пользователям, которым он необходим для выполнения установленныхдолжностных обязанностей (функций);

25.3. Мониторинг и контроль применения технологийбеспроводного доступа на предмет выявления несанкционированного использованиятехнологий беспроводного доступа к объектам доступа ЕМТС;

25.4. Контроль беспроводного доступа пользователей(процессов запускаемых от имени пользователей) к объектам доступа ЕМТС доначала информационного взаимодействия с ЕМТС.

26. Оператором должны обеспечиваться регламентация иконтроль использования в ЕМТС мобильных технических средств, направленные назащиту информации в ЕМТС.

В качестве мобильных технических средстврассматриваются съемные машинные носители информации (флэш-накопители, внешниенакопители на жестких дисках и иные устройства), портативные вычислительныеустройства и устройства связи с возможностью обработки информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры,звукозаписывающие устройства и иные устройства).

27. Регламентация и контроль использования мобильныхтехнических средств должны включать:

27.1. Установление (в том числе документальное) видовдоступа (беспроводной, проводной (коммутируемый), широкополосный и иные видыдоступа), разрешенных для доступа к объектам доступа ЕМТС с использованиеммобильных технических средств, входящих в состав ЕМТС;

27.1. Использование в составе ЕМТС для доступа кобъектам доступа мобильных технических средств (служебных мобильных техническихсредств), в которых реализованы меры защиты информации;

27.2. Ограничение на использование мобильныхтехнических средств в соответствии с задачами (функциями) ЕМТС, для решениякоторых использование таких средств необходимо, и предоставление доступа сиспользованием мобильных технических средств;

27.3. Мониторинг и контроль применения мобильных техническихсредств на предмет выявления несанкционированного использования мобильныхтехнических средств для доступа к объектам доступа ЕМТС;

27.4. Запрет возможности запуска без командыпользователя в ЕМТС программного обеспечения (программного кода), используемогодля взаимодействия с мобильным техническим средством.

28. Оператором должно быть обеспечено управлениевзаимодействием с внешними информационными системами, включающимиинформационные системы и вычислительные ресурсы (мощности) уполномоченных лиц,информационные системы, с которыми установлено информационное взаимодействие наосновании заключенного договора (соглашения), а также с иными информационнымисистемами, информационное взаимодействие с которыми необходимо дляфункционирования ЕМТС.

29. Управление взаимодействием с внешнимиинформационными системами должно включать:

29.1. Предоставление доступа к внешней информационнойсистеме только авторизованным (уполномоченным) пользователям ЕМТС;

29.2. Определение типов прикладного программногообеспечения ЕМТС, к которым разрешен доступ авторизованным (уполномоченным)пользователям из внешних информационных систем;

29.3. Определение системных учетных записей,используемых в рамках данного взаимодействия;

29.4. Определение порядка предоставления доступа кЕМТС авторизованными (уполномоченным) пользователями из внешних информационныхсистем;

29.5. Определение порядка обработки, хранения ипередачи информации с использованием внешних информационных систем.

Приложение2

к Регламенту управления

конфигурацией ЕМТС

ПРАВИЛА

управленияобновлениями программного обеспечения в ЕМТС

1. Общиеположения

1.1.Настоящие Правила определяют порядок осуществления следующих процессовобеспечения защиты информации в ЕМТС :

1.1.1.Определение необходимости установки обновлений программного обеспечения (далее– ПО);

1.1.2.Поиск и получение обновлений ПО от разработчика или уполномоченного им лица;

1.1.3.Подготовка среды тестирования обновлений ПО;

1.1.4.Установка обновлений ПО в среде тестирования;

1.1.5.Тестирование обновлений ПО;

1.1.6.Принятие решения о развёртывании протестированного обновления;

1.1.7.Централизованная установка обновлений ПО.

1.2.Целью управления обновления ПО является минимизация риска эксплуатацииизвестных уязвимостей безопасности информации.

1.3.Лицами, ответственными за управление обновлениями ПО ЕМТС, являются:

1.3.1.В части управления обновлениями ПО активных и пассивных сетевых устройств –администраторы ЕМТС и/или системные администраторы, в пределах делегированныхим полномочий;

1.3.2.В части управления обновлениями ПО информационных систем в составе ЕМТС –системные администраторы, в пределах делегированных им полномочий;

1.3.3.В остальном (в части управления обновлениями операционных систем и прикладногоПО рабочих мест пользователей, микропрограммного обеспечения BIOS / UEFI , прошивок периферийных устройстви др.) – системные администраторы, в пределах делегированных им полномочий.

2. Определениенеобходимости установки обновлений программного обеспечения

2.1.Необходимость установки обновлений ПО определяется по результатам:

2.1.1.Анализа общедоступных источников на предмет наличия опубликованных уязвимостейи патчей (эксплойтов,релизов) для каждого ПО, используемого в ЕМТС;

2.1.2.Автоматического сканирования с помощью программных утилит поставщика илииспользования веб-сайта поставщика ПО для сканирования системы, на предметналичия доступных обновлений, которые ещё не были установлены в ЕМТС;

2.1.3.Контроля (анализа) защищённости ЕМТС, в процессе которого детектируютсяуязвимости в ПО ЕМТС.

2.2.Для обеспечения анализа общедоступных источников на предмет наличияопубликованных уязвимостей и патчей для каждого ПО,используемого в ЕМТС, администраторам в зоне их ответственности, указанной вп.1.3 настоящих Правил, необходимо вести перечни ПО, установленного на всехсерверах, рабочих местах пользователей, мобильных устройствах, сетевомоборудовании и других компонентах ЕМТС.

2.3.Автоматическое сканирование сети Интернет на предмет наличия доступныхобновлений допускается для следующего ПО ЕМТС:

2.3.1.Офисного ПО;

2.3.2.Браузеров.

2.4.Контроль (анализ) защищённости ЕМТС должен осуществляться не реже 4 раз в год.

2.5.ПО вводимых в эксплуатацию новых серверов и нетиповых автоматизаированныхрабочих мест пользователей ЕМТС в форматах настольных компьютеров, ноутбуков,нетбуков, планшетов и аналогичных, должно быть полностью обновлено до первоговыхода в Интернет из ЕМТС, чтобы ограничить входящие угрозы.

2.6.Новое ПО, предназначенное для установки (инсталляции) в информационные системыв составе ЕМТС должно быть полностью обновлено до установки (инсталляции) вЕМТС, чтобы ограничить входящие угрозы.

3. Поиск иполучение обновлений программного обеспечения

3.1.Поиск и получение обновлений ПО от разработчика или уполномоченного им лицадолжны охватывать:

3.1.1.Сервис-паки (релизы);

3.1.2.Периодические (ежеквартальные, ежемесячные, еженедельные и др.) обновления;

3.1.3.Критические обновления, устраняющие известные уязвимости критического иливысокого уровней опасности.

3.2.Обновления средств защиты информации, сертифицированных по требованиямбезопасности информации, должны загружаться только из соответствующегонадёжного источника. Каждое такое обновление должно пройти проверку в порядке,установленном формуляром на средство защиты информации.

3.3.Каждое обновление должно пройти проверку на целостность и отсутствиевредоносного кода.

4. Подготовка среды тестирования обновленийпрограммного обеспечения

4.1.Методы управления обновлениями определяются комбинацией подхода к тестированиюобновлений и подхода к развёртыванию релизов с обновлениями.

4.2.Тестирование обновлений ПО может проводиться:

4.2.1.На виртуальных машинах («метод тестирования на макете»);

4.2.2.В тестовой среде, идентичной реальной («метод тестирования в тестовой зоне»).

4.3.Тестирование обновлений ПО на виртуальных машинах используется, как правило,для последующего разворачивания обновлений в ТАРМ.

4.4.Тестирование обновлений ПО в тестовой среде, идентичной реальной, дляпоследующего применения обновлений ПО в одной или нескольких информационныхсистемах в составе ЕМТС.

5. Тестированиеобновлений программного обеспечения

5.1.Тестирование обновлений включает:

5.1.1.Попытку войти в ЕМТС под тестовой учётной записью после установки обновления иперезагрузки ПО, анализ сообщений об ошибках/предупреждений системы;

5.1.2.Проверку изменений системных переменных (например, PATH);

5.1.3.Проверку наличия в журнале системных событий записи об успешности установкивсех обновлений и отсутствии ошибок;

5.1.4.Проверку работоспособности обновленного ПО с прикладным ПО (офисные приложения,браузеры, и т.п.).

6. Принятиерешения о развёртывании протестированного обновления

6.1.Принятие решения о развёртывании протестированного обновления ПО возлагается насоответствующего администратора в зоне его ответственности, определённой вп.1.3 настоящих Правил.

6.2.При принятии решения о развёртывании протестированного обновления ПОадминистратору следует принять во внимание:

6.2.1.Результаты тестирования обновления ПО;

6.2.2.Приоритетность обновления (критичность обновления, уровень опасностиуязвимости, которую оно устраняет);

6.2.3.Необходимость установки предыдущих, связанных с протестированным обновлением, патчей;

6.2.4.Зависимости других программ от ПО, для которого протестировано обновление;

6.2.5.Возможность нарушения технологических процессов в ходе или в результатеустановки обновления, их важность для функционирования ЕМТС;

6.2.6.Наличие предупреждений разработчика обновления о совместимости с актуальнымиверсиями иного ПО, установленного в ЕМТС;

6.2.7.Возможность отменить («откатить») установку обновлений.

6.3.Установка обновления на операционную систему и микропрограммное обеспечениясервера, с которых не сделано резервное копирование, не допускается.

6.4.Перечни обновлений для развёртывания должны быть задокументированы.

7.Централизованная установка обновлений программного обеспечения

7.1.Централизованная установка обновлений ПО включает :

7.1.1.Составление перечней подлежащих к установке обновлений (патч-листов)отдельно для каждого сервера и ТАРМ;

7.1.2.Выбор времени начала обновления ПО на каждом сервере и ТАРМ для распределениянагрузки на вычислительные ресурсы ЕМТС и учёта необходимости перезапуска ПО;

7.1.3.Составление задания на разворачивание обновлений в соответствии с патч-листами и временем начала;

7.1.4.Запуск обновления ПО;

7.1.5.Выборочную проверку работоспособности элементов ЕМТС, на которые была проведенаустановка обновлений;

7.1.6.Выборочную (или полную) проверку устранения выявленных уязвимостей безопасностиинформации;

7.1.7.Актуализацию документации ЕМТС в части параметров настройки, версий программныхсредств в соответствии с применёнными обновлениями (при необходимости);

7.1.8.Пересчёт контрольных сумм файлов, критичных с точки зрения безопасности (принеобходимости).

7.2.Обновление ПО серверов

7.2.1.Обновление ПО серверов осуществляется администратором ЕМТС или системнымадминистратором, в пределах делегированных им полномочий.

7.2.2.Проверка наличия обновлений ПО серверов должна осуществляться не реже одногораза в месяц.

7.2.3.Все обновления ПО серверов должны проходить тестирование в тестовой среде неменее двух недель.

7.2.4.Для каждого сервера должна регистрироваться история обновлений, включая списокприложений, запущенных на нём при установке обновления.

7.3.Обновление ПО ТАРМ

7.3.1.Обновление ПО ТАРМ может быть сделано с помощью штатных средствсертифицированной операционной системы.

7.3.2.Проверка наличия обновлений ПО ТАРМ должна осуществляться не реже одного раза внеделю.

7.3.4.Все обновления ПО ТАРМ должны проходить тестирование не менее двух дней.

7.3.5.Обновление операционной системы ТАРМ отображается в формуляре сертифицированнойверсии операционной системы.

8. Обязанностиадминистраторов и пользователей

8.1.Обязанности системных администраторов

8.1.1.Системные администраторы должны осуществлять управление обновлением ПО в зонесвоей ответственности, определённой в п.1.3 настоящих Правил.

8.2.Обязанности пользователей ЕМТС

8.2.1.Все пользователи ЕМТС должны быть осведомлены о важности обновления ПО своихрабочих мест пользователя ЕМТС и возможных последствиях их отсутствия.

8.2.2.Пользователи ЕМТС не должны препятствовать процедуре обновления ПО, в том числеотключать функции автоматического обновления.

8.2.3.Пользователи ЕМТС обязаны уведомлять администратора безопасности ЕМТС о своихподозрениях, что их рабочее место пользователя ЕМТС не получает обновлений.

Приложение 3

к Регламенту управления

конфигурацией ЕМТС

Правилаконтроля (мониторинга) за обеспечением уровня защищённости информации в ЕМТС

1.Выявление, анализ и устранение уязвимостей информационной безопасности ЕМТС

1.1.Администратор безопасности ЕМТС должен осуществлять выявление, анализ иустранение уязвимостей безопасности информации в ЕМТС (далее — уязвимости ЕМТС)с использованием средств анализа защищенности.

1.2.Обязанность выявления, анализа и устранения уязвимостей информационных систем всоставе ЕМТС возлагается на соответствующих системных администраторов.

1.3.Во время анализа и устранения уязвимостей ЕМТС должны проводиться:

1.3.1.Выявление (поиск) уязвимостей, связанных с ошибками кода в программном(микропрограммном) обеспечении (общесистемном, прикладном, специальном), атакже программном обеспечении средств защиты информации, правильностьюустановки и настройки средств защиты информации, технических средств ипрограммного обеспечения, а также корректностью работы средств защитыинформации при их взаимодействии с техническими средствами и программнымобеспечением;

1.3.2.Устранение выявленных уязвимостей, в том числе путем установки обновленийпрограммного обеспечения средств защиты информации, общесистемного программногообеспечения, прикладного программного обеспечения или микропрограммногообеспечения технических средств;

1.3.3.Информирование должностных лиц оператора ЕМТС о результатах выявленныхуязвимостей и оценки достаточности реализованных мер защиты информации (принеобходимости).

1.4.Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапахсоздания и эксплуатации информационной системы в составе ЕМТС. На этапеэксплуатации информационной системы в составе ЕМТС поиск и анализ уязвимостейпроводится с периодичностью не реже 1 раз в год.

1.5. Вслучае невозможности устранения выявленных уязвимостей путем установкиобновлений программного обеспечения средств защиты информации, общесистемногопрограммного обеспечения, прикладного программного обеспечения илимикропрограммного обеспечения технических средств необходимо предпринятьдействия (настройки средств защиты информации, изменение режима и порядкаиспользования информационной системы), направленные на устранение возможностииспользования выявленных уязвимостей.

2.Контроль установки обновлений программного обеспечения, включая программноеобеспечение средств защиты информации

2.1.Администратор безопасности ЕМТС, а так же системныйадминистратор по согласованию с администратором безопасности ЕМТС, должныосуществлять контроль установки обновлений программного обеспечения, включаяпрограммное обеспечение средств защиты информации и программное обеспечениебазовой системы ввода-вывода.

2.2.Получение обновлений должно осуществляться из доверенных источников, включаяпрограммное обеспечение средств защиты информации и программное обеспечениебазовой системы ввода-вывода.

2.3.Во время контроля установки обновлений необходимо производить проверкусоответствия версий общесистемного, прикладного и специального программного(микропрограммного) обеспечения, включая программное обеспечение средств защитыинформации, установленного в ЕМТС и выпущенного разработчиком, а также наличиеотметок в эксплуатационной документации (формуляре или паспорте) об установке(применении) обновлений.

2.4.Контроль установки обновлений осуществляется в соответствии с эксплуатационнойдокументацией на соответствующее программное обеспечение.

3.Контроль работоспособности, параметров настройки и правильностифункционирования программного обеспечения и средств защиты информации

3.1.Администратор безопасности ЕМТС должен проводить контроль работоспособности,параметров настройки и правильности функционирования программного обеспечения исредств защиты информации.

3.2.Во время контроля работоспособности, параметров настройки и правильностифункционирования программного обеспечения и средств защиты информацииосуществляется:

3.2.1.Контроль работоспособности программного обеспечения и средств защитыинформации;

3.2.2.Проверка правильности функционирования (тестирование на тестовых данных,приводящих к известному результату) программного обеспечения и средств защитыинформации;

3.2.3.Контроль соответствия настроек программного обеспечения и средств защитыинформации параметрам настройки, приведенным в эксплуатационной документации насистему защиты информации и средства защиты информации;

3.2.4.Восстановление работоспособности (правильности функционирования) и параметровнастройки программного обеспечения и средств защиты информации (принеобходимости), в том числе с использованием резервных копий и (или)дистрибутивов.

3.3.Контроль работоспособности, параметров настройки и правильностифункционирования программного обеспечения и средств защиты информациипроводится с периодичностью, установленной эксплуатационной документацией насоответствующие средства защиты информации.

4.Контроль состава технических средств, программного обеспечения и средств защитыинформации

4.1.Администратор безопасности ЕМТС должен проводить контроль состава техническихсредств, программного обеспечения и средств защиты информации, применяемых вЕМТС (инвентаризация).

4.2.Во время контроля состава технических средств, программного обеспечения исредств защиты информации осуществляется:

4.2.1.Контроль соответствия состава технических средств, программного обеспечения исредств защиты информации приведенному;

4.2.2.Контроль состава технических средств, программного обеспечения и средств защитыинформации на соответствие сведениям действующей (актуализированной)эксплуатационной документации и принятие мер, направленных на устранениевыявленных недостатков;

4.2.3.Контроль выполнения условий и сроков действия сертификатов соответствия насредства защиты информации и принятие мер, направленных на устранениевыявленных недостатков;

4.2.4.Исключение (восстановление) из состава информационной системы несанкционированно установленных (удаленных) техническихсредств, программного обеспечения и средств защиты информации.

4.3.Контроль состава технических средств, программного обеспечения и средств защитыинформации проводится с периодичностью не реже 1 раза в месяц.

5.Контроль правил генерации и смены паролей пользователей, заведения и удаленияучетных записей пользователей, реализации правил разграничения доступом,полномочий пользователей ЕМТС

5.1.Администратор безопасности ЕМТС должен проводить контроль правил генерации исмены паролей пользователей ЕМТС, а также заведения и удаления учетных записейпользователей ЕМТС, реализации правил разграничения доступом, полномочийпользователей ЕМТС.

5.2.Во время контроля правил генерации и смены паролей пользователей ЕМТС,заведения и удаления учетных записей пользователей ЕМТС, реализации правилразграничения доступом, полномочий пользователей ЕМТС осуществляется:

5.2.1.Контроль правил генерации и смены паролей пользователей;

5.2.2.Контроль заведения и удаления учетных записей пользователей;

5.2.3.Контроль реализации правил разграничения доступом;

5.2.4.Контроль реализации полномочий пользователей;

5.2.5.Контроль наличия документов, подтверждающих разрешение изменений учетныхзаписей пользователей, их параметров, правил разграничения доступом иполномочий пользователей, предусмотренных организационно-распорядительнымидокументами по защите информации оператора;

5.2.6.Устранение нарушений, связанных с генерацией и сменой паролей пользователей,заведением и удалением учетных записей пользователей, реализацией правилразграничения доступом, установлением полномочий пользователей.

5.2.7.Контроль правил генерации и смены паролей пользователей ЕМТС, заведения иудаления учетных записей пользователей ЕМТС, реализации правил разграничениядоступом, полномочий пользователей ЕМТС проводится с периодичностью не реже 1раза в квартал.