Введение
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
Целью обеспечения безопасности персональных данных при их обработке в информационной системе является обеспечение состояния защищенности прав и свобод человека и гражданина при обработке его персональных данных, которые гарантирует федеральное законодательство, а также состояния защищенности системы деятельности учреждения в Российской Федерации от внешних и внутренних угроз.
Эффективная защита IT-инфраструктуры и прикладных корпоративных систем сегодня невозможна без внедрения современных технологий контроля сетевого доступа, включая средства многофакторной идентификации и управления идентификационными данными. Участившиеся случаи кражи носителей, содержащих ценную информацию делового характера, все больше заставляют принимать организационные меры.
Причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.
Актуальность темы дипломной работы определяется необходимостью защиты информации в системе организации. Именно эта проблема является наиболее распространенной в информационно-вычислительных системах на сегодняшний день. В современном мире невозможно выделить неограниченное количество финансов и человеческих ресурсов на обеспечение безопасности. Для любой организации критически важным ресурсом ведения бизнеса является информация.
Цель дипломной работы заключается в проведении анализа защиты информационной безопасности в государственном учреждении и приведению ее к соответствию текущим законам, подзаконнымДактам, постановлениям ответственных органов (ФСБ, ФСТЭК и т. д.).
Для достижения поставленной цели были сформулированы следующие задачи:
Рассмотреть основные понятия в области безопасности информационных технологий.
Провести анализ законодательной базы в области обеспечения безопасности информационных технологий и ПД.
Провести сравнение законов (постановлений) актуальных с утратившими силу.
Провести анализ ресурсов участвующих в обработке ПД.
Составить модель угроз информационной безопасности.
Выявить уязвимые звенья и возможные угрозы безопасности информационной системы персональных данных.
Объект исследования – система безопасности информации Государственного Учреждения.
Предмет исследования - средства и методы обеспечения информационной безопасности.
Методологическая и теоретическая основа – №152 ФЗ «О персональных данных, подзаконные акты, постановления ответственных органов (ФСБ, ФСТЭК и т. д.), регулирующих защиту информации, международные стандарты по ИБ.
Новизна дипломной работы заключается в разработке комплекса методов и средств обеспечения информационной безопасности организации, направленных на выявление и оценку угроз конфиденциальности информации, планирование и расчет информационных рисков. изменилось
Практическая значимость данной работы заключается в минимизации рисков, периодическом контроле ИСПДн и оценке ее защищенности.
минимизация перечня лиц, допущенных к защищаемой информации, и разграничение их прав доступа;
авторизация пользователей информационных ресурсов и вычислительных средств;
обеспечение безопасного подключения локальных вычислительных сетей (далее – ЛВС) к информационно-телекоммуникационным сетям;
использование протоколов, обеспечивающих маршрутизацию сообщений;
организация защиты от вредоносных программ;
создание и организация безопасного хранения резервных копий (дубликатов) наиболее важных информационных ресурсов;
организация учета и безопасного хранения носителей информации;
контроль конфигурации вычислительных средств и их программного обеспечения;
блокирование устройств и портов ввода-вывода информации;
пропускная система допуска в здания сотрудников и посетителей;
ограничение доступа в помещения, в которых размещаются хранилища информации и средства ее обработки;
использование корпоративной информационно-телекоммуникационной сети ПФР;
создание контролируемых зон, оборудование зданий и помещений элементами и системами безопасности и контроля.
Реализация мероприятий по защите АИС от НСД и вредоносных программ возлагается на руководителей органов ПФР, обслуживающий персонал и пользователей в соответствии с их должностными обязанностями и функциональными инструкциями.
Контроль и координация мероприятий защиты от НСД и вредоносных программ на объектах органов ПФР возлагается на администраторов защиты (безопасности) информации.
Для обеспечения защиты информации АИС ПФР от несанкционированного доступа и вредоносных программ применяются встроенные и специализированные технические (аппаратные и программные) средства защиты.
К встроенным относятся средства защиты, механизмы которых являются неотъемлемой частью функциональных программ (системных и прикладных) и реализуют их дополнительную функцию – обеспечение защиты обрабатываемой информации.
К специализированным относятся средства защиты, основным функциональным назначением которых является обеспечение безопасности информации.
Встроенные и специализированные средства защиты могут использоваться совместно.
При организации защиты АИС от несанкционированного доступа к информации и вредоносных программ учитывается фактор наличия в корпоративной сети вычислительной техники низкой производительности (морально устаревшей).
Применение средств защиты организуется без существенного потребления ими вычислительных ресурсов защищаемых вычислительных средств.
Основными специализированными средствами защиты, применяемыми для защиты АИС ПФР от несанкционированного доступа к информации и вредоносных программ, являются:
антивирусные комплексы;
межсетевые защитные (фильтрующие) экраны;
средства мониторинга состояния объектов защиты;
средства авторизации пользователей;
средства криптографической защиты информации;
средства блокирования устройств и портов вычислительных систем;
средства гарантированного уничтожения информации на носителях;
средства охранной, пожарной сигнализации и видеоконтроля.
Работа с персоналом
В целях придания мероприятиям защиты информации характера обязательных элементов производственного процесса ПФР требования по обеспечению защиты информации АИС ПФР от несанкционированного доступа и вредоносных программ вменяются в обязанность всем пользователям вычислительной техники.
Придание требованиям по исполнению мероприятий защите информации АИС ПФР от несанкционированного доступа и вредоносных программ характера элементов производственной дисциплины обеспечивается включением их в должностные обязанности всех сотрудников ПФР, а также взятием с каждого принимаемого на работу в ПФР работника письменного обязательства о соблюдении конфиденциальности информации (приложение 2).
Понимание и знание работниками ПФР требований политики безопасности информации обеспечивается:
своевременным доведением сотрудникам под расписку требований нормативных документов и корректировкой их функциональных и должностных инструкций;
регулярным проведением с сотрудниками занятий по вопросам защиты информации, в том числе с привлечением специалистов по защите информации;
приобщением обязательств о соблюдении конфиденциальности информации, учетных листов доведения требований нормативных (руководящих) документов и проведения занятий по вопросам защиты информации к личным делам сотрудников.
Ответственность за своевременное доведение требований нормативных (руководящих) документов до работников, предоставление в кадровый орган листов учета доведения требований нормативных документов и проведения занятий по вопросам защиты информации возлагается на непосредственных начальников.
Ответственность за организацию занятий с работниками возлагается на руководителей соответствующих органов ПФР или подразделений Исполнительной дирекции ПФР.
Порядок организации занятий с работниками отделения ПФР и подведомственных отделению территориальных органов ПФР с привлечением специалистов по защите информации определяется руководителем отделения ПФР.
Оборудование помещений для размещения средств обработки информации.
Средства обработки информации ограниченного доступа размещаются в помещениях, оборудование которых обеспечивает предотвращение бесконтрольного использования размещенных средств, возможность хищения носителей информации, визуальную досягаемость для посторонних лиц отображаемой информации. Помещения оборудуются прочными дверями и устройствами, гарантирующими надежное их закрытие и контроль вскрытия.
Размещение средств обработки информации в этих помещениях производится с учетом обеспечения минимизации выхода побочных излучений за пределы контролируемой зоны.
Помещения, в которых размещаются средства обработки информации, оборудуются (при необходимости) аппаратурой обеспечения требуемого температурно-влажностного режима.
Помещение центрального вычислительного комплекса системы персонифицированного учета (ИЦПУ) дополнительно оборудуется системой дистанционного видеонаблюдения и автоматического газового пожаротушения. Могут оборудоваться системами дистанционного наблюдения и автоматического пожаротушения и другие помещения, в которых производится хранение и обработка официальных информационных ресурсов ПФР.
При использовании автоматизированной системы контроля и управления доступом в технологические помещения применяются электромеханические нормально закрытые замки или электромагнитные замки с резервируемым питанием.
Помещения цокольного, первого, последнего этажей, помещения других этажей, примыкающие к карнизам, балконам, пожарным лестницам и т.п. должны иметь два рубежа технической охраны или прочные распашные металлические решетки и один рубеж охраны.
По окончании рабочего времени закрытые помещения с опечатанными входами сдаются под охрану установленным в органе ПФР порядком.
Допуск в помещения, в которых размещены средства обработки информации ограниченного доступа, лиц, не связанных непосредственно с их обслуживанием и обработкой информации, производится в сопровождении ответственных за обработку информации лиц.
Учет ресурсов и авторизация пользователей.
Защищаемые ресурсы органа ПФР определяются «Перечнем защищаемых информационных ресурсов …», который утверждается руководителем соответствующего органа ПФР.
Идентификация в АИС защищаемых информационных ресурсов производится присвоением им уникальных символьных последовательностей. Набор допустимых для идентификации символов определяется используемым оборудованием и программным обеспечением.
Доступ к защищаемому ресурсу АИС обеспечивается минимально необходимому для выполнения производственных задач числу сотрудников, определяемому «Таблицей допуска к защищаемым информационным ресурсам».
«Таблицей допуска к защищаемым информационным ресурсам» определяются разрешенные режимы работы пользователей и уровни доступа.
Авторизация пользователей и информационных ресурсов производится на основании положительных результатов аутентификации. Не допускается авторизация неидентифицированных пользователей.
По возможности используется двухфакторная аутентификация пользователей. Двухфакторная аутентификация организуется в первую очередь при организации доступа к информации ограниченного доступа.
Защита АИС и СВТ от вторжений и перехвата информации.
Подключение регионального сегмента АИС ПФР к информационно-телекоммуникационным сетям осуществляется в целях обеспечения информационного обмена в процессе его производственной деятельности, в том числе по приему отчетности страхователей и информированию застрахованных лиц о состоянии лицевого счета.
В отделении ПФР организуется единая точка подключения к внешним информационно-телекоммуникационным сетям с использованием прокси-сервера. Подключение к Интернету из районных сегментов АИС ПФР исключается.
Для защиты вычислительных средств от вторжения из телекоммуникационных сетей организуются демилитаризованные зоны и применяются межсетевые экраны различных типов (персональные и распределенные) и способов реализации (программные и аппаратные), прокси-серверы и системы обнаружения вторжений. Межсетевые экраны могут совмещать в себе функции прокси-серверов и др.
Демилитаризованная зона создается как изолированный сегмент сети, включающий общедоступные ресурсы (Web-ресурсы: серверы HTTP, FTP, электронной почты и т.п.) органа ПФР и имеющий (в силу необходимости обеспечения доступа извне) меньшую степень защиты, чем внутренний защищенный сегмент сети.
При необходимости демилитаризованная зона сегментируется или каскадируется в зависимости от степени необходимой безопасности ресурсов и в соответствии с решаемыми задачами.
Узлы, принадлежащие различным сегментам безопасности демилитаризованной зоны, разделяются средствами контроля доступа (межсетевыми экранами) для затруднения несанкционированного доступа из одной зоны безопасности в другие.
Техническая реализация демилитаризованной зоны определяется наличием технических средств и подготовленных специалистов в органе ПФР, а также конкретными задачами и условиями.
В целях исключения возникновения мостов между публичной сетью и корпоративной телекоммуникационной сетью автоматизированные рабочие места оборудуются средствами, исключающими их одновременное подключение к этим сетям.
На рубежах всех сегментов АИС ПФР устанавливаются криптошлюзы, обеспечивающие шифрование передаваемой между сегментами информации. Коммутация оборудования криптошлюзов производится способом, исключающим возможность маршрутизации информации, направляемой вне сегмента АИС ПФР, минуя шлюз.
Порядок реализации в ПФР конкретных технических решений по защите АИС ПФР от вторжений и перехвата передаваемой информации определяется «Инструкцией по защите информации при использовании информационно-телекоммуникационных сетей».
Порядок предоставления пользователям доступа к интернет-сервисам определяется разрабатываемой в каждом отделении ПФР «Инструкцией по организации доступа в Интернет в отделении ПФР по…» с учетом требований настоящей инструкции и «Инструкции по защите информации при использовании информационно-телекоммуникационных сетей».
Межсетевые экраны
Межсетевые экраны в сетях ПФР применяются как для ограничения или запрещения доступа узлов (хостов) внешней сети к устройствам внутренней сети, так и для ограничения доступа узлов внутренней сети к сервисам внешней сети, а также для защиты и изоляции приложений, сервисов и устройств во внутренней сети от нежелательного трафика.
Межсетевой экран устанавливается в «разрыв» канала связи между внутренней сетью ПФР и внешней информационно-телекоммуникационной сетью или между сегментами внутренней сети и контролирует (фильтрует) весь проходящий через него трафик.
Фильтрация трафика организуется, как правило, в соответствии с разрешительным принципом, то есть путем явного указания разрешенного для пропускания трафика и блокирования всего остального.
Устройства с выходом в Интернет располагаются в сегменте сети, отделенном от устройств, выход которых в Интернет запрещен, межсетевым экраном.
Допускается в целях ограждения узлов (сегментов) ЛВС от нежелательного внутреннего сетевого трафика использование фильтрации в соответствии с запретительным принципом, при котором межсетевым экраном не пропускается только соответствующий правилу трафик.
Для сокрытия схемы внутренней сети от внешнего наблюдателя используется прокси-сервер или предоставляемый межсетевым экраном режим трансляции сетевых адресов, позволяющий подменять IP-адреса пакетов, проходящих через него.
Система обнаружения атак и уязвимостей сети.
Для защиты АИС ПФР используются два основных типа систем обнаружения вторжений (атак): узловые и сетевые.
Узловая система обнаружения вторжений располагается на отдельных узлах и отслеживает признаки атак на данные узлы. Применяется для защиты важных узлов сети при невозможности использования сетевых систем.
Кроме основных типов датчиков систем обнаружения вторжений – датчики признаков, анализаторы журналов, системных вызовов, поведения приложений, целостности файлов – могут использоваться и иные, предусматриваемые конкретным средством защиты, датчики.
Сетевая система обнаружения вторжений реализуется в виде специфического узла сети, отслеживающего сетевой трафик на наличие признаков атак на подконтрольный сегмент сети.
Для выявления уязвимостей защиты сети используются программно-аппаратные комплексы контроля защищенности с функциями сетевых и/или системных сканеров и обнаружения несанкционированных действий пользователей.
Оснащение органов ПФР системами обнаружения атак и уязвимостей сети производится по мере возможности. Для проведения периодических проверок сетей используются мобильные средства контроля защищенности.
Криптографическая защита.
Исключение перехвата информации, передаваемой по информационно-телекоммуникационным сетям, и имитостойкость АИС ПФР обеспечивается использованием сертифицированных средств криптографической защиты.
Защита информации от перехвата при передаче по телекоммуникационным каналам, выходящим за пределы контролируемой зоны, определяется «Инструкцией по защите информации при использовании информационно-телекоммуникационных сетей».
В целях перекрытия всех возможных каналов проникновения вредоносных программ в сеть антивирусное программное обеспечение устанавливается на все узлы сети.
Потребление ресурсов средствами антивирусной защиты не должно оказывать существенного влияния на работу защищаемых устройств, на которых они установлены (вызывать замедления, сбои, создавать помехи работе и т.д.).
Обеспечение актуальности баз данных антивирусных программных средств производится периодическим их обновлением (пополнением). Первичным источником обновления являются специализированные интернет-ресурсы – сайты производителей антивирусных средств, вторичным – специальные внутренние сетевые ресурсы. Вторичные источники обновляются из первичных.
Вторичные источники обновления организуются для минимизации необходимости доступа средств АИС к интернет-ресурсам и используются для обновления антивирусного программного обеспечения внутри ЛВС. Периодичность обновления вторичных источников определяется периодичностью обновления первичных источников и практической необходимостью.
Антивирусные программы на всех узлах сети настраиваются на автоматическое обновление антивирусного программного обеспечения из специального внутреннего сетевого ресурса. Периодичность их обращения к ресурсу обновления определяется периодичностью его обновления, техническими возможностями и практической необходимостью.
Применяются антивирусные средства, обеспечивающие защиту вне зависимости от действий пользователя объекта защиты, исключающие возможность изменения пользователем параметров настройки антивирусных программ.
Все поступающие в орган ПФР из сторонних организаций машинные носители информации подвергаются проверке на наличие вирусов на специально выделенном компьютере. При обнаружении на носителе зараженного и не поддающегося лечению файла дальнейшее использование носителя не допускается.
В случае выявления заражения средств АИС органа ПФР вредоносной программой немедленно принимаются все необходимые меры по ее локализации (в том числе и отключение сегмента АИС ПФР от информационно-телекоммуникационных сетей) и удалению, а также по минимизации ущерба от ее функционирования.
Информирование о факте выявления заражения средств АИС вредоносной программой производится в подразделение по защите информации вышестоящего органа ПФР незамедлительно.
Информирование отделением ПФР Управления по защите информации о результатах мероприятий по локализации и ликвидации вредоносной программы и устранению последствий ее функционирования производится в течение трех дней с момента ликвидации вредоносной программы.
Информация должна содержать сведения:
о времени обнаружения вредоносной программы;
о принадлежности и назначении зараженного вычислительного средства;
о признаках проявления деятельности вредоносной программы и (при наличии) классификации ее антивирусными средствами;
о выполненных мероприятиях по ликвидации вредоносной программы и последствий ее функционирования;
о времени ликвидации вредоносной программы и восстановления функционирования вычислительных средств;
об использованных для борьбы программных средствах;
об установленных или вероятных причинах и источнике заражения;
о причиненном ущербе.
Дополнительно может представляться иная информация, способствующая своевременному обнаружению или успешному противодействию заражению данной программой впредь.
При необнаружении вредоносной программы штатными антивирусными средствами подозреваемые в заражении файлы представляются производителям соответствующих средств антивирусной защиты. Не допускается передача файлов информации ограниченного доступа!
Детально организация защиты информации АИС от вредоносных программ в органах ПФР определяется «Инструкцией по защите АИС от вредоносных программ в Отделении ПФР по …», разрабатываемой в каждом отделении ПФР.
«Инструкция по защите АИС от вредоносных программ в Отделении ПФР по …», подписывается руководителями подразделения по защите информации и подразделения информационных технологий отделения ПФР и утверждается управляющим отделением.
В «Инструкции по защите АИС от вредоносных программ в Отделении ПФР по… » обязательно отражаются следующие сведения:
объекты защиты;
используемые средства защиты;
подлежащие выполнению мероприятия защиты;
задачи подразделений и обязанности должностных лиц по защите от вредоносных программ и распределение ответственности между подразделениями и должностными лицами;
порядок установки и настройки антивирусных программ и актуализации их баз данных о сигнатурах вредоносных программ;
порядок действий при обнаружении заражения или симптомов функционирования вредоносных программ;
перечень дополнительно разрабатываемых в отделении ПФР и подведомственных ему территориальных органах ПФР нормативных документов
нительные права и обязанности работника, ответственного за защиту информации (администратора защиты информации), включаются в его должностные обязанности.
В целях контроля конфигурации средств вычислительной техники подразделением информационных технологий для каждого хоста (узла) сети в соответствующем формуляре (паспорте) фиксируется состав устройств и программного обеспечения на момент ввода его в эксплуатацию и все изменения, вносимые в процессе эксплуатации.
Учет состояния средств вычислительной техники ведется вручную или с использованием специальных программных продуктов.
Защищаемые компьютеры настраиваются на обеспечение:
защиты входа в настройку базовой системы ввода-вывода (BIOS) паролем;
использования в качестве первого загрузочного устройства накопителя на жестком магнитном диске;
исключения входа в систему без пароля;
отсутствия привилегий администратора системы у остальных пользователей вычислительного средства;
отсутствия консоли восстановления системы.
В целях исключения бесконтрольного вскрытия корпус компьютера опечатывается путем соединения разъемных деталей специальными легко разрываемыми наклейками или пломбируется.
Диски горячей замены серверов или закрывающие доступ к ним панели также опечатываются.
Использование функций вывода информации всех, не требующихся для непосредственного выполнения функций автоматизированного рабочего места, устройств рабочей станции блокируется с помощью специального программного обеспечения. При отсутствии программных средств защиты блокировка портов производится контрольными наклейками.
Для повышения безопасности информации ограниченного доступа используются сертифицированные программные средства, обеспечивающие ее хранение на носителях в зашифрованном виде.
Для защиты рабочих станций применяются программно-аппаратные средства, обеспечивающие защиту устройств и информационных ресурсов от несанкционированного доступа посредством выполнения в процессе загрузки контрольных процедур: аутентификации пользователя, проверки целостности технических и программных средств компьютера.
Все активное сетевое оборудование (маршрутизаторы, коммутаторы, серверы и пр.) и кроссовые панели располагаются в специальных помещениях, оснащаемых гарантированным электропитанием и (при необходимости) аппаратурой обеспечения требуемого температурно-влажностного режима, дистанционного наблюдения и автоматического пожаротушения.
Использование беспроводных точек доступа в ЛВС органов ПФР запрещается.
Доступ в помещения с активным сетевым оборудованием и кроссовыми панелями структурированной кабельной системы ограничивается. Списки лиц, которым разрешен самостоятельный доступ в эти помещения, согласовываются с руководителем подразделения по защите информации и утверждаются руководителем соответствующего органа ПФР.
Помещения оборудуются замками, ключи от которых передаются службам охраны в опечатанных пеналах. Выдача ключей лицам, допущенным к вскрытию этих помещений, производится под расписку в журнале вскрытия охраняемых помещений.
Все переключения на кроссовых панелях структурированной кабельной системы регистрируются в специальном журнале. Допускается ведение журнала в электронной форме.
Каждый портативный компьютер закрепляется приказом руководителя органа ПФР за его пользователем с определением целей использования, разрешенной для обработки категории информации и возложением на пользователя обязанностей по обеспечению сохранности информации и компьютера.
Обработка и хранение информации ограниченного доступа на портативных компьютерах допускается только при их оснащении средствами защиты, обеспечивающими хранение информации в защищенном (зашифрованном) виде, исключающем несанкционированный доступ к ней, в том числе и при утере (хищении) компьютера.
Хранение портативных компьютеров в нерабочее время осуществляется в местах, исключающих их хищение.
При выезде за пределы территории органа ПФР хранение в портативном компьютере информации ограниченного доступа обеспечивается в минимальном объеме, достаточном для решения поставленной задачи.
Удаленный обмен информацией ограниченного доступа с компьютера допускается только при использовании средств защиты данных от несанкционированного доступа в каналах связи.
Выполняются мероприятия по исключению несанкционированного доступа к вычислительным средствам посредством беспроводных интерфейсов.
При длительном бездействии компьютера обеспечивается его автоматическое выключение. Запрещается оставлять компьютер без контроля в период работы с ним, а также при перевозке в личном или служебном транспорте.
Транспортировка компьютера в общественном транспорте не должна привлекать к этому факту внимания окружающих.
В целях защиты от несанкционированного доступа к информации в органах ПФР создается контролируемая зона.
Охрана контролируемой зоны организуется в целях предотвращения доступа в нее посторонних лиц, а также создания надежных препятствий для несанкционированного проникновения в помещения АИС и хранилища носителей информации.
В целях повышения эффективности охраны здания и помещения ПФР оборудуются системами безопасности:
системой пожарной сигнализации;
системой пожаротушения;
системой охранной и тревожной сигнализации;
системой телевизионного (видео-) наблюдения;
системой контроля доступа.
В зданиях отделений ПФР, районных управлений ПФР, в которых установлены серверы iSeries (i5), а также центров назначения и выплаты пенсий должны устанавливаться комплексные системы безопасности, созданные на современной компьютерной базе. В остальных зданиях Пенсионного фонда Российской Федерации, как правило, устанавливаются только системы охранной и пожарной сигнализации, установка остальных систем безопасности возможна по отдельному решению руководства Пенсионного фонда Российской Федерации.
Замену ранее установленных систем безопасности в зданиях ПФР осуществлять после окончания срока эксплуатации технических средств или по решению руководства ПФР.
Охранная сигнализация.
Охранная сигнализация предназначается для обеспечения своевременного выявления попыток несанкционированного проникновения в помещения и выдачи сигнала тревоги в случае несанкционированного проникновения в помещение, находящееся под охраной.
Охранная сигнализация должна обеспечить надежное и быстрое срабатывание извещателей с достаточной для принятия немедленных мер локализацией места проникновения, самодиагностику и возможность работы от автономного источника электроэнергии.
Системой охранной сигнализации обязательно оборудуются:
все входы в здание, в том числе запасные;
помещения, в которых размещаются средства обработки информации ограниченного доступа;
помещения, в которых размещаются хранилища носителей информации ограниченного доступа;
помещения подразделений по защите информации.
Пожарная сигнализация.
Здания органов ПФР оборудуются системами пожарной сигнализации в целях своевременного обнаружения очага возгорания и своевременного принятия мер по тушению пожара.
Пожарная сигнализация должна обеспечить надежное и быстрое срабатывание извещателей с достаточной для принятия немедленных мер локализацией места возникновения пожара, самодиагностику и возможность работы от автономного источника электроэнергии.
При повседневном режиме электроснабжения системы охранной и пожарной сигнализации должны функционировать круглосуточно (непрерывно).
Устанавливаемое оборудование и сети систем должны быть безопасны при эксплуатации для лиц, соблюдающих правила обращения с ними.
На территории объектов защиты ПФР разрешается установка только безвредных для здоровья лиц, имеющих доступ на территорию объекта, устройств.
Система видеонаблюдения.
Для контроля за обстановкой вокруг здания по его периметру устанавливаются наружные стационарные видеокамеры. На входе в здание устанавливаются внутренние видеокамеры с возможностью контроля поста охраны. Внутренние видеокамеры устанавливаются также в клиентских службах.
Средствами системы должна обеспечиваться передача видеоинформации на мониторы, устанавливаемые на посту охраны.
С целью обеспечения возможности расследования конфликтных ситуаций должно обеспечиваться хранение видеоинформации в течение 20 дней. Должна быть исключена возможность стирания, либо модификации информации сотрудниками охраны здания.
Система разграничения и контроля доступа.
Средствами системы контроля и разграничения доступа оборудуются двери защищаемых помещений (серверные, архивы, спецчасти, аппаратные, помещения подразделений по защите информации, бухгалтерия, кассы, а также другие помещения, где должно быть исключено несанкционированное пребывание посторонних лиц), которые должны быть постоянно закрытыми и запертыми.
Открывание замка для входа в указанные помещения обеспечивается дистанционными считывателями смарт-карт. Отпирание замка для выхода из помещения осуществляется нажатием специальной кнопки. Возможна установка дистанционных считывателей на входные двери на этаж.
Оборудование системы контроля и разграничения доступа должно обеспечивать централизованное фиксирование событий в защищаемых помещениях.
К работе с защищаемым ресурсом допускается только определенный круг пользователей.
Идентификация пользователя производится присвоением ему Имени_Пользователя – уникальной символьной последовательности.
Аутентификация пользователя производится посредством сравнения предъявляемого им аутентификатора с аутентификатором, поставленным в однозначное соответствие предъявленному идентификатору (Имени_Пользователя).
В качестве аутентификатора пользователя АИС ПФР используется пароль (кодовое слово), сертификат или биометрические данные, которые вводятся в ПК с клавиатуры, при помощи специального устройства аутентификации по биометрическим данным или считываются из индивидуального аутентификатора.
Аутентификация пользователя АИС ПФР выполняется при:
включении ПК;
входе в систему;
входе в сеть;
обращении к ресурсам.
Авторизация пользователей производится при положительном результате аутентификации.
Смена аутентификаторов, вводимых с клавиатуры, выполняется не реже, чем через 90 суток. Смена аутентификаторов, доведение которых до пользователей, хранение и предъявление системе аутентификации осуществляется посредством устройств аутентификации индивидуального пользования, производится не реже, чем один раз в год.
Срок действия назначаемых (присваиваемых) аутентификаторов, а также порядок их смены определяется в отделении ПФР «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …».
Технические мероприятия авторизации пользователей обеспечиваются выполнением следующих организационных мероприятий:
актуализация перечня защищаемых информационных ресурсов;
актуализация документов по допуску и обеспечению соответствующего доступа пользователей к защищаемым ресурсам;
распределение ответственности за выполнение мероприятий по защите информации между должностными лицами, организующими и реализующими технические мероприятия;
назначение администраторов защиты (безопасности) информации.
Указанные мероприятия должны проводиться по мере необходимости, но не реже одного раза в год. Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …», разрабатываемого в каждом отделении ПФР. Инструкция подписывается руководителями подразделений информационных технологий и по защите информации, утверждается управляющим отделением.
Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей структурных подразделений.
Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.
Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).
В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.
В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.
Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.
Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.
В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.
На основании «Таблицы доступа к информационному ресурсу» (приложение 4) в соответствии с предоставленными полномочиями администратор защиты информации – с использованием специализированных или встроенных средств защиты, системный администратор или администратор приложения – с использованием встроенных средств защиты – осуществляет настройку соответствующей системы разграничения доступа (аутентификации пользователей) путем установки паролей или выработки (при необходимости) сертификатов.
Для обеспечения возможности оперативной смены пароля при его компрометации, а также в случае кадровых перестановок пользователей, в таблице паролей для каждого из защищаемых ресурсов указывается несколько резервных паролей без привязки их к конкретному пользователю. Количество резервных паролей определяется, исходя из реальных потребностей.
На случай компрометации всей парольной документации или части ее, для каждого органа ПФР разрабатывается резервный пакет парольной документации.
Резервный пакет парольной документации хранится в опечатанном конверте в отделении ПФР – в сейфе руководителя подразделения по защите информации, в подведомственных отделению территориальных органах ПФР – в сейфе (металлическом шкафу) ответственного за защиту информации (администратора защиты (безопасности) информации) территориального органа ПФР.
В случае наличия трудностей в ежеквартальной доставке пакетов парольной документации в органы ПФР в связи с их удаленностью от отделения ПФР пароли для них могут вырабатываться и высылаться на период до одного года. В этом случае таблица паролей может формироваться без указания данных пользователя – данные пользователя вписываются от руки при смене и выдаче пароля пользователю.
Парольная документация может передаваться в территориальный орган ПФР в виде электронного документа с электронной цифровой подписью в зашифрованном виде или по защищенному каналу связи.
По окончании смены паролей руководитель органа ПФР докладывает управляющему отделением ПФР.
Структура идентификаторов пользователей в АИС ПФР определяется возможностями и требованиями программного обеспечения электронных аутентификаторов и средств аутентификации применяемых операционных систем и приложений.
Пароль, вводимый с клавиатуры, должен быть уникальным в пределах одного пакета парольной документации и не должен нести никакой смысловой нагрузки. Не допускается использование паролей длиной менее 4-х символов или состоящих из одинаковых символов.
При использовании для генерации паролей программного обеспечения электронных аутентификаторов структура паролей определяется его возможностями.
PIN-код электронного аутентификатора устанавливается (изменяется) его
Факт внесения изменений в настройку системы аутентификации фиксируется администратором защиты информации на заявке с указанием даты и времени внесения изменений и заверяется его подписью.
|