Объекты угроз
Объектами угроз в ИСПД организации, подлежащими защите, являются информационные ресурсы, содержащие персональные данные, корпоративная сеть передачи данных, информационные технологии, технические и программные средства, используемые для обработки персональных данных, аппаратные и программные средства защиты.
Основные ресурсы, содержащие персональные данные
Основными информационными ресурсами, содержащими персональные данные, в ИСПД являются ресурсы:
подсистемы персонифицированного учета;
подсистемы назначения и выплаты государственных пенсий;
«АРМ взаимодействия со страхователями» ПТК «Страхователи»;
«АРМ Конвертация»;
комплекса «Герои»;
ОГБД «Ветераны»;
программного комплекса «1С»;
Электронный архив персонифицированного учета;
Федеральный регистр лиц, имеющих право на получение государственной социальной помощи;
Федеральный регистр лиц, имеющих право на дополнительные меры государственной поддержки;
Информационный ресурс по информированию застрахованных лиц;
Электронный архив выплатных дел.
Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.
Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).
В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.
В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.
Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.
Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.
Подразделением по защите информации для отделения ПФР и каждого подведомственного ему территориального органа ПФР на основании утвержденной «Таблицы допуска пользователей к защищаемым ресурсам» (приложение 3) формируется пакет парольной документации с пометкой «для служебного пользования» (ДСП), в который входят следующие документы:
комплект «Таблиц доступа пользователей к информационному ресурсу» (приложение 4) с указанием срока их действия;
соответствующий комплекту «Таблиц …» комплект карточек паролей (приложение 5);
«Таблица доступа пользователей к информационному ресурсу» (приложение 4) формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним лицом (администратором защиты информации).
Таблицы доступа нумеруются с использованием кода отделения ПФР, кода подведомственного органа ПФР (через косую черту), для которого она предназначены и порядкового номера таблицы в комплекте (через дефис). Например, «Таблица доступа пользователей к информационному ресурсу № 070/012 01».
В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.
На основании «Таблицы доступа к информационному ресурсу» (приложение 4) в соответствии с предоставленными полномочиями администратор защиты информации – с использованием специализированных или встроенных средств защиты, системный администратор или администратор приложения – с использованием встроенных средств защиты – осуществляет настройку соответствующей системы разграничения доступа (аутентификации пользователей) путем установки паролей или выработки (при необходимости) сертификатов.
Для обеспечения возможности оперативной смены пароля при его компрометации, а также в случае кадровых перестановок пользователей, в таблице паролей для каждого из защищаемых ресурсов указывается несколько резервных паролей без привязки их к конкретному пользователю. Количество резервных паролей определяется, исходя из реальных потребностей.
На случай компрометации всей парольной документации или части ее, для каждого органа ПФР разрабатывается резервный пакет парольной документации.
Резервный пакет парольной документации хранится в опечатанном конверте в отделении ПФР – в сейфе руководителя подразделения по защите информации, в подведомственных отделению территориальных органах ПФР – в сейфе (металлическом шкафу) ответственного за защиту информации (администратора защиты (безопасности) информации) территориального органа ПФР.
В случае наличия трудностей в ежеквартальной доставке пакетов парольной документации в органы ПФР в связи с их удаленностью от отделения ПФР пароли для них могут вырабатываться и высылаться на период до одного года. В этом случае таблица паролей может формироваться без указания данных пользователя – данные пользователя вписываются от руки при смене и выдаче пароля пользователю.
Парольная документация может передаваться в территориальный орган ПФР в виде электронного документа с электронной цифровой подписью в зашифрованном виде или по защищенному каналу связи.
По окончании смены паролей руководитель органа ПФР докладывает управляющему отделением ПФР.
Структура идентификаторов пользователей в АИС ПФР определяется возможностями и требованиями программного обеспечения электронных аутентификаторов и средств аутентификации применяемых операционных систем и приложений.
Пароль, вводимый с клавиатуры, должен быть уникальным в пределах одного пакета парольной документации и не должен нести никакой смысловой нагрузки. Не допускается использование паролей длиной менее 4-х символов или состоящих из одинаковых символов.
При использовании для генерации паролей программного обеспечения электронных аутентификаторов структура паролей определяется его возможностями.
PIN-код электронного аутентификатора устанавливается (изменяется) его пользователем. Пользователь обязан сохранять действующий РIN-код используемого аутентификатора в тайне.
PIN-код электронного аутентификатора должен соответствовать требованиям стойкости, рекомендованным эксплуатационной документацией на устройство.
Особый порядок изменения паролей определяется для использования профайлов QSECOFR и QSECOFR(DST), предоставляющих полные права доступа ко всем ресурсам сервера iSeries (i5) и применяющихся для администрирования серверов.
В режиме повседневной работы администратор сервера работает с использованием пользовательского профайла LOCOPR (с правом наблюдения за вычислительным процессом, просмотра информационных сообщений системы и управления телекоммуникациями) без права доступа к базам данных.
Использование профайла QSECOFR разрешается при выполнении модернизации системы, профайла QSECOFR (DST) – в случаях необходимости ручной загрузки системы.
Решение о разрешении использования администратором сервера профайлов QSECOFR и QSECOFR(DST) принимается управляющим отделением ПФР (директором ИЦПУ). Заявка на использование профайлов QSECOFR и QSECOFR(DST) оформляется в письменном виде руководителем подразделения информационных технологий.
Выработка и установка паролей для профайлов QSECOFR и QSECOFR (DST) производится посредством программного комплекса учета и контроля доступа к информационным базам серверов iSeries (i5) «Астра».
Выдача карточки пароля администратору оформляется записью в «Журнале выдачи парольной документации» (приложение 6).
После окончания работ карточка пароля возвращается администратору защиты информации, под роспись в «Журнале выдачи парольной документации». Использованная карточка перечеркивается диагональным крестом и уничтожается установленным порядком.
Смена пароля профайлов QSECOFR и QSECOFR (DST) осуществляется администратором защиты информации немедленно после возвращения ему администратором сервера соответствующей карточки пароля, или по получении сообщения об окончании проведения работ с использованием профайлов QSECOFR и QSECOFR (DST) подразделением по защите информации, Замена неиспользованных паролей профайлов QSECOFR и QSECOFR (DST) производится не реже, чем через 90 суток.
При прекращении трудового договора с работником, а при необходимости и при кадровых перестановках, руководитель структурного подразделения обязан представить в орган защиты информации (администратору защиты информации) письменную заявку на внесение изменения в таблицу допуска пользователей к защищаемым ресурсам.
Карточки паролей или индивидуальные аутентификаторы увольняемых, перемещаемых в связи с изменением должностных обязанностей пользователей, а также при уходе в отпуск (длительную командировку) подлежат возвращению в подразделение по защите информации (администратору защиты информации).
|
