Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Требования по обеспечению информационной безопасности при работе с ресурсами Центральной базы данных Единой автоматизированной информационной системы таможенных органов




П Р И К А З

«12» ноября 2007 г. № 1393

Москва

 

 

Об утверждении Требований по обеспечению информационной безопасности при работе с ресурсами Центральной базы данных Единой автоматизированной информационной системы таможенных органов

 

В целях совершенствования системы обеспечения информационной безопасности таможенных органов при работе с ресурсами Центральной базы данных Единой автоматизированной информационной системы таможенных органов (далее – ЦБД ЕАИС таможенных органов) и во исполнение п. 10 приказа ФТС России от 6 февраля 2007г. № 168 «Об утверждении Порядка предоставления должностным лицам таможенных органов доступа к ресурсам Центральной базы данных Единой автоматизированной информационной системы таможенных органов» приказываю:

1. Утвердить прилагаемые Требования по обеспечению информационной безопасности при работе с ресурсами Центральной базы данных Единой автоматизированной информационной системы таможенных органов (далее – Требования).

2. Главному управлению информационных технологий ФТС России
(А.Е. Шашаев) организовать:

а) плановый контроль за выполнением Требований в структурных подразделениях ФТС России;

б) периодическое обучение должностных лиц безопасной работе с ресурсами ЦБД ЕАИС таможенных органов.

3. Начальникам таможенных органов, организаций, находящихся в ведении ФТС России, обеспечить:

а) выполнение настоящих Требований;

б) инсталляцию и настройку необходимого прикладного

 

программного обеспечения на автоматизированных рабочих местах должностных лиц таможенных органов, допущенных к работе с ЦБД ЕАИС таможенных органов;

в) установку (при необходимости и наличии) и настройку дополнительных средств защиты информации;

г) ознакомление с настоящими Требованиями должностных лиц, допущенных к работе с ЦБД ЕАИС таможенных органов, под подпись.

4. Начальникам структурных подразделений ФТС России обеспечить:

а) выполнение настоящих Требований;

б) назначение ответственных за контроль копирования информации (при наличии в подразделении абонентского пункта доступа к ЦБД ЕАИС таможенных органов);

в) ознакомление с настоящими изменениями Требований должностных лиц, допущенных к работе с ЦБД ЕАИС таможенных органов, под подпись.

5. ГНИВЦу ФТС России (О.П. Пучков) обеспечить:

а) выполнение п. 25 настоящих Требований;

б) установку на все автоматизированные рабочие места доступа к ЦБД ЕАИС таможенных органов в структурных подразделениях специализированного программного обеспечения контроля каналов утечки информации;

в) установку в отделе контроля информационной безопасности УСБ ФТС России консоли специализированного программного обеспечения контроля каналов утечки информации (по требованию УСБ ФТС России);



г) учет и администрирование абонентских пунктов доступа к ЦБД ЕАИС таможенных органов;

д) оказание технической помощи (при необходимости) пользователям ЦБД ЕАИС таможенных органов.

6. Управлению собственной безопасности ФТС России
(А.И. Ботищев) организовать:

а) установку в отделе контроля информационной безопасности консоли автоматизированной системы выявления каналов утечки информации;

б) оперативно-технический контроль информационной безопасности при работе пользователей структурных подразделений ФТС России с ЦБД ЕАИС таможенных органов.

7. Управлению кадров (Г.Л. Кириллов) обеспечивать ежемесячное (в конце каждого месяца) письменное уведомление ГНИВЦ ФТС России об увольнении (о переводе по службе) должностных лиц центрального аппарата для организации своевременного прекращения им доступа к ЦБД ЕАИС таможенных органов.

 

 

8. Контроль за исполнением настоящего приказа возложить на первого заместителя руководителя ФТС России В.М. Малинина.

 

 

Руководитель

действительный государственный советник

таможенной службы Российской Федерации А.Ю. Бельянинов

 

 

Ю.Н. Рыжов

449 88 63

 


Приложение к приказу ФТС России от № _____

Требования по обеспечению информационной безопасности при работе с ресурсами Центральной базы данных Единой автоматизированной информационной системы таможенных органов

I. Общие положения

1. Настоящие Требования по обеспечению информационной безопасности при работе с ресурсами Центральной базы данных Единой автоматизированной информационной системы таможенных органов (далее – Требования) определяют комплекс организационно-технических мероприятий по организации безопасной работы с ресурсами, хранящимися в открытом сегменте Центральной базы данных Единой автоматизированной информационной системы таможенных органов (далее – ЦБД ЕАИС таможенных органов).



2. Доступ к ЦБД ЕАИС таможенных органов может быть предоставлен:

а) с автоматизированного рабочего места пользователя (далее – АРМ доступа) с использованием программных средств доступа, включенных в фонд алгоритмов и программ ФТС России (далее – ФАП ФТС России);

б) с абонентских пунктов доступа (АПД) – прямой доступ.

3. Под прямым доступом понимается доступ к ЦБД ЕАИС таможенных органов, при котором пользователю предоставлена возможность построения гибких или нестандартных запросов ко всему объему данных (в т.ч. с использованием общесистемного или офисного программного обеспечения (MS Access, SQL + и пр.).

4. Требования обязательны для выполнения всеми должностными лицами структурных подразделений ФТС России, таможенных органов, сотрудниками и работниками ГНИВЦ ФТС России, организаций, находящихся в ведении ФТС России (далее – пользователи), которым предоставляется доступ к ЦБД ЕАИС таможенных органов.

5. Ответственность за выполнение Требований несут начальники структурных подразделений ФТС России, таможенных органов, организаций, находящихся в ведении ФТС России, в соответствии с законодательством Российской Федерации и иными нормативными актами.

6. Ответственность за неправомерное использование полученной из ЦБД ЕАИС таможенных органов информации несут непосредственно пользователи, допущенные к ЦБД ЕАИС таможенных органов.

7. В соответствии со ст. 10 Таможенного кодекса Российской Федерации пользователи, получившие доступ к ЦБД ЕАИС таможенных органов, не вправе разглашать, использовать в личных целях либо передавать третьим лицам, в том числе государственным органам, информацию из ЦБД ЕАИС таможенных органов, за исключением случаев, установленных Таможенным кодексом Российской Федерации и иными федеральными законами.

8. Заявка на прямой доступ к ЦБД ЕАИС таможенных органов оформляется отдельно от общей заявки таможенного органа.

9. Перед направлением заявки на доступ к ЦБД ЕАИС таможенных органов начальники структурных подразделений ФТС России, таможенных органов и организаций, находящихся в ведении ФТС России, обеспечивают изучение пользователями настоящих Требований с проставлением личной подписи в листе ознакомления с приказом.

II. Требования к организации АРМ доступа к ЦБД ЕАИС в структурных подразделениях ФТС России, таможенных органах и организациях, находящихся в ведении ФТС России

10. На АРМ доступа к ЦБД ЕАИС таможенных органов устанавливается сертифицированная по требованиям безопасности информации операционная система, а также необходимое для исполнения служебных обязанностей общесистемное программное обеспечение (ОПО), программные средства (ПС), включенные в ФАП ФТС России.

11. Установка на АРМ доступа к ЦБД ЕАИС таможенных органов другого ОПО и ПС, не предназначенных для исполнения должностным лицом служебных обязанностей, ЗАПРЕЩЕНА.

12. Средствами сертифицированной по требованиям безопасности информации операционной системы должен быть реализован следующий функционал:

осуществление идентификации и проверки подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (при наличии сертифицированных средств двухфакторной аутентификации (eToken и др.) их использование ОБЯЗАТЕЛЬНО);

осуществление регистрации входа (выхода) субъектов доступа в систему (из системы); в параметрах регистрации указываются дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (остановки) системы и результат попытки входа: успешная или неуспешная;

обеспечение целостности программных средств, обрабатываемой информации, а также программной среды; при этом целостность программной среды обеспечивается отсутствием на рабочей станции средств разработки и отладки программ во время обработки и (или) хранения информации, полученной из ЦБД ЕАИС таможенных органов.

13. При отсутствии сертифицированной по требованиям безопасности информации операционной системы на рабочие станции устанавливаются наложенные средства защиты информации от несанкционированного доступа, сертифицированные по требованиям безопасности информации.

14. Дополнительно на АРМ доступа структурных подразделений ФТС России устанавливается специализированное ПО контроля каналов утечки информации.

15. Должна быть организована физическая охрана рабочих станций (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий от несанкционированного проникновения в помещения, особенно в нерабочее время.

16. Технические мероприятия и настройки, указанные в пунктах 10-14, выполняются должностными лицами информационно-технических служб (в структурных подразделениях ФТС России должностными лицами ГНИВЦа ФТС России) по заявке соответствующих подразделений.

17. Ответственность за организацию выполнения данных требований должностными лицами несут начальники структурных подразделений ФТС России, начальники таможенных органов и организаций, находящихся в ведении ФТС России.

III. Требования к организации АПД ЦБД ЕАИС таможенных органов в структурных подразделениях ФТС России

18. Должностным лицам структурных подразделений ФТС России может предоставляться прямой доступ к ресурсам ЦБД ЕАИС таможенных органов только с использованием АПД соответствующих подразделений.

19. АПД представляют собой АРМы доступа, объединенные в выделенный логический сегмент структурного подразделения. Прямой доступ к ЦБД ЕАИС таможенных органов предоставляется только из этого сегмента. В этом сегменте АРМы опечатываются и на них блокируются (физически или программно) все порты (включая доступ к электронной почте), с которых возможно копирование информации на внешние носители. В пределах сегмента выделяется АРМ (АРМы), с которого возможно копирование информации, полученной из ЦБД ЕАИС таможенных органов. АРМ (АРМы) также может оборудоваться устройством печати.

20. АРМ (АРМы), с которого разрешено копирование информации на отчуждаемые носители (в т.ч. печать), устанавливается в помещении, в котором находится должностное лицо (лица), ответственное за копирование информации в структурном подразделении. Перенос информации на внешний носитель (в т.ч. печать) осуществляется под контролем лица, ответственного за копирование информации, с обязательной отметкой в журнале учета переноса информации, содержащей сведения из ЦБД ЕАИС таможенных органов, на отчуждаемые носители (приложение № 1). Начальнику структурного подразделения допускается назначать несколько лиц, ответственных за копирование информации. Отчеты о переносе полученной из ЦБД ЕАИС таможенных органов информации на отчуждаемые носители направляются в УСБ ФТС России (по требованию УСБ ФТС России).

Неконтролируемое копирование информации из АПД ЦБД ЕАИС таможенных органов на отчуждаемые носители ЗАПРЕЩЕНО.

21. АПД структурных подразделений вводятся в домен прямого доступа к ЦБД ЕАИС таможенных органов (далее – домен). За администрирование домена и разграничение полномочий пользователей отвечает администратор безопасности ГНИВЦа ФТС России.

22. На каждый АПД ЦБД ЕАИС таможенных органов должностным лицом ГНИВЦа ФТС России оформляется карточка абонентского пункта доступа к информационным ресурсам ЦБД ЕАИС таможенных органов, которая хранится у администратора безопасности ЦБД ЕАИС таможенных органов (приложение № 2).

23. На АПД ЦБД ЕАИС таможенных органов устанавливается сертифицированная по требованиям безопасности информации операционная система, необходимое для исполнения служебных обязанностей ОПО, ПС, включенные в ФАП ФТС России (при необходимости), а также специализированное ПО контроля каналов утечки информации.

24. Установка на АПД ЦБД ЕАИС таможенных органов другого ОПО и ПС, не предназначенных для исполнения должностным лицом служебных обязанностей, ЗАПРЕЩЕНА.

25. Технические мероприятия и настройки, указанные в пунктах 18-23, выполняются должностными лицами ГНИВЦа ФТС России по заявке структурного подразделения или без таковой (планомерно при наличии утвержденной заявки на доступ).

26. Ответственность за организацию выполнения данных требований несут начальники структурных подразделений ФТС России, директор ГНИВЦа ФТС России.

27. Контроль за организацией работы АПД в структурном подразделении возлагается на лицо, ответственное за защиту информации в структурном подразделении.

28. В случае выхода из строя компьютеров из состава АПД ответственный за защиту информации в структурном подразделении обязательно должен поставить в известность должностных лиц отдела информационной безопасности ГНИВЦа ФТС России. В случае передачи компьютеров из состава АПД в ремонт или на гарантийное обслуживание, должностное лицо отдела информационной безопасности ГНИВЦа ФТС России уничтожает информацию, содержащую данные из ЦБД ЕАИС таможенных органов (без возможности восстановления), с составлением акта уничтожения (в произвольной форме). Акт подписывается ответственным по защите информации в структурном подразделении и должностным лицом отдела информационной безопасности ГНИВЦа ФТС России, производившим уничтожение информации.

IV. Требования к разграничению доступа

29. Для каждого должностного лица, которому предоставляется доступ к ЦБД ЕАИС таможенных органов, создается учетная запись пользователя, состоящая из имени (идентификатора) пользователя и пароля.

Пароль формируется в буквенно-цифровой форме с числом символов не менее шести.

При этом устанавливаются следующие параметры:

а) число дней действия пароля – 60;

б) число неудачных попыток подключения к ЦБД ЕАИС таможенных органов, после которых учетная запись пользователя блокируется – 3;

в) число дней блокировки учетной записи пользователя (после совершения им установленного числа неудачных попыток подключения) не лимитируется.

30. При обращении пользователя на разблокирование учетной записи администратор ЦБД ЕАИС таможенных органов должен убедиться в подлинности этого должностного лица любым доступным ему способом (например, подтверждением правильности контрольного слова, старого пароля, личный контакт и т.п.).

31. Пользователи несут персональную ответственность за все действия, совершенные от имени их учетных записей, если не доказан факт несанкционированного ее использования.

32. Администратор регистрации, администраторы данных, администратор базы данных, администратор локально-вычислительной сети, администратор безопасности, назначаемые приказами ГНИВЦа ФТС России, несут персональную ответственность за нарушение организации доступа к ЦБД ЕАИС таможенных органов.

33. Администратор безопасности может иметь все полномочия, требуемые для контроля работы пользователей, просмотра характеристик объектов ЦБД ЕАИС таможенных органов и прав, предоставляемых пользователям.

34. Идентификация пользователя при доступе к ЦБД ЕАИС таможенных органов осуществляется с помощью встроенных средств КПС, встроенных программных средств серверов БД, средств двухфакторной аутентификации (при их наличии).

35. Запрещается предоставлять:

1) разработчикам программных средств:

доступ к ЦБД ЕАИС таможенных органов;

административные полномочия на ресурсы ЦБД ЕАИС таможенных органов;

2) доступ к ЦБД ЕАИС таможенных органов сторонним организациям.

36. Должностным лицам таможенных органов при работе с информационными ресурсами ЦБД ЕАИС таможенных органов ЗАПРЕЩАЕТСЯ:

передавать свой пароль для доступа другим лицам;

допускать к работе на АРМ доступа должностных лиц под своим идентификатором и паролем;

подключать АРМ доступа к сети Интернет или другим сетям общего пользования;

устанавливать и использовать на АРМ доступа ОПО и ПС, не предназначенные для исполнения должностным лицом своих должностных обязанностей;

использовать информационные ресурсы или полученные в результате их обработки данные в личных целях, а также передавать их третьим лицам;

копировать информационные ресурсы или полученные в результате их обработки данные на отчуждаемые носители информации, за исключением случаев, предусмотренных должностными обязанностями, или по указанию вышестоящего начальника.

37. Ответственность за общую организацию контроля доступа к ЦБД ЕАИС таможенных органов несет администратор безопасности.

38. Отладку БД разработчики должны производить только на тестовых БД. С разрешения руководства ГНИВЦа ФТС России в исключительных случаях допускается предоставление разработчикам лишь некоторых специфичных системных полномочий, при этом полномочия для каждого разработчика разграничиваются индивидуально.

V. Действия при попытках несанкционированного доступа к ЦБД ЕАИС таможенных органов

39. Для упорядочения работы пользователей с ЦБД ЕАИС таможенных органов и для предотвращения попыток несанкционированного доступа все сеансы работы пользователей должны регистрироваться в системных журналах.

40. К несанкционированному доступу относятся сеансы работы с ЦБД ЕАИС таможенных органов с нарушением установленного порядка доступа, правил работы или с нарушением прав доступа пользователя, указанных в заявке на подключение к ЦБД ЕАИС таможенных органов.

41. Администратор безопасности периодически осуществляет контроль за сеансами работы пользователей ЦБД ЕАИС таможенных органов с целью обнаружения попыток несанкционированного доступа.

42. При обнаружении попытки или фактов несанкционированного доступа к ЦБД ЕАИС таможенных органов администратор безопасности:

а) дает указание администратору, ответственному за соответствующую БД, о немедленном прекращении сеанса работы нарушителя;

б) составляет извещение о попытке несанкционированного доступа к ЦБД ЕАИС таможенных органов (приложение № 3) и представляет его директору ГНИВЦа ФТС России для принятия решения;

в) информирует Главное управление информационных технологий ФТС России;

г) оповещает (при необходимости, если эта попытка не была следствием случайных ошибочных действий зарегистрированного пользователя ЦБД ЕАИС таможенных органов) Управление собственной безопасности ФТС России с предоставлением всех необходимых материалов

по данному факту;

д) принимает на основании решения директора ГНИВЦа ФТС России необходимые меры.

43. Извещение с отраженным на нем решением директора ГНИВЦа ФТС России хранится у администратора безопасности в течение года.

 


mylektsii.ru - Мои Лекции - 2015-2019 год. (0.01 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал