Требования по защите информации при подключении пользователей к государственной информационной системе Республики Карелия «Единая система электронного документооборота и делопроизводства «Дело»
Настоящие Требования установлены на основании документа «Техническое задание. Подсистема обеспечения информационной безопасности. Государственная информационная система Республики Карелия «Единая система электронного документооборота и делопроизводства «Дело», согласованного с ФСТЭК России и определяют меры защиты информации обязательные при подключении к государственной информационной системе Республики Карелия «Единая система электронного документооборота и делопроизводства «Дело» [1], а также в ходе последующей эксплуатации ЕСЭДД.
Настоящие Требования соответствуют требованиям, предъявляемым к типовым сегментам ЕСЭДД, в отношении которых были проведены аттестационные испытания и на которые распространяется действие «Аттестата соответствия требованиям безопасности информации ЕСЭДД».
Для ЕСЭДД установлен класс защищенности информационной системы К3, с возможностью обработки и передачи общедоступной информации, информации, содержащей персональные данные с уровнем защищенности 4УЗ, информации «для служебного пользования».
|
Требования |
Меры защиты информации Условное обозначение [2] |
Реализация |
|
Технические меры (применение средств защиты информации) |
Меры группы ИАФ |
- Применение на автоматизированном рабочем месте [3] пользователя средств защиты информации от несанкционированного доступа [4] |
|
Меры группы УПД |
- Применение на АРМ пользователя СЗИ НСД - Применение средств криптографической защиты информации [5]: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя - Применение межсетевого экрана [6] на границе (периметре) локальной вычислительной сети организации или АРМ пользователя |
|
|
Меры группы ОПС |
- Применение на АРМ пользователя СЗИ НСД |
|
|
Меры группы ЗНИ |
- Применение на АРМ пользователя СЗИ НСД |
|
|
Меры группы РСБ |
- Применение на АРМ пользователя СЗИ НСД - Применение на АРМ средств антивирусной защиты [7] - Применение СКЗИ: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя |
|
|
Меры группы АВЗ |
- Применение на АРМ пользователя САВЗ |
|
|
Меры группы АНЗ |
- Применение на АРМ пользователя СЗИ НСД - Применение средств анализа защищенности [8] или выполнение организационных мероприятий по анализу защищенности - Применение на АРМ САВЗ |
|
|
Меры группы ЗИС |
- Применение на АРМ СЗИ НСД - Применение СКЗИ: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя - Применение межсетевого экрана на границе (периметре) локальной вычислительной сети организации или на АРМ пользователя |
|
|
Организационные меры |
Меры группы ИАФ |
- Утверждена и выполняется парольная политика в организации, способствующая идентификации и аутентификации пользователей и используемых ими устройств, не допускающая компрометации учётных записей пользователей - Утвержден перечень пользователей, допущенных к обработке информации в ЕСЭДД - В адрес оператора ЕСЭДД предоставлены заявки на работников (сотрудников) организации (внешних пользователей относительно оператора) в ЕСЭДД, однозначно определяющие полномочия таких пользователей и информацию, к которой они могут получить доступ |
|
Меры группы УПД |
- Назначены минимально необходимые права пользователям АРМ, исключающие возможность выполнение пользователем полномочий администратора операционной системы |
|
|
Меры группы ОПС |
- Утвержден перечень разрешенного к использованию на АРМ пользователей программного обеспечения |
|
|
Меры группы ЗНИ |
- Производится учет машинных носителей информации, уничтожение (стирание) информации на машинных носителях при их передаче между пользователями и в сторонние организации |
|
|
Меры группы РСБ |
- Утвержден порядок мониторинга событий безопасности и реагирования на них |
|
|
Меры группы АНЗ |
- Утвержден перечень разрешенного к использованию на АРМ программного обеспечения и средств защиты информации - Утвержден порядок обновления программного обеспечения, в т.ч. средств защиты информации |
|
|
Меры группы ОЦЛ |
- Утвержден порядок восстановления программного обеспечения, в т.ч. средств защиты информации при возникновении нештатных ситуаций |
|
|
Меры группы ЗТС |
- В организации установлены границы контролируемой зоны, все технические средства обработки информации и машинные носители информации размещены в пределах контролируемой зоны - В организации действует пропускной режим, исключающий неконтролируемое пребывание в организации посторонних лиц (не являющихся сотрудниками), имеется действующий договор на охрану помещений - В организации утвержден порядок доступа в помещения пользователей ЕСЭДД, а также в помещения с технологическим оборудованием информационной системы в рабочее и нерабочие время, утвержден перечень лиц, имеющих право доступа в указанные помещения - Входные двери в указанные помещения оснащены надежными замками, обеспечено постоянное закрытие дверей указанных помещений на замок и их открытие только для санкционированного прохода - Указанные помещения оборудованы охранной сигнализацией и/или обеспечено опечатывание указанных помещений по окончанию рабочего дня - АРМ пользователей, с установленным СКЗИ, оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы) - Все средства защиты информации учтены в специальных журналах |
|
|
Правовые меры |
ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ |
- Назначен ответственный за обеспечение защиты информации в организации - Наличие утвержденных документов (приказов, распоряжений), закрепляющих выполнение в организации технических и организационных мер |
Также в ЕСЭДД реализуется ряд мер защиты информации, которые выполняются исключительно оператором:
меры группы ЗСВ;
меры группы ОЦЛ, в части виртуальной серверной инфраструктуры ГИС;
меры группы УПД, в части мер УПД.1, УПД.16.
Все средства защиты информации (СЗИ НСД, САВЗ, МЭ, СДЗ), применяемые в ЕСЭДД, должны иметь действующие сертификаты соответствия ФСТЭК России по 6 или более высокому уровню доверия (классу защиты).
СКЗИ должны иметь действующие сертификаты соответствия ФСБ России по классу криптозащиты КС1 или выше.
[1] Далее – ЕСЭДД
[2] Тут и далее меры защиты информации из:
Приложения № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17;
Приложения к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Полное описание мер предусмотрено в Методическом документе «Меры защиты информации в государственных информационных системах» (утвержден ФСТЭК России 11 февраля 2014 г.)
[3] Далее – АРМ
[4] Далее – СЗИ НСД
Варианты СЗИ НСД: Secret Net Studio, сертификат соответствия ФСТЭК России № 3745; Dallas Lock 8.0-K, сертификат соответствия ФСТЭК России № 2720; встроенные СЗИ НСД операционной системы «Astra Linux Special Edition», сертификат соответствия ФСТЭК России № 2557
[5] Далее – СКЗИ
[6] Варианты межсетевого экрана: программно-аппаратный комплекс ViPNet Coordinator HW 4, сертификат соответствия ФСТЭК России № 3692; программно-аппаратный комплекс ViPNet xFirewall 4, сертификат соответствия ФСТЭК России № 4093; универсальный шлюз безопасности UserGate, сертификат соответствия ФСТЭК России № 3905; встроенный МЭ СЗИ Secret Net Studio, сертификат соответствия ФСТЭК России № 3745
[7] Далее – САВЗ
Варианты САВЗ: Kaspersky Endpoint Security для Windows, сертификат соответствия ФСТЭК России № 4068; Kaspersky Endpoint Security для Linux, сертификат соответствия ФСТЭК России № 2534; Dr.Web Enterprise Security Suite, сертификат соответствия ФСТЭК России № 3509
[8] Варианты средств анализа защищенности: XSpider 7.8, сертификат соответствия ФСТЭК России № 3247; Сканер-ВС, сертификат соответствия ФСТЭК России № 2204; Ревизор Сети 3.0, сертификат соответствия ФСТЭК России № 3413. Возможно применение программы ScanOVAL для проверок наличия уязвимостей программного обеспечения (размещена на официальном сайте ФСТЭК России https://bdu.fstec.ru/scanoval).