Рекомендации по обеспечению защиты информации в информационных системах общедоступной информации Самарской области (по состоянию на 01.01.2015)


Нормативные документы

схема безопасностиВзаимосвязь нормативных правовых актов по выполнению требований по защите
информационных систем общедоступной информации

 


Государственные органы (далее – ОГВ), органы местного самоуправления (далее – ОМСУ) для размещения информации о своей деятельности используют сеть «Интернет» (ч.1. ст.10 [1]).

Для этих целей  используют:

— официальные сайты (ч.1. ст.10 [1]);

— информационные системы общего пользования (государственные (муниципальные) информационные системы и иные информационные системы) (п.1а [2]).

На официальном сайте ОГВ и ОМСУ размещается общедоступная информация и общедоступная информация в форме открытых данных.

Органам государственной власти субъектов Российской Федерации рекомендовано  (п.4 [2]) учитывать при подключении к сети «Интернет» следующие требования.

Технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации (ч.21 ст.13 [9]).

1. Общие требования

1.1. В целях обеспечения права пользователей информацией на доступ к этой информации государственные органы, органы местного самоуправления принимают меры по защите информации о своей деятельности в соответствии с законодательством Российской Федерации (ч.3. ст.10 [1]).

1.2. При подключении информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, операторы этих систем обязаны обеспечить защиту информации, содержащейся в информационных системах общего пользования, от уничтожения, изменения и блокирования доступа к ней (п.1а [2]).

1.3. В целях защиты информации, размещенной на официальном сайте, должно быть обеспечено (п.6 [4], п.11 [7], п.6 [5], п.3 [3]):

а) применение средств усиленной квалифицированной электронной подписи при размещении, изменении или удалении информации на официальном сайте;

б) ведение электронных журналов учета операций, выполненных с помощью программного обеспечения и технологических средств ведения официального сайта, позволяющих обеспечивать учет всех действий по размещению, изменению и удалению информации на официальном сайте, фиксировать точное время, содержание изменений и информацию об уполномоченном сотруднике органа государственной власти (органа местного самоуправления) Самарской области или операторе официального сайта, осуществившем изменения на официальном сайте;

в) ежедневное копирование всей размещенной на официальном сайте информации и электронных журналов учета операций на резервный материальный носитель, обеспечивающее возможность их восстановления;

г) защита информации от уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации [8];

д) хранение резервных материальных носителей с ежедневными копиями всей размещенной на официальном сайте информации и электронных журналов учета операций не менее одного года, с еженедельными копиями всей размещенной на официальном сайте информации — не менее двух лет, с ежемесячными копиями всей размещенной на официальном сайте информации — не менее трех лет, информация в форме открытых данных не менее десяти лет.

1.4. В целях защиты информации, размещенной в информационной системе общего пользования должна быть обеспечена разработка мер при ее проектировании и эксплуатации, направленных на выполнение требований к безопасности этой информационной системы общего пользования (п.6 [6]).

2. Мероприятия по обеспечению защиты информации [8]

2.1. Для разработки и осуществления мероприятий по защите информации назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

2.2. Защита информации достигается путем исключения неправомерных действий в отношении указанной информации. Достаточность принятых мер по защите информации оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

2.3. Работы по защите информации являются неотъемлемой частью работ по созданию данных систем.

2.4. Официальные сайты размещаются на технологическом оборудовании в помещениях, обеспеченных охраной и в которых организован  режим обеспечения безопасности и сохранности носителей информации и средств защиты информации, а также исключена возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

2.5. Состав мероприятий по обеспечению защиты информации:

а) определение угроз безопасности информации, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

ж) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

з) проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

и) описание системы их защиты.

3. Требования по защите информации [8]

3.1. Использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной подписи, при этом средства электронной подписи должны применяться к публикуемому информационному наполнению)[10, 11, 12, 13].

3.2. Использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции.

3.3. Использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции.

3.4. Использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции.

С гордостью работает на WordPress | Theme: Eleganto by Themes4WP