Для проверки состояния информационной безопасности в Росстате необходимо проводить независимый аудит с планируемыми интервалами, или когда в реализации безопасности происходят существенные изменения.
Такие исследование выполняют органы внешнего аудита, независимые от области исследования и имеющие надлежащий опыт. При этом в ИВС Росстата следует внедрить средства управления по защите информационных систем в ходе аудита. Также необходима защита целостности информационных ресурсов и предотвращение неправомерного использования инструментов аудита.
Результаты независимого исследования документируются и направляются в виде отчета руководителю Росстата.
Если независимым аудитом установлено, что подход и реализация управления безопасностью неадекватны или не соответствуют нормам информационной безопасности, то их необходимо откорректировать.
Взаимодействие с внешними организациями
Перед предоставлением доступа внешней организации необходимо определить риски по отношению к информации и средствам ее обработки, а также внедрить приемлемые средства защиты информации.
До определения угроз, относящихся к доступу внешних организаций, следует выполнить нижеследующее:
· классифицировать средства обработки информации, к которым требуется доступ внешней организации;
· определить тип доступа внешней организации к информации и средствам ее обработки (физический доступ, логический доступ, сетевое соединение между сетями Росстата и внешней организации и др.);
· определить, предоставляется ли доступ на месте эксплуатации или вне его;
· определить ценность и закрытость задействованных информационных ресурсов;
· определить персонал внешнего контрагента, участвующий в обработке информации Росстата;
· определить способ идентификации внешней организации;
· определить требования, относящиеся к внешней организации, которые следует принимать во внимание;
· учесть, как соглашения о взаимодействии с внешней организацией повлияют на интересы других заинтересованных сторон.
Не следует предоставлять доступ внешней организации к информации Росстата до тех пор, пока не будут внедрены соответствующие средства контроля и подписан договор, определяющий условия доступа. Все требования безопасности, вытекающие из сотрудничества с внешней организацией, как правило, должны быть отражены в договоре (соглашении) с внешней стороной.
Сотрудники подведомственных организаций, обслуживающие ИВС Росстата, должны выполнять требования обеспечения защиты информационных ресурсов Росстата.
Организации-участники конкурсов и аукционов должны выполнять требования по обеспечению обмена информацией в соответствии с требованиями действующего законодательства Российской Федерации.
Управление информационными ресурсами
Все основные информационные ресурсы Росстата должны быть учтены и закреплены за ответственными владельцами.
Учет информационных ресурсов помогает обеспечивать необходимый уровень их защиты. Необходимо идентифицировать владельцев всех основных информационных ресурсов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Осуществление мероприятий по управлению информационной безопасностью может быть делегировано, но ответственность всегда должна оставаться за назначенным владельцем информационного ресурса.
Вопросы безопасности, связанные с персоналом
Обязанности по соблюдению требований безопасности информации включаются в государственные контракты (трудовые договоры).
Все сотрудники и представители третьей стороны, использующие средства обработки информации Росстата, должны подписывать обязательства о конфиденциальности.
Сотрудников, которым предоставляется доступ к информационным системам, следует ознакомить под роспись с требованиями руководящих документов по обеспечению защиты информации Росстата.
Должностные инструкции сотрудников Росстата должны содержать конкретные обязанности по соблюдению требований безопасности и ответственность за их нарушение.
Назначение прав и полномочий сотрудникам для работы со сведениями ограниченного распространения в ИВС Росстата производят администраторы соответствующих информационных систем на основании решения непосредственных начальников.
Пользователей ИВС Росстата необходимо постоянно обучать процедурам безопасности и правильному использованию средств обработки и защиты информации для того, чтобы свести к минимуму возможные риски безопасности по причине «человеческого фактора».
Руководители структурных подразделений Росстата несут персональную ответственность за соблюдение режима информационной безопасности сотрудниками своих подразделений. Необходимо внедрить процедуры по периодическому мониторингу действий сотрудников Росстата со стороны вышестоящих руководителей в течение всего периода работы сотрудников.
При увольнении и перемещении сотрудников Росстата определяется порядок, который должен предусматривать обеспечение возврата всех материальных носителей информации и отзыв всех прав доступа.
Физическая безопасность и безопасность окружения
В Росстате принимаются меры по предотвращению несанкционированного физического доступа, повреждения и воздействия на помещения и информационные ресурсы.
Средства обработки информации размещаются в контролируемых зонах, защищенных четко определенным периметром и оборудованных средствами контроля физического доступа.
Следует применять политику «чистого стола» в отношении бумажных документов и сменных носителей информации, а также политику «чистого экрана» в отношении средств обработки информации с тем, чтобы уменьшить риски НСД, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе.
Обеспечиваемая защита охраняемых зон должна быть адекватна установленным рискам.
Проводятся работы по предотвращению потерь, повреждений и компрометации информационных ресурсов, а также перебоев в функционировании оборудования ИВС Росстата.
Оборудование необходимо размещать так, чтобы обеспечить защиту от угроз его безопасности и воздействий окружающей среды. Защита оборудования (в том числе используемого за пределами объекта) необходима для уменьшения риска НСД к информации и для его защиты от потери или повреждения.
Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев.
Силовые и телекоммуникационные кабельные сети, по которым передаются данные или осуществляются другие информационные услуги, необходимо защищать от перехвата информации или повреждений.
Использование оборудования для обработки информации (включая все типы персональных компьютеров, ноутбуков) вне помещений ЦА Росстата и ТОГС должно быть санкционировано соответствующими руководителями. Уровень информационной безопасности при этом должен быть эквивалентен уровню безопасности в отношении оборудования, используемого с аналогичной целью в помещениях Росстата, а также с учетом рисков работы на стороне.
Управление коммуникациями и операциями
Операционные процедуры и обязанности
Для обеспечения уверенности в надлежащем и безопасном функционировании информационных систем Росстата должны быть определены обязанности и процедуры по управлению и функционированию всех средств обработки информации. Они должны включать разработку соответствующих инструкций с описанием процедур реагирования на инциденты информационной безопасности.
С целью минимизации риска при неправильном использовании систем вследствие небрежности или злого умысла следует разделять полномочия пользователей ИВС Росстата.
Принцип разграничения обязанностей необходимо применять как способ уменьшения неавторизованного или неправильного использования информации, а также при разделении сред разработки, тестирования и промышленной эксплуатации.
Для минимизации риска возникновения сбоев и отказов информационные системы Росстата должны быть спроектированы с учетом предполагаемой нагрузки и потребности в вычислительных мощностях.
Следует определить, документально зафиксировать и протестировать основные функциональные требования к внедряемым системам перед их установкой и введением в эксплуатацию.
Защита от вредоносного программного обеспечения
Для обеспечения защиты целостности программного обеспечения и информационных ресурсов Росстата необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения.
Пользователи ИВС Росстата должны быть осведомлены об опасности использования неавторизованного программного обеспечения, а отдел защиты информации должен обеспечить внедрение специальных средств контроля с целью обнаружения и/или предотвращения проникновения подобных программ.
Защита от вредоносного программного обеспечения должна предусматривать документированную политику, требующую:
· использования на серверах и рабочих станциях сертифицированного по требованиям безопасности антивирусного программного обеспечения;
· соблюдения лицензионных соглашений на использование антивирусного программного обеспечения;
· принятия мер защиты при проверке файлов на носителях информации сомнительного или неавторизованного происхождения;
· проверки любых вложений электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения до их использования;