· установления процедур и обязанностей, связанных с защитой от вирусов.
Резервное копирование
Для поддержания целостности и доступности информационных ресурсов в ИВС Росстата регулярно должно проводиться резервное копирование информации и программного обеспечения.
Средства резервирования должны быть адекватны для обеспечения уверенности в том, что вся важная статистическая информация и программное обеспечение могут быть восстановлены после аварии, сбоя оборудования или стихийного бедствия.
При проведении мероприятий по резервному копированию информационных ресурсов Росстата необходимо руководствоваться следующим:
· минимально необходимый объем резервной информации во избежание любого повреждения должен храниться в достаточно отдаленном месте от здания ЦА Росстата, ТОГС;
· резервная информация должна быть обеспечена гарантированным уровнем физической защиты и защиты от воздействий окружающей среды;
· оборудование резервного копирования должно регулярно подвергаться тестированию;
· процедуры восстановления следует регулярно актуализировать и тестировать для обеспечения уверенности в их эффективности;
следует определять периоды хранения информации, а также учитывать требования к архивным копиям долговременного хранения.
Управление сетевой безопасностью
Для обеспечения требуемого уровня безопасности компьютерных сетей ИВС Росстата и его поддержки необходимо обеспечить внедрение средств защиты информации.
При проведении мероприятий по управлению безопасностью сетей Росстата необходимо:
· распределять ответственность за поддержание сетевых ресурсов;
· устанавливать процедуры и обязанности по управлению удаленным оборудованием, включая оборудование, установленное у конечных пользователей;
· внедрять специальные средства контроля для обеспечения конфиденциальности и целостности данных, проходящих по общедоступным сетям, а также для защиты подключенных систем;
· действия по управлению необходимо тщательно соизмерять как с требованиями производственной деятельности Росстата, так и с общими требованиями к обеспечению безопасности ИВС Росстата.
Безопасность носителей информации
С целью защиты документов, компьютерных носителей информации от НСД, повреждений и хищения необходимо разработать и утвердить соответствующие инструкции.
Инструкции по использованию и защите документов, носителей информации должны быть разработаны исходя из категории информации, типа носителей и с учетом следующих мер безопасности:
Обмен информацией с внешними организациями
Обмен информацией должен происходить на основе соглашений между Росстатом и внешними организациями. Требования безопасности в соглашениях должны учитывать:
· степень важности информации, являющейся предметом обмена;
· обязанности и процедуры по контролю и уведомлению о передаче, отправке и получении информации;
· технические требования при обмене пакетами данных и программным обеспечением;
· использование согласованной системы маркировки информации;
· требования к курьерской службе;
· ответственность и обязательства в случае потери данных.
· Мероприятия по защите информации при передаче информации между Росстатом и внешними организациями должны предусматривать:
· использование услуг специальной фельдъегерской почтовой связи при передаче документов ограниченного распространения;
· применение СКЗИ и средств ЭЦП в системах электронного документооборота.
Безопасность электронной почты
При определении правил безопасного использования электронной почты следует учитывать:
· уязвимость сообщений по отношению к возможности НСД или модификации, а также к отказу в обслуживании;
· перечень информации, при передаче которой не следует пользоваться электронной почтой;
· необходимость защиты вложений в сообщения электронной почты;
· возможность использование криптографических методов для защиты конфиденциальности и целостности электронных сообщений;
· необходимость хранения сообщений.
Требования Росстата по управлению доступом
Доступ к информационным ресурсам и ИВС Росстата должен быть контролируемым с учетом требований производственных процессов и информационной безопасности.
Требования к контролю доступа должны быть определены и документально оформлены.
Управление доступом пользователей
Для предотвращения НСД и осуществления контроля за предоставлением прав доступа к информационным ресурсам и ИВС Росстата необходимо наличие формализованных процедур.
Процедуры должны быть документированы и должны охватывать все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным ресурсам и ИВС Росстата.
Доступ к ИВС Росстата должен быть контролируемым посредством формализованного процесса регистрации пользователей, который должен включать:
· использование уникальных ID (идентификаторов или имен) пользователей;
· уровень предоставляемого доступа должен соответствовать производственной необходимости;
· ведение формализованного учета всех пользователей ИВС Росстата;
· изменение или отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из Росстата;
· периодическую проверку и удаление избыточных пользовательских ID и учетных записей.
Особое внимание следует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.
Для поддержания эффективного контроля доступа к информационным ресурсам и ИВС Росстата необходимо периодически осуществлять формализованный процесс пересмотра прав доступа пользователей.
Обязанности пользователей ИВС Росстата должны формироваться исходя из необходимости предотвращения НСД, компрометации или кражи информации и средств ее обработки.
Для эффективного управления доступом пользователи ИВС Росстата должны быть ознакомлены со своими обязанностями.
Пользователям ИВС Росстата предоставляется непосредственный доступ к внешним сетям путем авторизации в соответствие с их должностными обязанностями. При этом должно быть обеспечено:
· наличие интерфейсов между ИВС Росстата и внешними сетями;
· применение механизмов аутентификации пользователей;
· контроль доступа пользователей к информационным ресурсам и сервисам.
Управление доступом к операционным системам
Для предотвращения неавторизованного доступа к операционным системам должны использоваться сертифицированные по требованиям безопасности СЗИ от НСД. Эти средства должны обеспечивать:
· идентификацию и аутентификацию пользователей;
· регистрацию событий при работе в системе;
· аварийное оповещение при нарушениях требований безопасности системы;
· блокировку компьютера пользователя после определенного периода времени его бездействия.
Необходимо исключить использование системных утилит, позволяющих обходить СЗИ от НСД.
Управление доступом к приложениям
Управление доступом к приложениям в ИВС Росстата должно осуществляться с целью предотвращения НСД к информации, содержащейся в информационных системах.
Доступ к прикладному программному обеспечению следует ограничить и предоставлять только зарегистрированным пользователям. Необходимо обеспечить:
· управление правами доступа пользователей к информации и прикладным системным функциям;
· защиту от внедрения любых утилит, способных подавлять или обходить системные или прикладные средств управления;
· исключение компрометации других информационных систем, с которыми совместно используются информационные ресурсы Росстата.
Переносные устройства и удаленная работа
Для предотвращения НСД к ИВС Росстата необходимо обеспечить безопасность информации при использовании пользователями переносных устройств и средств удаленной работы.
При использовании переносных устройств (ноутбуков, портативных компьютеров и т.д.) пользователями ИВС Росстата необходимо принимать специальные меры защиты информации, включающие:
- требования по физической защите, контролю доступа, использованию СКЗИ и ЭЦП, резервированию и защите от вирусов;
- информирование сотрудников, использующих переносные устройства, о дополнительных рисках и необходимых мероприятиях обеспечения информационной безопасности, связанных с этим способом работы.
Мониторинг защищенности ИВС Росстата
Для проверки эффективности применяемых мер по обеспечению информационной безопасности в ИВС Росстата проводится работа по систематическому сбору информации о параметрах (мониторингу) защищенности информационной системы. Мониторинг должен проводиться администраторами информационной безопасности специальными программно-аппаратными средствами и охватывать все потенциально опасные каналы утечки информации.