Декларация, указы, конституция / 09. Политика информационной безопасности
.pdfПолитика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
Кроме того, это ПО может быть установлено на каждом рабочем месте для выполнения автоматических проверок.
Должны быть приняты меры предосторожности по защите от ввода злонамеренных кодов во время обслуживания и процедур работы при чрезвычайных обстоятельствах, при которых могут игнорироваться традиционно используемые средства управления защитой от злонамеренных кодов.
31
Средства управления для защиты ЕСЭДО от мобильных кодов
В модели безопасности внутренней архитектуры ЕСЭДО имеется специальное средство для защиты от мобильного кода с помощью ведения списка контроля выполнения (ECL).
Системные администраторы должны активизировать эту возможность и выполнить соответствующие настройки в Policy document системы.
6 ПЕРЕСМОТР ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕСЭДО
Соблюдение требований Политики информационной безопасности ЕСЭДО обязательно для всех категорий сотрудников эксплуатирующих и пользующихся системой ЕСЭДО. Проведение планового аудита информационной безопасности является одним из основных методов проверки эффективности мер по защите информации. Результаты аудита могут служить основанием для пересмотра некоторых положений Политики и внесения в них необходимых корректировок.
Целесообразно ежегодно проводить аудит информационной безопасности системы ЕСЭДО, и должен проводиться пересмотр Политики на предмет соответствия предъявляемым требованиям. В случае возникновения необходимости, при выявлении в процессе аудита несоответствия современным требованиям вносить изменения и дополнения.
Кроме этого, используемые информационные технологии и организация служебной деятельности непрерывно меняются, это приводит к необходимости корректировать существующие подходы к обеспечению информационной безопасности.
7ПЕРЕЧЕНЬ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, НА ОСНОВЕ КОТОРЫХ РАЗРАБОТАНА ПОЛИТИКА
1. |
Закон |
Республики Казахстан |
от |
11.01.2007 |
№217 |
– III |
«Об информатизации». |
|
|
|
|
||
2. |
Закон |
Республики Казахстан от |
15 |
марта 1999 |
года № |
349-I |
«О государственных секретах» (с изменениями и дополнениями по состоянию на 02.04.04 г.).
3. Закон Республики Казахстан от 26 июня 1998 года № 233-I «О национальной безопасности Республики Казахстан» (с изменениями и дополнениями по состоянию на 14.10.2005 г.).
4. Указ Президента Республики Казахстан от 14 марта 2000 г. N 359 «О Государственной программе обеспечения информационной безопасности Республики Казахстан на 2000-2003 годы».
5. Концепция информационной безопасности Республики Казахстан». Одобрена Указом Президента Республики Казахстан от 10 октября 2006 года, № 199.
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
6.Международный стандарт ISO/IEC FDIS 17799:2005. Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью.
7.СТ РК 34.005-2002. Информационная технология. Основные термины
иопределения
8.Аудит ЕСЭДО. Аналитический отчет. Анализ уровня информационной безопасности ЕСЭДО и надежности хранения данных. ТОО «Елтал Борлас Консалтинг», 2006.
9.При подготовке документа для сведения и ознакомления использовались материалы СМИ (ссылки приведены в тексте).
10.Общие требования к функциям системы защиты национальной информационной инфраструктуры Республики Казахстан (Выписка из проекта технического задания «Система защиты национальной информационной инфраструктуры Республики Казахстан»).
11.Приказ руководителя Канцелярии Премьер - Министра Республики Казахстан от 3 октября 2005 года № 25-1-90 «Об утверждении Правил обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности».
33
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
Приложение 1
К проекту документа
«Политика информационной безопасности»
Правила регистрации пользователей ЕСЭДО
1.Общие положения
1.Настоящие «Правила регистрации пользователей» (далее - Правила) устанавливают единый порядок регистрации пользователей при предоставлении (изменении уровня, удалении) доступа к единой системе электронного документооборота (далее – ИС) как производственному средству для выполнения ими работ в пределах своих должностных обязанностей (роли).
2.Регистрация пользователей проводится с целью установления информационных границ области производственной деятельности каждого пользователя ИС и обеспечения принципа персональной ответственности каждого пользователя за свои действия. Целью настоящих правил является также обеспечение ИБ на уровне контроля доступа и аутентификации.
3.Регистрация пользователей должна проводиться в соответствии с утвержденным документом «Руководство администратора ЕСЭДО-В».
2.Назначение документа
Настоящий документ предназначен для использования пользователями и администраторами в рамках ЕСЭДО-В.
3.Условия регистрации
Вкачестве пользователей ИС могут быть зарегистрированы только штатные сотрудники организации по представлению руководства подразделения.
Регистрация проводится при одновременном выполнении всех следующих предусловий (таблица 1).
|
|
|
Таблица 1 |
|
№ |
Условие |
Признак |
Примечание |
|
выполнения |
||||
|
|
|
||
1 |
Наличие оформленной заявки |
Заявка со всеми |
Всегда |
|
|
|
реквизитами |
|
|
2 |
Сотрудник должен быть |
Наличие отметки |
При первичной |
|
|
|
|
34 |
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
|
ознакомлен с правилами |
ответственных |
регистрации |
|
внутреннего распорядка |
лиц по |
|
|
(внутренним уставом) |
принадлежности |
|
|
организации, инструкциями по |
|
|
|
ОТБ, ЭБ, ППБ, действиям в |
|
|
|
условиях ЧС и пройти |
|
|
|
инструктаж в установленном |
|
|
|
порядке |
|
|
3 |
Сотрудник должен быть |
Наличие отметки |
При первичной |
|
ознакомлен с ПИБ организации и |
ответственных |
регистрации |
|
ИС (если она выделена в |
лиц отдела ИБ |
При |
|
отдельный документ) |
|
перерегистрации |
|
|
|
по факту |
|
|
|
компрометации |
4 |
Сотрудник должен знать |
Наличие отметки |
При первичной |
|
способы и приемы работы в |
руководителя |
регистрации |
|
пределах должностной |
подразделения |
При смене роли |
|
инструкции (его роли) |
|
|
4.Порядок регистрации
1.Для получения доступа к информационным ресурсам ИС пользователь заполняет заявку на регистрацию (далее – Заявка) по форме [ФЗ -1], приведенной в приложении.
2.Заявка с указанием необходимого уровня доступа подается на имя лица, курирующего подразделение, ответственное за ИС. Уровень доступа к ресурсам ИС определяет руководитель подразделения пользователя по согласованию с подразделением, ответственным за информационную безопасность.
3.Пользователь, после полного согласования с причастными структурными подразделениями, указанными в заявке, передает заявку в подразделение, ответственное за ИС.
4.Администраторы ИС регистрируют пользователя в ИС с предоставлением ему доступа к информационным ресурсам согласно удовлетворенной Заявке.
5.Подразделение, ответственное за ИС, отвечает за своевременное предоставление доступа к ресурсам ИС, правильное заполнение всех позиций Заявки на регистрацию, своевременное удаление аннулированной учетной записи из списка пользователей.
6.По решению руководства, а также по представлению службы ИБ заявка может быть отклонена или аннулирована.
35
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
5.Требования к элементам регистрации
1.Для работы в ИС пользователю необходимо иметь имя и пароль, получаемые им в процессе регистрации
2.Результатом выполнения процесса регистрации является формирование в составе БД ИС учетной записи пользователя.
3.Учетная запись пользователя представляет собой специальную уникальную запись в БД Lotus в так называемом ID-файле. Пользователь взаимодействует с учетной записью посредством пароля, вводимого в
соответствующий элемент интерфейса при входе в ИС.
4.ID-файл пользователя должен храниться в специальной защищенной папке у пользователя и администратора ИС.
5.В качестве пароле используется случайная последовательность символов. Пароль должен отвечать следующим требованиям:
6.Длина пароля должна быть не менее 8 символов;
7.В числе символов пароля обязательно должны присутствовать буквы из верхнего и нижнего регистров, цифры и специальные символы (§, @, #, $, &, *, % и тому подобное);
8.Пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименование автоматизированного рабочего места - АРМ и так далее), а также общепринятые сокращения (ЭВМ,
ЛВС, USER и т.п.);
9.При смене пароля новое значение должно отличаться от предыдущего не менее, чем в 5 позициях;
10.Пароль может быть создан только самим пользователем. Запрещается генерировать пароли системным администраторам, компьютерными программами и сторонними пользователями;
11.Пароль может использоваться на протяжении максимум 12 месяцев. При использовании доменной учетной записи, срок действия пароля не более 30 дней. По истечении этого периода система должна потребовать от пользователя изменить его. Данное требование в принудительном порядке реализуется посредством программного обеспечения аутентификации;
12.Учетные записи постоянных работников действительны в течении 12 месяцев, если иное не оговорено особо. Максимальный предел запрашиваемого времени действия учетной записи составляет 24 месяца. По прошествии срока действия учетной записи она может быть повторно активирована на тот же период времени после подтверждения личности и разрешения руководства.
13.Системные учетные записи, которые не использовались в течение последних 90 дней, автоматический отключаются, чтобы снизить риск применения неиспользуемых учетных записей неавторизованными сторонами. Любой легитимный пользователь, чья учетная запись была
36
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
отключена таким образом, может реактивировать ее, подтвердив свою личность и получив соответствующее разрешение руководства.
14.После десяти последовательных неудачных попыток входа в систему автоматический отключается учетная запись, чтобы снизить риск несанкционированного доступа. Любой легальный пользователь , чья учетная запись была заблокирована таким образом, может заново активировать ее, подтвердив свою личность и получив разрешение на разблокирование от руководства;
15.Администратор ИС ведет журнал регистрации пользователей (в электронном виде), содержащий следующие реквизиты:
1)фамилия, имя, отчество пользователя;
2)организация;
3)идентификационный номер организации;
4)наименованием структурного подразделения;
5)должность;
6)адрес, телефон;
7)адрес электронной почты;
8)уровни доступа;
9)дата присвоения учетной записи пользователя из списка пользователей ИС;
10)дата удаления учетной записи пользователя из списка пользователей ИС;
11)отметка об увольнении и снятии с учета
12)Данные журнала регистрации пользователей должны быть доступны только Администратору ИС и сотрудникам СИБ.
6.Идентификаторы пользователей
1.Для аутентификации в системе пользователям ЕСЭДО Администратором ЕСЭДО создаются уникальные идентификационные файлы (ID-файлы) в
среде Domino.
2.Ответственность за сохранность ID-файлов возлагается на организации.
3.Администратор ЕСЭДО должен обеспечить хранение всех ID-файлов
пользователей на отдельном съемном носителе, размещаемом в огнестойком сейфе в запираемой комнате.
4.Съемный носитель и сейф предоставляются организацией.
5.Право единоличного доступа к сейфу предоставляется Администратору ЕСЭДО.
6.Обеспечение актуальности копий ID-файлов возлагается на Администратора.
7.Пользователь в обязательном порядке должен быть ознакомлен с назначением и свойствами ID-файлов.
37
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
8.Пользователь несет персональную ответственность за сохранность и конфиденциальность предоставленного ему ID-файла.
7.Уровни доступа к ИС, роли и порядок их назначения
Вцелях обеспечения информационной безопасности ИС, а также определения зоны ответственности и компетентности каждого пользователя ИС используется процедура назначения и поддержки уровней доступа и ролей. Ответственность за выбор пары «уровень доступа – роль» несет руководитель подразделения пользователя.
При назначении уровня доступа и ролей, указанным в заявке, администратор обязан осуществлять контроль их совместимости и непротиворечивости: доступ к объектам и перечень разрешенных действий над ними на уровне доступа и права роли должны быть приведены к взаимному соответствию (см. «Руководство администратора системы ЕСЭДО-
В»)
8.Пересмотр прав доступа пользователей
Для обеспечения эффективного контроля за доступом к данным и информационным системам руководство должно реализовывать формальный процесс пересмотра прав доступа пользователей через регулярные промежутки времени. Такой процесс должен обеспечивать следующее:
1)пересмотр полномочий доступа пользователей через регулярные промежутки времени (6 месяцев);
2)пересмотр разрешения на предоставление специальных привилегированных прав доступа через более короткие промежутки времени (3 месяца);
3)проверка предоставленных привилегий через регулярные промежутки времени, чтобы не допустить получения пользователями
несанкционированных привилегий.
Даты проведения таких мероприятий внутри указанных периодов должны быть выбраны случайным образом.
9.Права и обязанности пользователя ИС
1.Пользователь при выполнении своих обязанностей имеет право использовать ресурсы ИС в полном объеме в соответствие с установленными уровнем доступа и правами.
2.Пользователь не имеет права работать под чужими логином и/или паролем. В случае, если руководство предлагает пользователю работать в таких условиях, пользователь вправе потребовать письменного
38
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
указания (приказа) руководства, согласованного со службой ИБ, и не приступать к работе до получения такого указания (приказа).
3.Пользовать имеет право проверять содержание своей учетной записи.
4.Пользователь обязан обеспечить конфиденциальность и сохранность логина и пароля. При компрометации своих регистрационных данных пользователь должен незамедлительно оповестить об этом непосредственного руководителя (сотрудника ИБ, администратора ИС).
5.Пользователь обязан сообщать обо всех ставших ему известными фактах компрометации паролей других сотрудников в службу ИБ.
6.При увольнении из организации, переходе в другое подразделение или
любом другом событии, при котором изменилась вышеуказанная информация, пользователь (руководитель пользователя) обязан сообщить об этом администратору ИС.
7.Для удаления/изменения своей учетной записи пользователь обязан подать Заявку по форме ФЗ-1, администратор на основании этой заявки ИС обязан уничтожить/изменить учетную запись пользователя в системе, внести соответствующую запись в журнал регистрации пользователей и сообщить об этом подразделению, ответственному за информационную безопасность.
39
Политика информационной безопасности ЕСЭДО ГО
_________________________________________________________________________________________________________________
Форма ФЗ-1 [на имя лица, курирующего подразделение, ответственное за ИС]
З А Я В К А № _________
на регистрацию пользователя ИС
|
|
|
|
№ |
Тип регистрации |
Отметка |
|
|
|
|
|
|
1 |
Первичная |
|
|
|
|
|
|
|
2 |
Изменение прав |
|
|
|
|
|
|
|
3 |
Удаление |
|
|
|
|
|
|
|
4 |
Вторичная |
|
|
|
|
|
|
|
5 |
По факту компрометации |
|
|
|
|
|
|
|
б |
По указанию службы ИБ |
|
|
|
|
|
|
|
7 |
Служебное перемещение |
|
|
|
|
|
(указать нужное в графе «Отметка» значком «Х») |
||||||
|
|
________________________________________ |
|
|
|
|||
|
|
|
|
|
(Ф.И.О.- полностью) |
|
|
|
|
|
|
|
|
||||
|
|
[Поле для отметок (штампов) ОТБ, ППБ, ЭБ, ИБ…] |
||||||
|
|
|
|
|
||||
|
|
|
С Инструкциями и порядком регистрации пользователей в системе |
|||||
|
|
ознакомлен (а) и обязуюсь их выполнять ________________________________ |
||||||
|
|
|
|
|
(Ф. И. О. подпись пользователя) |
|||
|
|
|
Параметры регистрации |
|
|
|
||
|
|
|
|
|
|
|||
1. |
|
Организация |
|
|
|
|||
2. |
|
Идентификационный номер по Госрегистру |
|
|
|
|||
|
|
|
|
|
|
|||
3. |
|
Подразделение |
|
|
|
|||
|
|
|
|
|
|
|||
4. |
|
Должность |
|
|
|
|||
5. |
|
Уровень доступа |
|
|
|
|||
|
|
|
|
|
|
|||
6. |
|
Роль (роли) |
|
|
|
|||
7. |
|
№ телефона, адрес, кабинет |
|
|
|
|||
8. |
|
IPадрес компьютера |
|
|
|
|||
|
|
Руководитель_______________________________ |
_______ |
|
||||
|
|
|
|
|
(подразделение, подпись) |
|
(дата подачи заявки) |
|
Согласовано: (руководители служб ИБ, техподдержки ИС, эксплуатации ИС)
40