800.2 Кб
скачать

365 от 07.05.2024

РАСПОРЯЖЕНИЕ

ГЛАВЫ АДМИНИСТРАЦИИ МЕСТНОГО

САМОУПРАВЛЕНИЯ МОЗДОКСКОГО РАЙОНА

РЕСПУБЛИКИ СЕВЕРНАЯ ОСЕТИЯ-АЛАНИЯ

№365                                                                                                              г. Моздок

07.05.2024 г.

 

О проведении работ по защите информации при их обработке

на объекте информатизации – пользовательский сегмент государственной

информационной системы Республики Северная Осетия – Алания

с функциями автоматизированной информационно-аналитической

поддержки осуществления полномочий в области градостроительной

деятельности «Информационная система обеспечения градостроительной

деятельности Республики Северная Осетия – Алания»

в Администрации местного самоуправления Моздокского района

Республики Северная Осетия – Алания

 

В целях исполнения положений Федерального закона от 27 июля 2006
№149-Ф3 «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных», постановлений Правительства Российской Федерации от 1 ноября 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21 марта 2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», во исполнение требований приказов Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) от 11 февраля 2013 №17
«Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», от 18 февраля 2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»,
а также в целях исполнения требований приказов Федеральной службы безопасности Российской Федерации (ФСБ России) от 24 октября 2022 №524
«Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств», от 10 июля 2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», с учетом требований приказа Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) от 13 июня 2001 №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи
с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»:

1. Ввести объект информатизации – пользовательский сегмент государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС ОГД) в эксплуатацию.
2. На основании Заключения по результатам аттестационных испытаний пользовательского сегмента государственной информационной системы Республики Северная Осетия-Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания и Аттестата соответствия требованиям безопасности информации ввести в эксплуатацию систему защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия-Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания.
3. Начальнику отдела информационных технологий, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района обеспечить безопасность информации при эксплуатации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно настоящему распоряжению.
4. С целью определения класса защищенности информационной системы и уровня защищенности персональных данных при их обработке в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, утвердить состав Комиссии по определению класса защищенности информационной системы и уровня защищенности персональных данных при их обработке в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Комиссия), согласно приложению 1 к настоящему распоряжению.
   • Комиссии провести определение класса защищенности информационной системы и уровня защищенности персональных данных, обрабатываемых в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания.
   • Комиссии отразить результаты определения класса защищенности информационной системы и уровня защищенности персональных данных в акте классификации, согласно форме, представленной в приложении 2 к настоящему распоряжению.
5. Утвердить границы контролируемой зоны пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания указанные на Схеме границ контролируемой зоны пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 3 к настоящему распоряжению.
6. Назначить ответственными за:
   • Обеспечение безопасности информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (Администратором информационной безопасности) главного специалиста по информатизации отдела информационных технологий, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района - Мещерякова Н. А.
   • Обеспечение функционирования объекта информатизации ПС ГИС ОГД (Администратором информационной системы) ведущего специалиста-программиста отдела информационных технологий, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района – Мысикова Е.В.
   • Обеспечение функционирования и безопасности криптографических средств пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (ответственным пользователем средств криптографической защиты информации) главного специалиста по информатизации отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района - Мещерякова Н.А.
7. Утвердить следующие организационно-распорядительные документы по обеспечению безопасности информации в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания и соответствующие приложения к ним:
   • Перечень информации ограниченного доступа, обрабатываемой в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 4 к настоящему распоряжению.
   • Политику использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 5 к настоящему распоряжению.
   • Политику антивирусной защиты пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 6 к настоящему распоряжению.
   • Политику использования аутентификационной информации при доступе к информационным активам пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 7 к настоящему распоряжению.
   • Политику обеспечения отказоустойчивости информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 8 к настоящему распоряжению.
   • Политику сетевой безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 9 к настоящему распоряжению.
   • Политику аудита информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 10 к настоящему распоряжению.
   • Политику управления событиями безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 11 к настоящему распоряжению.
   • Политику использования средств криптографической защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 12 к настоящему распоряжению.
   • Памятку пользователя информационных ресурсов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 13 к настоящему распоряжению.
   • Инструкцию ответственного за обеспечение функционирования и безопасности криптографических средств пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 14 к настоящему распоряжению.
   • Инструкцию администратора информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 15 к настоящему распоряжению.
   • Инструкцию администратора пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 16 к настоящему распоряжению.
   • Перечень лиц, допущенных к работе в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания и Перечень лиц, доступ которых к персональным данным, обрабатываемым в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, необходим для выполнения служебных (трудовых) обязанностей, согласно приложению 17 к настоящему распоряжению.
   • Порядок доступа сотрудников в помещения, в которых ведется обработка защищаемой информации, в том числе персональных данных, в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, согласно приложению 18 к настоящему распоряжению.
8. Ответственному за обеспечение функционирования и безопасности криптографических средств пользователей СКЗИ:
   • Руководствоваться Политикой использования средств криптографической защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания.
   • Обеспечить прохождение инструктажа по правилам работы с СКЗИ пользователями, которым необходимо получить доступ к работе с СКЗИ.
9. Настоящее распоряжение вступает в силу со дня его подписания.
10. Начальнику отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района опубликовать настоящее распоряжение в печатном периодическом издании «Время, события, документы» и разместить на официальном сайте Администрации местного самоуправления Моздокского района в информационно-телекоммуникационной сети «Интернет» admmozdok.ru.
11. Главному специалисту – юрисконсульту отдела по юридическим вопросам, кадровой политики и профилактики коррупционных правонарушений Администрации местного самоуправления Моздокского района направить настоящее распоряжение в Администрацию Главы Республики Северная Осетия – Алания и Правительства Республики Северная Осетия – Алания с помощью соответствующего программного обеспечения – программного продукта «АРМ Муниципал».
12. Начальнику отдела информационных технологий, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района настоящее распоряжение довести до сведения пользователей объекта информатизации ПС ГИС ОГД.
13. Контроль за исполнением настоящего распоряжения возложить на начальника отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района.

 

 

 

 

И.о. Глава Администрации                                                                            С. Никифоров

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Исп. И. Заварзина, тел. 3-47-85

 

Приложение 1

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

Состав комиссии по определению класса защищенности информационной системы

и уровня защищенности персональных данных при их обработке

в пользовательском сегменте государственной информационной системы

Республики Северная Осетия – Алания с функциями автоматизированной

информационно-аналитической поддержки осуществления полномочий в области

градостроительной деятельности «Информационная система обеспечения

градостроительной деятельности Республики Северная Осетия – Алания»

в Администрации местного самоуправления Моздокского района

Республики Северная Осетия – Алания

 

 

Председатель комиссии:
начальник отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района	–	Заварзина И.А.
Члены комиссии:
главный специалист по информатизации отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района	–	Мещеряков Н.А.
ведущий специалист-программист отдела информационных технологий, защиты информации и муниципальных услуг Администрации местного самоуправления Моздокского района	–	Мысиков Е.В.

 

 

Приложение 2

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

ФОРМА

 

АКТ №__

классификации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

Комиссия, руководствуясь Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119, провела классификацию пользовательского сегмента государственной информационной системы Республики Северная Осетия-Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А).

 

Комиссия, рассмотрев исходные данные пользовательского сегмента государственной информационной системы Республики Северная Осетия-Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная
Осетия – Алания, установила:

1. Масштаб ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А: ______________________.
2. Уровень значимости информации, содержащейся в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А: _____________.
3. Класс защищенности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А: ____________.
4. Для ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А актуальны угрозы _____________________________________.
5. В ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А обрабатываются _________________________.
6. Уровень защищенности персональных данных, обрабатываемых в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района
   РСО–А: _______________________.

 

 

Председатель комиссии:
Должность		________________	И.О. Фамилия
Члены комиссии:
Должность		________________	И.О. Фамилия
Должность		________________	И.О. Фамилия
Должность		________________	И.О. Фамилия

 

 

Приложение 3

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

Схема границ контролируемой зоны

пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления
Моздокского района Республики Северная Осетия – Алания

 

 

Границей контролируемой зоны пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС ОГД) являются: ограждающие конструкции помещения по адресу: Республика Северная Осетия – Алания, г. Моздок, ул. Кирова, д. 37, каб. 5, в котором размещены компоненты ПС ГИС ОГД.

Схема границ контролируемой зоны, представлена на рисунке 1.

 

Рисунок 1 – Границы контролируемой зоны ПС ГИС ОГД

 

Приложение 4

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

Перечень информации ограниченного доступа,

обрабатываемой в пользовательском сегменте государственной информационной

системы Республики Северная Осетия – Алания с функциями автоматизированной

информационно-аналитической поддержки осуществления полномочий в области

градостроительной деятельности «Информационная система обеспечения

градостроительной деятельности Республики Северная Осетия – Алания»

в Администрации местного самоуправления Моздокского района

Республики Северная Осетия – Алания

 

№ п/п	Перечень информации ограниченного доступа	Категория информации ограниченного доступа
1.	Информация и данные, содержащие: сведения о схеме территориального планирования Республики Северная Осетия-Алания; сведения о схеме территориального планирования муниципальных районов Республики Северная Осетия-Алания; сведения о генеральных планах городских, сельских поселений и городских округов региона; сведения о разработке правил землепользования и застройки городских, сельских поселений и городских округов Республики Северная Осетия-Алания; сведения о проектах планировки территорий; сведения о проектах межевания территорий; сведения о градостроительных планах земельных участков; сведения о разрешениях на строительство объектов капитального строительства; сведения о разрешениях на ввод объекта капитального строительства в эксплуатацию; сведения о полученных застройщиком уведомлений о соответствии построенных или реконструированных объектов индивидуального жилищного строительства или садовых домов требованиям законодательства о градостроительной деятельности.	Служебная информация, информация для служебного пользования
2.	Информация, содержащая персональные данные субъектов персональных данных, в том числе сведения о застройщиках, правообладателях объектов недвижимости, а также лицах, участвующих в разработке, утверждении служебных документов, указанных в разделе 1.	Персональные данные
3.	Технологическая информация, формируемая в процессе эксплуатации ПС ГИС ОГД, в том числе: -      управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.); -      технологическая информация средств доступа к ПС ГИС ОГД (аутентификационная информация, ключи и атрибуты доступа и др.); -      информация о системе защиты информации, в т. ч. персональных данных, ее составе и структуре, принципах, средствах защиты и технических решениях защиты; -      информационные ресурсы (файлы и другие), содержащие информацию о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах; -      служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации, в т. ч. персональных данных.	Служебная информация, информация для служебного пользования

 

 

Приложение 5

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

Политика
использования информационных активов

пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1. Общие положения

 

Настоящая политика использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Политика) определяет процедуры идентификации (инвентаризации), учета, эксплуатации информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А), а также порядок предоставления доступа к ним.

1.2. Настоящая Политика разработана в соответствии с:

• приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• методическим документом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2014 года «Меры защиты информации в государственных информационных системах».

 

1.  Инвентаризация и учет информационных активов

 

• Проведение инвентаризации и учета информационных активов является необходимым аспектом обеспечения безопасности информации.
• В общем случае под информационными активами понимаются:

• информационные ресурсы, содержание защищаемую информацию (в базах данных, в файловом виде в каталогах).
• средства обработки информации, с помощью которых осуществляется обработка защищаемой информации с учетом технологии ее обработки.
  • Информационные ресурсы могут являться как самостоятельными сущностями (например, общие сетевые папки или файлы, хранящиеся на сетевых хранилищах данных), так и составными компонентами ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (например, базы данных информационных систем).
  • Средства обработки информации, в составе ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, могут включать:
• автоматизированные рабочие места пользователей (далее – АРМ), в том числе мобильные АРМ (ноутбуки);
• серверы информационных систем (виртуальные и физические).
• съемные носители информации;
• активное сетевое оборудование;
• средства защиты информации^[1]);
• системное и прикладное программное обеспечение.
  • Для каждого информационного актива устанавливается однозначное соответствие между следующими его характеристиками:
• тип информационного актива;
• собственник информационного актива;
• местоположение (месторасположение) информационного актива и его пользователя;
• категория информации, обрабатываемой информационным активом и (или) содержащаяся в информационном активе (для информационных ресурсов). В качестве категорий такой информации могут выступать: служебная информация, персональные данные, общедоступные данные и другие;
• критичность информационного актива;
• лицо, ответственное за обеспечение функционирования информационного актива.
  • Формы учета информационных активов приведены в приложениях
    № 1-6 к настоящей Политике.
  • Для ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А Администратором информационных систем (далее – Администратор ИС), при содействии Администратора информационной безопасности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (далее – Администратор ИБ) разрабатывается Технический паспорт ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и Описание технологического процесса обработки информации в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (форма Технического паспорта информационной системы приведена в приложении 7 к Политике, форма Описания технологического процесса обработки информации в информационной системе приведена в приложении 8 к Политике).
  • Под критичностью информационного актива понимается степень возможного ущерба в случае нарушения:
• конфиденциальности информации, обрабатываемой информационным активом и (или) содержащейся в информационном активе (для информационных ресурсов): неправомерный доступ, копирование, предоставление или распространение;
• целостности информации, обрабатываемой информационным активом и (или) содержащейся в информационном активе (для информационных ресурсов): неправомерное уничтожение или модифицирование;
• доступности информации, обрабатываемой информационным активом и (или) содержащейся в информационном активе (для информационных ресурсов): неправомерное блокирование.
  • При определении критичности информационных активов необходимо оперировать следующими критериями:
• высокая критичность – если в результате нарушения одного из свойств безопасности (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) пользователь (обладатель информации) не могут выполнять возложенные на них функции;
• средняя критичность – если в результате нарушения одного из свойств безопасности (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
• низкая критичность – если в результате нарушения одного из свойств безопасности (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
  • Под классом защищенности информационной системы по требованиям безопасности информации (далее – класс защищенности) понимается уровень защищенности персональных данных, обрабатываемых информационным активом и (или) класс защищенности государственной информационной системы.

 

2.  Порядок эксплуатации информационных активов

 

• Решение задач ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А обеспечивают сотрудники Администрации с помощью средств автоматизации. Техническую и иную поддержку обеспечивает обслуживающий персонал ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
• Порядок использования автоматизированных рабочих мест и серверов.
  • Пользователю ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А для работы в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и (или) для доступа к информационному ресурсу предоставляется АРМ.
  • Каждый Пользователь ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, обеспеченный АРМ, получает аутентификационную информацию (персональное сетевое имя (имя пользователя), пароль). Сведения о правах доступа пользователей к информационным ресурсам отражаются ответственными лицами (согласно раздела 4 настоящей Политики) в матрице доступа к информационным активам.
  • Доступ привилегированных пользователей (администраторов) к ресурсам ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А осуществляется с использованием дополнительных средств аутентификации (факторов).
  • До ввода аутентификационной информации, пользователям (в том числе привилегированным) запрещаются любые действия с ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
  • Самостоятельная установка Пользователями ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А программного обеспечения на АРМ запрещена. Установка и удаление любого программного обеспечения производится только ответственными сотрудниками (администраторами).
  • Самостоятельное изменение Пользователями ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А аппаратной конфигурации АРМ, а также подключение к АРМ мобильных устройств передачи информации (сотовые телефоны, usb-модемы, и прочее) запрещено. Изменение (модификация) аппаратной конфигурации АРМ и серверов производится только ответственными сотрудниками (администраторами).
  • АРМ и сервера ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А подлежат опечатыванию/опломбированию (с целью недопущения бесконтрольного изменения аппаратных конфигураций). Опечатывание осуществляется Администратором ИБ. Пользователи ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и Администраторы ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А обязаны следить за сохранностью данных пломб и в случае их нарушений – незамедлительно сообщать о данном событии (инциденте информационной безопасности) Администратору ИБ.
  • На АРМ и серверах ответственными сотрудниками осуществляется установка пароля на доступ к базовой системе ввода-вывода (BIOS).
  • На АРМ и серверах ответственными сотрудниками обеспечивается синхронизация системного времени.
  • На АРМ пользователей должно быть запрещено использование технологий беспроводной передачи данных (в частности 802.11xWi-Fi, 802.15.1 Bluetooth, 802.22 WRAN, IrDA и иных беспроводных соединений), а также веб-камер (использование данных технологий разрешается для выполнения служебных обязанностей на основании служебной записки от руководителя структурного подразделения и согласования с главой Администрации).
  • При работе АРМ и серверов должен обеспечиваться контроль работоспособности (неотключения) программного обеспечения средств защиты информации. Настройка программного обеспечения и средства защиты информации должна осуществляться в соответствии с требованиями эксплуатационной документации на них.
  • Порядок внесения изменений в состав программного обеспечения и аппаратных характеристик АРМ и серверов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А приведен в разделе 5 настоящей Политики. Все изменения документально фиксируются.
  • При необходимости отлучиться от АРМ, Пользователь ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А обязан, во избежание осуществления несанкционированного доступа к ресурсам АРМ, принудительно заблокировать АРМ посредством функционала операционной системы или используемого средства защиты информации от несанкционированного доступа.
  • Передача Пользователями ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А электронных документов внутри ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А производится с использованием учтённых съёмных носителей информации, а также посредством общих папок. Иные способы передачи запрещены.
• Порядок использования съемных носителей информации
  • Под съемными носителями информации понимается, оптические диски, флэш-накопители, SD-карты, внешние накопители на жестких дисках и иные устройства хранения информации.
  • Под использованием съёмных носителей информации понимается их подключение к инфраструктуре АРМ и серверам с целью приема/передачи информации.
  • Допускается использование только учтенных носителей информации, которые являются собственностью Администрации и подвергаются регулярной ревизии и контролю.
  • Допускается использование (пользователю) съемных носителей информации в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, к которой он имеет санкционированный доступ.
  • Учет съемных носителей информации, встроенных в корпуса АРМ и серверов, ведется в составе таких технических средств.
  • Учет съемных носителей информации и факт их выдачи осуществляется в Журнале учета съемных носителей информации (форма журнала учета съемных носителей информации приведена в приложении 8 к Политике, форма журнала учета выдачи съемных носителей информации приведена в приложении 9 к Политике), который ведется Администратором ИБ. При этом, съемные носители информации должны быть соответствующем образом промаркированы.
  • Хранение съемных носителей информации должно осуществляться в сейфах, запираемых металлических шкафах. Перечень мест хранения съемных носителей информации должен быть заранее определен, при этом определяются ответственные лица за обеспечение сохранности съемных носителей информации (форма учета мест хранения съемных носителей информации приведена в приложении 12 к Политике).
  • Съемные носители информации, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с защищаемой информацией осуществляется комиссией по обеспечению информационной безопасности (далее – Комиссия по ОИБ), назначаемой и утвержденной главой Администрации. По результатам уничтожения носителей составляется акт и сведения заносятся в соответствующий журнал (журнал учета и форма акта уничтожения приведены в приложениях 10,11 к Политике соответственно).
  • В следующих случаях должно быть обеспечено надежное уничтожение (стирание) информации, исключающее возможность восстановления защищаемой информации, со съемного носителя:
• после его приобретения;
• при его первичном подключении к информационной системе;
• при передаче для постоянного использования от одного пользователя другому пользователю;
• при передаче в сторонние организации (в том числе перед и после возвращения из ремонта или перед передачей в утилизацию).
  • Надежное уничтожение информации обеспечивается Администратором ИБ посредством функционала сертифицированного ФСТЭК России средства защиты информации.
  • Пользователи ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А обязаны:
• использовать носители информации исключительно для выполнения своих служебных обязанностей;
• обеспечивать физическую безопасность носителей информации;
• извещать Администратора ИБ о фактах утраты (кражи) носителей информации.
  • Пользователям ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А при использовании предоставленных съёмных носителей информации запрещено:
• использовать носители информации в личных целях;
• передавать носители информации другим лицам;
• оставлять съёмные носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.
  • Любое взаимодействие (обработка, прием/передача информации) с ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А посредством использования неучтенных (личных) носителей информации, рассматривается как несанкционированное.
  • Перемещение съемных носителей информации для использования их за пределами контролируемой зоны должно согласовываться с Администратором ИБ.
  • Информация об использовании Пользователями ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А информационных активов протоколируется и, при необходимости, может быть предоставлена Комиссии по ОИБ.

 

3. Порядок предоставления доступа к информационным активам

 

• Права доступа Пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А к информационным активам предоставляются на время и в объеме минимально необходимых полномочий для выполнения ими своих должностных обязанностей.
• К работе с информационными активами допускаются лица, назначенные на соответствующую должность и прошедшие инструктаж по вопросам информационной безопасности (ознакомившиеся с организационно-распорядительной документацией, регламентирующей процессы обработки и защиты информации, в том числе персональных данных).
• Необходимость доступа Пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А к информационным активам определяется на основании должностных (трудовых) обязанностей сотрудника.
• Основанием для предоставления прав доступа Пользователю ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А к информационным активам является заявка руководителя структурного подразделения Администрации, согласованная с Администратором ИС и Администратором ИБ (форма заявки приведена в приложении 13 к Политике).
• Права доступа сотрудников к информационным активам (информационным ресурсам, информационным системам) назначаются Администратором ИС (после передачи ему согласованной заявки) и назначенные права доступа отражаются ответственным лицом в матрице доступа^[2]) (формы матриц доступа к информационным активам приведены в приложениях № 14-17).
• Права доступа сотрудников к информационным активам (средствам защиты информации) назначаются Администратором ИБ, отражаются в матрице доступа, предоставляются на время и в объеме минимально необходимых полномочий для выполнения Пользователями ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А своих должностных обязанностей.
• Изменение и (или) блокирование прав доступа к информационным активам может осуществляться в следующих случаях:

• выявление нарушений Пользователем ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А исполнения установленных организационно-распорядительными документами Администрации требований по обработке и обеспечению безопасности информации (в том числе персональных данных);
• в период отпуска сотрудника – по заявке руководителя отдела Администрации;
• в случае изменения должностных обязанностей Пользователя ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (перевода на другую должность, в другие подразделения);
• в случае увольнения Пользователя ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (все изменения в правах доступа, связанные с увольнением Пользователя ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, выполняются администраторами незамедлительно после окончания последнего сеанса работы данного пользователя^[3])). Помимо блокирования учетной записи уволенного Пользователя ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, также должно быть осуществлена минимизация прав доступа к информационному активу для такой учетной записи.
  • В случае увольнения Пользователя ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А также изымаются предоставленные ему съёмные носители информации и аппаратные идентификаторы.

 

4. Порядок внесения изменений в состав программного обеспечения и
технических средств

 

• Все изменения программного обеспечения и технических средств (АРМ, серверов) должны быть санкционированы и проводиться только на основании заявок руководителей отделов Администрации.
• Право внесения изменений в конфигурацию программно-аппаратных средств информационных системы, обрабатывающей защищаемую информацию, предоставляется:

• в отношении системных и прикладных программных средств, а также в отношении аппаратных средств АРМ пользователей и серверов – Администратору ИС;
• в отношении программных и программно-аппаратных средств защиты информации – Администратору ИБ;
• в отношении программно-аппаратных средств телекоммуникаций (активного сетевого оборудования) – Администратору ИС.
  • Запрещено изменение конфигурации аппаратно-программных средств, защищенных АРМ и серверов кем-либо, кроме уполномоченных лиц.
  • Установка (обновление) программного обеспечения информационных активов производится с эталонных копий программных средств, хранящихся у Администратора ИС (эталонные копии программных средств защиты информации хранятся у Администратора ИБ).
  • Обновление программного обеспечения осуществляется, в том числе по результатам проведения внутреннего инструментального аудита информационной безопасности (в соответствии с «Политикой аудита информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания).
  • Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также отсутствие вредоносного программного кода.
  • Действия по изменению программного обеспечения фиксируются в Реестре разрешенного к использованию программного обеспечения (форма реестра приведена в приложении 18 к Политике). Реестр ведется Администратором ИБ при содействии Администратора ИС.

 

5. Порядок действий в ходе эксплуатации информационной

системы, аттестованной по требованиям безопасности информации

 

• Аттестованная информационная система по требованиям безопасности информации – информационная система, успешно прошедшая процедуру оценки соответствия требований, предъявляемым к установленному классу защищенности информационной системы (далее – аттестация), на которую, в установленном порядке, организацией имеющей лицензию Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) на деятельность по технической защите информации (далее – Лицензиат ФСТЭК России), выдан Аттестат соответствия информационной системы требованиям безопасности информации (далее – Аттестат соответствия).
• Администратор ИБ и Администратор ИС обеспечивают поддержание базовой конфигурации информационных систем и системы защиты информации (структуры системы защиты, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с аттестатом соответствия информационной системы требованиям безопасности информации.
• Виды возможных изменений в состав и структуру аттестованной по требованиям безопасности информации информационной системы и необходимые действия со стороны ее Оператора:

 

№  п/п

Вид изменений

Порядок необходимых действий

 

1	2	3
1	Повышение класса защищенности информационной системы.	Необходимо проведение аттестации (повторно) информационной системы с выдачей Аттестата соответствия.
2	Увеличение состава угроз информационной системы, связанное с добавлением новых информационных технологий в информационной системе.	Необходимо проведение дополнительных аттестационных испытаний информационной системы (контроль эффективности) в рамках действующего аттестата соответствия. 1. Оператор информационной системы отправляет уведомительное письмо Лицензиату ФСТЭК России, выдавшем Аттестат соответствия, в котором указываются планируемые изменения, а также их причину (форма письма приведена в приложении 19 к Политике). 2. По результатам анализа планируемых изменений, Лицензиат ФСТЭК России принимает решение о необходимости проведения дополнительных аттестационных испытаний информационной системы и определяют порядок проверки эффективности системы защиты информации в рамках вносимых изменений, о чем извещают Владельца информационной системы о принятом решении и последующих совместных действиях по внесению изменений. 3. Оператор информационной системы проводит работы в рамках вносимых изменений и, при необходимости, привлекает исполнителей, имеющих соответствующий уровень квалификации, из числа сотрудников организаций, обладающих необходимыми лицензиями ФСТЭК России и Федеральной службы безопасности России (далее – ФСБ) на осуществление видов деятельности, связанных с защитой информации. 4. Лицензиат ФСТЭК России проводит дополнительные аттестационные испытания АС. 5. Дополнительные аттестационные испытания информационной системы проводятся по «Программе и методикам» согласованной с владельцем информационной системы и утвержденной Лицензиатом ФСТЭК России. По результатам дополнительных аттестационных испытаний, Лицензиатом ФСТЭК России оформляются протокол проведенных испытаний и заключение. Положительные результаты дополнительных аттестационных испытаний дают право на обработку защищаемой информации в информационной системе с учетом внесенных изменений. 6. Копия уведомительного письма с составом планируемых изменений конфигурации информационной системы, извещение от Лицензиата ФТСЭК России, «Программа и методики дополнительных аттестационных испытаний» и отчетная документация по результатам испытаний хранятся владельцем информационной системе вместе с комплектом аттестационных документов на конкретную информационную систему.
3	Изменение состава средств защиты информации, указанных в аттестате соответствия, на новые, не указанные в аттестате.
4	Добавление в состав аттестованной информационной системы новых АРМ и/или серверов.
5	Переустановка средств защиты информации с аттестованных АРМ и (или) серверов на новые АРМ и (или) серверы с последующим их добавлением в состав аттестованной информационной системы.
6	Переустановка установленных средств защиты информации, указанных в Аттестате соответствия, на аттестованных АРМ и (или) серверах в пределах одной информационной системы.
7	Понижение класса защищенности информационной системы (уменьшение числа актуальных угроз, объёма обрабатываемых данных, снижение требований к характеристикам безопасности и прочее).	Аттестат соответствия сохраняет свое действие.
8	Исключение из состава аттестованной ИС некоторых АРМ и/или серверов.	Аттестат соответствия сохраняет свое действие 1.               Оператор информационной системы пишет уведомительное письмо Лицензиату ФСТЭК России, в котором указывает планируемые изменения, а также их причину. 2.               Лицензиат ФСТЭК России рассматривает вносимые изменения в конфигурацию информационной системы и извещает владельца информационной системы о возможности внесения данных изменений. 3.               Оператор информационной системы самостоятельно проводит работы по внесению изменений в составе аттестованной информационной системы. 4.               Копия уведомительного письма с составом планируемых изменений конфигурации информационной системы и извещение от Лицензиата ФСТЭК России хранятся владельцем информационной системы вместе с комплектом аттестационных документов.
9	Замена периферийного оборудования АРМ и/или серверов информационной системы: мышки, клавиатуры, блока питания, монитора, принтера, сканера и тому подобное.[4])
10	Перемещение АРМ и/или серверов аттестованной информационной системы в пределах контролируемой зоны.
11	Удаление, установка, переустановка на аттестованных АРМ и (или) серверах прикладного программного обеспечения, не связанного с обработкой защищаемой информации.
12	Удаление, установка, переустановка на аттестованных АРМ и (или) серверах программного обеспечения, предназначенного для обработки защищаемой информации (без повышения класса защищенности информационной системы).
13	Увольнение ответственных сотрудников.

 

6.  Удаленный доступ сотрудников к информационным активам

 

• Под удаленным доступом к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А понимаются все виды доступа, осуществляемые по внешним каналам связи (проводной (коммутируемый), широкополосный) и с использованием устройств доступа, расположенных за пределами контролируемой зоны ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
• Удалённый доступ к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А предоставляется с целью администрирования, с применением средств удаленного доступа:

• администратору ИС;
• администратору ИБ;
• подрядным организациям, осуществляющим поддержку функционирования ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А на основании заключенных государственных контрактов.
  • Пользователям ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А не предоставляется удалённый доступ к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
  • Удаленный доступ к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А может быть предоставлен Администратором ИС на основании служебных записок, согласованных с главой Администрации.
  • Лица, которым предоставляется удаленный доступ, несут персональную ответственность за использование предоставляемого доступа только по назначению с соблюдением требований безопасности, устанавливаемых настоящей Политикой и иными организационно-распорядительными документами Администрации, регламентирующими процессы обработки и обеспечения безопасности информации, в том числе персональных данных.
  • Лица, получившие удалённый доступ, обязаны принимать меры по недопущению использования своих компьютеров посторонними лицами для осуществления удаленного доступа к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
  • Для организации удаленного доступа должны применяться сертифицированные ФСБ России средства криптографической защиты информации.

 

7.  Ответственность за исполнение положений настоящей Политики

 

• Ответственность за исполнение положений настоящей Политики возлагаются на всех Пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, осуществляющих работу на средствах вычислительной техники, при этом Пользователи ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А несут ответственность за уведомление Администратора ИБ о любых фактах нарушения установленных требований по обеспечению информационной безопасности (инцидентах информационной безопасности).
• Руководители отделов Администрации несут ответственность за:

• определение мест хранения съёмных носителей информации и ответственных за обеспечение их сохранности в рамках своих отделов;
• предоставление Администратору ИС заявок на изменение прав доступа к информационным активам, предварительно их согласовав с Администратором ИБ;
• своевременное уведомление Администратора ИС и Администратора ИБ об увольнении Пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
  • Администратор ИС несёт ответственность за:
• проведение инвентаризации и учёта информационных ресурсов (систем) и средств обработки информации;
• ведение и поддержание в актуальном состоянии технических паспортов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• составление и поддержание в актуальном состоянии описаний технологического процесса обработки информации в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• предоставление прав доступа пользователей к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А в соответствии с согласованными заявками на изменение прав доступа к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• ведение матриц доступа к информационным активам и средствам обработки информации;
• ведение Реестра, разрешённого к использованию программного обеспечения;
• обеспечение поддержания базовой конфигурации ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (мест установки и параметров настройки программного обеспечения и технических средств);
• установку, обновление и удаление программного обеспечения на АРМ и серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, владельцем которых является Администрация;
• изменение (модификацию) аппаратной конфигурации АРМ Пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, владельцем которых является Администрация;
• опечатывание/опломбирование, а также установку паролей на BIOS АРМ Пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, владельцем которых является Администрация.
  • Администратор ИБ несёт ответственность за:
• предоставление прав доступа пользователей к информационным активам (в соответствии с согласованными заявками на изменение прав доступа к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А);
• ведение матрицы доступа к информационным активам в соответствии с разграничениями, назначаемыми средством защиты информации от несанкционированного доступа;
• ведение учёта средств защиты информации и эксплуатационной докумен­тации к ним;
• установку, обновление и удаление средств защиты информации на АРМ Пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, владельцем которых является Администрация;
• обеспечение поддержания базовой конфигурации информационных систем (мест установки и параметров настройки программных и программно-аппаратных средств защиты информации);
• ведение матриц доступа к средствам защиты информации;
• обеспечение содействия Администратору ИС в части классификации ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А по требованиям безопасности информации, а также определения критичности информационных активов при их учёте и инвентаризации;
• обеспечение содействия Администраторам ИС при заполнении технического паспорта ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А в части перечня используемых средств защиты информации;
• согласование заявок пользователей на предоставление прав доступа к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• ведение учёта и выдачи съёмных носителей информации;
• осуществление, в составе Комиссии по ОИБ, уничтожения съёмных носителей информации;
• уведомление Лицензиата ФСТЭК России, выдавшего аттестат соответствия информационной системы требованиям по безопасности информации, о планируемых изменениях в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• осуществление планирования и реализацию контрольных мероприятий по проверке степени выполнения положений настоящей Политики;
• организацию процесса управления инцидентами информационной безопасности в части положений настоящей Политики (в соответствии с Политикой управления событиями безопасности информации).
  • Лица, виновные в нарушении положений настоящей Политики, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой и административной ответственности.

 

 

ПРИЛОЖЕНИЕ 1

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

ФОРМА

Учет информационных ресурсов и информационных систем

 

№  п/п	Наименование информационной ресурса/системы	Месторасположение[5])		Категория обрабатываемой информации	Критичность	Класс защищенности	Администратор ИР/ИС
		серверный сегмент	пользовательский сегмент
1	2	3	4	5	6	7	8
1
2
3
4
5
6
7
8
9

 

ПРИЛОЖЕНИЕ  2

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

ФОРМА

Учет автоматизированных рабочих мест пользователей

 

№  п/п	Имя АРМ (FQDN)	Инвентарный и серийный номер	Ф.И.О., должность ответственного	Месторасположение[6])
1	2	3	4	5
1
2
3
4
5
6
7
8
9
10

 

 

ПРИЛОЖЕНИЕ 3

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

Учет серверов

 

№  п/п	Наименование (FQDN)	Роль сервера[7])	Инвентарный и серийный номер	Тип[8])	Администратор ИС	Месторасположение	Критичность
1	2	3	4	5	6	7	8
1
2
3
4
5
6
7
8

 

ПРИЛОЖЕНИЕ 4

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

Учет сетевого оборудования

 

№  п/п	Наименование (модель)	Инвентарный и серийный номер	Оператор	Месторасположение	Критичность	Администратор
1	2	3	4	5	6	7
1
2
3
4
5
6
7
8
9
10

 

ПРИЛОЖЕНИЕ  5

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

Журнал учета съемных носителей информации

 

№  п/п	Дата, регистрационный номер съемного носителя информации	Учетный номер, откуда поступил	Серийный номер (при наличии)	Тип съемного носителя информации	Отметка об уничтожении съемного носителя информации
1	2	3	4	5	5
1
2

 

ПРИЛОЖЕНИЕ 6

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

ФОРМА

Учет средств защиты информации

 

№  п/п	Наименование средства защиты, эксплуатационной и технической документации	Регистрационные номера средства защиты, эксплуатационной и технической документации	Отметка о подключении (установке) средства защиты			Отметка об изъятии средства защиты
			Ф.И.О. сотрудника, производившего подключение (установку)	дата подключения (установки) и подписи лиц, произведших подключение (установку)	наименование и инвентарный номер актива, в который установлено средство защиты	дата изъятия	Ф.И.О. сотрудника, производившего изъятие	расписка об изъятии
1	2	3	6	7	8	9	10	11
1
2
3
4
5
6
7
8
9

ПРИЛОЖЕНИЕ 7

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

 

 

УТВЕРЖДАЮ

_________________________

(руководитель (уполномоченное лицо) владельца объекта информатизации)

________________________

(подпись, инициалы и фамилия)

 

«____» ____________ 20__ г.

 

 

 

 

 

Т Е Х Н И Ч Е С К И Й   П А С П О Р Т

информационной (автоматизированной) системы

_____________________________________________________________

(наименование информационной (автоматизированной) системы)

 

 

 

 

 

 

 

 

 

 

1. Общие сведения об информационной (автоматизированной) системе.
   • Наименование и назначение информационной (автоматизированной) системы: ________________________________________.
   • Расположение программно-технических средств информационной (автоматизированной) системы: ________________________________________.

(указываются адреса расположения средств)

• Установленный класс защищенности информационной (автоматизированной) системы (категория значимости):

(указываются реквизиты акта классификации (категорирования))

 

• Сведения о вводе информационной (автоматизированной) системы в эксплуатацию:

(указываются номер и дата приказа о вводе в эксплуатацию)

2. Условия эксплуатации информационной (автоматизированной) системы

• Сведения об архитектуре информационной (автоматизированной) системы, включающие описание структуры и состава (типовых компонентов), структурную (топологическую) схему с указанием информационных связей между компонентами информационной системы (автоматизированной) системы и иными информационными системами, в том числе с сетью Интернет ________.

2.2. Описание технологического процесса обработки информации и режимы доступа к информационным ресурсам, включающее описание всех типов внешних, внутренних пользователей (привилегированных, непривилегированных), полномочий пользователей и тип доступа к информационным ресурсам _________________________.

2.3. Сведения об аттестате соответствия информационно-телекоммуникационной инфраструктуры центра обработки данных, на базе которой функционирует информационная (автоматизированная) система, а также о модели услуг, по которой предоставляются вычислительные услуги (заполняется при условии аттестации информационной (автоматизированной) системы на базе аттестованной на соответствие требованиям по защите информации информационно-телекоммуникационной инфраструктуры центра обработки данных):___________________________________________________.

(указываются реквизиты аттестата соответствия и модель услуг)

3. Состав информационной системы (автоматизированной) системы.
   • Состав программно-технических средств информационной (автоматизированной) системы:

(указываются типы технических средств, их наименования и модели)

 

• Состав общесистемного и прикладного программного обеспечения информационной (автоматизированной) системы: ____________________________________________________________________.

(указываются типы программного обеспечения, их наименования и основные (мажорные) версии)

 

• Состав телекоммуникационного оборудования информационной (автоматизированной) системы и используемые для передачи информации линии связи:___________________________________________________________________.

         (указываются типы оборудования, их наименования и основные (мажорные) версии)

 

 

 

• Состав средств защиты информации, используемых в информационной системе (автоматизированной) системе:

(указываются типы средств их наименования и основные (мажорные) версии, сведения о сертификатах соответствия)

4. Сведения о соответствии информационной (автоматизированной) системы требованиям по безопасности информации.

 

4.1. Сведения о протоколах сертификационных испытаний информационной (автоматизированной) системы __________________________.

(реквизиты протоколов и дата их выдачи)

4.2. Сведения о заключении по результатам сертификационных испытаний информационной (автоматизированной) системы _____________________________.

(реквизиты заключения и дата выдачи)

4.3. Сведения об аттестате информационной (автоматизированной) системы на соответствие требованиям о защите информации: ___________________________.

(реквизиты аттестата соответствия, дата выдачи)

5. Сведения о проведении контроля за обеспечением уровня защищенности информации, содержащейся в информационной (автоматизированной) системе, приведены в таблице 1.

Таблица 1

№ п/п	Наименование организации (подразделения), проводившей контроль	Дата проведения контроля	Реквизиты документа с выводами о результатах	Вывод по результатам контроля
1.
2.

 

6. Сведения об изменениях состава, условий эксплуатации информационной (автоматизированной) системы и средств защиты информации приведены в таблице 2.

 

 

Таблица 2

№  п/п	Дата внесения изменения	Документ, на основании которого внесены изменения	Пункт технического паспорта, в который внесены изменения	Краткая характеристика изменений	Подпись лица, внесшего изменения
1.
2.

 

 

Ответственный за обеспечение защиты информации в ходе эксплуатации информационной (автоматизированной) системы

_______________________ (должность)   «___» ___________ 20__г.

_________________________ (подпись, фамилия и инициалы)

 

ПРИЛОЖЕНИЕ 8

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

 

 

ОПИСАНИЕ

технологического процесса обработки информации в

 

^{(наименование информационной системы)}

 

1. Общие сведения

 

• Настоящее Описание технологического процесса (далее – Описание) определяет совокупность процедур при обработке информации в информационной системе (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение) на компонентах информационной системы.
• Настоящее Описание предназначено для следующих должностных лиц, осуществляющих обработку и защиту информации в информационной системе:

пользователей информационной системы;

администратора ИС;

администратора ИБ.

• Мероприятия по защите информации осуществляются во взаимосвязи с другими мерами по обеспечению установленного режима конфиденциальности проводимых работ.
• Используемые в составе системы защиты информации средства защиты информации от несанкционированного доступа должны иметь действующие сертификаты соответствия требованиям безопасности информации ФСТЭК России.
• За обеспечение нормального функционирования информационной системы отвечают:

• …........, в части …….
• …........, в части …….
• …........, в части …….
  • Локальная вычислительная сеть сегментирована и имеет иерархическую архитектуру и использует стек протоколов ТСР/IP. Скорость передачи данных 10 Мбит/сек. АРМ и сервера входят в состав домена под управлением Active Directory. Для вывода на печать используются сетевые (локальные) принтеры.
  • Источниками данных, поступающих в информационную систему, являются данные, вводимые пользователями с клавиатуры, файлы, поступающие из смежных систем при взаимодействии с ними, файлы, загружаемые с учтённых съемных носителей информации (флэш-накопители, оптические диски), со сканирующих устройств, а также файлы, генерируемые средствами защиты информации (журналы аудита).
  • Вывод информации может осуществляться на печатающие устройства, на учтенные съемные носители информации (флэш-накопители, оптические диски).
  • Схема информационных потоков информационной системы представлена на рисунке 1.

Рисунок 1 - Схема информационных потоков

 

2. Доступ к информационным ресурсам (системам)

 

• Объектами доступа в информационной системе являются:

технические средства, предназначенные для обработки и передачи защищаемой информации;

программные средства информационных систем, предназначенные для обработки и передачи защищаемой информации;

учтенные съемные носители защищаемой информации;

все виды памяти АРМ и серверов (в том числе оперативная память), в которых может находиться защищаемая информация;

тома и каталоги на магнитных дисках, в которых хранятся файлы, содержащие защищаемую информацию.

• Субъектами доступа в информационной системе являются пользователи (в том числе привилегированные), допущенные к работам в информационных системах.
• К работе в информационной системе допускаются следующие категории пользователей:

сотрудники, обрабатывающие защищаемую информацию;

администраторы информационных систем;

внешние пользователи;

временные пользователи (сотрудники сторонних организаций, осуществляющие настройку систем и подсистем).

• При первичном допуске к работе в информационной системе пользователь знакомится с требованиями нормативно-методических и организационно-распорядительных документов по вопросам обеспечения безопасности информации, проходит инструктаж у Администратора ИБ, получает имя пользователя (логин), аппаратный идентификатор и личный текущий пароль.
• Вход в операционную систему АРМ осуществляется путем подключения аппаратного идентификатора двухфакторной аутентификации к АРМ, ввода доменного имени и пароля пользователя/администратора на экране приветствия средства защиты информации от несанкционированного доступа.
• До прохождения процедуры аутентификации пользователю запрещены любые действия с АРМ.
• После успешной аутентификации и по окончанию загрузки операционной системы пользователь получает установленные Администратором ИБ права доступа к устройствам (в том числе сетевым), информационным ресурсам, каталогам, файлам и программам.
• Доступ к информационным ресурсам осуществляется на основании функциональных обязанностей пользователей и в соответствии с Матрицей доступа к информационным активам. При этом пользователю задаются минимально необходимые полномочия, достаточные для выполнения своих функциональных обязанностей.

 

3. Обработка информации

 

• Защищаемая информация обрабатывается на автоматизированном рабочем месте пользователя, с использованием средств защиты информации. В случае необходимости переноса файлов на другие АРМ/сервера, относящиеся к той же информационной системе используются учтенные съемные носители информации (флэш-накопители, оптические диски), общие сетевые папки. Вывод информации на неучтенные съемные носители информации ЗАПРЕЩАЕТСЯ.
• В процессе своей работы пользователь обязан выполнять принятые соглашения по обеспечению безопасности информации в рамках предоставленных привилегий по доступу к информационным ресурсам, контролировать целостность и неизменность программной среды АРМ, не допускать установки посторонних программных средств, своевременно извещать руководителя о требуемых имениях в привилегиях доступа к информационным ресурсам и выявленных нарушениях правил обработки защищаемой информации.
• По окончанию работы пользователь информационных ресурсов (систем):

выходит из рабочего приложения, а затем завершает сеанс пользователя в операционной системе;

• Администратор ИБ проводит периодический анализ системных журналов СЗИ НСД на предмет нарушений порядка работ пользователями и попыток несанкционированного доступа к информационным ресурсам (системам).

 

ПРИЛОЖЕНИЕ 9

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

Журнал учета выдачи съемных носителей информации

 

№  п/п	Регистрационный номер съемного носителя информации	Тип съемного носителя информации	Дата выдачи	Расписка в получении (ФИО и подпись)	Место хранения съемного носителя информации	Расписка в обратном приеме (ФИО, подпись и дата)
1	2	3	4	5	5	6

 

ПРИЛОЖЕНИЕ 10

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

ФОРМА

 

Журнал учет уничтожения съемных носителей информации

 

№  п/п	Тип  съемного носителя информации	Учетный номер  носителя информации	Обоснование уничтожения  носителя информации	Дата уничтожения	Номер акта    уничтожения	Ф.И.О. и подпись исполнителя	Ф.И.О. и подпись ответственного за обеспечение безопасности и обработку конфиденциальной информации
1	2	3	4	5	6	7	8

 

ПРИЛОЖЕНИЕ 11

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

ФОРМА

 

Акт уничтожения съемных носителей информации

 

Комиссия в составе:

председатель комиссии:	_____________________________________________________________.
члены комиссии:	_____________________________________________________________.

 

произвела отбор съемных носителей информации и установила, что в соответствии с требованиями руководящих документов по защите информации указанные носители и информация, записанная на них в процессе эксплуатации, в соответствии с действующим законодательством Российской Федерации, подлежит гарантированному уничтожению и составила настоящий акт о том, что произведена утилизация носителей конфиденциальной информации в составе:

 

№ п/п	Тип носителя	Регистрационный номер носителя	Примечание
1	2	3	4

 

Всего подлежит уничтожению ______ (________________) носителей.

                                                                                     (цифрами)               (прописью)

 

Хранящаяся на указанных носителях информация уничтожена путем: _______________________________________________________________________________.

Перечисленные носители уничтожены путем

_______________________________________________________________________________.

 

Председатель комиссии:	_________________________ /		_________________________
	личная подпись		инициалы фамилия
Члены комиссии:	_________________________ /		_________________________
	личная подпись		инициалы фамилия

 

 

ПРИЛОЖЕНИЕ 12

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

 

Перечень мест хранения съемных носителей информации и лиц, ответственных за их сохранность

 

№  п/п	Наименование функционального объекта (отдела)	Место хранения (номер помещения)	Ответственное лицо (ФИО, должность)		Подпись
1	2	3	4		5

 

ПРИЛОЖЕНИЕ 13

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

ФОРМА

 

Заявка на изменение прав доступа к информационным активам

 

От ___________________________________________________ (Ф.И.О., должность)

«___» ____________ 20__ г.

Сведения о пользователе, которому необходимо изменение прав доступа:

 

Наименование отдела:
Ф.И.О. и должность сотрудника, которому необходимо изменение прав доступа к информационным ресурсам:
Имя АРМ пользователя (FQDN), IP-адрес:

 

Основание для изменения прав доступа: ________________________________________________________________________________

 

Перечень необходимых прав доступа к информационным системам Администрации:

 

№  п/п	Наименование ИР/ИС[9])	Учетное имя пользователя[10])	Необходимое изменение прав доступа
1
2
Необходимость использования съемных носителей информации[11]):

 

Согласовано:

Администратор ИС: _____________________    ______________/___________

^{(наименование информационной системы)                                (Ф.И.О.)              (подпись)}

Администратор ИБ: _____________________     ______________/___________

^{(наименование информационной системы)                                (Ф.И.О.)              (подпись)}

 

Должность ФИО

 

ПРИЛОЖЕНИЕ 14

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

Матрица доступа к информационным активам

(объектам файловой системы (файлам, каталогам), информационным системам)

 

№  п/п	Наименование функционального объекта (отдела)	Ф.И.О. пользователя	Должность пользователя	Учетная запись Active Directory	Наименование информационной системы, учетная запись пользователя, его роль (права доступа)		Объекты файловой системы (права доступа)
					Роль	учетная запись	наименование объекта1 (путь)
1	2	3	4	6	7	8	9

 

ПРИЛОЖЕНИЕ 15

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

ФОРМА

Матрица доступа к информационным активам
(средствам защиты информации)

 

№  п/п	Наименование средства защиты информации	Ф.И.О., должность администратора	Роль	Доступ к журналам аудита средства	Доступ к настройкам средства	Доступ к возможности деактивации функционала средства	Сведения, доступные пользователям ИС о конфигурации средства
1	2	3	4	5	6	7	8

 

 

ПРИЛОЖЕНИЕ 16

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

Матрица доступа к информационным активам
(серверам информационных систем)

 

№  п/п	Наименование (FQDN)	Роль сервера	Инвентарный и серийный номер	Тип	IP-адрес	Ф.И.О., должность администратора	Учетная запись	Полномочия администратора по доступу к серверу
1	2	3	4	5	6	7	8	9

 

ПРИЛОЖЕНИЕ 17

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

Матрица доступа к информационным активам
(активному сетевому оборудованию)

 

№  п/п	Наименование (модель)	Инвентарный и серийный номер	IP-адрес	Ф.И.О., должность администратора	Доступ к настройкам средства	Доступ к просмотру настройкам средства	Доступ к журналам аудита средства
1	2	3	4	5	6	7	8

 

ПРИЛОЖЕНИЕ 18

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

 

Реестр

программного обеспечения, разрешенного к использованию
на объекте информатизации

 

№ п/п	Наименование ПО	Версия
1	2	3
Системное программное обеспечение
Прикладное программное обеспечение общего назначения
Прикладное программное обеспечение специализированного назначения[12])

 

ПРИЛОЖЕНИЕ 19

к Политике использования информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания
с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

ФОРМА

 

Уведомление лицензиата ФСТЭК России о планируемых изменениях информационной системы, аттестованной по требованиям безопасности

 

Руководителю организации Почтовый адрес организации

 

Уважаемый Руководитель!

 

Уведомляем Вас о внесении следующих изменений в состав и настройку информационной системы «Название ИС», аттестат № «Номер аттестата соответствия» от «Дата выдачи аттестата соответствия», размещенной по адресу: Места размещения компонентов информационной системы.

 

№ п/п	Состав и причина изменений	Дата внесения изменений
1
2
3
4
5
6
7
8
9
10

 

Приложение 6

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

Политика
антивирусной защиты информации

пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1.  Общие положения

 

• Настоящая политика антивирусной защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Политика) определяет процедуры, направленные на защиту пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А) от разрушающего воздействия компьютерных вирусов и другого вредоносного программного обеспечения.
• Настоящая Политика разработана в соответствии с:

• приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
• методическим документом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2014 года «Меры защиты информации в государственных информационных системах».
  • Подсистема антивирусной защиты информации является одной из составляющих системы защиты информации ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
  • Объектами защиты от воздействия вредоносных программ являются следующие компоненты ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А:
• автоматизированные рабочие места пользователей (далее – АРМ) ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• серверы ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• съёмные носители информации (при их наличии);
  • Защита компонентов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А от компьютерных вирусов осуществляется комплексом организационных мероприятий и технических мер, включающем:
• регулярные профилактические работы;
• анализ ситуации проявления вредоносных программ и причины их появления;
• уничтожение вредоносных программ на АРМ, серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и на используемых съёмных носителях информации;
• принятие мер по предотвращению причин появления вредоносных программ.
  • Технические меры, направленные на защиту ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А от разрушающего воздействия компьютерных вирусов и другого вредоносного программного обеспечения, реализуются за счёт применения в составе подсистемы антивирусной защиты информации соответствующих антивирусных средств, удовлетворяющих установленным требованиям.
  • Реализацией комплекса мероприятий и мер по антивирусной защите занимается администратор информационной безопасности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (далее – Администратор ИБ).

 

2.  Организация мероприятий по антивирусной защите информации

 

• К использованию допускаются только лицензионные средства антивирусной защиты информации, имеющие действующие сертификаты соответствия ФСТЭК России, предъявляемые к средствам антивирусной защиты, приобретенные у разработчиков (официальных поставщиков) данных средств.
• Установка средств антивирусной защиты информации на АРМ и серверы должна осуществляться только с сертифицированных ФСТЭК России дистрибутивов, приобретённых у разработчиков (официальных поставщиков) данных средств.
• Средства антивирусной защиты информации должны использо­ваться на всех АРМ и серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и обеспечивать выполнение следующих требований:

• возможность обнаружения как можно большего числа известных вредоносных программ, в том числе вирусов, деструктивного кода (макровирусов, объектов ActiveX, апплетов языка Java и других), а также максимальную готовность быстрого реагирования на появление новых видов вирусных угроз;
• своевременное уведомление о необходимости обновления антивирусных баз и их последующее обновление из доверенных источников. Контроль целостности обновлений антивирусных баз должен обеспечиваться функционалом антивирусного средства;
• возможность автоматического распространения обновлений антивирусных баз на каждую рабочую станцию и (или) сервер;
• обеспечивать соответствие системных требований средства к платформам, характеристикам и комплектации применяемой вычислительной техники;
• иметь документацию, необходимую для практического применения и освоения средства, на русском языке;
• обеспечение обновлений, консультаций и других форм сопровождения эксплуатации поставщиком средства.
  • При использовании средств антивирусной защиты информации должны выполняться следующие организационные мероприятия:
• запрет использования посторонних (неучтенных) съёмных носителей информации при работе в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• запрет передачи съёмных носителей информации посторонним лицам;
• запрет запуска программ с внешних съёмных носителей информации при работе в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
  • При функционировании средств антивирусной защиты информации на компонентах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А обязательно выполнение следующих требований:
• антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы и другие), получаемая и передаваемая посредством каналов связи (в том числе по электронной почте), а также съёмных носителей информации (CD/DVD-диски, флэш-накопители и тому подобное);
• определение автоматической реакции средства антивирусной защиты информации при обнаружении компьютерных вирусов и другого вредоносного программного обеспечения;
• систематическая проверка содержимого дисков АРМ, серверов;
• проверка в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съёмных носителей информации, сетевых подключений (в том числе к сетям общего пользования) и других внешних источников) при загрузке, открытии или исполнении таких файлов;
• поддержание антивирусных баз в актуальном состоянии и их своевремен­ное распространение на АРМ и сервера ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• запрет деактивации средств антивирусной защиты информации пользователями ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• деактивация средств антивирусной защиты информации на АРМ и серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А только для проведения профилактических меро­приятий и по согласованию с Администратором ИБ;
• оповещение Администратора ИБ и в масштабе времени, близком к реальному, об обнаружении вредонос­ных компьютерных программ (вирусов).

 

3.  Ответственность за исполнение положений

настоящей Политики

 

• Ответственность за исполнение положений настоящей Политики возлагаются на всех сотрудников Администрации, осуществляющих работу на средствах вычислительной техники ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
• Пользователи ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А:

• не должны каким-либо образом препятствовать функционированию (в том числе обновлению) средства антивирусной защиты информации и принимать по­пытки его деактивации;
• должны перед получением или пере­дачей информации осуществить её проверку на предмет наличия компьютерных вирусов и другого вредоносного программного обеспечения. Контроль исходящей информации необходимо проводить непосредственно перед её отправкой и (или) записью на съёмный носитель, а входящей - непосредственно после её приёма перед разархивированием;
• при возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и тому подобное) должны провести внеочередной антивирусный контроль АРМ и при необходимости привлечь Администратора ИБ для определения факта наличия или отсутствия компьютерного вируса;
• при невозможности самостоятельно устранить выявленное средствами антивирусной защиты информации вредоносное программное обеспечение – должны приостановить работу и незамедлительно уведомить Администратора ИБ;
• по факту обнаружения заражённых вирусом файлов должны составить служебную записку Администратору ИБ, в которой необходимо указать предположительный источник (отправителя, владельца и так далее) зараженного файла, тип зараженного файла, характер содержащейся в файле информации и выполненные мероприятия по его нейтрализации.
  • Администратор ИБ должен:
• руководствоваться в своей работе настоящей Инструкцией;
• осуществлять функции по организации антивирусного контроля в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• содействовать пользователям ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А в устранении последствий вирусных заражений;
• давать пояснения пользователям ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А по вопросам функционирования средств антивирусной защиты информации и при необходимости проводить семинары и персональные инструктажи;
• осуществлять планирование и реализацию контрольных мероприятий по проверке степени выполнения положений настоящей Политики функциональными объектами ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• организовывать процесс управления инцидентами информационной безопасности в части положений настоящей Политики (в соответствии с Политикой управления событиями безопасности информации).
  • Руководители функциональных объектов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, должны обеспечить в своих подразделениях выполнение организационных мероприятий согласно пункту 2.4 раздела 2 настоящей Политики.
  • Лица, виновные в нарушении положений настоящей Политики, могут быть привлечены к дисциплинарной, материальной, гражданской, правовой и административной ответственности.

 

 

Приложение 7

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

Политика

использования аутентификационной информации при доступе к информационным активам пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1.  Общие положения

 

• Политика использования аутентификационной информации при доступе к информационным активам пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Политика) определяет требования к комплексу мер по использованию аутентификационной информации при реализации доступа к автоматизированным рабочим местам пользователей (далее – АРМ), серверам, активному сетевому оборудованию и средствам защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А).
• В общем случае под информационными активами понимаются:

• информационные ресурсы, содержание защищаемую информацию (в базах данных, в файловом виде в каталогах).
• средства обработки информации, с помощью которых осуществляется обработка защищаемой информации с учетом технологии ее обработки.
  • Под аутентификационной информацией понимается информация, используемая пользователями и администраторами информационных активов для доступа к ним (имя пользователя, пароль, средства дополнительной аутентификации).
  • Настоящая Политика разработана в соответствии с:
• приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 № 17 года «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• методическим документом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2014 года «Меры защиты информации в государственных информационных системах».

 

 

2.  Порядок формирования и использования аутентификационной информации

 

• Для обеспечения возможности однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами каждому пользователю формируется имя пользователя.
• Администратором информационных систем (далее – Администратор ИС) должно отождествляться имя пользователя с учетной записью пользователя в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, например, «i.ivanov» (при наличии технической возможности) с последующим протоколированием.
• Использование гостевых учётных записей запрещено.
• В случае привлечения третьих лиц для выполнения работ по настройке и тестированию информационных активов, им предоставляются временные учётные записи c предустановленным сроком их действия (при наличии технической возможности), доступ к которым блокируется по завершению работ.
• При создании учётной записи должен быть задан тип учётной записи (при наличии технической возможности). Под типами учётных записей понимается: учётная запись пользователя, учётная запись администратора, временная учётная запись, системная учётная запись.
• Локальная учётная запись администратора операционной системы Windows (Администратор) предназначена только для служебного использования Администратором ИС при настройке систем и не может быть использована для повседневной работы.
• Учётные записи пользователей не подлежат удалению в системе и могут быть только заблокированы.
• Пользователи ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А обязаны хранить в секрете персональные пароли доступа к информационным активам и не передавать их другим лицам. Передача личного пароля пользователя третьим лицам возможно только в случаях, регламентированных в пункте 2.9. настоящей Политики.
• В случае необходимости при проведении проверочных мероприятий (внутренний аналитический аудит), которые требуют знания пароля пользователя ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, допускается раскрытие значений своего пароля проверяющему сотруднику. По окончанию проверочных работ сотрудники самостоятельно производят немедленную смену значений «раскрытых» паролей.
• В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имён и паролей сотрудников (в их отсутствие) допускается изменение паролей администратором ИС. Пользователи ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, чьи пароли были изменены, обязаны сразу же после выяснения факта смены своих паролей, создать их новые значения в соответствии с требованиями настоящей Политики.
• Хранение сотрудником Администрации (администратором, пользователем) аутентификационной информации (бумажный носитель с логином и паролем, аппаратный идентификатор) допускается только в личном сейфе (запираемом шкафу, ящике) либо в сейфе (запираемом шкафу, ящике) руководителя структурного подразделения Администрации. При этом бумажный носитель должен быть упакован в отдельный опечатанный конверт. В случае, если сотрудник Администрации передает аутентификационную информацию (аппаратный идентификатор) на хранение своему руководителю, факт передачи заносится в журнал учета выдачи аппаратных идентификаторов (Форма журнала приведена в приложении №1).
• При доступе к средствам обработки информации (серверам, активному сетевому оборудованию, средствам защиты информации) запрещается использование аутентификационной информации, заданной производителем «по умолчанию».
• После получения доступа к информационному активу пользователь при первом входе в систему должен сменить пароль доступа на пароль, удовлетворяющий требованиям настоящей Политики.
• При вводе аутентификационной информации (пароля) должно обеспечиваться исключение отображения вводимой парольной информации (например, осуществляется замена вводимых символов условными знаками «-», «*» или иными знаками). В случае отсутствия технической возможности реализации данного требования пользователь самостоятельно создает условия защиты, вводимой аутентификационной информации.
• Запрещается передача аутентификационной информации пользователям при помощи почтовых сообщений, либо по иным открытым каналам связи.
• В случае компрометации аутентификационных данных пользователи ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А должны незамедлительно сообщить об этом событии, являющемся инцидентом информационной безопасности, администратору информационной безопасности (далее – Администратор ИБ).
• Предусматривается периодическая плановая (в соответствии с установленным сроком) и внеплановая смена паролей.
• Внеплановая немедленная смена пароля обязательна в случае его компрометации. Также, внеплановая смена пароля и (или) блокирование учётной записи пользователя производится в случае прекращения его полномочий, непосредственно после окончания последнего сеанса работы данного пользователя.
• Должностным лицам запрещается разглашать пароли, ставшие известными им в ходе служебной деятельности по обеспечению функционирования ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.

 

3.  Требования к качеству аутентификационной информации и мер по обеспечению её безопасности

 

• К аутентификационной информации пользователей и администраторов информационных активов определены следующие требования, представленные в таблице 1:

Таблица 1 – Требования к аутентификационной информации

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               

 

№ п/п	Параметр качества пароля	Администратор	Пользователь
1	Минимальная длина пароля в символах	8	6
2	Максимальная длина пароля в символах	не ограничена	не ограничена
3	Содержание в пароле букв верхнего и нижнего регистра	да	да
4	Содержание в пароле специальных символов (@, #, $, &, * и тому подобное) и цифр (при наличии тех­нической возможности)	обязательно	рекомендуется
5	Содержание в пароле личных имён, фамилий, кличек домашних животных, номеров телефо­нов, дат рождения, географических названий, именований АРМ и тому подобное.	запрещено	запрещено
6	Содержание в пароле общепринятых сокраще­ний (Admin, Administrator, ViPNet, Cisco, User, UserID и так далее)	запрещено	запрещено
7	Максимальное количество неуспешных попыток аутентификации (ввода неправильного па­роля) до блокировки	3	8
8	Блокировка сеанса доступа к информационному активу ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А после времени бездействия (неактивности) пользователя (минут)	5	15
9	Блокировка программно-технического средства или учётной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации	30	15
10	Блокировка учётной записи после периода не­использования (дней)	60	90
11	Минимальное отличие нового пароля от предыдущего (в позициях)	4	3
12	Количество уникальных паролей, устанавлива­емых подряд (в течение установленного срока смены паролей)	не менее 5	не менее 3
13	Максимальный срок действия пароля	60 дней	90 дней
14	Минимальный срок действия пароля	нет	нет

 

4.  Ответственность за исполнение положений

настоящей Политики

 

• Ответственность за исполнение положений настоящей Политики возлагается на всех сотрудников Администрации, осуществляющих работу на средствах вычислительной техники ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
• Пользователи информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А должны:

• в случае самостоятельного формирования пароля доступа к компонентам информационных активов руководствоваться требованиями к качеству аутентификационной информации и мер по обеспечению её безопасности, установленными положениями настоящей Политики;
• в случае получения аутентификационной информации от администратора ИС осуществить смену пароля пользователя при наличии технической возможности, а в случае отсутствия техниче­ской возможности обеспечить условия его сохранности;
• следить за сроком действия паролей и своевременно производить их смену, а в случае отсутствия технической возможности обращаться по вопросу их смены к администраторам ИС;
• не допускать многократного ввода неправильного пароля и блокировки своих учётных записей;
• в случае компрометации аутентификационной информации незамедлительно уведомлять Администратора ИБ.
  • Администратор ИС обязан:
• создавать учётные записи пользователей информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и обеспечивать управление их жизненным циклом в соответствии с требованиями к качеству аутентификационной информации и мерами по обеспечению её безопасности, установленными положениями настоящей Политики;
• своевременно осуществлять блокировку/разблокировку учётной записи пользователя информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, а также внеплановую смену пароля в случае запросов пользователей информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (с незамедлительным информированием Администратора ИБ об инциденте информационной безопасности).
  • Администратор ИБ обязан:
• руководствоваться положениями настоящей Политики при задании аутентификационной информации на доступ к средствам защиты информации;
• устанавливать и централизованно распространять требования к качеству аутентификационной информации и мерам по обеспечению её безопасности в соответствии с требованиями, установленными положениями настоящей Политики;
• управлять (создавать, изменять, удалять, блокировать, разблокировать) учётными записями пользователей информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, зарегистрированных в подсистеме управления доступом средства защиты информации от несанкционированного доступа;
• осуществлять планирование и реализацию контрольных мероприятий по проверке степени выполнения положений настоящей Политики пользователями информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• организовывать процесс управления инцидентами информационной безопасности в части положений настоящей Политики (в соответствии с Политикой управления событиями безопасности информации).
  • Лица, виновные в нарушении положений настоящей Политики, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой и административной ответственности.

 

Приложение 8

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

 

ПОЛИТИКА

обеспечения отказоустойчивости информационных активов

пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий

в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1.  Общие положения

 

• Политика обеспечения отказоустойчивости информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Политика) определяет порядок обеспечения отказоустойчивости технических средств и систем пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А).
• Настоящая Политика разработана в соответствии с:

• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
• приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• методическим документом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2014 года «Меры защиты информации в государственных информационных системах».
  • Под обеспечением отказоустойчивости ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, в общем случае понимается:
• обеспечение целостности информации, программного обеспечения (в том числе средств защиты информации);
• обеспечение доступности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и средств обработки информации (автоматизированных рабочих мест (далее – АРМ), серверов, активного сетевого оборудования, средств защиты информации) и защищаемой информации;
• контроль состояния и качества предоставления канала связи.
  • Обеспечение отказоустойчивости ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А реализуется путём:
• контроля физического доступа к техническим средствам;
• защиты технических средств от внешних воздействий;
• резервирования технических средств;
• резервного копирования и восстановления информации;
• тестирования функций технического и программного обеспечения по реализации отказоустойчивости;
• контроля взаимодействия с поставщиками услуг (уполномоченными лицами).

 

2.  Контроль физического доступа и защита технических средств

 

• Для помещений, в которых размещаются компоненты ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (средства обработки информации), должна обеспечиваться контролируемая зона^[13]).
• Границы контролируемой зоны ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А отражаются в Техническом паспорте ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (в соответствии с Политикой использования информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А).
• Порядок доступа в помещения осуществляется в соответствии с организационно-распорядительным документом «Правила доступа в помещения, в которых размещаются компоненты информационных систем Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания».
• Учёт доступа в помещения может реализовываться путём:

• использования систем контроля и управления доступом;
• использования систем охраны помещений;
• использования систем видеонаблюдения;
• опечатывания помещений и контроля выдачи ключей от помещений;
• реализации иных мер, предусмотренных контрольно-пропускным режимом.
  • Должна обеспечиваться защита технических средств от внешних воздействий[14]⁾, включающая:
• поддержание необходимого температурно-влажностного режима ‑ для серверных помещений (путём использования систем кондиционирования). Должно исключаться наличие в серверных помещениях труб отопления;
• обеспечение выполнения норм и правил пожарной безопасности – для всех помещений размещения технических средств;
• обеспечение необходимых для эксплуатации технических средств, условий по степени запылённости воздуха – для всех помещений размещения технических средств;
• обеспечение выполнения норм и правил устройства и технической эксплуатации электроустановок, а также соблюдение параметров электропитания и заземления технических средств (в том числе использование для АРМ, серверов, активного сетевого оборудования, средств защиты информации, выполненных в виде программно-аппаратных комплексов, кратковременных резервных источников питания (достаточных для обеспечения правильного (корректного) завершения работы технического средства, устройства в случае отключения основного источника питания) и (или) долговременных резервных источников питания в случае длительного отключения основного источника питания и необходимости продолжения
  выполнения техническим средством установленных функциональных задач^[15]).

 

3.  Обеспечение отказоустойчивости технических средств

 

• Обеспечение отказоустойчивости технических средств осуществляется путём:

• выполнения требований раздела 2 настоящей Политики;
• контроля пороговых значений основных показателей функционирования технических средств (степени загрузки: процессорных мощностей, дискового пространства, оперативной памяти, каналов связи и прочее);
• резервирования информационных ресурсов и средств обработки информации (АРМ; серверов; активного сетевого оборудования, в том числе средств защиты информации, выполненных в виде программно-аппаратных комплексов) имеющих высокую критичность (в соответствии с Политикой использования информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А). Под резервированием понимается повышение характеристик надёжности технических средств посредством введения аппаратной избыточности за счёт включения запасных (резервных) элементов и связей, дополнительных по сравнению с минимально необходимым для выполнения заданных функций в данных условиях работы.
  • Предусматривается три вида резервирования:
• нагруженный (горячий) резерв — резервные элементы нагружены так же, как и основные;
• облегчённый (ждущий) резерв — резервные элементы нагружены меньше, чем основные;
• ненагруженный (холодный) резерв — резервные элементы практически не несут нагрузки.

 

4.  Обеспечение резервного копирования и восстановления информации

 

• Резервному копированию подлежат:

• защищаемая информация (информационные ресурсы: файлы и каталоги, базы данных ИС);
• параметры настройки, конфигурации и журналы аудита средств защиты информации.
  • Резервное копирование может осуществляться следующими способами:
• посредством использования специализированного программного обеспечения на хранилища данных (выделенные серверы резервного копирования, ленточные библиотеки, сетевые хранилища) – тип 1 (автоматически);
• посредством функционала программного обеспечения (функционала СУБД; прикладного программного обеспечения; функционала средств защиты информации) с их последующим сохранением на места размещения резервных копий (хранилища данных, съёмные носители информации) ‑ тип 2 (автоматически или вручную);
• посредством копирования защищаемой информации на места размещения резервных копий (хранилища данных, съёмные носители информации) – тип 3 (вручную).
  • Резервные копии запрещается хранить в одном месте с резервируемыми данными.
  • Зеркалирование жёстких дисков (использование технологии RAID) не является процессом резервного копирования защищаемой информации.
  • Используемая схема резервного копирования должна обеспечивать производительность, достаточную для сохранения информации в установленные сроки и с заданной периодичностью^[16]).
  • Предусматриваются следующие схемы резервного копирования:
• инкрементальное резервное копирование – копируются только данные, которые были изменены со времени предыдущего резервного копирования. Последующее инкрементальное резервное копирование добавляет только данные, которые были изменены с момента предыдущего;
• дифференциальное резервное копирование – копируется каждый файл, который был изменён с момента последнего полного резервного копирования, копируется всякий раз заново;
• полное резервное копирование – создаётся полная копия всех данных.
  • В случае хранения резервных копий на съёмных носителях информации они должны быть учтены и храниться в соответствии с Политикой использования информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А. Съёмный носитель с резервной копией должен быть подписан и содержать следующую информацию:
• перечень информационных ресурсов, резервные копии которых хранятся на данном носителе;
• схему резервного копирования;
• год, месяц, число, время создания резервной копии.
  • Конкретные информационные ресурсы, подлежащие резервному копированию, способ, периодичность^[17]) (для каждого способа) их копирования, а также место размещения/хранения резервных копий указывается в Перечне информационных ресурсов, подлежащих резервному копированию (далее – перечень). Форма перечня приведена в приложении 1 к настоящей Политике. Не допускается хранение резервных копий в местах, не предусмотренных для этого. Характеристики процесса резервного копирования определяются администратором ИС и администратором информационной безопасности (далее – Администратор ИБ).
  • Учёт проведения резервного копирования должен осуществляться автоматизированными средствами (в случае наличия технической возможности) или в «Журнале учёта проведения резервного копирования» (форма журнала приведена в приложении 2 к настоящей Полиике). Данный журнал может вестись в электронном виде.
  • Восстановление защищаемой информации из резервных копий осуществляется в случае её утраты или повреждения вследствие несанкционированного доступа к ней, воздействия вирусов, программных ошибок, ошибок работников или аппаратных сбоев.
  • Срок восстановления защищаемой информации (время, в течение которого должно быть выполнено восстановление информации, обеспечивающее требуемые условия непрерывности функционирования информационного ресурса (системы) и доступности информации) определяется обладателем информационного ресурса (системы) и отражается Администратором ИС в Перечне информационных ресурсов, подлежащих резервному копированию. Восстановление данных из резервных копий должно осуществляться в максимально сжатые сроки, ограниченными техническими возможностями.
  • В зависимости от характера и уровня повреждения информационного актива восстанавливается либо весь массив резервных данных, либо отдельные поврежденные или уничтоженные файлы и папки.
  • Все действия по восстановлению защищаемой информации должны быть учтены в «Журнале учёта восстановления информации» (форма журнала приведена в приложении 3 к настоящей Политике).
  • Ответственность за резервирование и восстановление защищаемой информации несет Администратор ИС.
  • О факте повреждения защищаемой информации и необходимости восстановления защищаемой информации наряду с Администратором ИС уведомляется Администратор ИБ. Данный факт регистрируется как инцидент информационной безопасности.
  • Резервное копирование параметров настройки, конфигурации, а также журналов аудита средств защиты информации, осуществляется Администратором ИБ.

 

5.  Ответственность за исполнение положений

настоящей Политики

 

• Ответственность за исполнение положений настоящей Политики возлагается на всех сотрудников функциональных объектов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
• Пользователи информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А несут ответственность за обеспечение резервного копирования служебных данных, располагающихся на своих АРМ, вне сетевых файловых хранилищ. Резервное хранение таких данных осуществляется строго на учтённые съёмные носители информации.
• Администратор ИБ несет ответственность за:

• обеспечение выполнения требований эксплуатационной документации средств защиты информации, находящихся в зоне его ответственности;
• контроль пороговых значений основных показателей функционирования средств защиты информации, находящихся в зоне его ответственности;
• определение информации, подлежащей резервному копированию и определение характеристик резервного копирования данных (в зоне своей ответственности);
• проведение резервного копирования и восстановление, а также их учёт;
• сохранность резервных копий;
• периодическую проверку корректности функционирования средств обеспечения отказоустойчивости технических средств;
• периодическую проверку функций средств резервного копирования и восстановления защищаемой информации;
• осуществление планирования и реализацию контрольных мероприятий по проверке степени выполнения положений настоящей Политики сотрудниками функциональных объектов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• организацию процесса управления инцидентами информационной безопасности в части положений настоящей Политики (в соответствии с Политикой управления событиями безопасности информации).
  • Администратор ИС несет ответственность за:
• контроль пороговых значений основных показателей функционирования технических средств (степени загрузки: процессорных мощностей, дискового пространства, оперативной памяти, каналов связи и прочее);
• мониторинг состояния и качества предоставляемых каналов связи;
• определение информации, подлежащей резервному копированию;
• определение способов и периодов резервного копирования данных, а также необходимых сроков их восстановления;
• проведение резервного копирования и восстановление информации (в рамках его зоны ответственности), а также их учёт;
• уведомление Администратора ИБ о фактах повреждения защищаемой информации и необходимости её восстановления;
• сохранность резервных копий;
• периодическую проверку корректности функционирования средств обеспечения отказоустойчивости технических средств;
• периодическую проверку функций средств резервного копирования и восстановления защищаемой информации.
  • Лица, виновные в нарушении положений настоящей Политики, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой и административной ответственности.

 

 

ПРИЛОЖЕНИЕ 1

к Политике обеспечения отказоустойчивости информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности

Республики Северная Осетия – Алания»

в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

Форма

 

ПЕРЕЧЕНЬ

информационных ресурсов, подлежащих резервному копированию

 

№ п/п	Наименование информационного ресурса/системы	Способ резервного копирования, средство	Период резервного копирования	Место размещения/хранения резервных копий	Срок восстановления информации	Лицо, ответственное за резервное копирование и восстановление информации
1	2	3	4	5	6	7

 

ПРИЛОЖЕНИЕ 2

к Политике обеспечения отказоустойчивости информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности

Республики Северная Осетия – Алания»

в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

Форма

 

ЖУРНАЛ

проведения резервного копирования информации

 

№ п/п	Наименование информационной ресурса/системы	Схема резервного копирования	Время и дата резервного копирования	Произвёл резервное копирование
				Ф.И.О.	подпись[18])
1	2	3	4	5	6

 

ПРИЛОЖЕНИЕ 3

к Политике обеспечения отказоустойчивости информационных активов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности

Республики Северная Осетия – Алания»

в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

Форма

ЖУРНАЛ

проведения восстановления информации

 

№ п/п	№ инцидента ИБ[19])	Наименование информационной ресурса/системы	Источник резервной копии с указанием схемы резервного копирования	Время и дата восстановления	Произвёл восстановление
					Ф.И.О.	подпись[20])
1	2	3	4	5	6	7

 

 

Приложение 9

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

ПОЛИТИКА

сетевой безопасности информационных систем

пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1. Общие положения

 

• Политика сетевой безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Политика) регулирует вопросы обеспечения сетевой безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А), как части комплекса мер по обеспечению безопасности информации в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
• Настоящая Политика разработана в соответствии с:

• приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• методическим документом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2014 года «Меры защиты информации в государственных информационных системах».
  • Настоящая Политика определяет требования сетевой безопасности, технологии и механизмы обеспечения безопасности сетевой инфраструктуры, а также принципы управления сетевой безопасностью.

 

2. Общие требования по обеспечению сетевой безопасности

 

• Локально-вычислительная сеть (далее – ЛВС) является составной частью информационных систем Администрации, обеспечивающая ее функционирование.
• ЛВС подлежит защите от воздействий (как внутренних, так и внешних), которые могут привести к:

• нарушению непрерывности функционирования информационных процессов;
• нарушению конфиденциальности защищаемой информации;
• целостности защищаемой информации и правил разграничения доступа к информационным активам.
• нарушению доступности защищаемой информации и сервисов ИС.
  • Средства, используемые в составе ЛВС для обеспечения необходимого уровня безопасности информации, должны обеспечивать:
• доступность, целостность и конфиденциальность информационных активов;
• защиту каналов передачи данных и управления, их доступность;
• защиту сетевого трафика от перехвата;
• защищённый удалённый доступ в информационную систему;
• простоту используемых технологий защиты информации и их эксплуатации;
• прозрачность используемых средств и механизмов защиты для пользователей.
  • С целью обеспечения выполнения указанных требований в составе ЛВС должны применяться следующие технологии сетевой безопасности:
• межсетевое экранирование;
• обнаружение и предотвращение вторжений;
• криптографическая защита информации.
  • С целью минимизации возможных точек доступа к сетям связи общего пользования использование технологий беспроводной передачи данных на территории Администрации запрещено:
  • Для регистрации сетевых узлов (автоматизированных рабочих мест, серверов и активного сетевого оборудования) в сети используются физические адреса (MAC-адреса) и IP-адреса. Для каждого сетевого узла задается IP-адрес маршрутизатора (адрес шлюза по умолчанию), через который он может связываться с компьютерами в сегментах локальных сетей.
  • Доступ к средствам (устройствам) сетевой безопасности предоставляется сотрудникам, наделённым соответствующими полномочиями.

 

3. Межсетевое экранирование

 

• Средствами межсетевого экранирования должен реализовываться следующий функционал:

• идентификация сетевых устройств по IP-адресам и (или) MAC-адресам;
• аутентификация сетевых устройств, по одному из протоколов: Remote Authentication Dial-In User Service (RADIUS); Terminal Access Controller Access Control Systems (TACACS); Lightweight Directory Access Protocol (LDAP); Kerberos;
• фильтрация информационных потоков по протоколам (например, TCP, UDP, IP), портам и адресам назначения, а также определение маршрутов передачи информации (требования к фильтра­ции устанавливаются в соответствии с заявками пользователей на доступ к ин­формационным активам в порядке, установленном Политикой использования информационных активов ПС ГИС РСО–А «ИС ОГД
  РСО–А» в АМС Моздокского района РСО–А^[21]), а также потребностями администраторов, обусловленными необходимостью администрирования информационных активов и средств обработки информации);
• завершение сетевых соединений (например, открепление пары порт/адрес (TCP/IP)) по их завершении и (или) по истечении заданного администратором временного интервала неактивности сетевого соединения).
  • С целью выполнения указанных требований могут применяться:
• программные и программно-аппаратные средства межсетевого экранирования уровня периметра сети – на внешней границе ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• программные средства межсетевого экранирования уровня хоста – на внутренних узлах сегментов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (автоматизированных рабочих местах (далее – АРМ) и серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А);
• иное активное сетевое оборудование (коммутаторы, маршрутизаторы и прочее), реализующие необходимый функционал.
  • Используемые средства межсетевого экранирования должны иметь соответствующие действующие сертификаты соответствия, выданные ФСТЭК России.
  • Средства межсетевого экранирования могут интегрироваться со средствами антивирусной защиты информации с целью обеспечения антивирусной защиты информации периметра ЛВС.

 

4. Обнаружение вторжений

 

• Система обнаружения и предотвращения вторжений (далее - СОВ) позволяет распознавать вредоносную активность внутри сети. СОВ должны иметь в своем составе следующие компоненты:

• регистрации событий безопасности (датчики);
• анализа событий безопасности и распознавания компьютерных атак (анализаторы);
• базу решающих правил (базу сигнатур), содержащую информацию о характерных признаках компьютерных атак.
  • Средствами обнаружения вторжений должен реализовываться следующий функционал:
• отслеживание атак в режиме реального времени;
• использование сигнатурных и эвристических методов для анализа сетевого трафика;
• создавать профили (наборы сигнатур, релевантных для защиты определенных сервисов);
• задавать правила, определяющие действия для выбранного типа трафика (IP, ICMP, TCP, UDP)
• протоколирование нештатных ситуаций, а также попыток проведения вторжений и предотвращение угроз в журнале регистраций событий, а также предоставление отчетов;
• защита от атак на сетевые протоколы на различных уровнях модели OSI;
• возможность анализа собранных данных СОВ о сетевом трафике в режиме, близком к реальному масштабу времени;
• централизованное управление (администрирование) компонентами средств, установленными в различных сегментах ИС;
• обновление (из доверенных источников) базы решающих правил;
• контроль целостности обновлений базы решающих правил;
• уведомление о необходимости обновления и непосредственном обновлении базы решающих правил.
  • С целью выполнения указанных требований могут применяться:
• программные и программно-аппаратные средства обнаружения вторжений уровня периметра сети – на внешней границе ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• программные средства обнаружения вторжений уровня хоста – на внутренних узлах сегментов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (АРМ пользователя).
  • Используемые средства обнаружения вторжений должны иметь соответствующие действующие сертификаты соответствия, выданные ФСТЭК России.

 

5. Криптографическая защита информации

 

• Средства криптографической защиты информации (далее – СКЗИ), передаваемой по каналам связи, должны применяться в случае, если:

• передача защищаемой информации, в том числе персональных данных, осуществляется по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче защищаемой информации по информационно-телекоммуникационным сетям общего пользования; удаленном доступе к информационным ресурсам (системам) и средствам обработки информации, в том числе для администрирования).
• хранение защищаемой информации осуществляется на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
  • Используемые СКЗИ, передаваемой по каналам связи, должны иметь соответствующие действующие сертификаты соответствия, выданные ФСБ России.
  • С целью выполнения указанных требований могут применяться:
• программно-аппаратные СКЗИ, передаваемой по каналам связи (криптографические шлюзы) – на внешней границе ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• программные средства и (или) программно-аппаратные СКЗИ информации (в том числе средства электронной подписи) – на внутренних узлах сегментов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (АРМ и серверах ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А).
  • Эксплуатация СКЗИ, должна осуществляться в соответствии с Политикой использования средств криптографической защиты информации в информационных системах министерства строительства и архитектуры Республики Северная Осетия-Алания.

 

6. Ответственность за исполнение положений настоящей Политики

 

Основные функции администрирования ЛВС в министерстве строительства и архитектуры Республики Северная Осетия-Алания выполняет администратор информационных систем министерства строительства и архитектуры Республики Северная Осетия-Алания (далее – Администратор ИС).

• Администрирование ЛВС включает в себя реализацию следующих основных функций:

• планирование, создание и сопровождение кабельной системы ЛВС;
• организацию и сопровождение системы локальных сетей (VLAN), коммутаторов уровня доступа, магистральных коммутаторов и маршрутизаторов ЛВС;
• составление и поддержку адресного плана;
• организацию и сопровождение внешних каналов связи, внешней маршрутизации ЛВС;
• взаимодействие с операторами связи;
• организацию и поддержку доменной службы имён;
• организацию и поддержку домена службы каталогов (MS Active Directory) Департамента, регистрацию объектов доменов и сопровождение их учётных записей;
• организацию и поддержку сетевых информационных ресурсов в форме файловых серверов, серверов баз данных;
• разработку и реализацию мероприятий по защите ресурсов ЛВС от несанкционированного доступа;
• обеспечение резервного копирования и восстановления информационных активов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
  • Администратор ИС несет ответственность за:
• знание структуры сети ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• ведение учёта назначенных сетевым узлам IP-адресов;
• настройку параметров активного сетевого оборудования, принадлежащего Администрации, в соответствии с положениями настоящей Политики;
• настройку параметров фильтрации и маршрутизации информационных потоков в соответствии с установленными правилами;
• обеспечение резервирования критически важного активного сетевого оборудования, принадлежащего Администрации и принятие мер по восстановлению работоспособности данного оборудования;
• незамедлительное информирование о произошедших инцидентах, связанных с нарушением информационной безопасности (или при возникновении подозрения о возможности появления инцидента, связанного с нарушением информационной безопасности) Администратора ИБ ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
  • незамедлительное информирование о произошедших инцидентах, связанных с нарушением информационной безопасности (или при возникновении подозрения о возможности появления инцидента, связанного с нарушением информационной безопасности) Администратора ИБ
  • Пользователь ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А несёт личную ответственность за весь информационный обмен между его компьютером и другими компьютерами в ЛВС и за её пределами. В случае если с данного компьютера производился несанкционированный доступ к информации на других компьютерах и в случаях других серьёзных нарушений правил пользования сетью, по решению Администратора ИБ ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, АРМ пользователя отключается от сети, учётная запись пользователя блокируется.
  • Лица, виновные в нарушении положений настоящей Политики, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой и административной ответственности

 

Приложение 10

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

Политика

аудита информационной безопасности

пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1. Общие положения

 

• Настоящая политика аудита пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Политика) определяет единый системный подход к осуществлению контроля обеспечения информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А) посредством проведения аудита информационной безопасности.
• Настоящая политика разработана в соответствии с:

• приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• методическим документом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2014 года «Меры защиты информации в государственных информационных системах».
  • Аудит информационной безопасности проводится с целью:
• анализа рисков, связанных с возможностью осуществления угроз безопасности в отношении защищаемой информации;
• оценки текущего уровня защищённости информационных систем;
• выявления и локализации «слабых» мест в системе защиты информации ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• оценки соответствия информационных систем требованиям регулирующих органов и внутренним нормативным документам, регламентирующим процессы обработки и защиты информации в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• выработки рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения безопасности защищаемой информации.
  • Аудит информационной безопасности может проводиться:
• самостоятельно работниками Администрации, ответственными за обеспечение защиты информации – внутренний аудит;
• на договорной основе со сторонними организациями, имеющими лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, в соответствии с постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» – внешний аудит.

 

2. Внутренний аудит информационной безопасности

 

• Внутренний аудит заключается в оценке выполнения требований нормативных документов по обеспечению безопасности и защищённости информации, обрабатываемой в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
• Внутренний аудит представляет собой непрерывную и неотъемлемую часть деятельности, по обеспечению информационной безопасности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, осуществляемой на следующих этапах жизненного цикла информационных систем:

• на предпроектном этапе;
• на этапе проектирования;
• на этапе подготовки к вводу в эксплуатацию;
• на этапе проведения опытных испытаний;
• на этапе эксплуатации. 
  • Внутренний аудит должен проводиться:
• с использованием сертифицированных ФСТЭК России автоматизированных средств контроля (анализа) защищённости и соответствия требованиям – инструментальный аудит;
• без использования автоматизированных средств – аналитический аудит.
  • Внутренний аудит может быть плановый: ежегодный, проводимый с целью проверки степени выполнения Администрацией требований по обеспечения информационной безопасности, так и периодический, проводимый в отношении отделов Администрации (формы планов проведения внутреннего аудита представлена в приложении 1 к настоящей Политике), а также внеплановый.
  • Внеплановый внутренний аудит может проводиться в случае:
• наличия косвенных подтвержденных сведений о нарушениях работниками Администрации требований к обеспечению информационной безопасности;
• многократных инцидентов нарушения информационной безопасности, случившихся в отделах Администрации;
• подготовки к контролю со стороны уполномоченных федеральных органов, регулирующих деятельность в сфере обработки и защиты информации.
  • Внеплановый внутренний инструментальный аудит может проводиться после появления информации об уязвимости и соответствующем обновлении баз средств контроля (анализа) защищённости.
  • Внутренний аналитический аудит проводится в целях проверки:
• назначения лиц, ответственных за защиту информации;
• определения соответствия состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (в том числе средств защиты информации), документированному составу и структуре средств, разрешённых для обработки такой информации;
• соответствия реального уровня полномочий по доступу к информационным ресурсам (системам), внутренним документам;
• правильности применения средств защиты информации;
• организации хранения носителей информации и допуска в помещения, в которых размещены средства обработки информации и осуществляется обработка защищаемой информации;
• выполнения требований к условиям размещения технических средств, обрабатывающих защищаемую информацию, в служебных помещениях;
• выполнения требований, предъявляемых к порядку обработки и защиты персональных данных;
• проверки знания пользователями требований руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения технологией безопасной обработки информации, описанной в этих документах.
  • Структура плана проведения внутреннего аналитического аудита приведена в приложении 2 к настоящей Политике.
  • Для проведения внутреннего аналитического аудита информационной безопасности, привлекается комиссия по обеспечению информационной безопасности (далее – Комиссия по ОИБ), утвержденная приказом главы Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания.
  • Члены Комиссии по ОИБ имеют право:
• осматривать помещения, в которых производится обработка конфиденциальной информации;
• получать доступ к техническим средствам, участвующим в обработке информации; просматривать настройки средств защиты информации;
• проводить беседы и консультации с работниками Администрации, требовать от них предоставления письменных объяснений, справок, отчётов по вопросам, относящимся к предмету аудита.
  • По результатам внутреннего аналитического аудита:
• комиссией по ОИБ в двухнедельный срок составляется акт о результатах внутреннего аудита Администрации, выявленных недостатках и нарушениях, а также разрабатывается план устранения выявленных в ходе проведения внутреннего аналитического аудита информационной безопасности недостатков (форма плана приведена в приложениях 3-5 к настоящей Политике), который передается на согласование главе Администрации;
• глава Администрации, при необходимости, вносит изменения в данный план и контролирует реализацию его пунктов;
• лица, назначенные ответственными за реализацию пунктов Плана, в согласованный срок отчитывается о результатах проделанной работы.
  • Внутренний инструментальный аудит проводится в целях:
• выявления (поиска) уязвимостей, связанных с ошибками кода в программном обеспечении средств защиты информации, с правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также с корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;
• контроля, установленного на АРМ и серверах информационных систем программного обеспечения и соответствие его Реестру разрешённого к использованию в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А программного обеспечения;
• контроля установки обновлений программного обеспечения;
• проверки выполнения требований, установленных организационно-распорядительными документами Администрации, регламентирующими процессы обработки и защиты информации.
• наблюдения за действиями пользователей информационных систем с целью контроля соблюдения ими норм и требований обеспечения безопасности информации, установленных в Администрации;
• получения актуальных и объективных данных о текущем состоянии обеспечения безопасности информационных систем (в том числе от внешних угроз со стороны потенциальных злоумышленников);
• контроля возникновения и устранения уязвимостей и ошибок конфигурации информационных систем;
• оценки и отражения в отчётах текущего уровня защищённости информационных ресурсов (систем), средств обработки информации, динамики его изменения;
• разработки рекомендаций по повышению уровня безопасности информационных ресурсов (систем), средств обработки информации.
  • Периодичность проведения инструментального аудита напрямую зависит от критичности информационных ресурсов (систем), средств обработки информации и составляет:
• для информационных ресурсов (систем), средств обработки информации с высокой критичностью – раз в 2 недели;
• для информационных ресурсов (систем), средств обработки информации со средней критичностью – ежемесячно;
• для информационных ресурсов (систем), средств обработки информации с низкой критичностью – раз в 1 – 3 месяца.
  • Сканирование информационных ресурсов (систем), средств обработки информации, в процессе которого выявляются уязвимости программного обеспечения, рекомендуется совмещать со сканированием, в процессе которого анализируются параметры безопасности ресурсов (систем), средств обработки информации.
  • Внутренний инструментальный аудит проводится администратором информационной безопасности. При проведении аудита им могут привлекаться иные лица, ответственные за отдельные информационные ресурсы (системы), средства обработки информации.
  • По результатам внутреннего инструментального аудита администратором информационной безопасности разрабатывается отчёт с описанием выявленных уязвимостей и планом мероприятий по их устранению, который направляется в отдел информационно-аналитического сопровождения, для принятия последующих мер, направленных на устранение выявленных уязвимостей.
  • Выявленные в ходе сканирования информационных ресурсов (систем), средств обработки информации уязвимости и несоответствия следует классифицировать по уровню связанных с ними рисков согласно следующей методологии:

 

№ п/п

Уровень риска

Возможности и ограничения нарушителя при эксплуатации уязвимости

Срок устранения уязвимости

 

1	2	3	4
1	Наивысший уровень	Эксплуатация уязвимости/несоответствия позволяет нарушителю установить полный контроль над информационным ресурсом (системой), средством обработки информации в целом или развернутым на нем приложении	7 дней
2	Высокий уровень	Эксплуатация уязвимости/несоответствия позволяет нарушителю получить несанкционированный доступ к защищаемой информации или сервису	14 дней
3		Эксплуатация уязвимости/несоответствия позволяет нарушителю установить полный контроль над информационным ресурсом (системой), средством обработки информации в целом или развернутым на нем приложением. Эксплуатация возможна только при определенных условиях, например, при особой конфигурации информационных ресурсов (систем), средств обработки информации	14 дней
4	Средний уровень	Эксплуатация уязвимости/несоответствия нарушителем приводит к отказу в обслуживании информационных ресурсов (систем), средств обработки информации	30 дней
5		Эксплуатация уязвимости/несоответствия позволяет нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации или сервису, контроль над информационным ресурсом (системой), средством обработки информации или развернутым на нем приложением. Для эксплуатации уязвимости/несоответствия нарушителю требуется удалённый доступ к информационному ресурсу (системе), средству обработки информации с определёнными привилегиями	30 дней
6	Низкий уровень	Эксплуатация уязвимости/несоответствия позволяет нарушителю повысить свои привилегии без получения несанкционированного доступа к защищаемой информации или сервису. Для эксплуатации уязвимости/несоответствия нарушителю требуется санкционированный доступ к данному информационному ресурсу (системе), средству обработки информации	45 дней
7		Эксплуатация уязвимости/несоответствия предоставляет нарушителю чувствительную информацию, полезную для развития атаки	45 дней
8	Нулевой уровень	Эксплуатация уязвимости/несоответствия предоставляет нарушителю общедоступную информацию об информационном ресурсе (системе), средстве обработки информации	60 дней
9		Эксплуатация уязвимости/несоответствия позволяет нарушителю повысить свои привилегии без получения несанкционированного доступа к защищаемой информации или сервису. Для эксплуатации уязвимости/несоответствия нарушителю требуется локальный доступ к информационному ресурсу (системе), средству обработки информации	60 дней

 

• Основной характеристикой уязвимости (несоответствия), на основании которой принимается решение о её устранении или отказе от устранения, является присваиваемый ей приоритет. Приоритет оценивается администратором информационной безопасности на основании уровня риска, связанного с уязвимостью, и уровня критичности информационного ресурса (системы), средства обработки информации. Рекомендуемый критерий определения приоритета приведён ниже^[22]):

 

Уровень риска	Уровень критичности информационного ресурса (системы), средства обработки информации
1	2
	Высокий	Средний	Низкий
Наивысший	Высокий	Высокий	Средний
Высокий	Высокий	Средний	Низкий
Средний	Высокий	Средний	Низкий
Низкий	Средний	Низкий	Низкий
Нулевой	Низкий	Низкий	Низкий

 

• Устранение выявленных уязвимостей информационных ресурсов (систем), средств обработки информации осуществляется ответственным за данный информационный ресурс (систему) и средство обработки информации или администратором информационной безопасности. Устранение выявленных уязвимостей должно осуществляться, в том числе, путём установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств или применения комплекса компенсирующих мер (например, дополнительная настройка средств защиты информации; изменение режима и порядка использования информационного ресурса (системы), средства обработки информации).
• В ходе внутреннего аудита в проверяемых подразделениях должна быть получена объективная и полная информация по состоянию обеспечения информационной безопасности.
• Внутренний аудит отдельного отдела и (или) сегмента информационной инфраструктуры считается оконченным после выполнения всех корректирующих мероприятий и устранения выявленных нарушений.
• Каждое полугодие Комиссией по ОИБ на основании сведений, полученных в ходе проведения аудитов информационной безопасности, разрабатываются рекомендации, в которых отражаются необходимые корректирующие воздействия, направленные на совершенствование процессов обеспечения информационной безопасности (анализ причин возникновения выявленных недостатков и предложения по исключению подобных недостатков в будущем), предложения по корректировке организационно-распорядительной документации, регламентирующей процессы обработки и защиты информации (в том числе Моделей угроз безопасности информации).

 

 

3. Внешний аудит информационной безопасности

 

• Внешний (экспертный) аудит проводится в целях оценки соответствия эффективности применяемых мер защиты установленным требованиям законодательства Российской Федерации и (или) выявления недостатков в системе защиты информации.
• Внешний аудит может проводиться в виде:

• тестирования информационной системы на проникновение;
• аттестации информационной системы по требованиям безопасности информации.
  • Тестирование информационных систем на проникновение, в данном случае, должно осуществляться в режимах «чёрного» или «серого» ящика. Необходимость проведения тестирования на проникновения определяется администратором информационной безопасности.
  • Аттестация информационных систем должна проводиться не реже чем раз в три года. Аттестация информационных систем должна проводиться в соответствии с требованиями, утверждёнными национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

 

4. Анализ уязвимостей информационных систем

 

• Анализ уязвимостей информационных систем, приводящих к возникновению угроз безопасности информации (в том числе на предмет наличия уязвимостей, содержащихся в базе данных угроз ФСТЭК России, располагающейся в сети интернет по адресу http://bdu.fstec.ru) должен обязательно проводиться при:

• проектировании системы защиты информации информационной системы;
• внедрении системы защиты информации информационной системы;
• аттестации информационной системы на соответствие требованиям безопасности информации.
  • Анализ уязвимостей может проводиться как при проведении внутреннего инструментального аудита информационной безопасности, так и при внешнем тестировании информационной системы на проникновение.

 

5. Ответственность за исполнение положений настоящей политики

 

• Администратор информационной безопасности несёт ответственность за:

• инициацию проведения аудитов информационной безопасности (внутренних и внешних), в том числе с целью анализа уязвимостей информационных систем;
• согласование планов устранения, выявленных в ходе проведения внутреннего аналитического аудита информационной безопасности недостатков;
• обновление базы признаков уязвимостей средства анализа защищённости из достоверных источников;
• проведение внутреннего инструментального аудита информационной безопасности;
• разработку отчётов и рекомендаций (планов) по устранению выявленных уязвимостей информационных ресурсов (систем), средств обработки информации;
• разработку (каждое полугодие) рекомендаций по осуществлению корректирующих воздействий
• участие в составе Комиссии по ОИБ по внутреннему аналитическому аудиту информационной безопасности и разработке (каждое полугодие) рекомендаций по осуществлению корректирующих воздействий;
• обеспечение содействия сторонним организациям, проводящим аттестацию информационных систем по требованиям безопасности информации.
  • Администратор информационных систем несет ответственность за:
• устранение уязвимостей, выявленных в ходе проведения внутреннего инструментального аудита;
• обеспечение содействия членам Комиссии по ОИБ в ходе проведения аудита, а также сторонним организациям, проводящим аттестацию информационных систем по требованиям к безопасности информации.
  • Пользователи информационных ресурсов (систем) несут ответственность за обеспечение содействия членам Комиссии по ОИБ в ходе проведения аудита, а также сторонним организациям, проводящим аттестацию информационных систем по требованиям к безопасности информации.
  • Лица, виновные в нарушении положений настоящей политики, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой и административной ответственности.

ПРИЛОЖЕНИЕ 1

к Политике аудита информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

Форма

 

ПЛАН

внутреннего аналитического аудита информационной безопасности

 

№ п/п	Наименование отделов	Сроки проведения внутреннего аналитического аудита
1	2	3

 

ПРИЛОЖЕНИЕ 2

к Политике аудита информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

Форма

ПЛАН

 внутреннего инструментального аудита информационной безопасности

 

№ п/п	Сетевые сегменты информационной инфраструктуры (диапазон IP-адресов, подлежащих сканированию)	Сроки проведения внутреннего инструментального аудита
1	2	3

 

ПРИЛОЖЕНИЕ 3

к Политике аудита информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

Форма

 

ПЛАН

проведения ежегодного внутреннего аналитического аудита информационной безопасности

 

№ п/п

Объекты проверки

Результаты проверки

Примечание[23])

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    

1	2	3	4
1	Назначение ответственных лиц
1.1	Проверка назначения администратора информационных систем
1.2	Проверка назначения администратора информационной безопасности
2	Инвентаризация и учёт информационных ресурсов (систем), средств обработки информации
2.1	Проверка наличия заполненных форм учёта информационных ресурсов (систем), средств обработки информации и степени их актуальности:
2.1.1	Учёт информационных ресурсов и информационных систем		Проверяется, в том числе, корректность установленных классов защищённости (подтверждённых актами классификации) и обоснованность критичности
2.1.2	учёта автоматизированных рабочих мест
2.1.3	учёта серверов
2.1.4	учёта сетевого оборудования
2.1.5	учёта съёмных носителей информации
2.1.6	учёта средств защиты информации
2.2	Проверка наличия разработанных технических паспортов на информационные системы и степени их актуальности
2.3	Проверка наличия разработанных описаний технологического процесса обработки информации в информационной системе и степени их актуальности
3	Эксплуатация и предоставление прав доступа к информационным ресурсам (системам), средствам обработки информации
3.1	Проверка наличия заявок на предоставление (изменение) прав доступа к информационным ресурсам (системам), средствам обработки информации, матрицы доступа и их соответствие реально имеющимся правам
3.2	Проверка перечня используемых для доступа к АРМ учётных записей пользователей с фактическими использованными для доступа к АРМ
3.3	Выборочная проверка отсутствия активных (незаблокированных) учётных записей уволенных работников
3.4	Выборочная проверка наличия минимальных прав доступа у заблокированных учётных записей
3.5	Проверка на АРМ пользователей и серверах наличия информации (в том числе в истории интернет-браузеров), не относящейся к служебным обязанностям
3.6	Проверка состава используемого на АРМ пользователей и сервере программного обеспечения (в соответствии с Реестром разрешённого к использованию ПО)
3.7	Проверка наличия печатей (пломб) на АРМ и серверах
3.8	Проверка наличия установленных на АРМ и серверах паролей на доступ к BIOS
3.9	Проверка возможности использования на АРМ пользователей технологий беспроводной передачи данных, веб-камер и микрофонов
3.10	Проверка работоспособности на АРМ и серверах средств защиты информации
3.11	Проверка наличия действующих сертификатов соответствия ФСТЭК России, выданных на используемые средства защиты информации
3.12	Проверка настроек программного обеспечения и средств защиты информации требованиям эксплуатационной документации		Проверяется, в том числе, актуальность антивирусных баз
3.13	Проверка АРМ и серверов на предмет подключения к ним мобильных устройств передачи информации (в ретроспективе), а также неучтённых съёмных носителей информации
4	Учёт и использование съёмных носителей информации
4.1	Проверка журнала учёта выдачи съёмных носителей информации с фактическим наличием у работников данных съёмных носителей
4.2	Проверка наличия перечня мест хранения съёмных носителей, назначения ответственных за них лиц и степени их актуальности
4.3	Проверка съёмных носителей информации на предмет наличия информации, не связанной с исполнением служебных обязанностей
4.4	Проверка выполнения уничтожения (стирания) информации со съёмных носителей информации
4.5	Проверка выполнения порядка уничтожения съёмных носителей информации
5	Эксплуатация аттестованных по требованиям безопасности информации информационных систем
5.1	Проверка наличия аттестата соответствия на информационные системы, выданного лицензиатом ФСТЭК России, и срока его действия
5.2	Проверка выполнения порядка действий в ходе эксплуатации аттестованной информационной системы		Проверяется в случае обнаружения расхождений между техническим паспортом информационной системы сведениями, указанными в аттестационной документации, и реальным состоянием информационной системы
6	Использование аутентификационной информации при доступе к информационным ресурсам (системам), средствам обработки информации
6.1	Проверка формата задания имён доступа пользователей установленным требованиям
6.2	Проверка отсутствия гостевых учётных записей для доступа к АРМ, серверам, активному сетевому оборудованию, средствам защиты информации
6.3	Выборочная проверка реализации требований, установленных к качеству аутентификационной информации и мер по обеспечению её безопасности		После проверок исполнения требований к качеству пароля (приводящие к его санкционированной компрометации), пользователь должен продемонстрировать установленный пароль на доступ, после чего незамедлительно его сменить
6.4	Отсутствие сохранённых паролей доступа как на средствах программного обеспечения, так и на бумажных носителях (вне отведённых для этого мест)
6.5	Проверка исполнения требований, предъявляемых к учету и использованию дополнительных средств аутентификации		При их использовании
7	Организация доступа в помещения обработки информации и выполнение требований, установленных к таким помещениям
7.1	Проверка наличия перечня помещений, в которых разрешена обработка конфиденциальной информации (в том числе персональных данных) и степени его актуальности
7.2	Проверка наличия перечня лиц, допущенных в помещения обработки конфиденциальной информации, степени его актуальности		Проверка наличия перечней для каждого помещения, а также в ходе проведения аудита проверяется степень исполнения данного требования при доступе в помещения
7.3	Проверка реализации требований, предъявляемых к помещениям обработки конфиденциальной информации:
7.3.1	наличие ограждающих конструкций, предполагающих существенные трудности для нарушителей по их преодолению (металлические решётки на окнах, металлическая дверь, система контроля и управления доступом и так далее)
7.3.2	надёжные входные двери с замками, а также средствами опечатывания помещений
7.3.3	окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, оборудованы металлическими решётками или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в помещения
7.4	Проверка наличия перечня мест хранения материальных носителей персональных данных и ответственных лиц, степени актуальности данного перечня
7.5	Проверка реализации дополнительных требований, предъявляемых к спецпомещениям:
7.5.1	оборудованы устройствами, обеспечивающими постоянное закрытие дверей на замок и их открытие только для санкционированного прохода
7.6	Проверка наличия журнала учёта хранилищ СКЗИ и ключей от них, а также степени его актуальности
8	Защита технических средств от внешних воздействий
8.1	Способ реализации учёта доступа в помещения		Указывается реализованный способ
8.2	Проверка наличия средств обеспечения температурно-влажностного режима серверных помещений
8.3	Проверка наличия средств обеспечения бесперебойного резервного питания для АРМ
8.4	Проверка наличия средств обеспечения бесперебойного резервного питания для серверов
8.5	Проверка наличия средств обеспечения бесперебойного резервного питания для активного сетевого оборудования
9	Обеспечение отказоустойчивости технических средств
9.1	Проверка резервирования средств обработки информации, имеющих высокую критичность и способа резервирования		Указать способ резервирования
9.1.1	АРМ
9.1.2	серверов
9.1.3	активного сетевого оборудования, в том числе средств защиты информации, выполненных в виде программно-аппаратных комплексов
9.2	Проверка наличия контроля основных показателей функционирования технических средств (степени загрузки: процессорных мощностей, дискового пространства, оперативной памяти, каналов связи и прочее)		Указать, какие показатели контролируются какими средствами
10	Резервное копирование защищаемой информации
10.1	Проверка наличия заполненного перечня информационных ресурсов, подлежащих резервному копированию, его полноту и степень актуальности
10.2	Проверка ведения журнала проведения резервного копирования информации
10.3	Проверка ведения журнала восстановления информации
10.4	Проверка мест хранения резервных копий
11	Учёт и использование средств криптографической защиты информации
11.1	Проверка условий эксплуатации СКЗИ, в том числе выполнение требований эксплуатационной документации на СКЗИ
11.2	Проверка журнала поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, степени его актуальности
11.3	Проверка технического (аппаратного) журнала, степени его актуальности
11.4	Проверка порядка уничтожения криптографических ключей (ключевой информации)
12	Обработка персональных данных
12.1	Проверка наличия размещённых на информационном интернет-портале «Правил обработки персональных данных»
12.2	Проверка степени актуальности уведомления об обработке персональных данных, поданных в Роскомнадзор
12.3	Проверка наличия перечня обрабатываемых персональных данных и степени его актуальности
12.4	Проверка наличия перечня должностей, замещение которых предусматривает осуществление обработки персональных данных, степени его актуальности
12.5	Проверка наличия перечня информационных систем, в которых осуществляется обработка персональных данных
12.6	Проверка соблюдения требований по учёту и реагированию на запросы субъектов персональных данных
12.7	Соблюдение условий и порядка обработки персональных данных граждан, обратившихся в Администрацию
12.8	Соблюдение процедур, направленных на предотвращение и выявление нарушений законодательства РФ в сфере персональных данных
13	Нормативно-методическое обеспечение системы защиты информации
13.1	Проверка наличия модели угроз безопасности информации и степени её актуальности с учётом используемых технологий обработки информации (срок актуальности документа не может превышать 3 лет)
13.2	Проверка наличия Эскизного проекта системы обеспечения информационной безопасности
13.3	Проверка ознакомления работников с нормативными документами, регламентирующими процессы обработки и защиты информации (в том числе персональных данных)		Может проводиться в формате тестирования или анкетирования с установленным перечнем контрольных вопросов

 

 

ПРИЛОЖЕНИЕ 4

к Политике аудита информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

Форма

ПЛАН

проведения периодического внутреннего аналитического аудита информационной безопасности

 

^{(наименование отделов)}

Администрация местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

№ п/п

Объекты проверки

Результаты проверки

Примечание

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    

1	2	3	4
1.1	Проверка перечня используемых для доступа к АРМ учетных записей пользователей с фактическими, использованными для доступа к АРМ
1.2	Проверка на АРМ пользователей информации (в том числе в истории Интернет-браузеров), не относящейся к служебным обязанностям
1.3	Проверка состава, используемого на АРМ пользователей программного обеспечения (в соответствии с Реестром разрешённого к использованию ПО)
1.4	Проверка наличия печатей (пломб) на АРМ
1.5	Проверка наличия установленных на АРМ паролей на доступ к BIOS
1.6	Проверка возможности использования на АРМ пользователей технологий беспроводной передачи данных, веб-камер и микрофонов
1.7	Проверка работоспособности на АРМ и серверах средств защиты информации
1.8	Проверка настроек программного обеспечения и средств защиты информации требованиям эксплуатационной документации		Проверяется в том числе актуальность антивирусных баз
1.9	Проверка АРМ и серверов на предмет подключения к ним мобильных устройств передачи информации (в ретроспективе), а также неучтенных съемных носителей информации
2	Учет и использование съемных носителей информации
1.2	Проверка наличия перечня мест хранения съемных носителей, назначения ответственных за них лиц и степени их актуальности
2.2	Проверка съемных носителей информации на предмет наличия информации, не связанной с использованием служебных обязанностей
1.3	Проверка выполнения уничтожения (стирания) информации со съемных носителей информации
2.3	Проверка выполнения порядка уничтожения съемных носителей информации
3	Использование аутентификационной информации при доступе к информационным активам
3.1	Выборочная проверка реализации требований, установленных к качеству аутентификационной информации и мер по обеспечению ее безопасности		После проверок исполнения требований к качеству пароля (приводящие к его санкционированной компрометации), пользователь должен продемонстрировать установленный пароль на доступ, после чего незамедлительно его сменить
3.2	Отсутствие сохраненных паролей доступа как средствами программного обеспечения, так и на бумажных носителях (вне отведенных для этого местах)
4	Организация доступа в помещения обработки информации и выполнение требований, установленных к таким помещениям
4.1	Проверка наличия перечня лиц, допущенных в помещения обработки конфиденциальной информации, степени его актуальности		Проверка наличия перечня для каждого помещения, а также в ходе проведения аудита - проверяется степени исполнения данного требования при доступе в помещения
4.2	Проверка наличия перечня мест хранения материальных носителей персональных данных и ответственных, степени актуальности данного перечня
5	Учет и использование средств криптографической защиты информации
5.1	Проверка условий эксплуатации СКЗИ, в том числе выполнение требований эксплуатационной документации на СКЗИ
5.2	Проверка ознакомления работников с нормативными документами, регламентирующими процессы обработки и защиты информации (в том числе персональных данных)		Может проводить в формате тестирования или анкетирования с установленным перечнем контрольных вопросов

 

ПРИЛОЖЕНИЕ 5

к Политике аудита информационной безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района

Республики Северная Осетия – Алания

 

 

ФОРМА

 

ПЛАН

устранения недостатков, выявленных в ходе проведения внутреннего аналитического аудита информационной безопасности

 

№ п/п	Нарушение / недостаток	Мероприятия по устранению	Срок исполнения	Ответственные за исполнение
1	2	3	4	5

 

 

Приложение 11

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

ПОЛИТИКА

управления событиями безопасности

пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1. Общие положения

 

• Политика управления событиями безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Политика) устанавливает единый системный подход к процессу управления событиями безопасности информации (их регистрация, учёт, сбор, хранение и обработка) в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А).
• Настоящая Политика разработана в соответствии с:

• приказом Федеральной службы по техническому и экспортному контролю России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Управление событиями безопасности информации осуществляется с целью своевременного выявления фактов, оказывающих негативное воздействие на ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (выявления инцидентов информационной безопасности).
  • Под событием безопасности информации понимается любое проявление состояния ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и системы её защиты, указывающие на возможность:
• нарушение конфиденциальности, целостности или доступности информации, обрабатываемой в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• нарушение доступности компонентов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (АРМ, серверов, активного сетевого оборудования);
• нарушение штатного функционирования компонентов ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и средств защиты информации;
• нарушения процедур, установленных организационно – распорядительными документами по защите информации.
  • Под инцидентом информационной безопасности понимается одно или серия событий безопасности информации, связанных с нарушением, установленных в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А Политик безопасности информации.

 

2. Регистрация, учёт, сбор и хранение событий безопасности информации

 

• Перечень событий безопасности информации, подлежащих регистрации в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, приведён в приложении 1 к настоящей Политике.
• Перечень событий безопасности, подлежащих регистрации, должен пересматриваться, в том числе по результатам контроля (мониторинга) обеспечения уровня защищённости информации, содержащейся в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, но не реже чем 1 раз в два года.
• При регистрации событий безопасности информации регистрации подлежат следующие характеристики событий безопасности информации:

• тип события безопасности информации;
• дата и время события безопасности информации;
• идентификационная информация источника события безопасности информации;
• результат события безопасности информации (успешно или неуспешно);
• субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности информации.
  • Источниками событий безопасности информации являются:
• средства регистрации событий системного и прикладного программного обеспечения;
• средства регистрации событий активного сетевого оборудования;
• средства системы обеспечения информационной безопасности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• средства системы пожарно–охранной сигнализации и системы контроля и управления доступом;
• сотрудники Администрации.
  • Должен обеспечиваться непрерывный сбор событий безопасности информации, генерируемых компонентами ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (АРМ, серверами, активным сетевым оборудованием) и средствами защиты информации.
  • Регистрация, учёт и хранение событий безопасности информации должны обеспечиваться ответственными лицами, срок хранения событий безопасности информации должен составлять не менее 12 месяцев.
  • Сведения о событиях безопасности информации подлежат защите от неправомерного доступа, уничтожения или модифицирования. Доступ к данным сведениям должен быть ограничен, кроме уполномоченных на это лиц.

 

3. Мониторинг и анализ событий безопасности информации

 

• Мониторинг и анализ событий безопасности информации осуществляется с целью выявления инцидентов информационной безопасности.
• Мониторинг событий информационной безопасности может осуществляться как с использованием средств автоматизации (средств, относящихся к средствам сбора и корреляции событий безопасности информации – SIEM), так и без использования таковых.
• Мониторинг и анализ событий безопасности информации осуществляется:

• в части средств системы обеспечения информационной безопасности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А – администратором информационной безопасности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (далее – Администратор ИБ);
• в части средств обеспечения функционирования ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (системного и прикладного программного обеспечения, активного сетевого оборудования) – администратором информационных систем (далее – Администратор ИС). В результате анализа событий безопасности информации он должен информировать Администратора ИБ о событиях, имеющих признаки инцидентов, а также непосредственно об инцидентах информационной безопасности.
  • Периодичность мониторинга и анализа событий безопасности информации зависит от степени критичности информационного ресурса (системы) или средства обработки информации и составляет:
• для информационных ресурсов (систем) или средств обработки информации, имеющих высокую критичность, – ежедневно;
• для информационных ресурсов (систем) или средств обработки информации, имеющих среднюю критичность, – не реже одного раза в неделю;
• для информационных ресурсов (систем) или средств обработки информации, имеющих низкую критичность, – не реже одного раза в месяц.
  • К инцидентам информационной безопасности относятся следующие категории негативных событий (группы событий) безопасности информации:
• разглашение защищаемой информации работниками, имеющими право доступа к ней (передача защищаемой информации третьим лицам, не имеющим права доступа к ней; передача защищаемой информации по открытым каналам связи; обработка защищаемой информации на незащищённых технических средствах; публикация защищаемой информации в СМИ; копирование защищаемой информации на неучтённые съёмные носители информации; утрата съёмных и (или) бумажных носителей информации или передача их лицам, не имеющим права доступа к ним);
• неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации (несанкционированное изменение, копирование защищаемой информации);
• ошибки обслуживающего персонала при эксплуатации ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А;
• несанкционированный доступ к защищаемой информации лицами, не имеющими права доступа к ней (подключение технических средств к информационным системам; использование закладочных устройств, маскировка под зарегистрированного пользователя; использование недекларированных возможностей программного обеспечения; использование программных закладок и применение программных вирусов; хищение носителей защищаемой информации; нарушение функционирования технических средств обработки защищаемой информации);
• дефекты, сбои, отказы, программного обеспечения и аварии технических средств и систем обеспечения их отказоустойчивого функционирования;
• природные явления, стихийные бедствия (пожары, наводнения, землетрясения, грозовые разряды).

 

4. Порядок управления инцидентами информационной безопасности

 

• Общий порядок управления инцидентами информационной безопасности включает:

• обнаружение и информирование об инциденте информационной безопасности;
• регистрация инцидента информационной безопасности;
• локализация и устранение последствий инцидента информационной безопасности;
• расследование инцидента информационной безопасности и реализация действий, предупреждающих его повторное возникновение (корректирующие меры).

 

5. Обнаружение и информирование об инциденте информационной безопасности

 

• При обнаружении инцидента информационной безопасности (или события безопасности информации, имеющего признаки инцидента) должен быть незамедлительно проинформирован Администратор ИБ (средствами служебной электронной почты и посредством телефонной связи).
• В случае невозможности информирования Администратора ИБ об инциденте информационной безопасности (посредством телефонной связи) о случившемся инциденте информационной безопасности должен быть уведомлён (посредством телефонной связи) Администратор ИС.
• Сообщение о случившемся инциденте информационной безопасности должно содержать следующую информацию:

• Ф.И.О., должность работника, выявившего инцидент информационной безопасности;
• время обнаружения инцидента информационной безопасности;
• описание инцидента информационной безопасности.

 

6. Регистрация инцидента информационной безопасности

 

• Регистрация инцидентов информационной безопасности осуществляется Администратором ИБ в журнале учёта инцидентов информационной безопасности (форма журнала представлена в приложении 2 к настоящей Политике).
• На каждый инцидент информационной безопасности Администратором ИБ формируется карточка инцидента информационной безопасности (форма карточки приведена в приложении 3 к настоящей Политике).
• До момента полного заполнения карточки инцидента информационной безопасности и, соответственно, закрытия инцидента она своевременно заполняется и ведётся в электронном виде, после чего распечатывается и хранится на бумажном носителе.
• На этапе регистрации инцидента подлежат заполнению следующие разделы карточки:

• общие сведения об инциденте информационной безопасности;
• содержание инцидента информационной безопасности;
• воздействие инцидента на информационные ресурсы (системы) или средства обработки информации.
  • Критичность инцидента зависит от критичности информационных ресурсов (систем) или средств обработки информации, затронутых инцидентом, а также области распространения (действия) инцидента, и определяется по следующей таблице:

 

Область распространения и действия инцидента ИБ	Критичность информационного ресурса (системы) или средства обработки информации
	высокая	средняя	низкая
Выходящий за пределы ИС	Высокая	Высокая	Средняя
ИС в целом	Высокая	Высокая	Средняя
Пределы отдельного сегмента ИС	Высокая	Средняя	Низкая
Пределы одного информационного ресурса	Средняя	Низкая	Низкая

 

7. Локализация и устранение последствий инцидента информационной безопасности

 

• Срок реагирования на инцидент информационной безопасности напрямую зависит от степени критичности инцидента и составляет:

• для инцидентов, имеющих высокую критичность, – незамедлительное реагирование;
• для инцидентов, имеющих среднюю критичность, – срок реагирования не более одного рабочего дня;
• для инцидентов, имеющих низкую критичность, – срок реагирования не более пяти рабочих дней.
  • Под реагированием на инцидент информационной безопасности понимается назначение ответственных лиц за локализацию и устранение последствий инцидента информационной безопасности. Ответственные лица назначаются распоряжением Главы Администрации по согласованию с Администратором ИБ и Администратором ИС.
  • В первую очередь осуществляется локализация инцидента информационной безопасности – предпринимаются все необходимые и доступные меры по сдерживанию/пресечению распространения негативного воздействия инцидента на ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, а позже (или одновременно) проводятся работы по устранению последствий инцидента информационной безопасности. Могут назначаться различные ответственные за данные процессы лица.
  • Ответственные лица сообщают планируемый срок локализации и устранения последствий инцидента информационной безопасности, а также отчитываются Администратору ИБ о степени выполнения работ.
  • Процесс локализации и устранения последствий инцидента информационной безопасности своевременно отражается в Карточке инцидента информационной безопасности.

 

8. Расследование инцидента информационной безопасности и реализация корректирующих мер

 

• Процедура расследования инцидента информационной безопасности предназначена для выявления причин (условий и факторов), вызвавших инцидент информационной безопасности, и/или негативную тенденцию развития связанной с этим инцидентом ситуации, а также анализа и оценки адекватности и эффективности действий, предпринятых, по управлению инцидентом информационной безопасности.
• Для проведения процедуры расследования инцидента информационной безопасности привлекается комиссия по обеспечению информационной безопасности в ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (далее – Комиссия по ОИБ), утвержденная приказом министра строительства и архитектуры Республики Северная Осетия-Алания.
• В процессе расследования инцидента информационной безопасности на основании анализируемых данных должен быть установлен нарушитель информационной безопасности (для внутренних категорий нарушителей – должно быть выявлено конкретное физическое лицо), чьи действия (умышленные или неумышленные) привели к возникновению инцидента информационной безопасности.
• По итогам расследования инцидента информационной безопасности Комиссией по ОИБ разрабатывается комплекс мер, направленных на:

• недопущение (минимизацию вероятности) возможности повторения инцидента в будущем – разработка корректирующих мер;
• выявление нарушителей информационной безопасности (если его не удалось установить в процессе расследования инцидента).
  • При разработке корректирующих мер должны учитываться их возможные воздействия на процесс функционирования информационных систем (в том числе должна быть оценена возможная степень негативного влияния на работу пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А), а также стоимость (экономическая обоснованность) реализации данных мер.
  • Результат разработки корректирующих мер (отчёт) передаётся министру строительства и архитектуры Республики Северная Осетия-Алания для принятия дальнейших решений по реализации данных мер.
  • Процесс расследования инцидента информационной безопасности и реализация корректирующих мер своевременно отражается в Карточке инцидента информационной безопасности.
  • После выполнения всех действий по регистрации, локализации, устранению последствий, расследования инцидента информационной безопасности и принятия корректирующих мер инцидент должен быть закрыт (разрешён), о чем делается запись в журнале учёта инцидентов информационной безопасности и карточке инцидента информационной безопасности.

 

9. Ответственность за исполнение положений настоящей Политики

 

• Все сотрудники Администрации обязаны информировать Администратора ИБ об инцидентах информационной безопасности, событиях безопасности информации (имеющих признаки инцидента) и, при необходимости, принимать участие в расследовании инцидента информационной безопасности вместе с Комиссией по ОИБ.
• Администратор ИБ несёт ответственность за:

• пересмотр (не реже одного раза в год) Перечня событий безопасности информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания;
• принятие решения по реализации корректирующих мер (в соответствии с предоставленными отчётами);
• регистрацию инцидентов информационной безопасности в Журнале учёта инцидентов информационной безопасности;
• согласование перечня лиц, ответственных за локализацию и устранение последствий инцидентов информационной безопасности;
• ведение карточек инцидентов информационной безопасности;
• определение лиц, ответственных за локализацию и устранение последствий инцидентов информационной безопасности;
• контроль сроков локализации и устранение последствий инцидентов информационной безопасности;
• анализ проведённой работы по локализации и устранению ответственными лицами последствий инцидентов информационной безопасности;
• участие в составе Комиссии по ОИБ в рамках расследования инцидентов информационной безопасности.
• обеспечение непрерывности регистрации, учёта, сбора и хранения (сроком не менее 12 месяцев) событий безопасности информации в соответствии с требованиями настоящей Политики (в зоне своей ответственности);
• реализацию комплекса мер по защите сведений о событиях безопасности информации от неправомерного доступа, уничтожения или модифицирования (в зоне своей ответственности);
• своевременный мониторинг и анализ событий безопасности информации с целью выявления информационной безопасности (в зоне своей ответственности).
  • Администратор информационных систем несет ответственность за:
• обеспечение непрерывности регистрации, учёта, сбора и хранения (сроком не менее 12 месяцев) событий безопасности информации в соответствии с требованиями настоящей Политики (в зоне своей ответственности);
• реализацию комплекса мер по защите сведений о событиях безопасности информации от неправомерного доступа, уничтожения или модифицирования (в зоне своей ответственности);
• своевременный мониторинг и анализ событий безопасности информации с целью выявления информационной безопасности (в зоне своей ответственности);
• участие в составе Комиссии по ОИБ в рамках расследования инцидентов информационной безопасности (при необходимости, определяемой Администратором ИБ).
  • Лица, виновные в нарушении положений настоящей Политики, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой и административной ответственности.

 

ПРИЛОЖЕНИЕ 1

к Политике управления событиями безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района

Республики Северная Осетия – Алания

 

 

ПЕРЕЧЕНЬ

типов событий безопасности информации,

подлежащих регистрации в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1. Физический доступ к информационным активам, средствам обработки информации и средствам обеспечения их отказоустойчивости:

физический доступ работников и иных лиц в защищаемые помещения;

физический доступ третьих лиц в серверные помещения (проводящих работы по обслуживанию, ремонту, сопровождению и настройке серверного, активного сетевого и прочего оборудования, располагающегося в серверных помещениях);

изменение (в том числе замена, добавление или изъятие) состава средств обработки информации;

замена и (или) модификация аппаратной конфигурации средств обработки информации;

осуществление действий со съёмными носителями информации[24]⁾;

осуществление действий с дополнительными идентификаторами, используемыми для доступа к информационным активам;

вынос за пределы организации средств вычислительной техники;

передача средств вычислительной техники и их компонентов в сторонние организации;

осуществление действий с носителями информации, позволяющими осуществить физический доступ в здания и помещения организации (proximity – карты для систем контроля и управления доступом).

2. Использование информационных активов и средств обработки защищаемой информации:

 

предоставление аутентификационной и ключевой информации на доступ к информационным ресурсам (системам) и средствам обработки защищаемой информации;

изменение прав доступа к информационным активам и средствам обработки защищаемой информации;

изменение и (или) компрометация аутентификационной или ключевой информации;

аутентификация и идентификация пользователей активов и средств обработки защищаемой информации (в том числе неуспешная);

удалённый доступ к информационным активам и средствам обработки защищаемой информации (с указанием протокола доступа);

действия, совершаемые с защищаемой информацией;

завершение сеансов работы пользователей информационных активов и средств обработки защищаемой информации;

вывод на печать защищаемой информации;

отключение/перезагрузка или приостановление работы средств обработки защищаемой информации;

изменение параметров настроек средств обработки защищаемой информации;

изменение состава и версий программного обеспечения (в том числе баз сигнатур средств антивирусной защиты информации и средств обнаружения вторжений);

сбои и отказы работоспособности информационных активов и средств обработки защищаемой информации;

достижение пороговых значений основных показателей функционирования технических средств (степени загрузки: процессорных мощностей, дискового пространства, оперативной памяти, каналов связи и прочее);

восстановление работоспособности информационных активов и средств обработки защищаемой информации;

архивирование, резервирование и восстановление защищаемой информации;

выполнение операций, связанных с эксплуатацией и администрированием информационных активов и средств обработки защищаемой информации⁾.

            Настоящий перечень подлежит обязательному ежегодному пересмотру.

 

 

ПРИЛОЖЕНИЕ 2

к Политике управления событиями безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

Форма

 

ЖУРНАЛ УЧЁТА

инцидентов информационной безопасности

 

№ п/п	№ карточки инцидента ИБ	Дата и время возникновения инцидента ИБ	Дата и время регистрации инцидента ИБ	Ф.И.О. и должность работника, обнаружившего инцидент ИБ	Критичность инцидента ИБ	Затронутые информационные ресурсы (системы) и средства обработки информации	Ф.И.О. и должность лица, ответственного за устранение инцидента	Дата и время устранения инцидента ИБ
1	2	3	4	5	6	7	8	9
1

 

 

ПРИЛОЖЕНИЕ 3

к Политике управления событиями безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района

Республики Северная Осетия – Алания

 

Форма

 

КАРТОЧКА

инцидента информационной безопасности № ____

 

 

№ п/п	Наименование характеристики инцидента ИБ:	Описание
1. Общие сведения об инциденте ИБ
1.1	Номер записи согласно Журналу учёта инцидентов ИБ
1.2	Дата и время возникновения инцидента ИБ
1.3	Дата и время регистрации инцидента ИБ
1.4	Источник информации об инциденте ИБ	сотрудник или техническое средство
1.5	Ф.И.О. и должность работника, обнаружившего инцидент ИБ
1.6	Контактные данные работника, обнаружившего инцидент
1.7	Наименование технического средства, при использовании которого обнаружен инцидент ИБ
1.8	Описание инцидента ИБ
2. Содержание инцидента ИБ
2.1	Сведения о нарушении установленных организационно – распорядительными документами требований по обеспечению ИБ	«нет» «наименование документа, регламентирующего требование; № пункта документа»
2.2	Данные о нарушителе требований по обеспечению ИБ	«нет» «Фамилия И.О., должность нарушителя»
2.3	Категория инцидента ИБ	«случайный» «преднамеренный»
2.4	Тип инцидента ИБ	«свершившийся» «попытка осуществления инцидента ИБ» «подозрение на инцидент ИБ»
3. Воздействие инцидента на информационные ресурсы (системы) и средства обработки защищаемой информации
3.1	Типы объектов (ресурсов), затронутых инцидентом	«файлы/базы данных, содержащие защищаемую ин – формацию» «автоматизированные рабочие места» «серверы информационных систем» «активное сетевое оборудование» «средства защиты информации» «носители информации (в том числе бумажные носители)» «системное/прикладное программное обеспечение» «линии и сети передачи данных» «помещения, здания, сооружения, инженерные сети и коммуникации»
3.2	Нарушенные свойства безопасности:	«конфиденциальность» «целостность» «доступность»
3.3	Область распространения и действия инцидента ИБ	«пределы отдельного сегмента ИС» «ИС в целом» «выходящий за пределы ИС»
3.4	Критичность инцидента ИБ	«высокая» «средняя» «низкая»
4. Локализация и устранение последствий инцидента ИБ
4.1	Информирование об инциденте ИБ	«дата и время информирования и кому сообщено»
4.2	Назначение ответственного  лица за локализацию инцидента ИБ	«дата и время, Ф.И.О., должность ответственного лица»
4.3	Планируемый срок локализации инцидента ИБ	«планируемый срок, определённый ответственным лицом»
4.4	Сведения о локализации инцидента ИБ	«дата и время, описание предпринятых действий»
4.5	Назначение ответственного лица за устранение последствий инцидента ИБ	«дата и время, Ф.И.О., должность ответственных лиц»
4.6	Планируемый срок устранения последствий инцидента ИБ	«планируемый срок, определённый ответственным лицом»
4.7	Сведения об устранении последствий инцидента ИБ	«дата и время, описание предпринятых действий»
5. Расследование инцидента ИБ и реализация корректирующих мер
5.1	Сведения о комиссии по расследованию инцидента ИБ	«Комиссии по ОИБ, состав ее членов»
5.2	Сведения о причинах возникновения инцидента ИБ	«описание»
5.3	Сведения о лицах, понесших ответственность за инцидент ИБ	«Ф.И.О., должность лица, вид ответственности»
5.4	Степень вероятности повторного возникновения инцидента ИБ	«нет» «минимальная» «средняя» «высокая»
5.5	Перечень корректирующих мер, направленных на предупреждение повторного возникновения инцидента	«описание»

 

 

Дата, время закрытия инцидента ИБ:               ____________________

 

Ф.И.О., подпись администратора ИБ               ____________________

 

Приложение 12

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

политика
использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1. Общие положения

• Политика использования средств криптографической защиты информации (далее – СКЗИ) пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Политика) определяет следующие процедуры и правила эксплуатации СКЗИ в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – Администрация):

• правила ввода СКЗИ в эксплуатацию;
• порядок использования защищенных каналов связи;
• порядок учёта, хранения и использования СКЗИ, криптографических ключей и эксплуатационной документации к ним;
• порядок эксплуатации СКЗИ и криптографических ключей к ним;
• порядок действий компрометацией криптоключей;
• порядок действий по уничтожению криптографических ключей;
• порядок организации режима в помещениях, где используется, хранится эксплуатационная и техническая документации к ним, ключевые документы, носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее – Спецпомещения);
• порядок доступа в Спецпомещения и действия при утрате ключей от них;
• порядок действий при возникновении чрезвычайных ситуаций;
• ответственность за исполнение положений настоящей Политики.
  • Настоящая Политика разработана в соответствии с:
• приказом Федеральной службы безопасности Российской Федерации (далее – ФСБ России) от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональ­ных данных при их обработке в информационных системах персональных дан­ных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости»;
• положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённым приказом ФСБ России от 9 февраля 2005 года № 66;
• инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографи­ческой защиты информации с ограниченным доступом, не содержащей сведе­ний, составляющих государственную тайну, утверждённой приказом Феде­рального агентства правительственной связи и информации Российской Феде­рации (далее – ФАПСИ) от 13 июня 2001 года№ 152;
• методическими рекомендациями по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов де­ятельности, утверждёнными руководством 8 Центра ФСБ России
  от 31 марта 2015 года № 149/7/2/6-432.
  • К средствам криптографической защиты информации относятся:
• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при её обработке, хранении и передаче по каналам связи, включая СКЗИ;
• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при её об­работке и хранении;
• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной подписи;
• аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ, независимо от вида носителя ключевой информации.
  • Для обеспечения безопасности информации при её обработке в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А) должны использоваться СКЗИ, сертифицированные ФСБ России по требованиям, предъявляемым к СКЗИ. Необходимый к использованию класс СКЗИ определяется по результатам определения угроз (возможностей потенциальных нарушителей) СКЗИ.

2. Правила ввода СКЗИ в эксплуатацию

• При вводе СКЗИ в эксплуатацию должны соблюдаться следующие правила:

• осмотр СКЗИ, дистрибутивов на факт наличия физических дефектов, наличие заводских пломб, наличие эксплуатационной и технической документации к поставляемому СКЗИ, отсутствие признаков компрометации;
• сверка акта приема передачи поставляемых СКЗИ (при наличии);
• установка и ввод в эксплуатацию СКЗИ осуществляется в соответствии с эксплуатационной и технической документацией;
• по результатам настройки и установки составляется «Акт установки и ввода в эксплуатацию СКЗИ» (форма акта приведена в приложении 1 к настоящей Политике);
• сотрудники органа криптографической защиты информации (далее – ОКЗИ) производят инструктаж сотрудников работе с СКЗИ;
• сотрудниками ОКЗИ составляется протокол принятия зачета
  у пользователя СКЗИ (форма протокола приведена в приложении 2 к настоящей Политике);
• ОКЗИ выдает заключение о допуске пользователя к самостоятельной работе с СКЗИ и заключение о возможности эксплуатации средств криптографической защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (формы заключений приведены в приложениях 3,4 к настоящей Политике);
• оформляется лицевой счет пользователя (форма лицевого счета приведена в приложении 5 к настоящей Политике).
• производится запись в журнал поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (далее – Журнал учёта СКЗИ). Формы журналов приве­дены в приложениях
  6,7 к настоящей Политике);
• производится запись в технический (аппаратный) журнал (форма журнала приведена в приложении 8 к настоящей Политике).

3. Порядок использования защищенных каналов связи

• При использовании защищенного канала связи необходимо:

• обеспечить информационную безопасность каждого информационного актива^[25] в соответствии с действующим законодательством Российской Федерации, подключаемого к защищенному каналу связи;
• обеспечить в соответствии с настоящей Политикой надлежащие условия для размещения и функционирования информационного актива, подключенного к защищенному каналу связи и исключить несанкционированный доступ в Спецпомещения, где расположены информационные активы;
• для защиты информационного актива, участвующих в обмене информации, выходящих за пределы контролируемой зоны, должна проводиться периодическая проверка на отсутствие уязвимостей с использованием анализа защищенности;
• обеспечить периодический контроль целостности неизменяемых файлов, используемых в программном обеспечении информационных активов;
• обеспечить контроль изменения прикладной программной среды, исключение ввода в информационные активы программных средств без их предварительной гарантированной проверки;
• обеспечить мероприятия по антивирусной защите, обеспечению свободной от вирусов программной среды информационных активов и от внешнего периметра сети.
  • При эксплуатации защищённого канала связи необходимо соблюдать следующие правила:
• использовать защищенный канал связи только по прямому назначению;
• не допускать использование защищенного канала связи в личных целях;
• обеспечивать сохранность информационных ресурсов и физической целостности оборудования;
• не допускать распространения спама и вредоносных компьютерных программ с автоматизированного рабочего места (далее – АРМ) Пользователя;
• не допускать нарушений установленного настоящей Политикой порядка эксплуатации СКЗИ и осуществления иных несанкционированных действий.

 

4. Учёт и хранение СКЗИ и криптографических ключей к ним

• Средства криптографической защиты информации, криптографические ключи (ключевые документы), а также эксплуатационная и техническая документация к СКЗИ, подлежат поэкземплярному учёту.
• Поэкземплярный учёт СКЗИ ведётся в Журнале учёта СКЗИ, при этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются также совместно с соответствующими аппаратными средствами.
• Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов выдаются под расписку в Журнале учёта СКЗИ, лицам, несущим персональную ответственность за их сохранность. Единицей поэкземплярного учёта ключевых документов считается клю­чевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
• Если эксплуатационной и технической документацией к СКЗИ предусмотрено применение разовых ключевых носителей, или криптоключи вводят и хранят (на весь срок их действия) непосредственно в СКЗИ, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в техническом (аппаратном) журнале, который ведет ответственный пользователь СКЗИ.
• Передача СКЗИ, эксплуатационной и технической, ключевых документов допускается только между пользователями СКЗИ под расписку в журнале поэкземплярного учёта.
• Дистрибутивы СКЗИ на носителях, эксплуатационная и техническая документация к СКЗИ хранятся у ответственного пользователя СКЗИ, в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Ответственный пользователь СКЗИ также обязан предусмотреть раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей.

Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать Средства контроля вскрытия должны быть учтены в «Журнале учета опломбирования аппаратных средств, с которыми осуществляется функционирование СКЗИ» (форма журнала приведена в приложении 9 к настоящей Политике).

• Место опечатывания СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. Пользователь СКЗИ должен периодически проверять сохранность оборудования и целостность печатей на АРМ и серверах, в которых установлены СКЗИ. В случае обнаружения посторонних (незарегистрированных) программ или выявления факта повреждения печати работа должна быть прекращена. По данному факту проводится служебное расследование и осуществляются работы по анализу и ликвидации последствий данного нарушения (регистрируется ин­цидент информационной безопасности).
• СКЗИ и криптографические ключи могут в случае необходимости пересылаться специальной (фельдъегерской) связью или со специально выделен­ными нарочными (из числа сотрудников Администрации, лиц, имеющих доверенность на право получения СКЗИ) при соблюдении мер, исключающих бесконтрольный доступ к СКЗИ и криптографическим ключам во время доставки.
• Для пересылки СКЗИ и криптографические ключи помещаются в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию. Криптографические ключи пересылают в отдельном пакете с пометкой «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати.
• Для пересылки СКЗИ, эксплуатационной и технической документации к ним, криптографических ключей составляется Акт приёма-передачи (Опись) документов, в котором указывается: что посылается и в каком количестве, учётные номера СКЗИ, криптографических ключей или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Акт приёма-передачи (Опись) документов вкладывается в упаков­ку.
• Полученную упаковку вскрывает только лицо, для которого она предназначена. Если содержимое полученной упаковки не соответствует указанно­му в Акте приёма-передачи (Описи) документов, или сама упаковка и печать их описанию (оттиску), а также если упаковка повреждена, в результате чего обра­зовался свободный доступ к её содержимому, то получатель составляет акт, ко­торый высылается отправителю. Полученные с такими отправлениями СКЗИ и криптографические ключи до получения указаний отправителя применять не разрешается.
• При обнаружении бракованных криптографических ключей ключевой носитель с такими ключами следует вернуть изготовителю для установления причин происшедшего и их устранения в дальнейшем. Изготовитель в этом случае должен направить новые криптографические ключи.
• Ключевые носители совместно с описью криптографических ключей должны храниться в сейфе (металлическом шкафу), как правило, в отдельной ячейке. В исключительных случаях допускается хранить ключевые носители и опись криптографических ключей совместно с другими документами, при этом ключевые носители и опись криптографических ключей должны быть помещены в отдельную папку.
• При отсутствии у пользователя СКЗИ сейфа (металлического шкафа) ключевые носители по окончании рабочего дня должны сдаваться ответственному пользователю СКЗИ, по Журналу учёта СКЗИ.

 

5. Порядок эксплуатации СКЗИ и криптографических ключей к ним

 

• Средства криптографической защиты информации эксплуатируются в Администрации в соответствии с правилами пользования ими, которые указаны в эксплуатационной и технической документации к СКЗИ.
• СКЗИ и криптографиче­ские ключи используются в Администрации для обеспечения конфиденциальности и целостности информации, в том числе при ее передаче по открытым каналам связи.
• Конфиденциальность электронных документов обеспечивается путём их шифрования. Авторство и целостность электронных документов обеспечивается путём создания в документе электронной подписи пользователя.
• Электронный документ может быть подписан электронной подписью с использованием только того закрытого ключа, для которого выдан сертификат ключа подписи пользователя с областью действия.
• Для шифрования электронного документа пользователь использует свой собственный закрытый криптографический ключ и открытый криптографический ключ, соответствующий действующему закрытому криптографическому ключу получателя документа.
• Открытый криптографический ключ содержится в сертификате ключа подписи, который выдаётся пользователю в электронной форме и на бумажном носителе.
• Проверка подлинности электронной подписи электронного документа осуществляется пользователем с использованием открытого криптографического ключа отправителя документа.
• Расшифровывание электронного документа осуществляется с использо­ванием закрытого криптографического ключа пользователя и открытого крип­тографического ключа отправителя документа.
• В случае необходимости генерации закрытого криптографического ключа (и пароля доступа к нему) пользователь должен осуществить генерацию самостоятельно на собственном АРМ (при наличии технической воз­можности^[26]), либо на АРМ ответственного пользователя СКЗИ. При использовании ключевой информации рекомендуется в качестве носителей ключевой информации использовать носители, имеющие специализированные контейнеры ключевой информации, обеспечивающие невозможность их экспорта (также при генерации ключевой информации должен быть задан соответствующий параметр).
• Пользователь не может подписать электронный документ своей электронной подписью или выполнить его шифрование, если истёк срок действия закрытых криптографических ключей. Также пользователь не может проверить электронную подпись электронного документа или произвести его расшифровывание в случае истечения срока действия сертификата ключа подписи, необходимого для выполнения соответствующей операции.
• Реализованные в СКЗИ алгоритмы шифрования и электронной цифровой подписи гарантируют невозможность восстановления закрытых крипто­графических ключей отправителя по его открытым ключам.
• При выявлении сбоев или отказов пользователь обязан сообщить о факте их возникновения ответственному пользователю СКЗИ и предоставить ему носители криптографических ключей для проверки их работоспособности. Проверку работоспособности носителей криптографических ключей ответственный пользователь СКЗИ выполняет в присутствии пользователя.
• В случае если рабочие криптографические ключи потеряли работоспособность, то по заявке пользователя ответственный пользователь СКЗИ информации вскрывает конверт с резервными криптографи­ческими ключами, делает копию ключевого носителя, используя резервные криптографические ключи, помещает резервные криптографические ключи в конверт.
• В экстренных случаях, не терпящих отлагательства, вскрытие конверта с резервными криптографическими ключами может осуществляться пользователем самостоятельно с последующим уведомлением ответственного пользователя СКЗИ о факте вскрытия конверта с криптографическими ключами. На конверте делается запись о вскрытии с указанием даты и времени вскрытия конверта и подписью пользователя. Вскрытый конверт вместе с неработоспособными криптографическими ключами сдаются ответственному пользователю СКЗИ.
• Вскрытие системного блока АРМ/сервера, на котором установлено СКЗИ, для проведения ремонта или технического обслуживания должно осуществляться в присутствии администратор информационной безопасности и ответственного пользователя СКЗИ.

6. Порядок действий при компрометации криптоключей

• Под компрометацией криптоключей понимается хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

К компрометации ключей относятся следующие события:

• утрата носителей ключа;
• утрата носителей ключа с последующим обнаружением;
• увольнение сотрудников, имевших доступ к ключевой информации;
• возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
• нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
• утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
• утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
• доступ посторонних лиц к ключевой информации;
• другие события утери доверия к ключевой документации.
  • Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием конфиденциальной информации, пользователи СКЗИ обязаны сообщать ответственному пользователю СКЗИ.
  • Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
  • Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, передававшейся (хранящейся) с использованием СКЗИ, организует и осуществляет обладатель скомпрометированной конфиденциальной информации. Действующие и резервные ключевые документы, предназначенные для применения в случае компрометации действующих криптоключей, должны храниться во внутреннем отсеке сейфа в различных конвертах.
  • Порядок действий при компрометации ключей уполномоченного лица ОКЗИ:

            По факту компрометации ключа уполномоченного лица ОКЗИ должно быть проведено служебное расследование. В случае компрометации ключа уполномоченного лица ОКЗИ вся система должна быть немедленно остановлена. При наличии резервных ключей, система должна полностью перейти на комплект резервных ключей. Если резервные ключи не были предусмотрены, для восстановления системы необходимо: повторно произвести формирование ключа уполномоченного лица; обеспечить получение новых криптоключей пользователями системы.

7. Уничтожение средств криптографической защиты информации

• Криптографические ключи:
  • Уничтожению подлежат криптографические ключи в случае их компрометации, вывода из эксплуатации, окончания срока действия.
  • Криптографические ключи уничтожаются путём их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования, в соответствии с требованиями эксплуатационной и технической документации на СКЗИ, путем удаления с носителя информации, способом препятствующим восстановлению удаленной информации, или физическим уничтожением материального носителя ключевой информации.
• Аппаратные СКЗИ:
  • Уничтожению подлежат аппаратные СКЗИ вышедшие из строя или выведенные из эксплуатации.
  • Аппаратные СКЗИ уничтожаются (утилизируются) в соответствии с требованиями Положения ПКЗ-2005, по решению обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с ОКЗИ.
• Программные СКЗИ:
  • Уничтожению подлежат программные СКЗИ выведенные из эксплуатации.
  • Программные СКЗИ уничтожаются путем предусмотренным эксплуатационной и технической документацией к СКЗИ. В противном случае, удалением программного обеспечения СКЗИ с носителя информации, способом препятствующим восстановлению удаленной информации.
• Программно-аппаратные СКЗИ:
  • Уничтожению подлежат программно-аппаратные СКЗИ вышедшие из строя или выведенные из эксплуатации.
  • Намеченные к уничтожению (утилизации) СКЗИ, извлекаются из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ, процедура удаления программного обеспечения СКЗИ, и они полностью отсоединены от аппаратных средств.
• Дистрибутивы СКЗИ:
  • Уничтожению подлежат дистрибутивы выведенных из эксплуатации СКЗИ, ПО СКЗИ и скомпрометированных ключевых дистрибутивов на носителях информации.
  • Дистрибутивы СКЗИ уничтожаются путем удаления с носителя информации способом, препятствующим восстановлению удаленной информации, либо физическим уничтожением материального носителя.
• Ключевые документы:
  • Уничтожению подлежат скомпрометированные или выведенные из эксплуатации ключевые документы.
  • Ключевые документы уничтожаются путем удаления с носителя ключевой информации, способом препятствующим восстановлению удаленной информации, физическим уничтожением материального носителя ключевых документов, путем сжигания, с помощью любых бумагорезательных машин или иного физического воздействия, в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из эксплуатации (окончания срока действия).
• Ключевая информация ПАК ViPNet 4.x:
  • Ключевая информация ПАК ViPNet 4.x подлежит уничтожению в случае компрометации или вывода из эксплуатации.
  • Ключевая информация ПАК ViPNet 4.x уничтожается путем перезаписи (удаления) ключевой информации средствами ПАК ViPNet 4.x.
• Эксплуатационная и техническая документация к СКЗИ:
  • Эксплуатационная и техническая документация подлежит уничтожению вместе с поставляемым СКЗИ, выведенным из эксплуатации.
  • Эксплуатационная и техническая документация к СКЗИ уничтожается путем сжигания или с помощью любых бумагорезательных машин.
• СКЗИ уничтожаются комиссией, состоящей из сотрудников ОКЗИ (не менее двух представителей), и не менее двух сотрудников Администрации из числа членов Комиссии по обеспечению информационной безопасности (далее - Комиссия), назначаемой Главой Администрации.
  • При уничтожении СКЗИ комиссия обязана:
• установить наличие оригинала и количество копий СКЗИ;
• проверить внешним осмотром целостность каждого СКЗИ;
• установить наличие на оригинале и всех копиях СКЗИ реквизитов путём сверки с записями в Журнале учёта СКЗИ;
• убедиться, что СКЗИ действительно подлежат уничтожению;
• произвести уничтожение СКЗИ;
• составить акт об уничтожении СКЗИ.
  • Акт об уничтожении СКЗИ:
    • В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых СКЗИ, эксплуатационной и технической документации СКЗИ.
    • В Журнале учёта СКЗИ и Техническом (аппаратном) журнале ответственным пользователем СКЗИ производится отметка об уничтожении СКЗИ с указанием даты и номера Акта.
    • Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении.
    • Акт об уничтожении СКЗИ подписывается председателем комиссии, членами комиссии.
    • Акты об уничтожении СКЗИ хранятся у ответственного пользователя СКЗИ (форма акта приведена в приложении 10 к настоящей Политике).

8. Организация режима в Спецпомещениях

• При обустройстве Спецпомещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функциони­рующего с СКЗИ.
• Расположение Спецпомещений, охрана и организация режима в Спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, визуальное наблюдение посторонними лицами за проведением работ в Спецпомещениях, а также обеспечивать сохранность СКЗИ и криптографических ключей.
• Спецпомещения выделяют с учётом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. По­мещения должны иметь прочные входные двери с замками, гарантирующими надёжное закрытие Спецпомещений в нерабочее время и при­способлениями для опечатывания замочных скважин. Окна Спецпомещений, располо­женных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Спецпомещение посторонних лиц, необходимо оборудовать металлически­ми решётками или ставнями, или охранной сигнализацией, или другими сред­ствами, препятствующими неконтролируемому проникновению в Спецпомещение.
• Окна Спецпомещений, в которых установлены СКЗИ должны быть защищены для предотвращения несанкционированного просмотра.
• Двери режимных Спецпомещений должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода работников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают работ­никам, имеющим право допуска в Спецпомещения, под расписку в «Жур­нале учета сейфов, металлических хранилищ и ключей к ним» (форма журнала приведена в приложении № 11). Дубликаты ключей от входных дверей таких Спецпомещений следует хранить в специальном сейфе.
• Режим охраны Спецпомещений, в том числе правила допуска работников и посетителей в рабочее и нерабочее время устанавливается министром строительства и архитектуры Республики Северная Осетия-Алания или его заместителем, курирующим данное направление. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Политики.
• Спецпомещения, по возможности, должны быть оснащены системой контроля и управления доступом, охранной сигнализацией, связанной со службой охраны здания или дежурным. Исправность сигнализации периодически должна проверяться службой охраны.
• Для хранения криптографических ключей, эксплуатационной и технической документации, дистрибутивов СКЗИ должно быть предусмотрено не­обходимое число надёжных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей или кодовыми замками, или при­способлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у ответственного пользователя СКЗИ или пользователя, ответственного за хранилище. Дубликаты ключей от хранилищ пользователи хранят в специальном сейфе. По окончании рабочего дня Спецпомещение и установленные в нём хранилища должны быть закрыты, хранилища опечатаны. Печати, предназначенные для опечатывания хранилищ, должны находиться у пользователей, ответственных за эти хранилища.
• В обычных условиях Спецпомещения и находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями СКЗИ или ответственным пользователем СКЗИ.
• При обнаружении признаков, указывающих на возможное несанкционированное проникновение в Спецпомещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено ответственному пользователю СКЗИ, который должен оценить возможность компрометации хранящихся криптографических ключей, составить акт и принять при необходимости меры к локализации последствий компрометации криптографических ключей и к их замене.
• Техниче­ское обслуживание СКЗИ и установка ключевых документов в присутствии лиц, не допущенных к работе с СКЗИ, не допускается.
• На время отсутствия пользователей необходимое оборудование, при наличии технической возможности должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согла­сованию с ответственным пользователем СКЗИ необходимо предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами в отсутствие пользователя.

 

9. Порядок доступа в Спецпомещения

 

• Самостоятельный допуск пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А в Спецпомещения организуется после оформления заключения о возможности допуска пользователей к самостоятельной работе с СКЗИ.
• Руководителем или заместителем руководителя, курирующего данное направление утверждается «Перечень лиц, допущенных в помещение, где находятся СКЗИ, носители ключевой, аутентифицирующей и парольной информации СКЗИ» (далее – сотрудники Спецпомещения).
• Допускается нахождения в Спецпомещения посторонних лиц в присутствие сотрудников Спецпомещения либо в сопровождении ответственного пользователя СКЗИ.
• Доступ посторонних лиц в Спецпомещения должен осуществляется только ввиду служебной необходимости. На момент присутствия посторонних лиц в помещении должны быть приняты меры по недопущению ознакомления с защищаемой информацией.
• Сотрудники Спецпомещения должны иметь один пронумерованный и закрепленный за ними экземпляр ключа от Спецпомещения.
• По окончанию рабочего дня Спецпомещение должно быть опечатано, а ключ от него должен быть сдан под расписку в журнале службе охраны.
• Доступ в Спецпомещения обслуживающего персонала в рабочее время должен осуществляться в присутствии сотрудника Спецпомещения

10. Порядок действий при утрате ключей от Спецпомещений

• При утрате ключа от входной двери в Спецпомещение, замок Спецпомещения необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением.
• При обнаружении признаков, указывающих на возможное несанкционированное проникновение в Спецпомещения посторонних лиц, о случившемся должно быть немедленно сообщено ответственному пользователю СКЗИ. Ответственный пользователь СКЗИ должен сообщить о данном факте в ОКЗИ. Прибывшие сотрудники ОКЗИ должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и определить, при необходимости, меры для локализации последствий компрометации конфиденциальной информации и замены скомпрометированных криптоключей.

11. Порядок действий при возникновении чрезвычайных ситуаций (стихийных бедствий, техногенных катастроф, наводнений, пожаров)

            При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, выполняются следующие действия:

• Все сотрудники, использующие СКЗИ, обязаны предпринять максимально возможные меры по обеспечению сохранности личных СКЗИ (электронных ключей, съемных носителей информации с записанными электронными подписями) во время эвакуации.
• Ответственный пользователь СКЗИ обязан предпринять максимально возможные меры по обеспечению сохранности средств криптографической защиты информации, криптографических ключей (ключевых документов), а также эксплуатационной и технической документации к СКЗИ.
• Ответственные сотрудники приступают к эвакуации сейфов (хранилищ) со средствами криптографической защиты информации, криптографическими ключами (ключевыми документами), а также эксплуатационной и технической документации к СКЗИ, согласно очередности (порядку) выноса, указанной на бирках сейфов.
• Начальники отделов обязаны собрать и обеспечить максимальные меры по обеспечению сохранности СКЗИ (электронных ключей, съемных носителей информации с записанными электронными подписями) тех сотрудников, которых на момент эвакуации нет на рабочем месте (болезнь, командировка, учеба, отпуск и т.д.).
• Начальники обязаны проконтролировать исполнение задач эвакуации, приняв соответствующие доклады, от сотрудников о готовности к эвакуации, провести выборочную проверку готовности личных СКЗИ пользователя к эвакуации.
• В случае развития ситуации, при которой угроза НСД к СКЗИ, компрометации ключей, потери СКЗИ становится неизбежна и принимаемыми мерами сохранить их не представляется возможным, они должны быть уничтожены. Если до момента непосредственной угрозы безопасности указание от ответственного пользователя СКЗИ, в силу каких-либо причин, не поступает, решение об уничтожении СКЗИ, пользователями СКЗИ принимается самостоятельно.
• Уничтожение СКЗИ может быть не завершено в случае возникновения непосредственной опасности для жизни сотрудников.
• Сотрудники органов МЧС и аварийных служб, врачи «скорой помощи» допускаются в Спецпомещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении руководителя отдела Администрации или замещающего его лица.

 

12. Ответственность за исполнение положений настоящей Политики

 

• Ответственность за исполнение положений настоящей Политики возлагается на всех Пользователей ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А осуществляющих работу с СКЗИ.
• Лица, виновные в нарушении положений настоящей Политики, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой и административной ответственности.
• ОКЗИ несёт ответственность за:

            проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров, используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей, которыми опечатаны технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);

разработку мероприятий по обеспечению функционирования и безопасности, применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;

инструктаж лиц, использующих СКЗИ, по правилам работы с ними;

поэкземплярный учёт используемых СКЗИ, эксплуатационной и технической документации к ним;

учёт обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ;

контроль соблюдения условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ;

расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты информации; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

разработку схемы организации криптографической защиты информации (с указанием наименования, обладателей конфиденциальной информации, типов, применяемых СКЗИ и ключевых документов к ним, видов защищаемой информации, используемых совместно с СКЗИ технических средств связи, прикладного и общесистемного программного обеспечения, и средств вычислительной техники).

 

ПРИЛОЖЕНИЕ 1

к Политике использования средств криптографической защиты

информации в информационных системах пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

 

 

Акт №__

установки и ввода в эксплуатацию

средства криптографической защиты информации

 

г. Владикавказ                                                                                   «      » _________ 20__г.

 

            Настоящий акт составлен о том, что сотрудником ____________________

^{(наименование организации)}

(далее – Исполнитель) была произведена установка и настройка средства криптографической защиты информации ________________________________ (далее - криптосредство) в

Серийный номер (инвентарный номер) АРМ / сервера: ___________________

Место установки: _____________________________________________________

ФИО ответственного сотрудника СКЗИ:__________________________________

ФИО пользователя АРМ:_____________________________________________

Учетный номер СКЗИ: ________________________________________________

Серийный номер СКЗИ: _______________________________________________

Регистрационный номер криптосредства (ПАК): _______________

Регистрационный номер экземпляра ключевого документа: _________________

Установленное и настроенное криптосредство находится в работоспособном состоянии.

Пользователь криптосредства обязуется:

не разглашать конфиденциальную информацию, к которой он допущен, в том числе сведения о криптоключах;

соблюдать требования к обеспечению безопасности криптосредств и ключевых документов к ним;

сдать криптосредство, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранения от исполнения обязанностей, связанных с использованием криптосредств;

сообщать исполнителю о попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним;

немедленно уведомлять исполнителя о фактах утраты или недостачи криптосредств, ключевых документов к ним.

 

 

Исполнитель   ___________/_______________/                  подпись                             ФИО

Пользователь криптосредства                    __________/______________/                                         подпись                         ФИО

 

 

ПРИЛОЖЕНИЕ 2

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

 

ФОРМА

 

ПРОТОКОЛ № ___

принятия зачета у пользователя средств криптографической защиты информации

 

г. Моздок                                                                    «___»_______20___г.

 

Зачет проведен в соответствии с Перечнем вопросов по проверке знаний у пользователей средств криптографической защиты информации, утвержденным руководителем ОКЗИ компании________________________________________ .

                            ^{(наименование организации)}

Результаты зачета приведены в таблице 1.

Таблица 1 – Результат сдачи зачета

№ п/п	Фамилия, имя, отчество пользователя	Номер билета	Зачет/ незачет	Подпись пользователя
1.
2.

 

 

___________________________                                        ________________

            ^{Ф.И.О., должность сотрудника ОКЗИ                                                                                                (подпись)}

 

 

 

ПРИЛОЖЕНИЕ 3

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

ФОРМА

 

ЗАКЛЮЧЕНИЕ

о возможности допуска пользователей к самостоятельной работе со средствами криптографической защиты информации

             

 

г. Моздок

«___»__________20___г.

 

 

Сотрудники, прошедшие инструктаж и сдавшие зачет по использованию средств криптографической защиты информации (далее – СКЗИ) согласно протоколу принятия зачета №___ от _____________ обязуется:

• не разглашать конфиденциальную информацию, к которой допущен, в том числе сведения о криптоключах;
• соблюдать требования к обеспечению безопасности хранения, обработки и передачи конфиденциальной информации по каналам связи с использованием СКЗИ;
• сообщать оператору о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
• сдать установленным порядком СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
• немедленно уведомлять оператора о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ (сейфов), личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.

            Перечень сотрудников, допущенных к самостоятельной работе, представлен в таблице 1.

 

 

 

 

 

Таблица 1 – Перечень пользователей СКЗИ

№ п/п	Фамилия, имя, отчество	Наименование криптосредства

 

 

______________________________    Должность сотрудника ОКЗИ	_____________________                                                                      (подпись, Ф.И.О.)
______________________________ Руководитель ОКЗИ	_____________________                                                                       (подпись, Ф.И.О.)

 

ПРИЛОЖЕНИЕ 4

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района

Республики Северная Осетия – Алания

 

 

ФОРМА

ЗАКЛЮЧЕНИЕ

о возможности эксплуатации средств криптографической защиты информации

 

             

г. Моздок

«___»__________20___г.

 

 

            В соответствии с «Заключением о возможности допуска пользователей к самостоятельной работе со средств криптографической защиты информации»,
от _____________ сотрудниками органа криптографической защиты информации (далее – ОКЗИ) в присутствии ответственного пользователя средств криптографической защиты информации (далее – СКЗИ), была проведена проверка готовности эксплуатации СКЗИ в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания.

            Проверка проводилась в соответствии с эксплуатационной и технической документацией к СКЗИ, условиям выданных сертификатов и настройкам необходимых конфигураций. Произведена оценка соответствия требованиям «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной Приказом ФАПСИ от 13.06.2001 №152» (далее – Инструкция ФАПСИ).

            Состав СКЗИ включает в себя средства, указанные в таблице 1.

Таблица 1 – Состав СКЗИ

Наименование СКЗИ	Серийные номера СКЗИ	Тип аппаратного средства	Серийный/инвентарный номер аппаратного средства	Номер пломбы

В результате выполнения указанных организационно-технических мероприятий нарушений требований Инструкции ФАПСИ, эксплуатационной и технической документации к СКЗИ не выявлено.

Принято решение о возможности эксплуатации СКЗИ, указанных в таблице1.

 

______________________________    Должность сотрудника ОКЗИ	______________________                                                        (подпись, Ф.И.О.)
______________________________ Руководитель ОКЗИ	______________________                                                          (подпись, Ф.И.О.)

 

 

 

ПРИЛОЖЕНИЕ 5

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

Форма

Администрация местного самоуправления Моздокского района Республики Северная Осетия – Алания
ЛИЦЕВОЙ СЧЕТ пользователя СКЗИ
(ФИО)
(должность)
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов	Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов	Номера экземпляров (криптографические номера) ключевых документов	Дата и расписка в получении СКЗИ	Дата и расписка о возвращении СКЗИ	Примечания
1	2	3	4	5	6

 

_____________________________                                                                                                     __________________

                ^{Ф.И.О., должность сотрудника ОКЗИ                                                                                                                                                                                            (подпись)}

ПРИЛОЖЕНИЕ 6

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

Форма

ЖУРНАЛ

поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов

(для обладателя конфиденциальной информации)

 

№ п/п	Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов	Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов	Номера экземпляров (криптографические номера) ключевых документов	Отметка о получении		Отметка о выдаче		Отметка о подключении (установке СКЗИ)			Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов			Примечание
				От кого получены	Дата и номер сопроводительного письма	Ф.И.О. пользователя СКЗИ	Дата и расписка в получении	Ф.И.О. работников органа криптографической защиты, пользователя СКЗИ, произведших подключение установку	Дата подключения (установки) и подписи лиц, произведших подключение (установку)	Номера, аппаратных средств, в которые установлены или к которым подключены СКЗИ	Дата изъятия уничтожения)	Ф.И.О. работников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение)	Номер акта или расписка об уничтожении
1	2	3	4	5	6	7	8	9	10	11	12	13	14	15
1
2

 

 

ПРИЛОЖЕНИЕ 7

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

Форма

ЖУРНАЛ

поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов

(для органа криптографической защиты информации)

 

№ п/п	Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов	Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов	Номера экземпляров (криптографические номера) ключевых документов	Отметка о получении		Отметка о рассылке (передаче)		Отметка о рассылке (передаче)	Отметка о возврате		Дата ввода в действие	Дата вывода из действия	Отметка об уничтожения СКЗИ, ключевых документов		Примечание
				От кого получены или Ф.И.О. сотрудника органа криптографической защиты изготовившего ключевые документы	Дата и номер сопроводительного письма или дата изготовления ключевых документов и расписка в изготовлении	Кому разосланы (переданы)	Дата и номер сопроводительного письма	Дата и номер подтверждения или расписка в получении	Дата и номер сопроводительного письма	Дата и номер подтверждения			Дата уничтожения	Номер акта или расписка об уничтожении
1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16
1

 

ПРИЛОЖЕНИЕ 8

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

 

Форма

Технический (аппаратный) журнал

 

№ п/п	Дата	Тип и серийные номера используемых СКЗИ	Записи по обслуживанию СКЗИ	Используемые криптоключи			Отметка об уничтожении (стирании)		Примечание
				тип ключевого документа	серийный, криптографический номер и номер экземпляра ключевого документа	номер разового ключевого носителя или зоны СКЗИ, в которую введены криптоключи	дата	подпись пользователя СКЗИ
1	2	3	4	5	6	7	8	9	10
1
2

 

 

 

 

ПРИЛОЖЕНИЕ 9

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

Форма

Журнал учета опломбирования аппаратных средств,

с которыми осуществляется функционирование СКЗИ

 

№ п/п	Наименование аппаратного средства	Серийный/инвентарный номер аппаратного средства	Номер пломбы	Местонахождение аппаратного средства	Ф.И.О пользователя аппаратного средства	Подпись пользователя аппаратного средства
1	2	3	4	5	6	7
1
2
3
4

 

 

ПРИЛОЖЕНИЕ 10

к Политике использования средств криптографической защиты

информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий

в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания»

в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

ФОРМА

     

АКТ №____ уничтожения СКЗИ       г. Владикавказ «___»__________20___г.   Состав комиссии:
Председатель комиссии ____________ ____________________________ Члены комиссии ____________ ____________________________   ____________ ____________________________ Комиссия произвела отбор к уничтожению ключевых документов:
№ п/п Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов Номер экземпляра (криптографический номер) ключевого документа Учётный номер СКЗИ Дата регистрации 1 2 3 4 5 6
Всего подлежит уничтожению _________(_______________________) наименований документов          (цифрами)                    (прописью) СКЗИ уничтожено согласно Политике использования средств криптографической защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания.
Председатель комиссии ____________ ____________________________ Члены комиссии ____________ ____________________________   ____________ ____________________________

 

 

Приложение 13

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

ПАМЯТКА

пользователя информационных ресурсов пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1. Пользователь автоматизированного рабочего места (персонального компьютера) содержит предоставленное ему автоматизированное рабочее место (далее – АРМ) и другую вычислительную и оргтехнику в хорошем техническом, гигиеническом и технологическом состоянии, следит за чистотой на компьютерном рабочем месте, не допускает наличие пыли на компьютерном оборудовании, вокруг него и под ним, уделяя особое внимание бесперебойности его работы.
2. Каждый работник, обеспеченный АРМ, получает аутентификационную информацию (персональное сетевое имя (имя пользователя), персональный аппаратный идентификатор для обеспечения двухфакторной аутентификации, пароль).
3. В общем случае под информационными активами понимаются:

• информационные ресурсы, содержание защищаемую информацию
  (в базах данных, в файловом виде в каталогах).
• информационные системы Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания, в частности ресурсы пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А), в которых осуществляется обработка защищаемой информации, в совокупности со средствами обработки такой информации и с учетом технологии ее обработки.
  4. После получения доступа к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, пользователь при первом входе в систему должен сменить пароль доступа на пароль, удовлетворяющий требованиям Политики использования аутентификационной информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания. Также смена пароля должна осуществляться в случае его компрометации.
  5. Пользователь ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А не должен допускать многократного ввода неправильного пароля и блокировки своих учётных записей.
  6. Пользователь обязан следить за сроком действия паролей и своевременно производить их смену, а в случае отсутствия технической возможности – обращаться к Администратору ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А (далее – Администратор ИС).
  7. Пользователь обязан хранить в секрете персональные пароли доступа к ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А и не передавать их другим лицам (за исключением случаев, предусмотренных Политикой использования аутентификационной информации при доступе к информационным активам ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А).
  8. Хранение пользователем аутентификационной информации (хранящейся на бумажном носителе или на аппаратном идентификаторе) допускается только в личном сейфе (запираемом шкафу, ящике) или ином надежном месте, предусмотренном Политикой использования аутентификационной информации при доступе к информационным активам ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А. При этом носитель должен быть упакован в отдельный опечатанный конверт.
  9. Работа с информационными активами пользователям ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, разрешена только на АРМ, закреплённых за Администрацией, в определенное время и только с разрешённым программным обеспечением и сетевыми ресурсами.
  10. Самостоятельная установка и (или) обновление пользователем программного обеспечения на АРМ запрещена. Установка и удаление любого программного обеспечения производится только ответственными сотрудниками.
  11. Самостоятельное изменение пользователем аппаратной конфигурации АРМ, а также подключение к АРМ мобильных устройств передачи информации (сотовые телефоны, usb-модемы, и прочее) категорически запрещено. Изменение (модификация) аппаратной конфигурации АРМ производится только ответственными сотрудниками.
  12. Самостоятельное изменение пользователем состава локально-вычислительной сети (подключение/отключение АРМ, подключение/отключение коммутаторов, маршрутизаторов, сетевых модемов) запрещено. Изменение состава локально-вычислительной сети осуществляется уполномоченными сотрудниками.
  13. АРМ подлежат опечатыванию/опломбированию. Опечатывание осуществляется ответственными сотрудниками. Пользователь АРМ обязан следить за сохранностью данных пломб и в случае их нарушений сообщать о данном факте администратору информационной безопасности (далее – Администратор ИБ).
  14. При необходимости отлучиться от АРМ, пользователь обязан, во избежание осуществления несанкционированного доступа к информационным активам, принудительно заблокировать АРМ посредством функционала операционной системы или используемого средства защиты информации от несанкционированного доступа.
  15. Пользователь не должен каким-либо образом препятствовать функционированию (в том числе обновлению) средства защиты информации и принимать попытки по их деактивации.
  16. Пользователь обязан обеспечить резервное копирования служебных данных, располагающихся на своих АРМ, вне сетевых файловых хранилищ. Резервное хранение таких данных осуществляется только на учтённые съёмные носители информации.
  17. Пользователю АРМ запрещается:
• подключать и отключать электропитание АРМ и другой вычислительной и оргтехники без ведома уполномоченных лиц;
• включать в компьютерную сеть электропитания бытовые электрические приборы, а также другое электрооборудование, не относящееся к вычислительной и оргтехнике, ЛВС;
• использовать носители информации, имеющие видимые повреждения, либо не проверенные на наличие вирусов;
• загромождать АРМ и другую вычислительную и оргтехнику посторонними предметами;
• располагать системный блок в недоступных для обслуживания местах, в местах с плохим воздухообменом, а также в местах, способствующих запылению и перегреву вентилирующих устройств;
• допускать попадание влаги и посторонних предметов в монитор, системный блок АРМ, принтер, клавиатуру, аудио-гарнитуру, манипулятор мышь;
• выполнять чистку включённых АРМ и оргтехники, чистить АРМ и оргтехнику моющими средствами, не предназначенными для этих целей (спиртом, ацетоном, бензином и другими);
• открывать системный блок АРМ или разбирать какое-либо оборудование, относящееся к вычислительной технике, оргтехнике и ЛВС;
• нарушать гарантийные пломбы (наклейки) на компьютере, мониторе и любом другом компьютерном или сетевом оборудовании.
  18. Передача пользователем файлов внутри ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А производится с использованием учтённых съёмных носителей информации, а также посредством общих папок. Передача пользователем ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А файлов во внешние информационные системы производится только с использованием учтенных съемных носителей. Иные способы передачи запрещены.
  19. Порядок использования съёмных носителей информации.

• Под съёмными носителями информации понимаются оптические диски, флэш-накопители, внешние накопители на жёстких дисках и иные устройства хранения информации.
• Под использованием съёмных носителей информации понимается их подключение к инфраструктуре АРМ и серверам ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А с целью приёма/передачи информации.
• Допускается использование только учтённых носителей информации, которые являются собственностью Администрации и подвергаются регулярной ревизии и контролю.
• Хранение съёмных носителей информации должно осуществляться в сейфах, запираемых металлических шкафах.
• Пользователь обязан:

• использовать носители информации исключительно для выполнения своих служебных обязанностей;
• обеспечивать физическую безопасность носителей информации всеми разумными способами.
  • При использовании съёмных носителей информации запрещено:
• использовать носители информации в личных целях;
• передавать носители информации другим лицам;
• оставлять съёмные носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.
  • Любое взаимодействие (обработка, приём/передача информации) с ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А посредством использования неучтённых (личных) носителей информации, рассматривается как несанкционированное.

20. Пользователь должен обеспечивать меры, исключающие ознакомление посторонних лиц с защищаемой информацией. Такими мерами являются: размещение мониторов, исключающее или существенно затрудняющее просмотр отображаемой информации; размещение документации на бумажных носителях, содержащих служебную информацию, исключающее просмотр информации на них (документация убирается в папки, ящики тумбочек/столов либо переворачивается лицевой стороной вниз, либо накрывается сверху непрозрачными объектами, закрывающими область текста).
21. Пользователь должен осуществлять проверку получаемой и передаваемой информации на предмет наличия компьютерных вирусов и другого вредоносного программного обеспечения.
22. Пользователь должен обеспечивать в рамках своих функциональных обязанностей, содействие членам комиссии по обеспечению информационной безопасности ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А в ходе проведения аудита, а также сторонним организациям, во время проведения аттестационных испытаний информационных систем по требованиям безопасности информации или во время проведения контроля за соблюдением уровня защищенности информации, содержащейся в аттестованной информационной системе.
23. Пользователь должен информировать Администратора ИБ о следующих инцидентах информационной безопасности и событиях безопасности информации (имеющих признаки инцидента): компрометация пароля, нарушение пломбы АРМ, сбои в работе средств защиты информации, вирусное заражение, хищение/утрата носителя информации, хищение/утрата аппаратного идентификатора, нарушение установленных политик безопасности и так далее
24. Пользователь должен выполнять указания Администратора ИБ ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А.
25. Пользователь должен незамедлительно предоставлять АРМ Администратору ИБ, Администратору ИС для контроля, а также в экстренных случаях (нестабильность в работе ЛВС, угроза вирусного заражения, несанкционированного доступа к информации).

 

 

 

 

Приложение 14

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

 

Инструкция

ответственного за обеспечение функционирования и безопасности криптографических средств пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1 Общие положения

 

Настоящая Инструкция разработана в целях регламентации действий лиц, ответственных за обеспечение функционирования и безопасности криптографических средств (далее – Ответственный) в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС ОГД).

• Должностные функции, права и обязанности Ответственного

При решении всех вопросов, связанных с обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться нормативно-правовыми актами Российской Федерации и Политикой использования средств криптографической защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания.

На Ответственного возлагается осуществление следующих должностных функций:

• ведение Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
• ведение технического (аппаратного) журнала СКЗИ;
• принятие СКЗИ, эксплуатационной и технической документации к ним, ключевых документов от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
• осуществление периодической проверки журнала учета СКЗИ, перечня пользователей СКЗИ и иных документов.

На Ответственного возлагается осуществление следующих должностных обязанностей:

• не разглашать информацию ограниченного доступа, к которой он допущен, в том числе сведения о криптоключах;
• сохранять носители ключевой информации и другие документы о ключах, выдаваемых с ключевыми носителями;
• соблюдать требования к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;
• контролировать целостность печатей (пломб) на технических средствах с установленными СКЗИ;
• немедленно уведомлять начальника отдела по информационным технологиям, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района, а он в свою очередь Главу Администрации местного самоуправления Моздокского района о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации;
• незамедлительно принимать меры по локализации последствий компрометации защищаемых сведений конфиденциального характера;
• не допускать ввод одного номера лицензии на право использования СКЗИ более чем на одно рабочее место.

В рамках исполнения возложенных на него обязанностей, Ответственный имеет право:

• требовать от пользователей СКЗИ соблюдения положений Инструкции по обращению с СКЗИ и Инструкции пользователя СКЗИ;
• обращаться к начальнику отдела по информационным технологиям, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района, а он в свою очередь к Главе Администрации местного самоуправления Моздокского района с требованием прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ;
• инициировать проведение служебных расследований по фактам нарушения в Администрации порядка обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

 

Приложение 15

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

ИНСТРУКЦИЯ

администратора информационной безопасности пользовательского

сегмента государственной информационной системы Республики

Северная Осетия – Алания с функциями автоматизированной

информационно-аналитической поддержки осуществления полномочий

в области градостроительной деятельности «Информационная система

обеспечения градостроительной деятельности Республики

Северная Осетия – Алания» в Администрации местного самоуправления

Моздокского района Республики Северная Осетия – Алания

 

• Общее положения

 

1.1  Настоящая Инструкция определяет обязанности Администратора безопасности пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС ОГД).

1.2 Администратор безопасности назначается распоряжением Главы Администрации местного самоуправления Моздокского района.

1.3  Администратор безопасности в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России, ФСБ России, регламентирующими документами Администрации местного самоуправления Моздокского района и другими документами.

1.4  Администратор безопасности по вопросам обеспечения безопасности информации подчиняется ответственному за защиту информации.

1.5 Рабочее место Администратора безопасности должно быть оборудовано средствами физической защиты (личный сейф, железный шкаф или другое).

1.6 Администратор безопасности осуществляет методическое руководство пользователей ПС ГИС ОГД в вопросах обеспечения правильной работы с используемыми в ПС ГИС ОГД средствами защиты информации (далее - СЗИ).

1.7 Требования Администратора безопасности, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми пользователями ПС ГИС ОГД.

1.8 Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ПС ГИС ОГД, состояние и поддержание установленного уровня защиты ПС ГИС ОГД.

 

• Задачи Администратора безопасности

 

2.1 Основными задачами Администратора безопасности являются:

• поддержание необходимого уровня защиты ПС ГИС ОГД от несанкционированного доступа (НСД) к информации, в т.ч. ПДн;
• обеспечение конфиденциальности обрабатываемой, хранимой и передаваемой по каналам связи информации, в т. ч. ПДн;
• установка средств защиты информации на элементах ПС ГИС ОГД и контроль выполнения правил их эксплуатации;
• сопровождение средств защиты информации (СЗИ) от НСД и основных технических средств и систем (ОТСС) ПС ГИС ОГД;
• периодическое обновление СЗИ (при необходимости);
• проведение комплекса мероприятий по предотвращению инцидентов ИБ;
• оперативное реагирование на нарушения требований по ИБ в ПС ГИС ОГД и участие в их прекращении.

2.2 В рамках выполнения основных задач Администратор безопасности осуществляет:

• текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических СЗИ;
• текущий контроль технологического процесса автоматизированной обработки информации;
• текущий контроль неизменности состояния СЗИ их параметров и режимов защиты;
• текущий контроль физической сохранности средств и оборудования ПС ГИС ОГД;
• контроль исполнения пользователями установленных в ПС ГИС ОГД правил организации парольной защиты;
• анализ журналов учета событий безопасности СЗИ, с целью выявления возможных нарушений;
• учет машинных носителей информации, используемых в ПС ГИС ОГД;
• контроль действий пользователей при работе с машинными носителями информации;
• ввод полномочий пользователей в разрешительную систему доступа (матрицу доступа) и их своевременная корректировка;
• контроль за соблюдением пользователями установленных в ПС ГИС ОГД правил по организации антивирусного контроля;
• участие в проведении служебных расследований фактов нарушений или угрозы нарушений безопасности информации;
• контроль соблюдения нормативных требований по защите информации, обеспечения комплексного использования технических средств, методов и организационных мероприятий по безопасности информации пользователями ПС ГИС ОГД;
• методическую помощь пользователям ПС ГИС ОГД по вопросам обеспечения безопасности информации и работы с используемыми СЗИ.

 

• Обязанности Администратора безопасности информации

 

Администратор безопасности обязан:

3.1 Знать и выполнять требования нормативных документов по защите информации, регламентирующих порядок защиты информации, обрабатываемой в ПС ГИС ОГД.

3.2 Участвовать в установке, настройке и сопровождении СЗИ, используемых в ПС ГИС ОГД.

3.3 Вести журнал учета средств защиты информации.

3.4 Участвовать в приемке новых программных средств обработки информации.

3.5 Обеспечить доступ к защищаемой информации пользователям ПС ГИС ОГД согласно их правам доступа при получении оформленного соответствующим образом разрешения (заявки).

3.6 Уточнять в установленном порядке обязанности пользователей ПС ГИС ОГД при обработке ПДн.

3.7 Вести контроль осуществления резервного копирования информации.

3.8 Анализировать состояние защиты ПС ГИС ОГД.

3.9 Контролировать правильность функционирования средств защиты информации и неизменность их настроек. 

3.10 Контролировать физическую сохранность технических средств обработки информации.

3.11 Контролировать исполнение пользователями ПС ГИС ОГД введенного режима безопасности, а также правильность работы с элементами ПС ГИС ОГД и средствами защиты информации.

3.12 Контролировать исполнение пользователями правил парольной политики.

3.13 Вести контроль над процессом осуществления резервного копирования объектов защиты в ПС ГИС ОГД.

3.14 Еженедельно анализировать журнал учета событий, регистрируемых средствами защиты, с целью контроля действий пользователей и выявления возможных нарушений.

3.15 Не допускать установку, использование, хранение и размножение в ПС ГИС ОГД программных средств, не связанных с выполнением функциональных задач.

3.16 Вести контроль за соблюдением установленного в ПС ГИС ОГД порядка организации работы с машинными носителями информации.

3.17 Не допускать к работе на элементах ПС ГИС ОГД посторонних лиц.

3.18 Осуществлять периодические контрольные проверки автоматизированных рабочих мест (АРМ) пользователей ПС ГИС ОГД.

3.19 Оказывать помощь пользователям ПС ГИС ОГД в части применения средств защиты и консультировать по вопросам введенного режима защиты.

3.20 В случае необходимости информировать руководство о состоянии защиты ПС ГИС ОГД и о нештатных ситуациях и допущенных пользователями нарушениях установленных требований по защите информации.

3.21 В случае отказа работоспособности СЗИ ПС ГИС ОГД принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

3.22 В случае выявления нарушений режима безопасности ПДн, а также возникновения внештатных и аварийных ситуаций принимать необходимые меры с целью ликвидации их последствий.

3.23 В случае изменения используемых информационных технологий, состава и размещения средств и систем информатики, условий их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в «Аттестате соответствия») произвести извещение органа по аттестации, выдавшего «Аттестат соответствия».

3.24 Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки информации, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта не рекомендуется передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации. При передачи ремонтным организациям узлов и блоков с элементами накопления и хранения информации, проводится гарантированное уничтожение защищаемой информации с использованием сертифицированных средств защиты от НСД.

 

• Права Администратора безопасности

 

Администратор безопасности имеет право:

4.1 Отключать от ресурсов ПС ГИС ОГД пользователей, осуществивших НСД к защищаемым ресурсам ПС ГИС ОГД для исполнения указания и рекомендации по вопросам ИБ.

4.2 Инициировать проведение служебных расследований по фактам нарушений установленных требований обеспечения ИБ, НСД, утраты, порчи защищаемой информации и технических средств ПС ГИС ОГД.

4.3 Осуществлять контроль информационных потоков, генерируемых пользователями ПС ГИС ОГД при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.

4.4 Осуществлять взаимодействие с руководством и персоналом ПС ГИС ОГД по вопросам обеспечения ИБ.

4.5 Запрещать устанавливать на автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.

4.6 Запрашивать и получать от пользователей системы информацию и материалы, необходимые для организации своей работы.

4.7 Вносить на рассмотрение руководства предложения по улучшению состояния безопасности ПДн, обрабатываемых на ПС ГИС ОГД.

4.8 Принимать участие в проведении мероприятий по контролю за обеспечением безопасности персональных данных.

4.9 Вносить изменения в конфигурацию ПС ГИС ОГД и предварительно   произведя анализ потенциального воздействия планируемых изменений, согласовав внесение планируемых изменений с должностным лицом (работником), ответственным за обеспечение безопасности ПДн и получив разрешение органа по аттестации, выдавшего «Аттестат соответствия» на ПС ГИС ОГД.

4.10 Действовать в обход установленных процедур идентификации и аутентификации только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).

 

• Действия Администратора безопасности при обнаружении попыток НСД

 

5.1 К попыткам НСД относятся:

• сеансы работы с телекоммуникационными ресурсами ПС ГИС ОГД незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции доступа к определенным данным или манипулирования ими;
• действия третьего лица, пытающегося получить доступ (или получившего доступ) к информационным ресурсам ПС ГИС ОГД с использованием учетной записи администратора или другого пользователя ПС ГИС ОГД, в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.

 

5.2 При выявлении факта/попытки НСД Администратор безопасности обязан:

• прекратить доступ к информационным ресурсам со стороны выявленного участка НСД;
• доложить в случае необходимости ответственному за безопасность и руководителю Учреждения о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;
• известить начальника структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;
• проанализировать характер НСД;
• по решению руководства осуществить действия по выяснению причин, приведших к НСД;
• предпринять меры по предотвращению подобных инцидентов в дальнейшем.

 

• Ответственность Администратора безопасности

 

Администраторы безопасности, виновные в несоблюдении Настоящей инструкции расцениваются как нарушители Федерального законодательства РФ и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

 

 

Приложение 16

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

ИНСТРУКЦИЯ

администратора пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

• Общие положения

 

1.1  Настоящая Инструкция определяет обязанности администратора пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС ОГД).

1.2  Администратор ПС ГИС ОГД в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России, ФСБ России, регламентирующими документами Администрации местного самоуправления Моздокского района и другими документами в сфере защиты информации.

1.3  Администратор ПС ГИС ОГД подчиняется Главе Администрации местного самоуправления Моздокского района.

1.4 Методическое руководство работой Администратора ПС ГИС ОГД в вопросах обеспечения безопасности информации осуществляется ответственным за защиту информации.

1.5 Администратор ПС ГИС ОГД отвечает за обеспечение устойчивой работоспособности программных и аппаратных элементов ПС ГИС ОГД.

1.6 Администратор ПС ГИС ОГД несет персональную ответственность за качество проводимых им работ по обеспечению работоспособности программных и аппаратных элементов ПС ГИС ОГД, в т.ч. за их установку и настройку.

 

• Должностные обязанности Администратора

 

Администратор ПС ГИС ОГД обязан:

2.1 Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации.

2.2 Обеспечивать установку, настройку и своевременное обновление элементов автоматизированной системы:

• программного обеспечения автоматизированных рабочих мест (АРМ) (операционные системы, прикладное и специальное программное обеспечение (ПО);
• аппаратных средств;
• аппаратных и программных средств защиты.

2.3 Обеспечивать работоспособность элементов ПС ГИС ОГД и вычислительной сети.

2.4 Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

2.5 В случае отказа работоспособности технических средств и программного обеспечения элементов ПС ГИС ОГД принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

2.6 Проводить периодический контроль принятых мер по защите, в пределах, возложенных на него функций.

2.7 Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации, в пределах возложенных полномочий.

2.8 Информировать Администратора безопасности ПС ГИС ОГД о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ПС ГИС ОГД.

2.9 Требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ПС ГИС ОГД.

2.10 Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. При проведении технического обслуживания и ремонта запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации.

2.11 Присутствовать при выполнении технического обслуживания элементов ПС ГИС ОГД, сторонними физическими людьми и организациями.

2.12 Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

 

• Права Администратора

 

Администратор ПС ГИС ОГД имеет право:

3.1 Отключать от ресурсов ПС ГИС ОГД пользователей, осуществивших НСД к защищаемым ресурсам ПС ГИС ОГД или нарушивших другие требования по ИБ.

3.2 Давать пользователям обязательные для исполнения указания и рекомендации по вопросам обеспечения нормального функционирования программных и аппаратных элементов ПС ГИС ОГД и локальной вычислительной сети.

3.3 Осуществлять контроль информационных потоков, генерируемых пользователями ПС ГИС ОГД при работе с корпоративной электронной почтой, съемными носителями информации, подсистемой удаленного доступа.

3.4 Осуществлять взаимодействие с руководством и персоналом ПС ГИС ОГД по вопросам нормального функционирования программных и аппаратных элементов ПС ГИС ОГД и локальной вычислительной сети.

3.5 Запрещать устанавливать на автоматизированных рабочих местах нештатное программное и аппаратное обеспечение.

3.6 Запрашивать и получать от начальников и специалистов структурных подразделений Учреждения информацию и материалы, необходимые для организации своей работы.

3.7 Вносить на рассмотрение руководства предложения по улучшению нормального функционирования программных и аппаратных элементов ПС ГИС ОГД и локальной вычислительной сети.

3.8 Принимать участие в проведении мероприятий по контролю за обеспечением безопасности персональных данных.

3.9 Действовать в обход установленных процедур идентификации и аутентификации только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).

 

• Ответственность Администратора

 

Администраторы ПС ГИС ОГД, виновные в несоблюдении Настоящей инструкции расцениваются как нарушители Федерального закона и несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

 

Приложение 17

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

ПЕРЕЧЕНЬ

лиц, допущенных к работе в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

№ п/п	Фамилия, имя, отчество	Должность	Наименование отдела, № помещения	Ознакомлен (дата, подпись)
1.	Мещеряков Николай Александрович	главный специалист по информатизации отдела по информационным технологиям, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района	кабинет 5
2.	Мысиков Егор Владимирович	ведущий специалист-программист отдела информационных технологий, защите информации и муниципальных услуг Администрации местного самоуправления Моздокского района	кабинет 5
3.	Ломанов Юрий Владимирович в его отсутствие др. главный специалист отдела по распоряжению начальника отдела	главный специалист отдела ЖКХ архитектуры и строительства	кабинет 5

 

 

ПЕРЕЧЕНЬ

лиц, доступ которых к персональным данным, обрабатываемым в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

№ п/п	Фамилия, имя, отчество	Должность	Наименование отдела, № помещения	Ознакомлен (дата, подпись)
1.	Ломанов Юрий Владимирович в его отсутствие др. главный специалист отдела по распоряжению начальника отдела	главный специалист отдела ЖКХ архитектуры и строительства	кабинет 5

 

 

Приложение 18

к распоряжению

Главы Администрации

местного самоуправления

Моздокского района

№365 от 07.05.2024 г.

 

Порядок

 доступа сотрудников в помещения, в которых ведется обработка защищаемой информации, в том числе персональных данных, в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания

 

1 Общие положения

 

1.1      Настоящий Порядок доступа сотрудников в помещения, в которых ведется обработка защищаемой информации, в том числе персональных данных, в пользовательском сегменте государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания (далее – ПС ГИС ОГД) определяет правила доступа сотрудников в помещения, в которых ведется обработка защищаемой информации, в том числе персональных данных, в рабочее и нерабочее время, а также в нештатных ситуациях; перечень помещений, предназначенных для обработки защищаемой информации, в т. ч. персональных данных, ПС ГИС ОГД.

1.2      Настоящий Порядок обязателен для применения и исполнения всеми сотрудниками, допущенными к обработке информации в ПС ГИС ОГД.

1.3      Ответственность за соблюдение требований настоящего Порядка несут сотрудники структурных подразделений Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания с правом юридического лица и без него, участвующих в обработке защищаемой информации, в том числе персональных данных, в ПС ГИС ОГД, а также руководители данных структурных подразделений.

1.4      Контроль за соблюдением требований настоящего Порядка обеспечивают ответственные за функционирование ПС ГИС ОГД (Администратором информационной системы).

 

2 Требования к помещениям, в которых ведется обработка защищаемой информации, в том числе персональных данных

 

2.1 Бесконтрольный доступ посторонних лиц в помещения с компонентами ПС ГИС ОГД должен быть исключён.

2.2    Помещение, где размещаются компоненты ПС ГИС ОГД, должны быть оборудованы входными дверьми с замками, запирающимися на ключ, и приспособлениями для опечатывания, либо соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений.

3 Организация порядка по режиму допуска в помещения,
в которых производится обработка защищаемой информации,
в том числе персональных данных

 

3.1      Доступ третьих лиц в помещения ПС ГИС ОГД, должен осуществляется только ввиду служебной необходимости. Данные лица допускаются в помещения только по согласованию с начальником структурного подразделения и с разрешения администратора безопасности ПС ГИС ОГД и имеют право пребывания в помещениях только под контролем ответственных лиц.

3.2      На момент присутствия посторонних лиц в помещениях ПС ГИС ОГД, сотрудниками Администрации местного самоуправления Моздокского районо Республики Северная Осетия должны быть приняты меры по недопущению ознакомления посторонних лиц с защищаемой информацией (например, мониторы повёрнуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке или накрыты чистыми листами бумаги).

3.3 В нерабочее время помещения ПС ГИС ОГД сотрудники Администрации местного самоуправления Моздокского района Республики Северная Осетия должны запираться на ключ и опечатываться или ставиться на охрану. При этом все окна и двери в смежные помещения должны быть надёжно закрыты, съемные носители информации должны быть убраны в запираемые шкафы (сейфы), АРМ и принтер выключены. В случае оснащения помещения техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений, помещение сдается под охрану.

3.4 Устройства вывода (отображения) информации (экраны мониторов автоматизированных рабочих мест пользователей, а также принтеры) должны быть расположены так, чтобы возможность несанкционированного просмотра выводимой на них информации исключалась.

Двери в помещения имеют надежные замки, закрывающиеся на ключ.

Окна помещений должны быть оснащены непрозрачными жалюзи (шторами).

Проинструктировать пользователей о работе в ПС ГИС ОГД, в том числе и о расположении мониторов АРМ.

3.5      Для защиты помещений, в которых расположены ТС ПС ГИС ОГД, сотрудниками Администрации местного самоуправления Моздокского районо Республики Северная Осетия должны приниматься меры для минимизации воздействий огня (оборудованы датчиками охранно-пожарной сигнализации), воды, пыли, а также кражи.

3.6      ТС ПС ГИС ОГД и размещенное совместно с ними вспомогательное оборудование сотрудниками Администрации местного самоуправления Моздокского районо Республики Северная Осетия-Алания должно подвергаться регулярным осмотрам с целью выявлений изменения конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.).

3.7 Работники и должностные лица Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, получившие доступ к ПС ГИС ОГД не должны покидать помещение, в котором ведется обработка защищаемой информации, в том числе персональных данных, оставляя в нем без присмотра третьих лиц, включая работников и должностных лиц Администрации местного самоуправления Моздокского района Республики Северная Осетия-Алания, не уполномоченных на обработку защищаемой информации, в том числе персональных данных.

 

[1]⁾ Требования к учету и эксплуатации средств криптографической защиты информации регламентированы Политикой использования средств криптографической защиты информации пользовательского сегмента государственной информационной системы Республики Северная Осетия – Алания с функциями автоматизированной информационно-аналитической поддержки осуществления полномочий в области градостроительной деятельности «Информационная система обеспечения градостроительной деятельности Республики Северная Осетия – Алания» в Администрации местного самоуправления Моздокского района Республики Северная Осетия – Алания.

Учет средств антивирусной защиты информации и средств защиты информации от несанкционированного доступа, устанавливаемых на АРМ пользователей и сервера, может осуществляться функционалом централизованного администрирования данных средств.

                   [2]⁾  Матрица доступа может вестись в электронном виде.

                   [3]⁾ Ответственность за своевременное уведомление администраторов о увольнении сотрудников несут руководители отделов Администрации, в чьем подчинении находятся увольняемые сотрудники.

[4]⁾ О данном изменении необходимо уведомление только в случае актуальности угроз безопасности информации, для информационной системы на которую выдан Аттестат соответствия, связанных с побочными электромагнитными излучениями и наводками (ПЭМИН). В случае неактуальности данных угроз – необходимо только внесение изменений в Технический паспорт информационной системы.

[5]⁾ В случае отсутствия в информационной системе разделения компонентов на серверный и пользовательский сегменты (в случае нахождения их (а также в случае отсутствия одного из них) в пределах одной контролируемой зоны) – указывается одно месторасположение.

[6]⁾ Место установки технического средства: адрес, № кабинета.

[7]⁾ В качестве Роли сервера может быть: контроллер домена, сервер ИС, сервер резервного копирования, сервер виртуализации, почтовый сервер, файловый сервер и так далее.

[8]⁾ Физический или виртуальный сервер.

[9]⁾ Указывается наименование информационной системы и (или) каталога (полный путь с указанием IP-адреса), доступ к которым необходимы.

[10]⁾ В случае отсутствия – выдается администратором информационной системы.

[11]⁾ Указывается «ДА» или «НЕТ». В случае наличия необходимости – дополнительно указывается серийный номер съемного носителя информации.

[12]⁾ Под прикладным программным обеспечением специализированного назначения понимается программное обеспечение, используемое для обработки защищаемой информации.

[13]⁾ Контролируемая зона – пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание работников и лиц, не имеющих постоянного допуска (не являющихся работниками), а также посторонних транспортных, технических и иных материальных средств. Границами контролируемой зоны могут являться периметр охраняемой территории, ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

[14])  Внешние воздействия – воздействия окружающей среды, нестабильности электроснабжения, кондиционирования и иные внешние факторы

[15]) В качестве кратковременных резервных источников бесперебойного питания могут применяться ИБП, в качестве долговременных резервных источников бесперебойного питания могут применяться дизельные или бензиновые генераторные установки, а также резервные линии электропитания.

 

[16]) При выборе схемы резервного копирования должны учитываться следующие характеристики: скорость резервного копирования, нагрузка на каналы связи, нагрузка на дисковую подсистему хранилища, время восстановления защищаемой информации, с учётом критичности информационного ресурса.

[17]) Ежедневно/ежемесячно/ежеквартально и тому подобное.

[18]⁾  Заполняется в случае ведения журнала на бумажном носителе.

[19]⁾ Номер инцидента сообщается Администратором ИБ согласно «Журналу учёта инцидентов информационной безопасности».

[20]⁾ Заполняется в случае ведения журнала на бумажном носителе.

[21] В общем случае под информационными активами понимаются:

                        информационные ресурсы, содержание защищаемую информацию (в базах данных, в файловом виде в каталогах).

                ПС ГИС РСО–А «ИС ОГД РСО–А» в АМС Моздокского района РСО–А, в котором осуществляется обработка защищаемой информации, в совокупности со средствами обработки такой информации и с учетом технологии ее обработки.

 

[22]⁾ Критерий не является строгим, и администратор информационной безопасности может увеличивать или уменьшать (имея на это обоснование) приоритет уязвимости (несоответствия) с учётом особенностей информационного ресурса (системы), средства обработки информации и характера уязвимости

[23]⁾ Если требование не применимо к проверяемому подразделению – в графе «результаты проверки» делается соответствующая запись. В графе «примечание» указываются комментарии по результату оценки объекта проверки.

¹⁾ Регистрация, учёт, выдача, использование (подключение), утилизация (уничтожение).

            [25] В данной политике под информационным активом понимаются средства обработки защищаемой информации (АРМ, сервера, телекоммуникационное оборудование).

 

[26]) В случае генерации пин-кода доступа ответственным пользователем СКЗИ должна обеспечиваться смена пользователем пин-кода, при первом использовании носителю ключевой информации (обеспечивается функционалом носителя ключевой информации)