Постановление Правительства Нижегородской области от 20.01.2015 № 14

 

ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 20 января 2015 года № 14

 

Об особенностях подключениярегиональных государственных

информационных систем общегопользования к информационно-

телекоммуникационным сетям,доступ к которым

не ограничен определеннымкругом лиц

 

 

В соответствии спостановлением Правительства Российской Федерации от 18 мая 2009 года № 424"Об особенностях подключения федеральных государственных информационныхсистем к информационно-телекоммуникационным сетям" и в целях обеспечениязащищенного подключения региональных государственных информационных систем,созданных или используемых в целях реализации полномочий органов исполнительнойвласти Нижегородской области и содержащих информацию, указанную в постановленииПравительства Нижегородской области от 14 июля 2010 года № 422 "Обобеспечении доступа к информации о деятельности Губернатора Нижегородскойобласти, Правительства Нижегородской области, органов исполнительной властиНижегородской области" (далее - региональные государственныеинформационные системы общего пользования), кинформационно-телекоммуникационным сетям, доступ к которым не ограниченопределенным кругом лиц, Правительство Нижегородской области постановляет:

1. Утвердитьприлагаемые:

Требования пообеспечению целостности, устойчивости функционирования и безопасностирегиональных государственных информационных систем общего пользования;

Требования о защитеинформации, содержащейся в региональных государственных информационных системахобщего пользования.

2. Установить, что:

2.1. Операторырегиональных государственных информационных систем общего пользования приподключении их к информационно-телекоммуникационным сетям, доступ к которым неограничен определенным кругом лиц, обязаны обеспечить:

- защиту информации, содержащейсяв региональных государственных информационных системах общего пользования, отнесанкционированного уничтожения, изменения и блокирования доступа к ней;

- постоянный контрольвозможности доступа неограниченного круга лиц к региональным государственныминформационным системам общего пользования;

- восстановлениеинформации, измененной или уничтоженной вследствие несанкционированного доступак ней, в течение не более одного рабочего дня, следующего за днем обнаружениянесанкционированного доступа;

- использование приподключении региональных государственных информационных систем общегопользования к информационно-телекоммуникационным сетям средств защитыинформации, прошедших оценку соответствия (в том числе в установленных случаяхсертификацию), в порядке, установленном законодательством Российской Федерации.

2.2. Операторырегиональных государственных информационных систем общего пользования иоператоры связи обязаны обеспечивать информационную безопасность приподключении региональных государственных информационных систем общегопользования к информационно-телекоммуникационным сетям.

3. Органамисполнительной власти Нижегородской области и подведомственным им организациямучитывать требования, предусмотренные настоящим постановлением, при подключениирегиональных государственных информационных систем кинформационно-телекоммуникационным сетям, доступ к которым не ограниченопределенным кругом лиц.

4. Рекомендоватьорганам местного самоуправления муниципальных районов (городских округов)Нижегородской области и подведомственным им организациям учитывать положениянастоящего постановления при подключении муниципальных информационных системобщего пользования к информационно-телекоммуникационным сетям, доступ к которымне ограничен определенным кругом лиц, и подготовке соответствующих правовыхактов. 

5. АппаратуПравительства Нижегородской области обеспечить опубликование настоящегопостановления.

 

 

 

И.о.Губернатора                                                                   В.А.Иванов

 

 

 

УТВЕРЖДЕНЫ

постановлением Правительства

Нижегородской области

от 20 января 2015 года № 14

    

    

ТРЕБОВАНИЯ

ПО ОБЕСПЕЧЕНИЮЦЕЛОСТНОСТИ, УСТОЙЧИВОСТИ

ФУНКЦИОНИРОВАНИЯ ИБЕЗОПАСНОСТИ

РЕГИОНАЛЬНЫХГОСУДАРСТВЕННЫХ

ИНФОРМАЦИОННЫХ СИСТЕМ

ОБЩЕГО ПОЛЬЗОВАНИЯ

(далее - Требования)

 

1. НастоящиеТребования применяются к региональным государственным информационным системам,созданным или используемым в целях реализации полномочий органов исполнительнойвласти Нижегородской области и содержащие информацию, указанную в постановленииПравительства Нижегородской области от 14 июля 2010 года  № 422 "Об обеспечении доступа кинформации о деятельности Губернатора Нижегородской области, ПравительстваНижегородской области, органов исполнительной власти Нижегородскойобласти" (далее - информационные системы общего пользования).

2.Организационно-техническое обеспечение устойчивого и безопасногофункционирования информационных систем общего пользования представляет собойсовокупность мероприятий, направленных на поддержание:

1) целостностиинформационной системы общего пользования как способности взаимодействиявходящих в ее состав компонентов, при которой становится возможным выполнениефункций по обработке информации;

2) устойчивостифункционирования информационной системы общего пользования как ее способностисохранять свою целостность при отказе части компонентов системы, а также вусловиях внутренних и внешних деструктивных информационных воздействий ивозвращаться в исходное состояние;

3) безопасностиинформационной системы общего пользования как ее способности противостоятьпопыткам несанкционированного доступа к техническим и программным средствамсистемы и преднамеренным дестабилизирующим внутренним или внешниминформационным воздействиям, следствием которых может быть нарушение еефункционирования.

3. Целостностьинформационной системы общего пользования обеспечивается совместимостьюпротоколов взаимодействия (функциональной совместимостью) и совместимостьюинтерфейсов технических средств (физической совместимостью) информационнойсистемы общего пользования. Функциональная и физическая совместимостьтехнических и программных средств информационной системы общего пользованияобеспечивается выполнением требований, устанавливаемых в технической иэксплуатационной документации на систему.

4. Устойчивостьфункционирования информационной системы общего пользования обеспечивается:

1) разработкой мер припроектировании информационной системы общего пользования, направленных навыполнение требований к показателям надежности этой информационной системыобщего пользования;

2) соблюдением условийэксплуатации, установленных в технической и эксплуатационной документациисоответствующих технических и программных средств информационной системы общегопользования;

3) выполнениемтребований к информационной системе общего пользования в части техническогообслуживания ее технических и программных средств;

4) выполнениемтребований к управлению информационной системой общего пользования в частиконтроля функционирования и анализа технических неисправностей в информационнойсистеме общего пользования.

5. Показателемустойчивости функционирования информационной системы общего пользованияявляется коэффициент готовности, который определяется как вероятность того, чтосистема окажется в работоспособном состоянии в произвольный момент времени еефункционирования (за исключением времени, в течение которого применение системыпо назначению не предусматривается).

При выявлениинесоответствия эксплуатационного значения коэффициента готовности техническойнорме должны проводиться мероприятия, направленные на определение причинвыявленного несоответствия и их устранение.

6. Безопасностьинформационной системы общего пользования обеспечивается разработкой мер при еепроектировании и эксплуатации, направленных на выполнение требований кбезопасности этой информационной системы общего пользования.

7. В информационнойсистеме общего пользования предусматривается подсистема безопасности, длякоторой:

1) основнымназначением является обеспечение режима функционирования информационной системыобщего пользования, при котором сохраняется целостность и доступностьинформации, содержащейся в информационной системе общего пользования;

2) разрабатываетсязадание по безопасности, являющееся составной частью технического задания наразработку информационной системы общего пользования, которое включает в себя:

- архитектурупостроения и принципы взаимодействия подсистем, входящих в информационнуюсистему общего пользования;

- описание возможныхнарушений целостности, устойчивости функционирования и безопасностиинформационной системы общего пользования;

- описание подсистемыбезопасности, включая систему защиты информации и систему антивирусной защитыпрограммных средств (в том числе описание целевых функций, механизмов ииспользуемых средств защиты, а также перечень защищаемых компонентов);

- непротиворечивуюполитику безопасности (в том числе правила разграничения доступа, инструкциидля оператора информационной системы общего пользования, а также порядокдействий в нештатной ситуации).

8. В информационнойсистеме общего пользования:

1) используютсясредства межсетевого экранирования, сертифицированные Федеральной службой потехническому и экспортному контролю;

2) используютсясистемы обеспечения гарантированного электропитания (источники бесперебойногопитания);

3) обеспечиваетсярезервирование технических и программных средств.

9. При создании иэксплуатации информационной системы общего пользования:

1) используютсясертифицированные Федеральной службой безопасности Российской Федерацииантивирусные средства и средства обнаружения иного вредоносного программногообеспечения в соответствии с порядком, определенным их производителем;

2) обеспечиваетсязащита от воздействий на технические и программные средства, в результатекоторых нарушается их функционирование, и защита от несанкционированногодоступа к помещениям, в которых размещены данные средства;

3) осуществляетсярегистрация действий обслуживающего персонала;

4) расчетное значениекоэффициента готовности, определяемое при проектировании, и эксплуатационное(оценочное) значение коэффициента готовности составляют не менее 0,95.

10. Операторыинформационной системы общего пользования обязаны обеспечивать:

1) недопущениевоздействия на технические и программные средства информационной системы общегопользования, в результате которого нарушается их функционирование;

2) предупреждениевозможных неблагоприятных последствий нарушения порядка доступа к техническим ипрограммным средствам информационной системы общего пользования;

3) постоянный контрольобеспечения защищенности информационной системы общего пользования отнеправомерных действий.

 

 

_________________

    

    

    

УТВЕРЖДЕНЫ

постановлением Правительства

Нижегородской области

от 20 января 2015 года № 14

    

    

ТРЕБОВАНИЯ

О ЗАЩИТЕ ИНФОРМАЦИИ,СОДЕРЖАЩЕЙСЯ

В РЕГИОНАЛЬНЫХГОСУДАРСТВЕННЫХ

ИНФОРМАЦИОННЫХ СИСТЕМАХ

ОБЩЕГО ПОЛЬЗОВАНИЯ

(далее - Требования)

 

1. НастоящиеТребования применяются к региональным государственным информационным системам,созданным или используемым в целях реализации полномочий органов исполнительнойвласти Нижегородской области, и содержащих сведения о деятельности ГубернатораНижегородской области и Правительства Нижегородской области и органовисполнительной власти Нижегородской области, обязательные для размещения винформационно-телекоммуникационной сети "Интернет", определяемыеПравительством Нижегородской области (далее - информационные системы общегопользования), и являются обязательными для операторов информационных системобщего пользования при разработке и эксплуатации информационных систем общегопользования.

2. Информационныесистемы общего пользования должны обеспечивать:

- сохранность инеизменность обрабатываемой информации при попытках несанкционированных илислучайных воздействий на нее в процессе обработки или хранения (далее -целостность информации);

- беспрепятственныйдоступ пользователей к содержащейся в информационной системе общего пользованияинформации (далее - доступность информации);

- защиту от действийпользователей в отношении информации, не предусмотренных правилами пользованияинформационной системой общего пользования, приводящих в том числе куничтожению, модификации и блокированию информации (далее - неправомерныедействия).

3. Информационныесистемы общего пользования включают в себя средства вычислительной техники,информационно-вычислительные комплексы и сети, средства и системы передачи,приема и обработки информации, средства изготовления, тиражирования документови другие технические средства обработки речевой, графической, видео- ибуквенно-цифровой информации, программные средства (операционные системы,системы управления базами данных и т.п.), средства защиты информации,применяемые в информационных системах.

4. Информация,содержащаяся в информационной системе общего пользования, являетсяобщедоступной.

5. Защита информации,содержащейся в информационных системах общего пользования, достигается путемисключения неправомерных действий в отношении указанной информации.

6. Методы и способызащиты информации в информационных системах общего пользования определяютсяоператором информационной системы общего пользования и должны соответствоватьнастоящим Требованиям.

Достаточность принятыхмер по защите информации в информационных системах общего пользования оцениваетсяпри проведении мероприятий по созданию данных систем, а также в ходемероприятий по контролю за их функционированием.

7. Работы по защитеинформации в информационных системах общего пользования являются неотъемлемойчастью работ по созданию данных систем.

8. Размещениеинформационных систем общего пользования, специальное оборудование и охранапомещений, в которых находятся технические средства, организация режимаобеспечения безопасности в этих помещениях должны обеспечивать сохранностьносителей информации и средств защиты информации, а также исключать возможностьнеконтролируемого проникновения или пребывания в этих помещениях постороннихлиц.

9. Защиту информации винформационных системах общего пользования обеспечивает оператор информационнойсистемы общего пользования.

10. В информационныхсистемах общего пользования должны быть обеспечены:

- поддержаниецелостности и доступности информации;

- предупреждениевозможных неблагоприятных последствий нарушения порядка доступа к информации;

- проведение мероприятий,направленных на предотвращение неправомерных действий в отношении информации;

- своевременноеобнаружение фактов неправомерных действий в отношении информации;

- недопущениевоздействия на технические средства информационной системы общего пользования,в результате которого может быть нарушено их функционирование;

- возможностьоперативного восстановления информации, модифицированной или уничтоженнойвследствие неправомерных действий;

- проведениемероприятий по постоянному контролю за обеспечением их защищенности;

- возможность записи ихранения сетевого трафика.

11. Мероприятия пообеспечению защиты информации в информационных системах общего пользованиявключают в себя:

- определение угрозбезопасности информации, формирование на их основе модели угроз, при этом дляопределения актуальных угроз безопасности информации следует использовать"Базовую модель угроз безопасности персональных данных при их обработке винформационных системах персональных данных", утвержденную заместителемдиректора ФСТЭК России 15 февраля 2008 года;

- разработку на основемодели угроз системы защиты информации, обеспечивающей нейтрализациюпредполагаемых угроз с использованием методов и способов защиты информации,предусмотренных для соответствующего класса информационных систем общегопользования;

- проверку готовностисредств защиты информации к использованию с составлением заключений овозможности их эксплуатации;

- установку и ввод вэксплуатацию средств защиты информации в соответствии с эксплуатационной итехнической документацией;

- обучение лиц,использующих средства защиты информации, применяемые в информационной системеобщего пользования, правилам работы с ними;

- учет применяемыхсредств защиты информации, эксплуатационной и технической документации к ним;

- контроль засоблюдением условий использования средств защиты информации, предусмотренныхэксплуатационной и технической документацией;

- проведениеразбирательств и составление заключений по фактам несоблюдения условийиспользования средств защиты информации, которые могут привести к нарушениюбезопасности информации или другим нарушениям, снижающим уровень защищенностиинформационной системы общего пользования, разработку и принятие мер попредотвращению возможных опасных последствий подобных нарушений;

- описание системы ихзащиты.

12. Выбор средствзащиты информации следует осуществлять с учетом положений Требований о защитеинформации, не составляющей государственную тайну, содержащейся вгосударственных информационных системах, утвержденных приказом ФСТЭК России от11 февраля 2013 года № 17.

13. Для разработки иосуществления мероприятий по защите информации в информационных системах общегопользования оператором информационной системы общего пользования назначаетсяструктурное подразделение или должностное лицо (работник), ответственные заобеспечение защиты информации.

14. Запросыпользователей на получение информации, содержащейся в информационных системахобщего пользования, а также факты предоставления информации по этим запросамрегистрируются автоматизированными средствами информационных систем общегопользования в электронном журнале обращений. Содержание электронного журналаобращений периодически проверяется соответствующими должностными лицами(работниками) оператора информационной системы общего пользования.

15. При обнаружениинарушений порядка доступа к информации оператор информационной системы общегопользования организует работы по выявлению причин нарушений и устранению этихпричин в установленном порядке. Подсистема информационной безопасности должнаобеспечивать восстановление информации в информационной системе общегопользования, модифицированной или уничтоженной вследствие неправомерныхдействий в отношении такой информации. Время восстановления процессапредоставления информации пользователям не должно превышать одного рабочегодня, следующего за днем обнаружения несанкционированного доступа.

16. Реализациятребований по обеспечению защиты информации в средствах защиты информациивозлагается на их разработчиков.

17. При создании и эксплуатацииинформационных систем общего пользования должны выполняться следующиетребования по защите информации:

- использованиесредств защиты информации от неправомерных действий, сертифицированных ФСБРоссии и (или) ФСТЭК России с учетом их компетенции, в том числе средствкриптографической защиты информации (электронной цифровой подписи, при этомсредства электронной цифровой подписи должны применяться к публикуемомуинформационному наполнению);

- использованиесредств обнаружения вредоносного программного обеспечения, в том числеантивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России сучетом их компетенции;

- использованиесредств контроля доступа к информации, в том числе средств обнаружениякомпьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетомих компетенции;

- использованиесредств фильтрации и блокирования сетевого трафика, в том числе средствмежсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России сучетом их компетенции;

- осуществлениелокализации и ликвидации неблагоприятных последствий нарушения порядка доступак информации;

- осуществление записии хранения сетевого трафика при обращении к государственным информационнымресурсам за последние сутки и более и предоставление доступа к записям позапросам уполномоченных государственных органов, осуществляющихоперативно-розыскную деятельность;

- обеспечение защитыот воздействий на технические и программные средства информационных системобщего пользования, в результате которых нарушается их функционирование, инесанкционированного доступа к помещениям, в которых находятся данные средства;

- осуществлениерегистрации действий обслуживающего персонала;

- обеспечениечастичного резервирования технических средств и дублирования массивов информации;

- использование системобеспечения гарантированного электропитания (источников бесперебойногопитания);

- осуществлениемониторинга их защищенности уполномоченным подразделением ФСБ России;

- введение вэксплуатацию только после направления оператором информационной системы общегопользования в ФСТЭК России уведомления о готовности ввода информационнойсистемы общего пользования в эксплуатацию и ее соответствии настоящимТребованиям.

 

 

_________________