ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙОБЛАСТИ
РАСПОРЯЖЕНИЕ
от 17 февраля 2017 года №151-р
Об утверждении Положения пообеспечению
информационной безопасностипри использовании
в органах исполнительнойвласти Нижегородской
областиинформационно-телекоммуникационных сетей,
доступк которым не ограничен определенным кругом лиц
В целях обеспечениянеобходимого уровня информационной безопасности на территории Нижегородскойобласти:
1. Утвердитьприлагаемое Положение по обеспечению информационной безопасности при использованиив органах исполнительной власти Нижегородской областиинформационно-телекоммуникационных сетей, доступ к которым не ограниченопределенным кругом лиц (далее - Положение).
2. Органамисполнительной власти Нижегородской области и подведомственным им организациям:
2.1. Провести до 31марта 2017 года работы по созданию автоматизированной системы доступа кресурсам информационно-телекоммуникационной сети "Интернет" (далее -сеть "Интернет") в соответствии с требованиями Положения.
2.2. Учитывать требованияПоложения при использовании сети "Интернет".
3. Рекомендоватьорганам местного самоуправления городских округов и муниципальных районовНижегородской области и подведомственным им организациям, организациям, вуставном (складочном) капитале которых доля (вклад) Нижегородской области и(или) муниципальных образований Нижегородской области составляет 50% (пятьдесятпроцентов) и более, и расположенным на территории Нижегородской области:
3.1. Провести до 31марта 2017 года работы по созданию автоматизированной системы доступа кресурсам сети "Интернет" в соответствии с требованиями Положения.
3.2. Учитыватьтребования Положения при использовании сети "Интернет".
4. Контрольза исполнением настоящего распоряжения возложить на заместителяГубернатора, заместителя Председателя Правительства Нижегородской областиР.В.Антонова.
И.о.Губернатора Е.Б.Люлин
УТВЕРЖДЕНО
распоряжением Правительства
Нижегородской области
от 17 февраля 2017 года № 151-р
ПОЛОЖЕНИЕ
ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИ ПРИ
ИСПОЛЬЗОВАНИИ В ОРГАНАХ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ
НИЖЕГОРОДСКОЙ ОБЛАСТИИНФОРМАЦИОННО-
ТЕЛЕКОММУНИКАЦИОННЫХСЕТЕЙ, ДОСТУП К КОТОРЫМ
НЕ ОГРАНИЧЕНОПРЕДЕЛЕННЫМ КРУГОМ ЛИЦ
(далее - Положение)
I. Общие положения
1.1. Настоящее Положение определяет условия и порядок предоставлениядоступа и использования в органах исполнительной власти Нижегородской области,подведомственных им организациях, организациях, в уставном (складочном)капитале которых доля (вклад) Нижегородской области составляет 50% (пятьдесятпроцентов) и более, и расположенных на территории Нижегородской области (далее- соответственно Органы, Подведомственные организации, Организации)информационно-телекоммуникационных сетей, доступ к которым не ограниченопределенным кругом лиц, и позволяющих обрабатывать информациюс использованием информационно-телекоммуникационной сети "Интернет"(далее - сеть "Интернет"), и их ресурсов, правила работы в сети"Интернет", правила подключения информационных систем, локальныхсетей и средств вычислительной техники Органа (Подведомственной организации,Организации) к сети "Интернет", угрозы безопасности информации и мерыобеспечения безопасности информации при использовании сети"Интернет", права, обязанности и ответственность их сотрудников (далее- пользователи) в рамках настоящего Положения.
1.2. НастоящееПоложение разработано на основе:
Федерального закона от27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и озащите информации";
Доктриныинформационной безопасности Российской Федерации, утвержденной УказомПрезидента Российской Федерации от 5 декабря 2016 года № 646;
Указа ПрезидентаРоссийской Федерации от 22 мая 2015 года № 260 "О некоторых вопросахинформационной безопасности Российской Федерации" (далее - Указ № 260);
Указа ПрезидентаРоссийской Федерации от 17 марта 2008 года № 351 "О мерах по обеспечениюинформационной безопасности Российской Федерации при использованииинформационно-телекоммуникационных сетей международного информационногообмена" (далее - Указ № 351);
Концепцииинформационной безопасности Нижегородской области, утвержденной постановлениемПравительства Нижегородской области от 31 декабря 2015 года № 920.
1.3. В настоящемПоложении применяются понятия, установленные действующим законодательствомРоссийской Федерации в области информации, информационных технологий и защитыинформации, а также следующие понятия, определения и сокращения:
"КСПД" -корпоративная сеть передачи данных, функционирующая в соответствии с постановлением Правительства Нижегородской области от 29августа 2008 года № 365 "О корпоративной сети передачи данных" (далее- постановление № 365);
"RSNet" -российский сегмент сети "Интернет" для федеральных органовгосударственной власти и органов государственной власти субъектов РоссийскойФедерации;
"АРМ" -выделенное автоматизированное рабочее место доступа к сети"Интернет", входящее в контролируемую зону Органа (Подведомственнойорганизации, Организации) и имеющее доступ к сети "Интернет",предоставленный пользователю за счет Органа (Подведомственной организации,Организации);
"ЭПУ" -электронное переносное устройство (портативное Интернет-устройство), с которогоосуществляется доступ в сеть "Интернет", предоставленный пользователюза счет Органа (Подведомственной организации, Организации);
"ресурс" -информационная система и информационный ресурс;
"локальнаясеть" - локальная информационно-телекоммуникационная (вычислительная) сетьОргана (Подведомственной организации, Организации).
II. Цели использования сети"Интернет"
Основными целямииспользования сети "Интернет" в Органе (Подведомственной организации,Организации) являются:
1)обеспечение в соответствии с Федеральным законом от 9 февраля 2009 года № 8-ФЗ"Об обеспечении доступа к информации о деятельности государственных органови органов местного самоуправления", постановлением ПравительстваРоссийской Федерации от 10 июля 2013 года № 583 "Об обеспечении доступа кобщедоступной информации о деятельности государственных органов и органовместного самоуправления в информационно-телекоммуникационной сети"Интернет" в форме открытых данных", постановлениемПравительства Нижегородской области от 14 июля 2010 года № 422 "Обобеспечении доступа к информации о деятельности Губернатора Нижегородскойобласти, Правительства Нижегородской области, органов исполнительной властиНижегородской области" реализации функций и полномочий Органа, в том числесвободного доступа к информации о деятельности Органа с применениеминформационных технологий;
2) размещение Органом(Подведомственной организацией, Организацией) достоверной и своевременнообновленной информации о своей деятельности в сети "Интернет";
3) поиск и получениеинформации в сети "Интернет", необходимой для выполнения должностныхобязанностей пользователей;
4) осуществление закупоктоваров, работ, услуг для обеспечения нужд Органа (Подведомственнойорганизации, Организации);
5) обеспечениефункционирования информационных систем Органа (Подведомственной организации,Организации), требующих для их корректной работы наличие подключения к сети"Интернет";
6) обеспечение вслужебных целях доступа (взаимодействия) к сторонним информационным системам иих сервисам, работающим с использованием сети "Интернет";
7) передача(получение) информации в (из)сеть "Интернет" в рамках исполнения должностных обязанностейпользователей;
8) обеспечениеинформационного взаимодействия внутри Органа (Подведомственной организации,Организации) между собой и с иными организациями, в том числе посредствомэлектронной почты.
III. Угрозы безопасностиинформации при использовании сети "Интернет"
3.1. Использованиесети "Интернет" в Органе (Подведомственной организации, Организации)создает риски:
1) заражения ресурсовОргана (Подведомственной организации, Организации) программными вирусами;
2) несанкционированногодоступа к информационно-вычислительным ресурсам и системам Органа(Подведомственной организации, Организации) (в том числе целенаправленныесетевые атаки);
3) внедрения винформационные системы Органа (Подведомственной организации, Организации) программныхзакладок;
4) загрузки трафиканежелательной корреспонденцией, массовыми, незапрашиваемыми рекламнымисообщениями или коммерческими предложениями (спамом);
5) несанкционированнойпередачи информации ограниченного доступа в сеть "Интернет";
6) нарушениядоступности информационно-вычислительных ресурсов Органа (Подведомственнойорганизации, Организации);
7) нарушенияцелостности и достоверности открытых, и общедоступных ресурсов Органа(Подведомственной организации, Организации), размещаемых им в сети"Интернет" по требованиям действующего законодательства;
8) нарушенияконфиденциальности, целостности и доступности информации ограниченного доступа,передаваемой по сети "Интернет".
3.2. Основнымигруппами потенциальных угроз безопасности информации при использовании сети"Интернет" в Органе (Подведомственной организации, Организации),ведущими к реализации рисков, являются:
1) угрозы утечкиинформации по техническим каналам;
2) угрозыиспользования штатных средств информационных систем с целью совершениянесанкционированного доступа к информации;
3) угрозы нарушениядоступности информации;
4) угрозы нарушенияцелостности информации;
5) угрозы нарушенияконфиденциальности информации;
6) угрозынедекларированных возможностей в системном и прикладном программномобеспечении;
7) угрозы, неявляющиеся атаками;
8) угрозынесанкционированного доступа, создающие предпосылки для реализации такогодоступа в результате нарушения процедуры авторизации и аутентификации;
9) угрозынесанкционированного доступа к информации в результате слабости процедурразграничения ролей и полномочий, правил управления доступом;
10) угрозы ошибок иливнесения уязвимостей при проектировании, внедрении информационных систем и ихсистем защиты;
11) угрозы ошибочныхили деструктивных действий лиц;
12) угрозыпрограммно-математических воздействий;
13) угрозы, связанныес использованием облачных услуг;
14) угрозы, связанныес использованием технологий виртуализации;
15) угрозы, связанныес нарушением правил эксплуатации машинных носителей;
16) угрозы, связанныес нарушением процедур установки и обновления программного обеспечения иоборудования;
17) угрозы физическогодоступа к компонентам информационных систем;
18) угрозы эксплуатации уязвимостей в системном и прикладном программномобеспечении, средствах защиты информации, аппаратных компонентах информационныхсистем, микропрограммном обеспечении;
19) угрозы, связанныес использованием сетевых технологий;
20) угрозы инженернойинфраструктуры;
21) угрозы, связанныес отсутствием системы регистрации событий информационной безопасности;
22) угрозы, связанныес контролем защищенности информационной системы;
23) угрозы, связанныес перехватом защищаемой информации при ее передаче по каналам связи.
IV. Меры обеспечениябезопасности информации при использовании сети "Интернет"
Основными мерами попредотвращению реализации рисков и угроз, указанных в разделе III настоящегоПоложения, являются:
1) созданиеавтоматизированной системы доступа к ресурсам сети "Интернет" (далее- АСД), представляющей собой комплекс программно-технических мер,предназначенных для организации стабильного гарантированного и безопасногодоступа к ресурсам сети "Интернет";
2)использование в соответствии с выявленными актуальными угрозами безопасностиинформации актуальных версий средств защиты информации (средств межсетевогоэкранирования, средств контроля и анализа данных, передаваемых по сети"Интернет", средств анализа защищенности, средств защиты отнесанкционированного доступа, средств антивирусной защиты, средств криптографическойзащиты информации, средств детектирования (предотвращения) вторжений (атак) изсети "Интернет" и вредоносного программного обеспечения, и т.п.),прошедших сертификацию в Федеральной службе безопасности РоссийскойФедерации (далее - ФСБ России) и (или) получивших подтверждение соответствия вФедеральной службе по техническому и экспортному контролю Российской Федерации(далее - ФСТЭК России);
3) использованиецентра обработки данных Правительства Нижегородской области для размещенияинформационных систем, требующих для их корректной работы наличие подключения ксети "Интернет";
4) запрет доступа кпотенциально опасным и деструктивным Интернет-сервисами ресурсам в сети "Интернет", Интернет-сервисам, серверноеоборудование которых располагается за пределами Российской Федерации, в томчисле к сетевым хранилищам и облачным технологиям, функционирующим за пределамиРоссийской Федерации;
5) использование КСПДи RSNet;
6) учет программных итехнических средств для доступа к ресурсам сети"Интернет";
7) проведение принеобходимости аттестационных испытаний;
8) определениеактуальных угроз и возможных нарушителей безопасности информации;
9) разработканеобходимой документации по обеспечению информационной безопасности;
10) определениеорганизационных и технических мер по обеспечению информационной безопасности;
11) контроль и анализинформации, передаваемой с использованием сети "Интернет";
12) анализ сведений оработе с ресурсами сети "Интернет";
13) проведениемероприятий по оценке защищенности доступа в сеть "Интернет".
V. Условия и порядок доступак ресурсам сети "Интернет"
5.1. Орган(Подведомственная организация, Организация) вправе использовать для доступа ксети "Интернет" проводные и беспроводные сети. При этом установкавнутренних беспроводных точек доступа и прокладка проводных линий связи натерритории Органа (Подведомственной организации, Организации) должны бытьсогласованы с подразделением по защите государственной тайны и подразделениемпо технической защите информации, созданными в Органе (Подведомственнойорганизации, Организации).
5.2. В целях получениядоступа к сети "Интернет" Орган (Подведомственная организация,Организация):
1) на своем уровнесоздает, вводит в эксплуатацию и обеспечивает функционирование АСД,использующего для подключения к сети "Интернет" КСПД, RSNet, илисамостоятельно организованный доступ (подключение), подразумевающий отдельныйвыделенный (изолированный) канал связи в сеть "Интернет", несвязанный с КСПД и RSNet на сетевом уровне;
2) приобретает уоператора связи услуги по предоставлению доступа к сети Интернет в соответствиис Федеральным законом от 7 июля 2003 года № 126-ФЗ "О связи".
5.3. Доступ к сети"Интернет" предоставляется пользователю только в целях, указанных вразделе II настоящего Положения, исходя из принципа предоставления минимальнонеобходимых привилегий в целях исполнения им должностных обязанностей. Иноеиспользование ресурсов сети "Интернет", решение о котором не принятов установленном порядке, должно рассматриваться как нарушение политики информационнойбезопасности.
5.4. Доступпользователя к ресурсам сети "Интернет" осуществляется сзакрепленного за ним АРМ (ЭПУ), входящего в АСД. Пользователю запрещаетсяиспользовать АРМ и ЭПУ, не входящие в АСД, для доступа к сети"Интернет", предоставленного ему за счет Органа (Подведомственнойорганизации, Организации).
5.5. АдминистраторАСД, назначаемый из числа специалистов по технической защите информациисоответствующего Органа (Подведомственной организации, Организации) (далее -Администратор АСД), обеспечивает ввод АСД в эксплуатацию и наличиеэксплуатационной документации на АСД.
5.6. Вэксплуатационной документации на АСД указываются следующие минимальнонеобходимые сведения:
1)адрес (индекс, город, улица, дом, кабинет), по которому оборудована АСД;
2) наименование сети,посредством которой осуществляется подключение к сети "Интернет",и лицо (организация), предоставляющиетакую сеть;
3) задачи, решаемые сиспользованием ресурсов сети "Интернет";
4) режим подключения ксети "Интернет" (постоянный, в том числе круглосуточный, временный);
5) разрешенныеприкладные сервисы (E-mail, FTP, Telnet, HTTP и т.п.);
6) тип подключения(коммутированный, выделенный, проводной, беспроводнойи т.п.);
7)размещение АРМ (ЭПУ), количество организованных АРМ (ЭПУ) и их пользователей,состав оборудования АРМ (ЭПУ) (тип устройства, наименование (производитель,модель), заводской (серийный) номер, программное обеспечение), настройкисетевых подключений АРМ (ЭПУ) (IP-адрес АРМ (ЭПУ), имеющих доступ к сети"Интернет", DNS-сервера, используемые для разрешения внешних доменныхимен, шлюз доступа), правила авторизации и аутентификации пользователей АРМ(ЭПУ), информация о применении средств централизованной авторизации иаутентификации пользователей, информация о применяемой парольной политике наАРМ (ЭПУ), ответственные за работу АРМ (ЭПУ);
8) переченьорганизационных и технических мер информационной безопасности, которыевыполняются перед подключением АСД к сети "Интернет" и в процессе ееэксплуатации, в том числе правила контроля использования подключения к сети"Интернет", подразумевающее также логирование фактов использованияресурсов сети "Интернет";
9) применяемые в АСДсредства защиты информации (наименование (производитель, модель), заводской(серийный) номер или номер лицензии, сведения о сертификате / аттестатесоответствия ФСБ России / ФСТЭК России (дата выдачи и номер));
10)телекоммуникационная схема системы доступа к сети "Интернет" (точкивыхода в сеть "Интернет", используемое для взаимодействия с сетью"Интернет" программное обеспечение и оборудование, правиларазграничения доступа, способы взаимодействия, способ организации подключения ксети "Интернет");
11) режимосуществления контроля за работой АСД;
12) перечень сведенийограниченного доступа и конфиденциального характера, подлежащих передаче иполучаемых с использованием сети "Интернет";
13) запреты идополнительные рекомендации;
14) расходы, связанныес функционированием АСД, осуществляются в пределах выделяемых лимитов бюджетныхсредств.
5.7. Любое взаимодействиеАСД и входящих в нее компонентов с сетью "Интернет" защищаетсяОрганом (Подведомственной организацией, Организацией) по требованиямбезопасности информации с соблюдением норм действующего законодательства всфере информации, информационных технологий, защиты информации и связи.
5.8. Предоставление(блокирование) доступа пользователю к определенным ресурсам сети"Интернет" осуществляется Органом (Подведомственной организацией,Организацией) по решению его руководителя, принимаемому по представлениюАдминистратора АСД, которое содержит перечень ресурсов сети"Интернет", доступ к которым необходимо обеспечить или заблокировать,список пользователей и цели предоставления (блокирования) доступа.
5.9. Администраторшлюза доступа, определенный в соответствии с постановлением № 365, в рамкахсвоей компетенции вправе принять решение о блокировке (открытии) вцентрализованном или индивидуальном порядке доступа пользователей копределенным ресурсам сети "Интернет", если доступ к сети "Интернет"предоставляется с использованием КСПД.
5.10. РешенияАдминистратора шлюза доступа принимаются в соответствии с действующимзаконодательством, протоколами заседаний Совета Безопасности РоссийскойФедерации, Координационного Совета по защите информации при полномочном представителеПрезидента Российской Федерации в Приволжском федеральном округе (далее -Координационный Совет), межведомственного технического совета по защитеинформации Нижегородской области (далее - Техсовет).
5.11. Администраторшлюза доступа в рамках своей компетенции утверждает список запрещенных иразрешенных ресурсов сети "Интернет" (далее - Список), которыйдоводится им до сведения Органов (Подведомственных организаций, Организаций),использующими КСПД для доступа к сети "Интернет".
5.12. В случае реализацииили возникновения предпосылок для реализации угроз безопасности информации приработе пользователя с определенными ресурсами сети "Интернет"Администратор шлюза доступа незамедлительно принимает самостоятельное решение облокировании указанных ресурсов, после чего уведомляет заинтересованный Орган(Подведомственную организацию, Организацию), использующих КСПД для доступа ксети "Интернет", о предпринятых мерах. При ликвидации причинблокирования Администратор шлюза доступа организовывает работу по открытиюдоступа.
VI. Правила подключенияинформационных систем к сети "Интернет"
При необходимостиподключения информационных систем к сети "Интернет" Орган(Подведомственная организация, Организация):
1) как операторинформационной системы, применяемой для хранения, обработки или передачиинформации, содержащей сведения, составляющие государственную тайну, либоинформации, обладателями которой являются государственные органы и котораясодержит сведения, составляющие служебную тайну, руководствуется требованиямиУказа № 351;
2) при подключенииинформационных систем к сети "Интернет" через RSNet соблюдаеттребования Указа № 260;
3) учитываеттребования постановления Правительства Нижегородской области от 20 января 2015года № 14 "Об особенностях подключения региональных государственныхинформационных систем общего пользования к информационно-телекоммуникационнымсетям, доступ к которым не ограничен определенным кругом лиц";
4)принимает меры по защите информации в информационных системах (при ихвзаимодействии с сетью "Интернет") в соответствии с требованиямидействующего законодательства в сфере информации, информационных технологий изащиты информации, выявляет уязвимости программного обеспечения, которые могутэксплуатироваться нарушителем удаленно, с учетом сведений об уязвимостях,содержащихся в банке данных угроз безопасности информации, сформированном ФСТЭКРоссии, с целью устранения уязвимостей программного обеспечения, своевременно обновляет программное обеспечение межсетевых экранов и иныхклассов средств защиты периметра информационных систем, использует средствазащиты информации, прошедшие в установленном законодательством РоссийскойФедерации порядке сертификацию в ФСБ России и (или) получивших подтверждениесоответствия в ФСТЭК России;
5) проводит оценкудостаточности принимаемых мер по защите информации в информационных системахОргана (Подведомственной организации, Организации), имеющих подключение к сети"Интернет", проводит при необходимости корректирующие мероприятия;
6)обеспечивает наличие эксплуатационной документации на информационную системуОргана (Подведомственной организации, Организации), имеющую подключение к сети"Интернет", содержащей физическую и логическую схемы взаимодействияинформационной системы с сетью "Интернет", информацию о технологии ееподключения к сети "Интернет", перечень и формат данных,обрабатываемых в информационной системе, подключенной к сети"Интернет", перечень компонентов информационной системы, имеющихподключение к сети "Интернет", цели ее подключения к сети"Интернет", меры контроля данных, передаваемых через информационнуюсистему, подключенную к сети "Интернет".
VII. Правила подключениялокальных сетей к сети "Интернет"
7.1. При необходимостиподключения локальной сети, применяемой для хранения, обработки или передачиинформации, содержащей сведения, составляющие государственную тайну, либоинформации, обладателями которой являются государственные органы и котораясодержит сведения, составляющие служебную тайну, к сети "Интернет"владелец данной локальной сети руководствуется требованиями Указа № 351.
7.2. При подключениилокальной сети к сети "Интернет" через RSNet владелец локальной сетисоблюдает требования Указа № 260.
VIII. Правила подключениясредств вычислительной техники к сети "Интернет"
При необходимостиподключения средств вычислительной техники, применяемых для хранения, обработкиили передачи информации, содержащей сведения, составляющие государственнуютайну, либо информации, обладателями которой являются государственные органы икоторая содержит сведения, составляющие служебную тайну, к сети"Интернет" владелец данных средств вычислительной техникируководствуется требованиями Указа Президента Российской Федерации № 351.
IX. Правила использованияэлектронной почты
Использованиеэлектронной почты в органах исполнительной власти Нижегородской областиосуществляется с соблюдением требований Правил использования электронной почтыв органах исполнительной власти Нижегородской области, утвержденных приказомминистерства информационных технологий, связи и средств массовой информацииНижегородской области от 26 февраля 2015 года № 13-од.
X. Правила работы в сети"Интернет"
10.1. При получениипользователем доступа к сети "Интернет" с АРМ (ЭПУ) ему запрещается:
1) заходить на ресурсысети "Интернет", компрометирующие его как пользователя;
2) использоватьресурсы сети "Интернет" и программное обеспечение для доступа в сеть"Интернет", являющиеся потенциально опасными и деструктивными, исоздающие угрозу безопасности информации (ее предпосылки);
3) использовать Интернет-сервисы и ресурсы сети "Интернет", несвязанные со служебной (трудовой) деятельностью пользователя;
4)использовать для передачи (обработки) информации ограниченного доступаИнтернет-сервисы, Интернет-пейджеры (программы для мгновенного обменасообщениями через сеть "Интернет" в режиме реального времени) ифайлообменники, не обеспечивающие конфиденциальность передаваемой информации иэксплуатируемые не только внутри Органа (Подведомственной организации,Организации) в незащищенном по требованиям безопасности информации режиме;
5) скачивать,устанавливать и обновлять на АРМ (ЭПУ) любое программное обеспечение;
6) подключать к АРМ(ЭПУ) иные средства вычислительной техники и автоматизированные системы, кроме указанных в эксплуатационной документации на АСД;
7) изменять состав иконфигурацию программных и технических средств АРМ (ЭПУ);
8) работать на АРМ(ЭПУ) под чужой учетной записью / неперсонифицированной учетной записью;
9) использовать доступ к сети"Интернет" для совершения попыток на получение доступа к закрытымресурсам, для распространения и тиражирования информации, направленной напропаганду войны, разжигание национальной, расовой или религиозной ненависти ивражды, а также иной информации, за незаконное распространение которой предусмотренауголовная или административная ответственность;
10) использоватьсетевые хранилища и облачные технологии, функционирующие за пределамиРоссийской Федерации, для обработки и хранения данных (конфиденциальных,ограниченного доступа, служебных), защищаемых Органом (Подведомственнойорганизацией, Организацией).
10.2. Пользователюзапрещается самостоятельно создавать, устанавливать и использовать беспроводныесети доступа к сети "Интернет", взаимодействующие на физическомуровне с АРМ и ЭПУ, используемыми в АСД.
10.3. Пользовательиспользует только Интернет-браузеры, которые разрешенык использованию Администратором АСД.
10.4. При получениидоступа к сети "Интернет" через КСПД Администратору АСД ипользователю необходимо дополнительно соблюдать Положение о КСПД, утвержденноепостановлением № 365.
10.5. При получениидоступа к сети "Интернет" через RSNet Администратору АСД ипользователю (каждому в своей части) необходимо:
1) руководствоватьсяУказом № 260, приказом ФСО России от 7 сентября 2016 года № 443 "Обутверждении Положения о сегменте информационно-телекоммуникационной сети"Интернет";
3) соблюдать положениясоглашения о подключении к RSNet, заключенного с ФСО России, и регламентапредоставления доступа к сети "Интернет" через RSNet, предоставленногоФСО России.
10.6. При получениидоступа к сети "Интернет" через самостоятельно организованноеподключение Администратору АСД необходимо:
1) защититьсамостоятельно организованное подключение средством защиты, обеспечивающимконтроль и фильтрацию сетевого трафика, и прошедшим в установленномзаконодательством Российской Федерации порядке сертификацию в ФСБ России и(или) получившим подтверждение соответствия в ФСТЭК России;
2)принять меры по разграничению доступа между сетями, взаимодействующими с сетью"Интернет" через самостоятельно организованное подключение, иимеющими подключение к КСПД и (или) RSNet, которые бы исключали возможностьнесанкционированного доступа потенциальных нарушителей безопасности информациии (или) проникновения вредоносного программного обеспечения в КСПД, RSNet,центр обработки данных Правительства Нижегородской области, локальную сеть, кресурсам Органа (Подведомственной организации, Организации) и иным стороннимресурсам.
10.7. Прииспользовании беспроводных сетей доступа к сети "Интернет"запрещается пересечение на физическом и сетевом уровнях локальной сети и средств предоставления доступа по технологии беспроводногодоступа к сети "Интернет". Администратором АСД блокируетсявозможность доступа к КСПД и RSNet через беспроводные сети.
10.8. При работе синформационными системами, локальными сетями, средствами вычислительнойтехники, в том числе АРМ (ЭПУ), имеющими подключение к сети"Интернет", Администратору АСД и пользователю необходиморуководствоваться следующей парольной политикой:
1)соблюдать парольную политику, установленную для конкретного ресурса(информационной системы, локальной сети и т.д.) его создателем (разработчиком)/ администратором, если она не противоречит иным обязательным требованиям;
2) организационное итехническое обеспечение процессов генерации, использования, смены и прекращениядействия паролей, и контроль за действиямипользователей при работе с паролями возлагается на Администратора АСД;
3) пароли доступа кАРМ (ЭПУ) первоначально формируются Администратором АСД, а в дальнейшемвыбираются пользователями самостоятельно, но с учетом следующих требований:длина пароля должна быть не менее 8 символов; в числе символов пароля должныприсутствовать прописные буквы латинского алфавита от A до Z, строчные буквылатинского алфавита от a до z, десятичные цифры (от 0 до10), неалфавитные символы (@, #, $, &, *, % и т.п.). Исключениесоставляют АРМ (ЭПУ), в которых использование подобных спецсимволовнедопустимо; пароль не должен включать в себя легко вычисляемые сочетаниясимволов (имена, фамилии, наименования рабочих станций и т.д.), а такжеобщепринятые сокращения и термины (qwerty, pa$$w0rd и т.п.); при смене пароляновый пароль должен отличаться от старого не менее чем двумя символами;
4) пользователь несетперсональную ответственность за сохранение в тайне личного пароля. Запрещаетсясообщать пароль другим лицам, а также хранить записанный пароль в общедоступных(легкодоступных) местах;
5) в случаепроизводственной необходимости (командировка, отпуск и т.п.), при проведенииработ, требующих знания пароля пользователя, допускается раскрытие значенийсвоего пароля Администратору АСД. По окончании производственных или проверочныхработ пользователи самостоятельно производят немедленную смену значений"раскрытых" паролей;
6) в случаевозникновения нештатных ситуаций, форс-мажорных обстоятельств, а такжетехнологической необходимости использования имен и паролей пользователей (в ихотсутствие) допускается изменение паролей Администратором АСД. В подобныхслучаях пользователи, чьи пароли были изменены, обязаны сразу же послевыяснения факта смены своих паролей создать их новые значения;
7) полная плановаясмена паролей пользователей должна проводиться в срок не позднее 90 дней послеустановления предыдущего пароля. Плановая смена должна предусматриватьинформирование пользователя о необходимости сменить пароль и возможность сменыпароля без обращения к Администратору АСД;
8) внеплановая сменаличного пароля или удаление учетной записи пользователя АРМ (ЭПУ) илиинформационной системы в случае прекращения его полномочий (увольнение и т.п.)должна производиться Администратором АСД в течение 1 рабочего дня послеокончания последнего сеанса работы данного пользователя с АРМ (ЭПУ) илиинформационной системой;
9) внеплановая полнаясмена паролей всех пользователей должна производиться в случае прекращенияполномочий (увольнение, переход на работу в другое подразделение внутри Органа(Подведомственной организации, Организации) и другие обстоятельства) АдминистратораАСД и других пользователей, которым по роду работы были предоставленыполномочия по управлению парольной защитой (политикой);
10) в случаедлительного отсутствия пользователя АРМ (ЭПУ) (командировка, болезнь и т.п.)его учетная запись блокируется и, в случае необходимости, изменяются правадоступа других пользователей в отношении ресурсов данного пользователя;
11) в случаекомпрометации личного пароля пользователя АРМ (ЭПУ) либо подозрении накомпрометацию должны быть немедленно предприняты меры по внеплановой сменеличного пароля самим пользователем с немедленным информированием АдминистратораАСД;
12) смена забытогопользовательского пароля производится Администратором АСД на основаниисообщения пользователя с обязательной установкой параметра "Требоватьсмену пароля при следующем входе в систему";
13) для предотвращенияугадывания паролей Администратор АСД обязан настроить механизм блокировкиучетной записи на 20 минут при пятикратном неправильном вводе пароля;
14) при возникновениивопросов, связанных с использованием доменных учетных записей, пользователь АРМ(ЭПУ) обязан обратиться к Администратору АСД;
15) для предоставлениявременного доступа (для лиц, не являющихся сотрудниками Органа(Подведомственной организации, Организации), для пользователей, которымнеобходимо получить временный доступ) необходимо использовать процедурувременных учетных записей. Временная учетная запись - учетная запись, имеющаяограничение по времени действия, имеющая ограниченные права по доступу. Длявременных учетных записей проводится учет их использования. Временная учетнаязапись создается Администратором АСД. Пользователь, получивший временнуюучетную запись, информируется об ограничениях, связанных с ее использованием.
XI. Размещение (публикация) всети "Интернет" информации
11.1. Пользователь размещает (публикует) в сети "Интернет"информацию, не запрещенную к размещению (публикации) действующимзаконодательством.
11.2. Размещение(публикация) в сети "Интернет" информации Органов (Подведомственныхорганизаций, Организаций) через RSNet осуществляется с соблюдением требованийУказа № 260.
XII. Контроль работыпользователей с сетью "Интернет"
12.1. Для контроляработы пользователей с ресурсами сети "Интернет" проводятсяорганизационные и технические мероприятия, в том числе применяются средстваконтроля доступа пользователей к ресурсам (сайтам) сети "Интернет"(далее - СКД).
12.2. ФункционированиеСКД должно осуществляться в соответствии со следующей политикой информационнойбезопасности:
1) для распределенияполитик доступа различных категорий пользователей либо отделов (структурныхподразделений) к определенным ресурсам сети "Интернет" в АСД следуетсоздавать соответствующие группы в настройках СКД;
2) за использованиеучетной записи кем-либо, кроме пользователя, которому она была присвоена ивыдана, пользователь несет персональную ответственность;
3) пользователь несетперсональную ответственность за сохранность в тайне своего персональногопароля. Сохранение пароля пользователя в Интернет-браузере(программное обеспечение для просмотра веб-сайтов, то есть для запросавеб-страниц, их обработки, вывода и перехода от одной страницы к другой),фиксация пароля на общедоступных носителях информации (стикерах, записках, втекстовых файлах и т.д.), а также разглашение пароля неуполномоченным третьимлицам запрещены;
4) разрешаетсяиспользовать лишь те ресурсы (сайты) сети "Интернет", которыенеобходимы для выполнения должностных обязанностей.
12.3. По меренакопления статистических данных об использовании ресурсов сети "Интернет"политика безопасности СКД может быть дополнена Администратором АСД.
XIII. Права, обязанности иответственность
13.1. АдминистраторАСД:
1)обеспечивает функционирование и осуществляет контроль эксплуатации АСД спривлечением при необходимости локального администратора своего Органа(Подведомственной организации, Организации);
2) блокирует припомощи СКД доступ пользователей Органа (Подведомственной организации,Организации) к ресурсам сети "Интернет", используемым пользователемне в целях, указанных в разделе II настоящего Положения, и к ресурсам сети"Интернет" из Списка;
3) проводит инструктажпользователей Органа (Подведомственной организации, Организации) по безопасномуиспользованию сети "Интернет", доводит до сведения пользователейинформацию о функционировании АСД своего Органа (Подведомственной организации,Организации), не разглашая конфиденциальные (служебные) данные, доступ ккоторым должен быть только у Администратора АСД в целях безопасности;
4) обеспечивает врамках своей компетенции безопасный доступ своего Органа (Подведомственнойорганизации, Организации) к ресурсам сети "Интернет";
5) в ходе создания(модернизации) и эксплуатации АСД осуществляет определение актуальных угроз инарушителя безопасности информации, определение и реализацию на их основепредупреждающих (корректирующих) организационных и технических мер, а такжемер, указанных в разделе IV настоящего Положения;
6) принимает меры понедопущению подключения к потенциально опасным и деструктивным Интернет-сервисам и ресурсам в сети "Интернет",Интернет-сервисам, серверное оборудование которых располагается за пределамиРоссийской Федерации, в том числе к сетевым хранилищам и облачным технологиям,функционирующим за пределами Российской Федерации;
7) устанавливает,обновляет и настраивает для работы пользователей Интернет-браузеры, в том числероссийские Интернет-браузеры, поддерживающие установку защищенных соединений как с односторонней, так и с двухстороннейаутентификацией, с использованием российских криптографических алгоритмов,имеющие в составе сервисные функции, предназначенные для предотвращения атак напользователя Интернет-браузера, организованных с помощью фишинга, вредоносных(мошеннических) сайтов и перехвата личных данных, а также автоматическипроверяющие загружаемые файлы с помощью антивирусных технологий, за исключениемслучаев, когда выполнение должностных обязанностей пользователя сиспользованием российского Интернет-браузераневозможно;
8)осуществляет управление обновлениями вирусных баз антивирусного программногообеспечения: устанавливает автоматический режим ежедневного обновления вирусныхбаз на всех АРМ (ЭПУ), имеющих подключение к сети "Интернет", насерверном оборудовании, на котором размещаются информационные системы, имеющихдоступ к сети "Интернет", а также на сервере электронной почты;осуществляет проверку фактической установки обновлений вирусных баз ежедневно иустраняет ошибки их установки;
9) принимает меры посозданию резервных копий важной служебной информации, которая обрабатывается пользователямина АРМ (ЭПУ), имеющих подключение к сети "Интернет", а также винформационной системе, имеющей доступ к сети "Интернет", сустановленной им периодичностью, но не реже одного раза в месяц;
10) реагирует накомпьютерные инциденты, связанные с совершением компьютерных атак и внедрениемвредоносного программного обеспечения посредством сети "Интернет";
11)в целях защиты общедоступной информации, размещаемой в сети"Интернет", использует средства защиты информации, прошедшие вустановленном законодательством Российской Федерации порядке сертификацию в ФСБРоссии и (или) получившие подтверждение соответствия в ФСТЭК России;
12) при необходимостиможет устанавливать дополнительные правила работы в сети "Интернет"для пользователей своего Органа (Подведомственной организации, Организации), непротиворечащие требованиям действующего законодательства.
13.2. Пользовательнесет персональную ответственность за несоблюдение запретов и ограничений,установленных настоящим Положением.