Постановление Правительства Нижегородской области от 20.01.2015 N 14 "Об особенностях подключения региональных государственных информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц"
ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 20 января 2015 г. № 14
ОБ ОСОБЕННОСТЯХ ПОДКЛЮЧЕНИЯ РЕГИОНАЛЬНЫХ
ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ ОБЩЕГО ПОЛЬЗОВАНИЯ
К ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫМ СЕТЯМ, ДОСТУП К КОТОРЫМ
НЕ ОГРАНИЧЕН ОПРЕДЕЛЕННЫМ КРУГОМ ЛИЦ
В соответствии с постановлением Правительства Российской Федерации от 18 мая 2009 года № 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям" и в целях обеспечения защищенного подключения региональных государственных информационных систем, созданных или используемых в целях реализации полномочий органов исполнительной власти Нижегородской области и содержащих информацию, указанную в постановлении Правительства Нижегородской области от 14 июля 2010 года № 422 "Об обеспечении доступа к информации о деятельности Губернатора Нижегородской области, Правительства Нижегородской области, органов исполнительной власти Нижегородской области" (далее - региональные государственные информационные системы общего пользования), к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, Правительство Нижегородской области постановляет:
1. Утвердить прилагаемые:
Требования по обеспечению целостности, устойчивости функционирования и безопасности региональных государственных информационных систем общего пользования;
Требования о защите информации, содержащейся в региональных государственных информационных системах общего пользования.
2. Установить, что:
2.1. Операторы региональных государственных информационных систем общего пользования при подключении их к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить:
- защиту информации, содержащейся в региональных государственных информационных системах общего пользования, от несанкционированного уничтожения, изменения и блокирования доступа к ней;
- постоянный контроль возможности доступа неограниченного круга лиц к региональным государственным информационным системам общего пользования;
- восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более одного рабочего дня, следующего за днем обнаружения несанкционированного доступа;
- использование при подключении региональных государственных информационных систем общего пользования к информационно-телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаях сертификацию), в порядке, установленном законодательством Российской Федерации.
2.2. Операторы региональных государственных информационных систем общего пользования и операторы связи обязаны обеспечивать информационную безопасность при подключении региональных государственных информационных систем общего пользования к информационно-телекоммуникационным сетям.
3. Органам исполнительной власти Нижегородской области и подведомственным им организациям учитывать требования, предусмотренные настоящим постановлением, при подключении региональных государственных информационных систем к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц.
4. Рекомендовать органам местного самоуправления муниципальных районов (городских округов) Нижегородской области и подведомственным им организациям учитывать положения настоящего постановления при подключении муниципальных информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, и подготовке соответствующих правовых актов.
5. Аппарату Правительства Нижегородской области обеспечить опубликование настоящего постановления.
И.о. Губернатора
В.А.ИВАНОВ
Утверждены
постановлением
Правительства Нижегородской области
от 20 января 2015 г. № 14
ТРЕБОВАНИЯ
ПО ОБЕСПЕЧЕНИЮ ЦЕЛОСТНОСТИ, УСТОЙЧИВОСТИ ФУНКЦИОНИРОВАНИЯ
И БЕЗОПАСНОСТИ РЕГИОНАЛЬНЫХ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ
СИСТЕМ ОБЩЕГО ПОЛЬЗОВАНИЯ
(далее - Требования)
1. Настоящие Требования применяются к региональным государственным информационным системам, созданным или используемым в целях реализации полномочий органов исполнительной власти Нижегородской области и содержащим информацию, указанную в постановлении Правительства Нижегородской области от 14 июля 2010 года № 422 "Об обеспечении доступа к информации о деятельности Губернатора Нижегородской области, Правительства Нижегородской области, органов исполнительной власти Нижегородской области" (далее - информационные системы общего пользования).
2. Организационно-техническое обеспечение устойчивого и безопасного функционирования информационных систем общего пользования представляет собой совокупность мероприятий, направленных на поддержание:
1) целостности информационной системы общего пользования как способности взаимодействия входящих в ее состав компонентов, при которой становится возможным выполнение функций по обработке информации;
2) устойчивости функционирования информационной системы общего пользования как ее способности сохранять свою целостность при отказе части компонентов системы, а также в условиях внутренних и внешних деструктивных информационных воздействий и возвращаться в исходное состояние;
3) безопасности информационной системы общего пользования как ее способности противостоять попыткам несанкционированного доступа к техническим и программным средствам системы и преднамеренным дестабилизирующим внутренним или внешним информационным воздействиям, следствием которых может быть нарушение ее функционирования.
3. Целостность информационной системы общего пользования обеспечивается совместимостью протоколов взаимодействия (функциональной совместимостью) и совместимостью интерфейсов технических средств (физической совместимостью) информационной системы общего пользования. Функциональная и физическая совместимость технических и программных средств информационной системы общего пользования обеспечивается выполнением требований, устанавливаемых в технической и эксплуатационной документации на систему.
4. Устойчивость функционирования информационной системы общего пользования обеспечивается:
1) разработкой мер при проектировании информационной системы общего пользования, направленных на выполнение требований к показателям надежности этой информационной системы общего пользования;
2) соблюдением условий эксплуатации, установленных в технической и эксплуатационной документации соответствующих технических и программных средств информационной системы общего пользования;
3) выполнением требований к информационной системе общего пользования в части технического обслуживания ее технических и программных средств;
4) выполнением требований к управлению информационной системой общего пользования в части контроля функционирования и анализа технических неисправностей в информационной системе общего пользования.
5. Показателем устойчивости функционирования информационной системы общего пользования является коэффициент готовности, который определяется как вероятность того, что система окажется в работоспособном состоянии в произвольный момент времени ее функционирования (за исключением времени, в течение которого применение системы по назначению не предусматривается).
При выявлении несоответствия эксплуатационного значения коэффициента готовности технической норме должны проводиться мероприятия, направленные на определение причин выявленного несоответствия и их устранение.
6. Безопасность информационной системы общего пользования обеспечивается разработкой мер при ее проектировании и эксплуатации, направленных на выполнение требований к безопасности этой информационной системы общего пользования.
7. В информационной системе общего пользования предусматривается подсистема безопасности, для которой:
1) основным назначением является обеспечение режима функционирования информационной системы общего пользования, при котором сохраняется целостность и доступность информации, содержащейся в информационной системе общего пользования;
2) разрабатывается задание по безопасности, являющееся составной частью технического задания на разработку информационной системы общего пользования, которое включает в себя:
- архитектуру построения и принципы взаимодействия подсистем, входящих в информационную систему общего пользования;
- описание возможных нарушений целостности, устойчивости функционирования и безопасности информационной системы общего пользования;
- описание подсистемы безопасности, включая систему защиты информации и систему антивирусной защиты программных средств (в том числе описание целевых функций, механизмов и используемых средств защиты, а также перечень защищаемых компонентов);
- непротиворечивую политику безопасности (в том числе правила разграничения доступа, инструкции для оператора информационной системы общего пользования, а также порядок действий в нештатной ситуации).
8. В информационной системе общего пользования:
1) используются средства межсетевого экранирования, сертифицированные Федеральной службой по техническому и экспортному контролю;
2) используются системы обеспечения гарантированного электропитания (источники бесперебойного питания);
3) обеспечивается резервирование технических и программных средств.
9. При создании и эксплуатации информационной системы общего пользования:
1) используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным их производителем;
2) обеспечивается защита от воздействий на технические и программные средства, в результате которых нарушается их функционирование, и защита от несанкционированного доступа к помещениям, в которых размещены данные средства;
3) осуществляется регистрация действий обслуживающего персонала;
4) расчетное значение коэффициента готовности, определяемое при проектировании, и эксплуатационное (оценочное) значение коэффициента готовности составляют не менее 0,95.
10. Операторы информационной системы общего пользования обязаны обеспечивать:
1) недопущение воздействия на технические и программные средства информационной системы общего пользования, в результате которого нарушается их функционирование;
2) предупреждение возможных неблагоприятных последствий нарушения порядка доступа к техническим и программным средствам информационной системы общего пользования;
3) постоянный контроль обеспечения защищенности информационной системы общего пользования от неправомерных действий.
Утверждены
постановлением
Правительства Нижегородской области
от 20 января 2015 г. № 14
ТРЕБОВАНИЯ
О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В РЕГИОНАЛЬНЫХ
ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ
(далее - Требования)
1. Настоящие Требования применяются к региональным государственным информационным системам, созданным или используемым в целях реализации полномочий органов исполнительной власти Нижегородской области, и содержащих сведения о деятельности Губернатора Нижегородской области и Правительства Нижегородской области и органов исполнительной власти Нижегородской области, обязательные для размещения в информационно-телекоммуникационной сети "Интернет", определяемые Правительством Нижегородской области (далее - информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.
2. Информационные системы общего пользования должны обеспечивать:
- сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее - целостность информации);
- беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее - доступность информации);
- защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих в том числе к уничтожению, модификации и блокированию информации (далее - неправомерные действия).
3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.
5. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.
6. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.
Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.
7. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.
8. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
9. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.
10. В информационных системах общего пользования должны быть обеспечены:
- поддержание целостности и доступности информации;
- предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;
- проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;
- своевременное обнаружение фактов неправомерных действий в отношении информации;
- недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;
- возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;
- проведение мероприятий по постоянному контролю за обеспечением их защищенности;
- возможность записи и хранения сетевого трафика.
11. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:
- определение угроз безопасности информации, формирование на их основе модели угроз, при этом для определения актуальных угроз безопасности информации следует использовать "Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденную заместителем директора ФСТЭК России 15 февраля 2008 года;
- разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;
- проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание системы их защиты.
12. Выбор средств защиты информации следует осуществлять с учетом положений Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17.
13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.
14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.
15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать одного рабочего дня, следующего за днем обнаружения несанкционированного доступа.
16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.
17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:
- использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);
- использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
- использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
- использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
- осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;
- осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность;
- обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;
- осуществление регистрации действий обслуживающего персонала;
- обеспечение частичного резервирования технических средств и дублирования массивов информации;
- использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);
- осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;
- введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.
------------------------------------------------------------------