Расширенный поиск
Постановление Правительства Нижегородской области от 20.01.2015 № 14
ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙ ОБЛАСТИ ПОСТАНОВЛЕНИЕ от 20 января 2015 года № 14 Об особенностях подключения региональных государственных информационных систем общего пользования к информационно- телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц В соответствии с постановлением Правительства Российской Федерации от 18 мая 2009 года № 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям" и в целях обеспечения защищенного подключения региональных государственных информационных систем, созданных или используемых в целях реализации полномочий органов исполнительной власти Нижегородской области и содержащих информацию, указанную в постановлении Правительства Нижегородской области от 14 июля 2010 года № 422 "Об обеспечении доступа к информации о деятельности Губернатора Нижегородской области, Правительства Нижегородской области, органов исполнительной власти Нижегородской области" (далее - региональные государственные информационные системы общего пользования), к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, Правительство Нижегородской области постановляет: 1. Утвердить прилагаемые: Требования по обеспечению целостности, устойчивости функционирования и безопасности региональных государственных информационных систем общего пользования; Требования о защите информации, содержащейся в региональных государственных информационных системах общего пользования. 2. Установить, что: 2.1. Операторы региональных государственных информационных систем общего пользования при подключении их к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить: - защиту информации, содержащейся в региональных государственных информационных системах общего пользования, от несанкционированного уничтожения, изменения и блокирования доступа к ней; - постоянный контроль возможности доступа неограниченного круга лиц к региональным государственным информационным системам общего пользования; - восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более одного рабочего дня, следующего за днем обнаружения несанкционированного доступа; - использование при подключении региональных государственных информационных систем общего пользования к информационно-телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаях сертификацию), в порядке, установленном законодательством Российской Федерации. 2.2. Операторы региональных государственных информационных систем общего пользования и операторы связи обязаны обеспечивать информационную безопасность при подключении региональных государственных информационных систем общего пользования к информационно-телекоммуникационным сетям. 3. Органам исполнительной власти Нижегородской области и подведомственным им организациям учитывать требования, предусмотренные настоящим постановлением, при подключении региональных государственных информационных систем к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц. 4. Рекомендовать органам местного самоуправления муниципальных районов (городских округов) Нижегородской области и подведомственным им организациям учитывать положения настоящего постановления при подключении муниципальных информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, и подготовке соответствующих правовых актов. 5. Аппарату Правительства Нижегородской области обеспечить опубликование настоящего постановления. И.о.Губернатора В.А.Иванов УТВЕРЖДЕНЫ постановлением Правительства Нижегородской области от 20 января 2015 года № 14
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ЦЕЛОСТНОСТИ, УСТОЙЧИВОСТИ ФУНКЦИОНИРОВАНИЯ И БЕЗОПАСНОСТИ РЕГИОНАЛЬНЫХ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ ОБЩЕГО ПОЛЬЗОВАНИЯ (далее - Требования) 1. Настоящие Требования применяются к региональным государственным информационным системам, созданным или используемым в целях реализации полномочий органов исполнительной власти Нижегородской области и содержащие информацию, указанную в постановлении Правительства Нижегородской области от 14 июля 2010 года № 422 "Об обеспечении доступа к информации о деятельности Губернатора Нижегородской области, Правительства Нижегородской области, органов исполнительной власти Нижегородской области" (далее - информационные системы общего пользования). 2. Организационно-техническое обеспечение устойчивого и безопасного функционирования информационных систем общего пользования представляет собой совокупность мероприятий, направленных на поддержание: 1) целостности информационной системы общего пользования как способности взаимодействия входящих в ее состав компонентов, при которой становится возможным выполнение функций по обработке информации; 2) устойчивости функционирования информационной системы общего пользования как ее способности сохранять свою целостность при отказе части компонентов системы, а также в условиях внутренних и внешних деструктивных информационных воздействий и возвращаться в исходное состояние; 3) безопасности информационной системы общего пользования как ее способности противостоять попыткам несанкционированного доступа к техническим и программным средствам системы и преднамеренным дестабилизирующим внутренним или внешним информационным воздействиям, следствием которых может быть нарушение ее функционирования. 3. Целостность информационной системы общего пользования обеспечивается совместимостью протоколов взаимодействия (функциональной совместимостью) и совместимостью интерфейсов технических средств (физической совместимостью) информационной системы общего пользования. Функциональная и физическая совместимость технических и программных средств информационной системы общего пользования обеспечивается выполнением требований, устанавливаемых в технической и эксплуатационной документации на систему. 4. Устойчивость функционирования информационной системы общего пользования обеспечивается: 1) разработкой мер при проектировании информационной системы общего пользования, направленных на выполнение требований к показателям надежности этой информационной системы общего пользования; 2) соблюдением условий эксплуатации, установленных в технической и эксплуатационной документации соответствующих технических и программных средств информационной системы общего пользования; 3) выполнением требований к информационной системе общего пользования в части технического обслуживания ее технических и программных средств; 4) выполнением требований к управлению информационной системой общего пользования в части контроля функционирования и анализа технических неисправностей в информационной системе общего пользования. 5. Показателем устойчивости функционирования информационной системы общего пользования является коэффициент готовности, который определяется как вероятность того, что система окажется в работоспособном состоянии в произвольный момент времени ее функционирования (за исключением времени, в течение которого применение системы по назначению не предусматривается). При выявлении несоответствия эксплуатационного значения коэффициента готовности технической норме должны проводиться мероприятия, направленные на определение причин выявленного несоответствия и их устранение. 6. Безопасность информационной системы общего пользования обеспечивается разработкой мер при ее проектировании и эксплуатации, направленных на выполнение требований к безопасности этой информационной системы общего пользования. 7. В информационной системе общего пользования предусматривается подсистема безопасности, для которой: 1) основным назначением является обеспечение режима функционирования информационной системы общего пользования, при котором сохраняется целостность и доступность информации, содержащейся в информационной системе общего пользования; 2) разрабатывается задание по безопасности, являющееся составной частью технического задания на разработку информационной системы общего пользования, которое включает в себя: - архитектуру построения и принципы взаимодействия подсистем, входящих в информационную систему общего пользования; - описание возможных нарушений целостности, устойчивости функционирования и безопасности информационной системы общего пользования; - описание подсистемы безопасности, включая систему защиты информации и систему антивирусной защиты программных средств (в том числе описание целевых функций, механизмов и используемых средств защиты, а также перечень защищаемых компонентов); - непротиворечивую политику безопасности (в том числе правила разграничения доступа, инструкции для оператора информационной системы общего пользования, а также порядок действий в нештатной ситуации). 8. В информационной системе общего пользования: 1) используются средства межсетевого экранирования, сертифицированные Федеральной службой по техническому и экспортному контролю; 2) используются системы обеспечения гарантированного электропитания (источники бесперебойного питания); 3) обеспечивается резервирование технических и программных средств. 9. При создании и эксплуатации информационной системы общего пользования: 1) используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным их производителем; 2) обеспечивается защита от воздействий на технические и программные средства, в результате которых нарушается их функционирование, и защита от несанкционированного доступа к помещениям, в которых размещены данные средства; 3) осуществляется регистрация действий обслуживающего персонала; 4) расчетное значение коэффициента готовности, определяемое при проектировании, и эксплуатационное (оценочное) значение коэффициента готовности составляют не менее 0,95. 10. Операторы информационной системы общего пользования обязаны обеспечивать: 1) недопущение воздействия на технические и программные средства информационной системы общего пользования, в результате которого нарушается их функционирование; 2) предупреждение возможных неблагоприятных последствий нарушения порядка доступа к техническим и программным средствам информационной системы общего пользования; 3) постоянный контроль обеспечения защищенности информационной системы общего пользования от неправомерных действий. _________________
УТВЕРЖДЕНЫ постановлением Правительства Нижегородской области от 20 января 2015 года № 14
ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ,
СОДЕРЖАЩЕЙСЯ В РЕГИОНАЛЬНЫХ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ (далее - Требования) 1. Настоящие Требования применяются к региональным государственным информационным системам, созданным или используемым в целях реализации полномочий органов исполнительной власти Нижегородской области, и содержащих сведения о деятельности Губернатора Нижегородской области и Правительства Нижегородской области и органов исполнительной власти Нижегородской области, обязательные для размещения в информационно-телекоммуникационной сети "Интернет", определяемые Правительством Нижегородской области (далее - информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования. 2. Информационные системы общего пользования должны обеспечивать: - сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее - целостность информации); - беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее - доступность информации); - защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих в том числе к уничтожению, модификации и блокированию информации (далее - неправомерные действия). 3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. 4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной. 5. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации. 6. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям. Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием. 7. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем. 8. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 9. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования. 10. В информационных системах общего пользования должны быть обеспечены: - поддержание целостности и доступности информации; - предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации; - проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации; - своевременное обнаружение фактов неправомерных действий в отношении информации; - недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование; - возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий; - проведение мероприятий по постоянному контролю за обеспечением их защищенности; - возможность записи и хранения сетевого трафика. 11. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя: - определение угроз безопасности информации, формирование на их основе модели угроз, при этом для определения актуальных угроз безопасности информации следует использовать "Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденную заместителем директора ФСТЭК России 15 февраля 2008 года; - разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования; - проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; - установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; - обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними; - учет применяемых средств защиты информации, эксплуатационной и технической документации к ним; - контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; - проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; - описание системы их защиты. 12. Выбор средств защиты информации следует осуществлять с учетом положений Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17. 13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации. 14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования. 15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать одного рабочего дня, следующего за днем обнаружения несанкционированного доступа. 16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков. 17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации: - использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению); - использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции; - использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции; - использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции; - осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации; - осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность; - обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства; - осуществление регистрации действий обслуживающего персонала; - обеспечение частичного резервирования технических средств и дублирования массивов информации; - использование систем обеспечения гарантированного электропитания (источников бесперебойного питания); - осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России; - введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям. _________________ Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Ноябрь
|