Постановление Правительства Нижегородской области от 20.01.2015 № 14

ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 20 января 2015 года № 14

Об особенностях подключения региональных государственных

информационных систем общего пользования к информационно-

телекоммуникационным сетям, доступ к которым

не ограничен определенным кругом лиц

В соответствии с постановлением Правительства Российской Федерации от 18 мая 2009 года № 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям" и в целях обеспечения защищенного подключения региональных государственных информационных систем, созданных или используемых в целях реализации полномочий органов исполнительной власти Нижегородской области и содержащих информацию, указанную в постановлении Правительства Нижегородской области от 14 июля 2010 года № 422 "Об обеспечении доступа к информации о деятельности Губернатора Нижегородской области, Правительства Нижегородской области, органов исполнительной власти Нижегородской области" (далее - региональные государственные информационные системы общего пользования), к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, Правительство Нижегородской области постановляет:

1. Утвердить прилагаемые:

Требования по обеспечению целостности, устойчивости функционирования и безопасности региональных государственных информационных систем общего пользования;

Требования о защите информации, содержащейся в региональных государственных информационных системах общего пользования.

2. Установить, что:

2.1. Операторы региональных государственных информационных систем общего пользования при подключении их к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить:

- защиту информации, содержащейся в региональных государственных информационных системах общего пользования, от несанкционированного уничтожения, изменения и блокирования доступа к ней;

- постоянный контроль возможности доступа неограниченного круга лиц к региональным государственным информационным системам общего пользования;

- восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более одного рабочего дня, следующего за днем обнаружения несанкционированного доступа;

- использование при подключении региональных государственных информационных систем общего пользования к информационно-телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаях сертификацию), в порядке, установленном законодательством Российской Федерации.

2.2. Операторы региональных государственных информационных систем общего пользования и операторы связи обязаны обеспечивать информационную безопасность при подключении региональных государственных информационных систем общего пользования к информационно-телекоммуникационным сетям.

3. Органам исполнительной власти Нижегородской области и подведомственным им организациям учитывать требования, предусмотренные настоящим постановлением, при подключении региональных государственных информационных систем к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц.

4. Рекомендовать органам местного самоуправления муниципальных районов (городских округов) Нижегородской области и подведомственным им организациям учитывать положения настоящего постановления при подключении муниципальных информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, и подготовке соответствующих правовых актов. 

5. Аппарату Правительства Нижегородской области обеспечить опубликование настоящего постановления.

И.о.Губернатора                                                                    В.А.Иванов

УТВЕРЖДЕНЫ

постановлением Правительства

Нижегородской области

от 20 января 2015 года № 14

ТРЕБОВАНИЯ

ПО ОБЕСПЕЧЕНИЮ ЦЕЛОСТНОСТИ, УСТОЙЧИВОСТИ

ФУНКЦИОНИРОВАНИЯ И БЕЗОПАСНОСТИ

РЕГИОНАЛЬНЫХ ГОСУДАРСТВЕННЫХ

ИНФОРМАЦИОННЫХ СИСТЕМ

ОБЩЕГО ПОЛЬЗОВАНИЯ

(далее - Требования)

1. Настоящие Требования применяются к региональным государственным информационным системам, созданным или используемым в целях реализации полномочий органов исполнительной власти Нижегородской области и содержащие информацию, указанную в постановлении Правительства Нижегородской области от 14 июля 2010 года  № 422 "Об обеспечении доступа к информации о деятельности Губернатора Нижегородской области, Правительства Нижегородской области, органов исполнительной власти Нижегородской области" (далее - информационные системы общего пользования).

2. Организационно-техническое обеспечение устойчивого и безопасного функционирования информационных систем общего пользования представляет собой совокупность мероприятий, направленных на поддержание:

1) целостности информационной системы общего пользования как способности взаимодействия входящих в ее состав компонентов, при которой становится возможным выполнение функций по обработке информации;

2) устойчивости функционирования информационной системы общего пользования как ее способности сохранять свою целостность при отказе части компонентов системы, а также в условиях внутренних и внешних деструктивных информационных воздействий и возвращаться в исходное состояние;

3) безопасности информационной системы общего пользования как ее способности противостоять попыткам несанкционированного доступа к техническим и программным средствам системы и преднамеренным дестабилизирующим внутренним или внешним информационным воздействиям, следствием которых может быть нарушение ее функционирования.

3. Целостность информационной системы общего пользования обеспечивается совместимостью протоколов взаимодействия (функциональной совместимостью) и совместимостью интерфейсов технических средств (физической совместимостью) информационной системы общего пользования. Функциональная и физическая совместимость технических и программных средств информационной системы общего пользования обеспечивается выполнением требований, устанавливаемых в технической и эксплуатационной документации на систему.

4. Устойчивость функционирования информационной системы общего пользования обеспечивается:

1) разработкой мер при проектировании информационной системы общего пользования, направленных на выполнение требований к показателям надежности этой информационной системы общего пользования;

2) соблюдением условий эксплуатации, установленных в технической и эксплуатационной документации соответствующих технических и программных средств информационной системы общего пользования;

3) выполнением требований к информационной системе общего пользования в части технического обслуживания ее технических и программных средств;

4) выполнением требований к управлению информационной системой общего пользования в части контроля функционирования и анализа технических неисправностей в информационной системе общего пользования.

5. Показателем устойчивости функционирования информационной системы общего пользования является коэффициент готовности, который определяется как вероятность того, что система окажется в работоспособном состоянии в произвольный момент времени ее функционирования (за исключением времени, в течение которого применение системы по назначению не предусматривается).

При выявлении несоответствия эксплуатационного значения коэффициента готовности технической норме должны проводиться мероприятия, направленные на определение причин выявленного несоответствия и их устранение.

6. Безопасность информационной системы общего пользования обеспечивается разработкой мер при ее проектировании и эксплуатации, направленных на выполнение требований к безопасности этой информационной системы общего пользования.

7. В информационной системе общего пользования предусматривается подсистема безопасности, для которой:

1) основным назначением является обеспечение режима функционирования информационной системы общего пользования, при котором сохраняется целостность и доступность информации, содержащейся в информационной системе общего пользования;

2) разрабатывается задание по безопасности, являющееся составной частью технического задания на разработку информационной системы общего пользования, которое включает в себя:

- архитектуру построения и принципы взаимодействия подсистем, входящих в информационную систему общего пользования;

- описание возможных нарушений целостности, устойчивости функционирования и безопасности информационной системы общего пользования;

- описание подсистемы безопасности, включая систему защиты информации и систему антивирусной защиты программных средств (в том числе описание целевых функций, механизмов и используемых средств защиты, а также перечень защищаемых компонентов);

- непротиворечивую политику безопасности (в том числе правила разграничения доступа, инструкции для оператора информационной системы общего пользования, а также порядок действий в нештатной ситуации).

8. В информационной системе общего пользования:

1) используются средства межсетевого экранирования, сертифицированные Федеральной службой по техническому и экспортному контролю;

2) используются системы обеспечения гарантированного электропитания (источники бесперебойного питания);

3) обеспечивается резервирование технических и программных средств.

9. При создании и эксплуатации информационной системы общего пользования:

1) используются сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным их производителем;

2) обеспечивается защита от воздействий на технические и программные средства, в результате которых нарушается их функционирование, и защита от несанкционированного доступа к помещениям, в которых размещены данные средства;

3) осуществляется регистрация действий обслуживающего персонала;

4) расчетное значение коэффициента готовности, определяемое при проектировании, и эксплуатационное (оценочное) значение коэффициента готовности составляют не менее 0,95.

10. Операторы информационной системы общего пользования обязаны обеспечивать:

1) недопущение воздействия на технические и программные средства информационной системы общего пользования, в результате которого нарушается их функционирование;

2) предупреждение возможных неблагоприятных последствий нарушения порядка доступа к техническим и программным средствам информационной системы общего пользования;

3) постоянный контроль обеспечения защищенности информационной системы общего пользования от неправомерных действий.

_________________

УТВЕРЖДЕНЫ

постановлением Правительства

Нижегородской области

от 20 января 2015 года № 14

ТРЕБОВАНИЯ

О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ

В РЕГИОНАЛЬНЫХ ГОСУДАРСТВЕННЫХ

ИНФОРМАЦИОННЫХ СИСТЕМАХ

ОБЩЕГО ПОЛЬЗОВАНИЯ

(далее - Требования)

1. Настоящие Требования применяются к региональным государственным информационным системам, созданным или используемым в целях реализации полномочий органов исполнительной власти Нижегородской области, и содержащих сведения о деятельности Губернатора Нижегородской области и Правительства Нижегородской области и органов исполнительной власти Нижегородской области, обязательные для размещения в информационно-телекоммуникационной сети "Интернет", определяемые Правительством Нижегородской области (далее - информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

2. Информационные системы общего пользования должны обеспечивать:

- сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее - целостность информации);

- беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее - доступность информации);

- защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих в том числе к уничтожению, модификации и блокированию информации (далее - неправомерные действия).

3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.

5. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.

6. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.

Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

7. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.

8. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

9. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.

10. В информационных системах общего пользования должны быть обеспечены:

- поддержание целостности и доступности информации;

- предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

- проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

- своевременное обнаружение фактов неправомерных действий в отношении информации;

- недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;

- возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

- проведение мероприятий по постоянному контролю за обеспечением их защищенности;

- возможность записи и хранения сетевого трафика.

11. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:

- определение угроз безопасности информации, формирование на их основе модели угроз, при этом для определения актуальных угроз безопасности информации следует использовать "Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденную заместителем директора ФСТЭК России 15 февраля 2008 года;

- разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;

- проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

- установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

- обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

- описание системы их защиты.

12. Выбор средств защиты информации следует осуществлять с учетом положений Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17.

13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.

15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать одного рабочего дня, следующего за днем обнаружения несанкционированного доступа.

16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

- использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

- использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

- использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

- использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

- осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

- осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность;

- обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;

- осуществление регистрации действий обслуживающего персонала;

- обеспечение частичного резервирования технических средств и дублирования массивов информации;

- использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

- осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

- введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

_________________