Расширенный поиск

Приказ Федерального агентства по рыболовству от 26.07.2016 № 486

 
        МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ

                 ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО РЫБОЛОВСТВУ
                           (Росрыболовство)


                             П Р И К А З


26 июля 2016 года              Москва                  N 486


           О внесении изменений в Концепцию информационной
          безопасности Росрыболовства, утвержденную приказом
               Росрыболовства от 6 марта 2013 г. N 154


     В целях обеспечения реализации Плана  мероприятий  по  устранению
нарушений  и  недостатков,  выявленных  в  ходе  проверки  ФГБУ "Центр
системы мониторинга рыболовства и связи"  Счетной  палатой  Российской
Федерации (представление N ПР 09-244/09-02 от 13.11.2015 г.),
п р и к а з ы в а ю :

     Внести изменения    в   Концепцию   информационной   безопасности
Росрыболовства,  утвержденную  приказом  Росрыболовства   от   6 марта
2013 г.  N 154,  дополнив  ее  пунктом  7.3.6  "Защита  информационных
систем" согласно приложению к настоящему приказу.


Заместитель Министра сельского хозяйства
Российской Федерации - руководитель
Федерального агентства по рыболовству                    И.В. Шестаков




                                   Приложение к приказу Росрыболовства
                                           от 26.07.2016 N 486


                 "7.3.6 Защита информационных систем

     Информационные системы   Росрыболовства   (Под    информационными
системами   Росрыболовства   подразумеваются   информационные  системы
центрального  аппарата  и   подведомственных   учреждений   агентства)
являются    ключевым    элементом    информационной    инфраструктуры,
обеспечивающей  выполнение  агентством  возложенных  на  него   задач.
Реализация  угроз  ИБ  в  отношении данных информационных систем может
вызвать срыв деятельности Росрыболовства со значительными  негативными
экономическими последствиями.
     Информационные системы    Росрыболовства    представляют    собой
территориально   распределенную   совокупность  программно-технических
комплексов,  объединенных с помощью каналов  связи,  расположенных  на
всех уровнях взаимодействия:
     центральные органы исполнительной власти;
     органы государственной власти;
     государственные учреждения.
     В информационных   системах   Росрыболовства   объектами   защиты
являются   информация,   содержащаяся   в   информационной    системе,
технические  средства  (в  том  числе средства вычислительной техники,
машинные носители информации,  средства и  системы  связи  и  передачи
данных, технические средства обработки буквенно-цифровой, графической,
видео- и речевой информации),  общесистемное,  прикладное, специальное
программное обеспечение,  информационные технологии,  а также средства
защиты информации.
     Защита информации,   содержащейся   в   информационной   системе,
обеспечивается  путем  выполнения  обладателем информации и оператором
требований   к   организации   защиты   информации,   содержащейся   в
информационной  системе,  и  требований  к  мерам  защиты  информации,
содержащейся в информационной системе.
     Для обеспечения защиты информации,  содержащейся в информационной
системе,  назначается  структурное  подразделение или должностное лицо
(работник), ответственные за защиту информации.
     Защита информации,   содержащейся   в   информационной   системе,
является   составной   частью   работ   по   созданию  и  эксплуатации
информационной системы и обеспечивается на всех  стадиях  (этапах)  ее
создания  и  в  ходе  эксплуатации  путем  принятия  организационных и
технических мер   защиты   информации,  направленных  на  блокирование
(нейтрализацию)  угроз  безопасности   информации   в   информационной
системе,    в    рамках   системы   (подсистемы)   защиты   информации
информационной   системы   (далее   -   система   защиты    информации
информационной системы).
     Организационные и технические меры защиты информации, реализуемые
в рамках системы защиты информации информационной системы, должны быть
направлены на исключение:
     неправомерных доступа,     копирования,     предоставления    или
распространения     информации     (обеспечение     конфиденциальности
информации);
     неправомерных уничтожения    или    модифицирования    информации
(обеспечение целостности информации);
     неправомерного блокирования информации  (обеспечение  доступности
информации).
     Для обеспечения защиты информации,  содержащейся в информационной
системе, необходимо выполнение следующих мероприятий:
     формирование требований  к  защите  информации,  содержащейся   в
информационной системе;
     разработка системы защиты информации информационной системы;
     внедрение системы защиты информации информационной системы;
     аттестация информационной    системы    по   требованиям   защиты
информации (далее - аттестация информационной системы)  и  ввод  ее  в
действие;
     обеспечение защиты  информации  в ходе эксплуатации аттестованной
информационной системы;
     обеспечение защиты  информации   при   выводе   из   эксплуатации
аттестованной  информационной  системы  или  после принятия решения об
окончании обработки информации.
     Формирование требований  к  защите  информации,  содержащейся   в
информационной    системе,   осуществляется   обладателем   информации
(заказчиком).
     Формирование требований  к  защите  информации,  содержащейся   в
информационной  системе,  осуществляется  с  учетом  ГОСТ Р 51583-2014
"Национальный  стандарт  Российской  Федерации.   Защита   информации.
Порядок  создания  автоматизированных  систем в защищенном исполнении.
Общие  положения"  (далее  -  ГОСТ  Р  51583)  и  ГОСТ  Р   51624-2000
"Национальный   стандарт   Российской  Федерации.  Защита  информации.
Автоматизированные системы в защищенном исполнении.  Общие требования"
(далее - ГОСТ Р 51624) и в том числе включает:
     принятие решения о необходимости защиты информации,  содержащейся
в информационной системе;
     классификацию информационной  системы   по   требованиям   защиты
информации (далее - классификация информационной системы);
     определение угроз  безопасности  информации,  реализация  которых
может привести к нарушению безопасности  информации  в  информационной
системе,   и   разработку  на  их  основе  модели  угроз  безопасности
информации;
     определение требований к системе защиты информации информационной
системы.
     При создании    системы   защиты   информации,   содержащейся   в
информационной системе, осуществляется:
     анализ целей создания информационной системы  и  задач,  решаемых
этой информационной системой;
     определение информации,  подлежащей  обработке  в  информационной
системе;
     анализ нормативных  правовых  актов,  методических  документов  и
национальных стандартов, которым должна соответствовать информационная
система;
     принятие решения  о   необходимости   создания   системы   защиты
информации  информационной системы,  а также определение целей и задач
защиты информации в информационной системе,  основных этапов  создания
системы   защиты   информации  информационной  системы  и  функций  по
обеспечению защиты информации,  содержащейся в информационной системе,
обладателя информации (заказчика), оператора и уполномоченных лиц.
     Информационные системы    должны    быть    идентифицированы    и
классифицированы      в       соответствии       с       руководящими,
нормативно-методическими  документами ФСТЭК,  ФСБ России и Минкомсвязи
России.  Каждый   класс   характеризуется   определенной   минимальной
совокупностью требований по защите информации.
     Классификация информационной  системы проводится в зависимости от
значимости,  обрабатываемой в ней информации и масштаба информационной
системы.
     Требования к  системе  защиты  информации  информационной системы
включаются в техническое задание на создание информационной системы  и
(или)  техническое  задание  (частное техническое задание) на создание
системы защиты информации информационной  системы,  разрабатываемые  с
учетом ГОСТ 34.602-89 "Информационная технология.  Комплекс стандартов
на  автоматизированные  системы.  Техническое  задание   на   создание
автоматизированной системы",  ГОСТ Р 51583 и ГОСТ Р 51624,  и должны в
том числе содержать:
     цель и задачи  обеспечения  защиты  информации  в  информационной
системе;
     класс защищенности информационной системы;
     перечень нормативных  правовых  актов,  методических документов и
национальных стандартов, которым должна соответствовать информационная
система;
     перечень объектов защиты информационной системы;
     требования к  мерам и средствам защиты информации,  применяемым в
информационной системе;
     требования к защите информации при информационном  взаимодействии
с     иными     информационными     системами     и     информационно-
телекоммуникационными сетями,  в том числе с информационными системами
уполномоченного  лица,  а также при применении вычислительных ресурсов
(мощностей),  предоставляемых  уполномоченным  лицом   для   обработки
информации.
     Внедрение системы   защиты   информации   информационной  системы
осуществляется  в  соответствии   с   проектной   и   эксплуатационной
документацией  на систему защиты информации информационной системы и в
том числе включает:
     установку и настройку средств защиты информации в  информационной
системе.   Используемые   средства   защиты  являются  самостоятельным
объектом защиты.  Все средства  защиты,  используемые  для  защиты  от
актуальных угроз, должны быть сертифицированы;
     разработку документов,    определяющих   правила   и   процедуры,
реализуемые   оператором   для   обеспечения   защиты   информации   в
информационной    системе    в   ходе   ее   эксплуатации   (далее   -
организационно-распорядительные документы по защите информации);
     внедрение организационных мер защиты информации;
     предварительные испытания     системы      защиты      информации
информационной системы;
     опытную эксплуатацию  системы  защиты  информации  информационной
системы;
     анализ уязвимостей информационной системы и принятие  мер  защиты
информации по их устранению;
     приемочные испытания  системы  защиты  информации  информационной
системы.
     При внедрении    организационных    мер     защиты     информации
осуществляются:
     реализация правил  разграничения доступа,  регламентирующих права
доступа субъектов доступа к объектам доступа,  и введение  ограничений
на действия пользователей,  а также на изменение условий эксплуатации,
состава и конфигурации технических средств и программного обеспечения;
     проверка полноты       и       детальности       описания       в
организационно-распорядительных   документах   по   защите  информации
действий пользователей и  администраторов  информационной  системы  по
реализации организационных мер защиты информации;
     отработка действий должностных лиц и подразделений, ответственных
за реализацию мер защиты информации.
     Анализ уязвимостей  информационной  системы  проводится  в  целях
оценки  возможности  преодоления нарушителем системы защиты информации
информационной системы и предотвращения реализации угроз  безопасности
информации.
     Анализ уязвимостей   информационной   системы   включает   анализ
уязвимостей  средств  защиты   информации,   технических   средств   и
программного обеспечения информационной системы.
     Аттестация информационной    системы   организуется   обладателем
информации (заказчиком) или оператором и включает проведение комплекса
организационных  и технических мероприятий (аттестационных испытаний),
в  результате  которых  подтверждается  соответствие  системы   защиты
информации информационной системы установленным требованиям.
     Обеспечение защиты  информации  в ходе эксплуатации аттестованной
информационной системы  осуществляется  оператором  в  соответствии  с
эксплуатационной   документацией   на   систему  защиты  информации  и
организационно-распорядительными документами по защите информации и  в
том числе включает:
     управление (администрирование)    системой    защиты   информации
информационной системы;
     выявление инцидентов и реагирование на них;
     управление конфигурацией аттестованной информационной  системы  и
ее системы защиты информации;
     контроль (мониторинг)   за   обеспечением   уровня   защищенности
информации, содержащейся в информационной системе.
     В ходе управления (администрирования) системой защиты  информации
информационной системы осуществляются:
     заведение и  удаление  учетных записей пользователей,  управление
полномочиями пользователей информационной системы и поддержание правил
разграничения доступа в информационной системе;
     управление средствами защиты информации в информационной системе,
в том числе параметрами настройки  программного  обеспечения,  включая
программное обеспечение средств защиты информации, управление учетными
записями  пользователей,  восстановление   работоспособности   средств
защиты информации, генерацию, смену и восстановление паролей;
     установка обновлений     программного     обеспечения,    включая
программное  обеспечение  средств   защиты   информации,   выпускаемых
разработчиками  (производителями)  средств защиты информации или по их
поручению;
     централизованное управление    системой     защиты     информации
информационной системы (при необходимости);
     регистрация и анализ событий в информационной системе,  связанных
с защитой информации (далее - события безопасности);
     информирование пользователей об угрозах безопасности  информации,
о  правилах  эксплуатации  системы  защиты  информации  информационной
системы и отдельных средств защиты информации, а также их обучение;
     сопровождение функционирования    системы    защиты    информации
информационной  системы в ходе ее эксплуатации,  включая корректировку
эксплуатационной документации на нее и организационно-распорядительных
документов по защите информации.".