Расширенный поиск
Приказ Федерального агентства по рыболовству от 26.07.2016 № 486МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО РЫБОЛОВСТВУ (Росрыболовство) П Р И К А З 26 июля 2016 года Москва N 486 О внесении изменений в Концепцию информационной безопасности Росрыболовства, утвержденную приказом Росрыболовства от 6 марта 2013 г. N 154 В целях обеспечения реализации Плана мероприятий по устранению нарушений и недостатков, выявленных в ходе проверки ФГБУ "Центр системы мониторинга рыболовства и связи" Счетной палатой Российской Федерации (представление N ПР 09-244/09-02 от 13.11.2015 г.), п р и к а з ы в а ю : Внести изменения в Концепцию информационной безопасности Росрыболовства, утвержденную приказом Росрыболовства от 6 марта 2013 г. N 154, дополнив ее пунктом 7.3.6 "Защита информационных систем" согласно приложению к настоящему приказу. Заместитель Министра сельского хозяйства Российской Федерации - руководитель Федерального агентства по рыболовству И.В. Шестаков Приложение к приказу Росрыболовства от 26.07.2016 N 486 "7.3.6 Защита информационных систем Информационные системы Росрыболовства (Под информационными системами Росрыболовства подразумеваются информационные системы центрального аппарата и подведомственных учреждений агентства) являются ключевым элементом информационной инфраструктуры, обеспечивающей выполнение агентством возложенных на него задач. Реализация угроз ИБ в отношении данных информационных систем может вызвать срыв деятельности Росрыболовства со значительными негативными экономическими последствиями. Информационные системы Росрыболовства представляют собой территориально распределенную совокупность программно-технических комплексов, объединенных с помощью каналов связи, расположенных на всех уровнях взаимодействия: центральные органы исполнительной власти; органы государственной власти; государственные учреждения. В информационных системах Росрыболовства объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации. Защита информации, содержащейся в информационной системе, обеспечивается путем выполнения обладателем информации и оператором требований к организации защиты информации, содержащейся в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе. Для обеспечения защиты информации, содержащейся в информационной системе, назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее - система защиты информации информационной системы). Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, должны быть направлены на исключение: неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации); неправомерных уничтожения или модифицирования информации (обеспечение целостности информации); неправомерного блокирования информации (обеспечение доступности информации). Для обеспечения защиты информации, содержащейся в информационной системе, необходимо выполнение следующих мероприятий: формирование требований к защите информации, содержащейся в информационной системе; разработка системы защиты информации информационной системы; внедрение системы защиты информации информационной системы; аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком). Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583-2014 "Национальный стандарт Российской Федерации. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624-2000 "Национальный стандарт Российской Федерации. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624) и в том числе включает: принятие решения о необходимости защиты информации, содержащейся в информационной системе; классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы); определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты информации информационной системы. При создании системы защиты информации, содержащейся в информационной системе, осуществляется: анализ целей создания информационной системы и задач, решаемых этой информационной системой; определение информации, подлежащей обработке в информационной системе; анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система; принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации (заказчика), оператора и уполномоченных лиц. Информационные системы должны быть идентифицированы и классифицированы в соответствии с руководящими, нормативно-методическими документами ФСТЭК, ФСБ России и Минкомсвязи России. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Классификация информационной системы проводится в зависимости от значимости, обрабатываемой в ней информации и масштаба информационной системы. Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать: цель и задачи обеспечения защиты информации в информационной системе; класс защищенности информационной системы; перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система; перечень объектов защиты информационной системы; требования к мерам и средствам защиты информации, применяемым в информационной системе; требования к защите информации при информационном взаимодействии с иными информационными системами и информационно- телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации. Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает: установку и настройку средств защиты информации в информационной системе. Используемые средства защиты являются самостоятельным объектом защиты. Все средства защиты, используемые для защиты от актуальных угроз, должны быть сертифицированы; разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации); внедрение организационных мер защиты информации; предварительные испытания системы защиты информации информационной системы; опытную эксплуатацию системы защиты информации информационной системы; анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению; приемочные испытания системы защиты информации информационной системы. При внедрении организационных мер защиты информации осуществляются: реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения; проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации; отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации. Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации. Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы. Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы установленным требованиям. Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты информации и организационно-распорядительными документами по защите информации и в том числе включает: управление (администрирование) системой защиты информации информационной системы; выявление инцидентов и реагирование на них; управление конфигурацией аттестованной информационной системы и ее системы защиты информации; контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются: заведение и удаление учетных записей пользователей, управление полномочиями пользователей информационной системы и поддержание правил разграничения доступа в информационной системе; управление средствами защиты информации в информационной системе, в том числе параметрами настройки программного обеспечения, включая программное обеспечение средств защиты информации, управление учетными записями пользователей, восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей; установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых разработчиками (производителями) средств защиты информации или по их поручению; централизованное управление системой защиты информации информационной системы (при необходимости); регистрация и анализ событий в информационной системе, связанных с защитой информации (далее - события безопасности); информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение; сопровождение функционирования системы защиты информации информационной системы в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее и организационно-распорядительных документов по защите информации.". Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Ноябрь
|