Недействующий

О Концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект "Инфоград") (с изменениями на 26 декабря 2014 года) (утратило силу на основании постановления Правительства Москвы от 29.03.2017 N 152-ПП)

7.3. Требования к информационной безопасности


Городская интегрированная система районных социально ориентированных информационных ресурсов должна отвечать требованиям по защите информации от НСД для АС класса 1 Г в соответствии с Руководящим документом Гостехкомиссии России "АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ".

Должны быть определены категории пользователей системы на основе функций, которые они выполняют в системе и на основе их территориального или ведомственного подчинения - т.е. пользователи системы, руководители различных уровней, издатели информации различной ведомственной подчиненности, администраторы системы и т.п.

Должны быть определены категории размещаемой в системе информации на основе ее конфиденциальности и критичности для конечных пользователей или ее владельцев.

Доступ к информации, размещаемой в системе должен предоставляться только зарегистрированным пользователям на основе разрешительной системы допуска к хранимой и обрабатываемой информации.

Допуск пользователей должен осуществляться на основе регламентов и инструкций, определяющих порядок допуска пользователей к хранимой и обрабатываемой информации, порядок регистрации пользователей в системе и ответственность пользователей при работе с защищаемой информацией.

На уровне приложений и СУБД должен быть разграничен доступ к различным категориями информационных ресурсов системы для всех имеющихся категорий пользователей.

Должен быть исключен непосредственный доступ пользователей системы к ресурсам СУБД.

Для осуществления доступа пользователей к информационным ресурсам ограниченного доступа, размещаемым в системе, должны быть предусмотрены средства, обеспечивающие надежную аутентификацию пользователей, должны быть предусмотрены средства, обеспечивающие конфиденциальность и контроль целостности информации, передаваемой по открытым сетям с использованием криптографических методов.

Должна быть обеспечена защита межузлового обмена информацией в системе, за счет построения частной виртуальной сети с аутентификацией территориальных узлов системы, контроля целостности и шифрованием сетевого трафика.

Должен осуществляться постоянный контроль взаимодействия пользователей, системы и ее территориально-распределенных узлов на основе средств межсетевого экранирования, обеспечивающих управлением доступом, контроль используемых сетевых сервисов и сокрытие внутренней структуры системы.

Должна осуществляться регистрация действий пользователей и регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемой информации. На уровне приложений и СУБД дополнительно должна осуществляться регистрация действий на основе логически законченных транзакций.

В параметрах регистрации указываются:

1. дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

2. дата и время запуска процессов;

3. результат попытки входа или запуска: успешная или неуспешная - несанкционированная;

4. идентификатор программы (процесса);

5. идентификатор субъекта доступа, предъявленный при попытке доступа;

6. код или пароль, предъявленный при неуспешной попытке.

В системе должны быть предусмотрены средства активного аудита, обеспечивающие автоматическое выявление (в реальном режиме времени) и реагирование на попытки локального и удаленного НСД, изменения параметров системного и прикладного ПО, нарушения целостности файлов и реагирование на подозрительные события (являющиеся злоумышленными в соответствии с заранее определенной политикой безопасности или нетипичными согласно принятым критериям), и средства анализа защищенности системы.

В системе должна быть предусмотрена должность администратора информационной безопасности, обеспечивающего формирование политики безопасности и контроль ее исполнения на всех уровнях системы.

Средства защиты информации (СЗИ) системы должны быть сертифицированы на соответствие требованиям руководящих документов Гостехкомиссии России по защите от НСД к информации.

Средства криптографической защиты информации (СКЗИ) должны быть сертифицированы ФАПСИ или другим уполномоченным органом на соответствие требованиям ГОСТ 28147-89, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФАПСИ к "стойкости СКЗИ и возможности использования для формирования ключей шифрования и ключей электронной подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну (в случае применения криптографических средств)".

(Абзац в редакции, введенной в действие с 1 января 2015 года постановлением Правительства Москвы от 26 декабря 2014 года N 826-ПП. - См. предыдущую редакцию)