8. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИИВС РОСРЫБОЛОВСТВА
Для реализации основных положений настоящей Концепции целесообразно провести (осуществить) следующие мероприятия:
- создать в центральном аппарате, во всех территориальных управлениях и подведомственных организациях Росрыболовства подразделения технической ЗИ в ИИВС и/или ввести ответственных (из числа сотрудников) за ИБ в структурных подразделениях, территориальных управлениях и подведомственных организациях Росрыболовства, определить их задачи и функции на различных стадиях создания, развития и эксплуатации ИИВС Росрыболовства и системы ЗИ;
- для снижения затрат на создание системы защиты и упрощения категорирования и аттестации подсистем ИИВС Росрыболовства рассмотреть возможность внесения изменений в конфигурацию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем ИИВС Росрыболовства, в которых обрабатывается информация различных категорий конфиденциальности);
- определить порядок приобретения и использования сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию, а также сертифицированных средств ЗИ;
- уточнить (в том числе на основе апробации) конкретные требования к ИИВС, включаемые в ТЗ на разработку проектов ИИВС;
- определить возможность использования в ИИВС Росрыболовства имеющихся сертифицированных средств ЗИ;
- произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств ЗИ и их внедрение на рабочих станциях и файловых серверах ИИВС с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей;
- для обеспечения режима удаленного доступа пользователей по сети к информации конфиденциальных БД рассмотреть возможность разработки, сертификации и аттестации специальных криптографических средств. В их состав должны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, удостоверяющий центр (далее - УЦ) генерации и распространения ключей ЭП. На уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов;
- определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями (или ответственными сотрудниками по ИБ) по ЗИ;
- произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала ИИВС Росрыболовства или иного объекта информатизации к обрабатываемой информации;
- произвести разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении, а также средств и мер ЗИ в ИИВС, регламентирующих процессы допуска пользователей к работе с ИИВС Росрыболовства, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств ЗИ, на основе Регламентов по ИБ;
- для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и БД) организовать их работу в отдельных сегментах сети (VLan), шире применять сетевые устройства типа switch, не использовать удаленных режимов конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.);
- исключить доступ программистов компаний-интеграторов в эксплуатируемые подсистемы ИИВС Росрыболовства (к реальной информации и БД), организовать опытный участок ИИВС Росрыболовства для разработки и отладки программ. Передачу разработанных программ в эксплуатацию производить через ответственного за ИБ в Административном управлении Росрыболовства;
- для защиты компонентов ИИВС Росрыболовства от неправомерных воздействий из других ИИВС (внешних) и внешних сетей по IP-протоколу целесообразно использовать на узлах корпоративной сети Росрыболовства сертифицированные установленным порядком межсетевые экраны;
- произвести опытную эксплуатацию средств ЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки (передачи) информации;
- произвести специальную проверку импортных технических средств на предмет возможно внедренных в эти средства электронных устройств перехвата информации ("закладок");
- произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в эти помещения или предметы интерьера электронных устройств перехвата информации ("закладок");
- произвести обследование объекта информатизации и специальные исследования технических средств;
- произвести конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных технических каналов утечки информации (в случае необходимости);
- произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
- произвести развязку линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее;
- произвести необходимую звуко- и виброизоляцию выделенных помещений;
- произвести категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным вопросам (выделенных помещений);
- произвести категорирование сегментов ИИВС Росрыболовства и служебных помещений, предназначенных для обработки, передачи и хранения конфиденциальной информации;
- произвести классификацию защищенности автоматизированных систем от НСД к информации, предназначенных для обработки конфиденциальной информации;
- произвести оформление технического паспорта объекта информатизации;
- произвести аттестацию объекта информатизации по требованиям ЗИ и ИБ в РФ;
- организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособности;
- организовать контроль состояния и эффективности ЗИ с оценкой выполнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки выполнения норм эффективности ЗИ по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля;
- для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности ЛВС ИИВС Росрыболовства;
- в целях безопасного обмена информацией внутри ИИВС, а также с внешними организациями должен быть развернут, аттестован и аккредитован собственный УЦ Росрыболовства, в соответствии с федеральным законодательством РФ;
- обмен документами в ИИВС должен быть обеспечен ЭП;
- доступ к внешней электронной почте и Интернету по умолчанию для сотрудников Росрыболовства закрыт и может быть предоставлен только по письменному указанию руководителей подразделений. Использование работниками доступа в Интернет и электронной почты должно контролироваться администратором ИБ Росрыболовства на основе утвержденного списка сотрудников, имеющих доступ к внешней почте и Интернету. Ресурсы сети Интернет, не имеющие отношения к производственной необходимости или потенциально опасные, должны быть заблокированы (например, игровые и развлекательные сайты, сообщества социальных сетей, сетевые радиостанции и видеосервисы);
- контроль за наличием информации непроизводственного характера в электронной почтовой системе и сети Интернет осуществляется администратором ИБ Росрыболовства с помощью автоматизированной системы контроля информационных потоков (СКИП).