(1).jpg)
Приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 11 февраля 2008 г. № 42 “Об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора”
В целях совершенствования политики информационной безопасности при работе с информационными фондами социально-гигиенического мониторинга, базами данных и в соответствии с решением коллегии Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 21 декабря 2007 г. «О совершенствовании работы по организации и ведению социально-гигиенического мониторинга» приказываю:
1. Утвердить «Положение об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора в субъектах Российской Федерации» (приложение).
2. Руководителям территориальных органов и организаций Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека обеспечить реализацию мероприятий предусмотренных «Положением об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора в субъектах Российской Федерации».
3. Контроль за исполнением приказа возложить на заместителя руководителя Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека Н.В.Шестопалова.
| Руководитель | Г.Г. Онищенко |
Приложение
Положение
об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора в субъектах Российской Федерации
(утв. приказом Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 11 февраля 2008 г. N 42)
1. Общие положения.
1. Положение об обеспечении информационной безопасности при работе с Базами данных (далее - Положение) предназначено для обеспечения эффективной организации и управления доступом пользователей к информации, хранящейся в Базах данных (далее - БД), и содержит требования по обеспечению информационной безопасности в части выполнения операций по организации и управлению доступом к Базам данных.
2. Работу системного администратора в области защиты информации определяет комплекс организационно-технических мероприятий по обеспечению безопасности информации, хранящейся в Базах данных и обрабатываемой средствами вычислительной техники в локальной вычислительной сети.
3. Требования Положения обязательны для выполнения всеми пользователями. Ответственность за выполнение требований Положения несут пользователь БД и начальник отдела, в котором работает данный пользователь. Пользователь впервые начинающий работать с базами данных обязан ознакомиться с данным Положением.
4. Все пункты Положения, упоминающие подключение к БД, распространяются также и на подключение к информационной системе с использованием БД (далее - ИСБД), если иное не оговорено явно в тексте Положения.
В настоящем Положении использованы следующие термины и определения:
1. База данных - централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базами данных (далее - СУБД) (приложение N 5).
2. Системный администратор - должностное лицо, уполномоченное для выполнения административных функций при работе с локальной и территориальной сетью и обеспечивающее функционирование БД и ее безопасность.
3. Несанкционированный доступ (НСД) - определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
4. Информационная система с использованием БД - система или приложение, использующее непосредственный доступ к БД.
5. Пользователи - должностные лица, а также все другие лица и организации, использующие базы данных органов и управлений либо обращающиеся к ним.
6. ЛВС - локальная вычислительная сеть.
7. Политика информационной безопасности - комплекс организационно-технических мероприятий, правил и условий использования информационных систем в органах и организациях Роспотребнадзора, определяющих нормальное функционирование этих систем, и обеспечение безопасности информации, обрабатываемой в них, оформленных в виде нормативных документов.
Настоящее Положение устанавливает цели, задачи, порядок проведения мероприятий по обеспечению безопасности при работе с базами данных
2. Цели и задачи проведения мероприятий по безопасности.
Целью проведения мероприятий по обеспечению безопасности при работе с БД является предотвращение вывода из строя системы управления базы данных, предотвращение НСД к БД, находящейся на электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети.
3. Порядок проведения мероприятий по обеспечению работы с БД
3.1 Требования к серверному помещению:
Для обеспечения безопасности базы данных и бесперебойной работы системы сервер и компьютер управления БД размещается в отдельном помещении. Требования к помещению:
- Расчет общей площади серверного помещения при проектировании рабочих мест выполняется по рекомендованной норме площади на одно рабочее место: сотрудник - 4,5 м2; программист - 6м2; персонал по обслуживанию вычислительной техники - 6м2.
- Оконный блок со стеклопакетами, подвесной потолок с панелями из негорючего шумопоглощающего материала, стены - панели из негорючего шумопоглощающего материала, шкафчик с 2 автоматами защиты (УЗО) на 10А, блок розеток: Электро - 4, LAN - 1, Phone - 1, пол - линолеум, оборудовать дренаж (для эвакуации воды при аварийном затоплении), металлическая дверь с уплотнителем, оборудование - компьютерный стол (металлический каркас), кресло, несгораемый шкаф (для хранения дисков аварийного восстановления), коммуникации - 2 однофазных шлейфа, подключаемых к различным фазам распределительного электрощита и к разным автоматам УЗО, уложенных в короб, кабель LAN и кабель ADSL - каждый в своём коробе, сигнализация - датчик возгорания - 1 шт., датчики затопления - 2 шт., датчики проникновения: на входной двери - 2 шт., на окне (если будет открываться) - 2 шт., на каждом стеклопакете оконного блока - по 1 шт., датчик разрушения стены - на кирпичной перегородке, сплит-система с поддержанием заданных параметров температуры и влажности, и с фильтрованием наружного воздуха.
Приказом по органу или организации Роспотребнадзора определяется и фиксируется круг лиц, имеющих доступ в помещение, где находится сервер и компьютер управления БД. Для исключения возможности несанкционированного доступа к серверу БД обеспечивается механическая защита помещения сервера с системой контроля доступа.
В целях предотвращения НСД к серверу БД систематически проводит обновление программных средств.
3.2 Требования к автоматизированному рабочему месту системного администратора:
Серверная оборудуется автоматизированным рабочим местом для работы системного администратора.
Рабочее место системного администратора должно быть обеспечено доступом в Интернет, телефонной связью с выходом на междугородную линию. Для создания резервных копий ОС и БД компьютер администратора укомплектовывается внешними носителями информации. Для бесперебойной работы сервера БД и предотвращения потери информации рабочие станции и сервера укомплектовываются блоками бесперебойного питания.
4 Порядок работы по защите информации при работе с БД
4.1 Порядок работы пользователя по защите информации при работе с БД.
4.1.1 Порядок работы пользователя по защите информации при работе с БД определяется комплексом организационно - технических мероприятий по обеспечению безопасности информации, хранящейся в БД и обрабатываемой с помощью средств вычислительной техники в ЛВС органа или организации Роспотребнадзора.
4.1.2 Решение задач, связанных с организацией и управлением доступа должностных лиц органа или организации Роспотребнадзора к БД, осуществляется системным администратором. При возникновении ситуаций, не описываемых в данном Положении, решение принимает системный администратор, руководствуясь порядком работы системного администратора по защите информации при работе с БД органов и организаций Роспотребнадзора.
4.1.3 Ответственность за сохранность и правильное использование информации, полученной из БД, несут пользователь, имеющий доступ к БД, и начальник (заведующий) структурного подразделения, в составе которого работает пользователь. Ответственность наступает с момента поступления информации на рабочую станцию пользователя.
4.1.4 Для обеспечения доступа пользователей к БД на их рабочих станциях должно быть установлено специальное программное обеспечение, обеспечивающее доступ и выполнение операций с информацией в БД.
4.1.5 Пользователям запрещается самостоятельно устанавливать другое программное обеспечение (или менять параметры конфигурации ранее установленных программных средств) для доступа и манипулирования данными в БД. Запрещается копирование специального ПО и файлов БД на личные съемные носители.
4.1.6 Запрещается использовать для передачи БД не предназначенные для этого средства и каналы связи.
4.1.7 Доступ к БД предоставляется исключительно пользователям, прошедшим инструктаж согласно политике информационной безопасности.
4.1.8 Список лиц, имеющих доступ к БД, определяется приказом руководителя (главного врача) органов и организаций Роспотребнадзора в субъектах Российской Федерации.
4.1.9 Для каждого из пользователей, которым необходим доступ к БД, создается учетная запись о пользователе БД, состоящая из имени пользователя и пароля. Не допускается использование простых паролей. Срок действия активной учетной записи пользователя БД ограничен сроком действия служебного контракта. Первоначальное значение пароля устанавливает системным администратором. Периодичность, порядок и технология изменения пароля доводится системным администратором до пользователей. Пользователю запрещается использовать пароль, предоставленный системным администратором для первоначального доступа к БД, в качестве постоянного рабочего пароля.
4.1.10 Не допускается использование различными пользователями одной и той же учетной записи. Это правило действует и в тех случаях, когда пользователи имеют одинаковые полномочия по доступу к БД. Для ИСБД данные требования может не применяться, если в технологической схеме есть прямое указание на возможность коллективного использования одной учетной записи.
4.1.11 Руководитель (главный врач) органов и организаций Роспотребнадзора принимает решение о разрешении доступа пользователя к БД или изменения полномочий пользователя БД по ходатайству начальника (заведующего) отдела, в составе которой работает данный пользователь. Начальник (заведующий) структурного подразделения составляет и подписывает заявку на регистрацию пользователя БД, утверждает ее у Руководителя и передает ее системному администратору (приложение N3).
4.1.12 Системный администратор лично сообщает пользователю его пароль для доступа к БД под роспись в карточке пользователя (приложение N4). Заявка и карточка остаются у системного администратора.
4.1.13 Пользователю запрещается передавать в любом виде или сообщать пароли для доступа к БД другим лицам, в том числе и своим руководителям. Запрещается хранение пароля на любых твердых носителях, позволяющих другим лицам получить информацию о пароле.
4.1.14 Пользователю запрещается использовать информацию, полученную в результате доступа к БД, в целях, не предусмотренных его должностным регламентом.
4.1.15 Пользователь обязан не разглашать свои идентификационные данные.
4.1.16 Пользователь, имеющий возможность ввода или изменения данных в БД, обязан обеспечить правильность вводимых данных.
4.1.17 Пользователь обязан блокировать персональный компьютер и закрывать соединение с БД на время своего отсутствия у рабочей станции.
4.1.18 Начальник отдела (заведующий) обязан своевременно сообщать системному администратору об изменениях статуса пользователя (увольнение и т.п.).
4.1.19 В случае выявления инцидентов с доступом к БД (фактов несанкционированного доступа к БД, блокировки доступа, утери или компрометации пароля и т.д.) пользователь обязан незамедлительно сообщить об этом системному администратору.
4.1.20 Возможность подключения к БД не дает права пользователям подключаться к БД, если им не предоставлены права доступа к этим БД. Такие подключения рассматриваются как попытки несанкционированного доступа.
4.1.21 При нарушениях правил, связанных с информационной безопасностью, пользователь несет ответственность, установленную действующим законодательством Российской Федерации.
4.1.22 Пользователь несет ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования учетной записи.
4.1.23 Начальники отделов (заведующие) несут персональную ответственность за неправильное использование специалистами учетных записей пользователей, имеющих доступ к БД, а также за ознакомление (под роспись) с Порядком работы новых пользователей БД в своем структурном подразделении.
4.1.24 При выявлении инцидентов доступ пользователей к БД должен быть приостановлен до окончания расследования инцидента, о чем пользователь либо его начальник (заведующий) уведомляются в кратчайшие сроки. По результатам служебного расследования нарушитель может быть лишен прав доступа к БД, материалы расследования могут быть направлены в соответствующие Службы для привлечения нарушителя к административной ответственности.
4.2 Порядок работы системного администратора по защите информации при работе с БД
4.2.1 Ответственность за выполнение требований Положения несут системный администратор и начальник (заведующий) отдела, в котором он работает.
4.2.2 Решение задач, связанных с организацией и управлением доступом пользователей к БД, осуществляется системным администратором.
4.2.3 Ответственность за сохранность информации, находящейся в БД, несет системный администратор.
4.2.4 Технологическая модификация и удаление информации в БД должны быть регламентированы для каждой БД.
4.2.5 Системный администратор организует и контролирует процесс установки и конфигурирования стандартного программного обеспечения для работы пользователей с БД, осуществляет сопровождение и тестирование специального программного обеспечения для доступа к БД, обеспечивает разработку дополнительных требований по обеспечению доступа к БД и доведение их до сведения пользователей и их руководителей.
4.2.6 Системный администратор обязан производить административные действия со строго определенных доверенных станций, оснащенных средствами защиты от несанкционированного доступа и располагающихся в помещениях с ограниченным доступом. Все действия системного администратора должны протоколироваться и быть доступны в течение 1 года.
4.2.7 При контактах с пользователем решение об идентификации обратившегося лица принимает системный администратор любым доступным для него способом.
4.2.8 В исключительных случаях с согласия системного администратора возможно отклонение от требований данного Положения при условии, что данное отклонение не влечет значительного риска для информационной безопасности. В таких случаях лицо, принимающее решение о допустимом риске, берет на себя ответственность за возможные последствия. Этим лицом не может быть системный администратор. Все необходимые сведения заносятся в журнал допустимых рисков при работе с БД (приложение N1).
4.2.9 Все журналы и документы по безопасности БД хранит системный администратор в электронном виде не менее трех лет.
4.2.10 При нарушениях системным администратором правил, связанных с информационной безопасностью, он несёт ответственность, установленную действующим законодательством Российской Федерации.
4.2.11 Системный администратор несет ответственность за все действия, совершенные от имени его учетной записи или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
4.2.12 При выявлении факта НСД системный администратор обязан:
- прекратить доступ к БД со стороны выявленного участка НСД;
- доложить руководству служебной запиской о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;
- известить начальника (заведующего) структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;
- проанализировать характер НСД;
- внести запись в журнал регистрации попыток несанкционированного доступа к базам данных (приложение N2).
4.2.13 При увольнении сотрудника идентификатор и пароль сотрудника удаляются из системы, электронные ключи доступа сдаются сотрудником специалисту службы безопасности. Возможность доступа по старым ключам блокируется.
4.2.14 Системный администратор анализирует рабочее место на наличие закладок, вирусов и т.д., после чего все данные на винчестере сотрудника уничтожаются, и операционная система на рабочем месте переустанавливается.
4.2.15 Системный администратор вместе с руководителем сотрудника анализирует целостность данных, к которым имел доступ сотрудник.
4.2.16 В случае обнаружения неправомерных действий специалистов (удаление информации, внесение в систему закладок и вирусов) системный администратор докладывает об этом начальнику (заведующему) отдела в котором он работает, который в свою очередь докладывает руководителю (главному врачу) органа или организации Роспотребнадзора в субъекте Российской Федерации. По результатам служебного расследования нарушитель может быть привлечен к административной ответственности.
Приложение N 1
к Положению об обеспечении
информационной безопасности при работе
с базами данных органов и организаций
Роспотребнадзора в субъектах
Российской Федерации
Журнал допустимых рисков при работе с базами данных
1. Наименование базы данных: ________________________________________________________________________
2. Описание риска ________________________________________________________________________ ________________________________________________________________________ ________________________________________________________________________ ________________________________________________________________________
Степень риска осознаю, ответственность за возможные последствия принимаю на себя.
________________________________________________________________________
(должность, Ф.И.О.) (подпись, дата)
Согласовано:
Системный администратор ________ ________________ (______________) (дата)
Приложение N 2
к Положению об обеспечении
информационной безопасности при работе
с базами данных органов и организаций
Роспотребнадзора в субъектах
Российской Федерации
Журнал регистрации попыток несанкционированного доступа к базам данных
| N | Дата и время | Рабочая станция | База данных | Описание попытки НСД | Принятые меры | Примечание |
|---|---|---|---|---|---|---|
Системный администратор_______ ________________ (______________)
Приложение N 3
к Положению об обеспечении
информационной безопасности при работе
с базами данных органов и организаций
Роспотребнадзора в субъектах
Российской Федерации
Заявка
на регистрацию (модификацию) полномочий пользователя баз данных
Подразделение __________________________________________________________ Должность ______________________________________________________________ Фамилия, имя, отчество _________________________________________________
Инструкция пользователя по защите информации при работе с базами от __________ N _______________, изучил(а), обязуюсь выполнять.
________________________________
(подпись, дата)
Телефоны, e-mail ______________________________________________
| База данных (функциональные задачи) | Периодичность доступа (постоянный доступ, доступ в рабочее время) |
|---|---|
Начальник (заведующий) отдела ___________________ (______________)
Согласовано:
Системный администратор ________ ________________ (______________)
Приложение N 4
к Положению об обеспечении
информационной безопасности при работе
с базами данных органов и организаций
Роспотребнадзора в субъектах
Российской Федерации
Карточка пользователя баз данных N _____
Фамилия, имя, отчество _________________________________________________ Отдел __________________________________________________________________ Должность ______________________________________________________________ Телефон ________________________________________________________________ Адрес электронной почты ________________________________________________ Наименование баз данных ________________________________________________ Вид подключения ________________________________________________________ Периодичность доступа __________________________________________________
Управление доступом
| N | Наименование базы данных, функциональная задача | Тип доступа | |||||
|---|---|---|---|---|---|---|---|
| Чтение | Запись | Изменение | Добавление | Удаление | Выполнение анализа | ||
| Дата начала работы пользователя с БД | «_ _» ___________________20__г. |
|---|---|
| Дата окончания работы пользователя с БД | «_ _» ___________________20__г. |
Согласовано:
Администратор БД ________ ________________ (______________)
С правилами работы ознакомлен(а),
обязуюсь соблюдать ________________________ (______________)
Должность пользователя __________________________
Приложение N 5
к Положению об обеспечении
информационной безопасности при работе
с базами данных органов и организаций
Роспотребнадзора в субъектах
Российской Федерации
| Базы данных на которые распространяется действие Положения об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора в субъектах Российской Федерации |
|---|
| 1. Базы данных социально-гигиенического мониторинга |
| 2. Базы данных паспортизации органов и организаций Роспотребнадзора в части ведения социально-гигиенического мониторинга, организации работы и информационных технологий |
| 3. Персонифицированные базы данных |
| Врожденных пороков развития |
| йоддефицитных состояний |
| физического развития детей и подростков |
| репродуктивного здоровья |
| онкопатологии |
| сердечнососудистой патологии |
| обращаемости за скорой медицинской помощью |
| донозологических показателей |
| инфекционной заболеваемости |
| других показателей здоровья |
| 4. Базы данных по факторам среды обитания |
| атмосферный воздух селитебных территорий |
| атмосферный воздух рабочей зоны |
| Вода питьевая |
| Вода зон рекреаций, бассейнов |
| метеофакторы |
| почва |
| шумовое загрязнение |
| безопасность пищевых продуктов |
| показатели радиационной безопасности |
| 5. Другие базы данных, на которые руководители (главные врачи) органов и организаций Роспотребнадзора в субъектах Российской Федерации посчитают нужным распространить действие настоящего Положения. |
Приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 11 февраля 2008 г. N 42 “Об обеспечении информационной безопасности при работе с базами данных органов и организаций Роспотребнадзора”
Текст приказа размещен на сайте Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека в Internet (http://www.rospotrebnadzor.ru)
