МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
ПРИКАЗ
от 15 мая 2019 г. N ММВ-7-6/249@
ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ УПРАВЛЕНИЯ ДОСТУПОМ ФНС РОССИИ
В целях повышения эффективности обеспечения информационной безопасности в Федеральной налоговой службе приказываю:
1. Утвердить Политику управления доступом ФНС России (далее - Политика) согласно приложению к настоящему приказу.
2. Начальникам структурных подразделений центрального аппарата ФНС России, руководителям (исполняющим обязанности руководителя) управлений ФНС России по субъектам Российской Федерации, начальникам (исполняющим обязанности начальника) межрегиональных инспекций ФНС России и генеральному директору ФКУ "Налог-Сервис" ФНС России Р.В. Филимошину обеспечить выполнение Политики.
3. Внести в Руководство по организации информационной безопасности на объектах информатизации Федеральной налоговой службы, утвержденное приказом ФНС России от 23.10.2007 N ММ-4-27/29дсп@ (далее - Руководство), следующие изменения:
пункт 4.8 Руководства изложить в следующей редакции:
"4.8. На каждом объекте информатизации ведется учет информационных ресурсов в соответствии с Политикой управления доступом ФНС России";
пункт 4.10.2 Руководства исключить;
пункт 6.2 Руководства изложить в следующей редакции:
"6.2. К ведению Управления информационных технологий ФНС России относится:";
приложения N 2, N 5 и N 6 к Руководству исключить.
4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы А.С. Петрушина.
Руководитель Федеральной
налоговой службы
М.В.МИШУСТИН
Утверждено
приказом ФНС России
от 15 мая 2019 г. N ММВ-7-6/249@
ПОЛИТИКА
УПРАВЛЕНИЯ ДОСТУПОМ ФНС РОССИИ
Термины и сокращения
Авторизация | - определение и предоставление субъекту доступа соответствующих прав доступа; |
Актив (актив информационной безопасности, актив ИБ) | - все, что имеет ценность и может потерять частично или полностью свойства информационной безопасности (конфиденциальность, доступность или целостность) при реализации угроз; |
Аутентификация | - проверка принадлежности субъекту доступа предъявленного им идентификатора; проверка подлинности субъекта доступа; |
Безопасность информации | - состояние защищенности информации, обрабатываемой средствами вычислительной техники, от внутренних или внешних угроз; |
Владелец (актива информационной безопасности) | - определенная часть (структурное подразделение) организации, назначаемая руководителем организации, ответственным за руководство, изготовление, разработку, хранение, использование и безопасность актива. Термин "владелец" не означает наличие имущественных (и иных, не указанных в настоящей Политике) прав на актив; |
Доступ к информации | - ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации; |
Доступность (информации) | - свойство безопасности информации, при котором субъекты доступа, имеющие права доступа, могут беспрепятственно их реализовать; |
Идентификатор (доступа) | - уникальный признак субъекта доступа; |
Идентификация (пользователей) | - присвоение субъектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов; |
Конфиденциальность (информации) | - свойство безопасности информации, при котором доступ к ней осуществляют только субъекты доступа, имеющие на него право; |
Несанкционированный доступ | - доступ к активу, полученный в нарушении правил разграничения доступа; |
Матрица доступа | - таблица, отображающая правила разграничения доступа; |
Многофакторная (двухфакторная) аутентификация | - аутентификация с использованием двух (двухфакторная) или более различных факторов аутентификации; |
Объект доступа | - компонент (единица) ИТ-инфраструктуры ФНС России или любой другой актив, доступ к которым регламентируется правилами разграничения доступа; |
Правила разграничения доступа | - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа; |
Рекомендация | - описание, поясняющее действия и способы их выполнения, необходимые для достижения целей, изложенных в политике; |
Роль (доступа) | - предопределенная совокупность правил, устанавливающих допустимое взаимодействие между пользователем и информационной системой; |
Санкционированный доступ | - доступ к активу, полученный строго в рамках правил разграничения доступа; |
СЗИ | - средства защиты информации; |
СКЗИ | - средства криптографической защиты информации; |
Средства обработки информации | - любая система обработки информации, услуга или инфраструктура, или их фактическое месторасположение; |
Субъект доступа | - лицо или процесс, действия которого в отношении объектов доступа регламентируются правилами разграничения доступа; |
Управление доступом | - ограничение, предоставление и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа; |
Целостность (информации) | - свойство безопасности информации, при котором отсутствует любое ее изменение либо изменение субъектами доступа, имеющими на него право. |
1. Общие положения
1.1. Настоящая политика определяет цели и задачи в области обеспечения защиты информации, а также общие намерения и направления при управлении доступом к активам информационной безопасности информационной системы ИТ-инфраструктуры ФНС России.
1.2. Под активами информационной безопасности ИТ-инфраструктуры ФНС России понимаются информационные, программные и технические ресурсы ИТ-инфраструктуры ФНС России (в том числе сопровождаемые или администрируемые ФКУ "Налог-Сервис" ФНС России), которые могут потерять частично или полностью свойства информационной безопасности (конфиденциальность, доступность или целостность) при реализации угроз.
1.3. Настоящая политика является элементом Политики информационной безопасности ФНС России и содержит:
- политику учета активов информационной безопасности (Раздел 4);
- политику управления доступом (Раздел 5);
- политику идентификации и аутентификации пользователей (Раздел 6);
- парольную политику (Раздел 7);
- политику использования мобильной вычислительной техники ИТ-инфраструктуры ФНС России (Раздел 8).
1.4. В рамках настоящей политики в качестве получателей прав доступа к активам информационной безопасности ИТ-инфраструктуры ФНС России (субъектов доступа, пользователей) рассматриваются:
- сотрудники налоговых органов;
- работники подведомственных ФНС России организаций;
- привлекаемые в рамках Государственных контрактов или иных договоров специалисты и эксперты;
- компоненты ИТ-инфраструктуры ФНС России (процессы).
Вопросы управления доступом пользователей (сотрудников или процессов) иных организаций и налогоплательщиков (граждан Российской Федерации) в рамках настоящей Политики не рассматриваются.
1.5. Настоящая политика разработана на основании и в развитие:
- Концепции информационной безопасности Федеральной налоговой службы, утвержденной приказом ФНС России от 13.01.2012 N ММВ-7-4/6@;
- Концепции системы управления информационной безопасностью ФНС России, утвержденной приказом ФНС России от 25.02.2014 N ММВ-7-6/66@.
1.6. Настоящая политика создана и должна пересматриваться с учетом требований технологических процессов ФНС России и задач информационной безопасности.
2. Цели политики управления доступом
Целями настоящей политики являются:
- предотвращение несанкционированного доступа к активам информационной безопасности;
- предотвращение нарушений прав субъектов данных при обработке информации;
- недопущение деструктивного воздействия на технические средства обработки информации;
- недопущение деструктивного информационного воздействия на информацию.
3. Основные принципы управления доступом
3.1. Обоснованность доступа: должны существовать объективные причины, зафиксированные установленным порядком в соответствующих документах (соглашениях, регламентах, порядках, должностных инструкциях и др.), обуславливающие необходимость предоставления конкретному пользователю доступа к активу с определенными полномочиями.
3.2. Разграничение прав доступа: субъектам доступа предоставляются только те права, которые необходимы ему для выполнения возложенных на него функциональных обязанностей.
3.3. Однозначность управления доступом: перечень активов и прав к ним, доступных пользователю, определяется набором типовых ролей (полномочий, шаблонов, профилей), описанных в эксплуатационной или иной документации на соответствующий актив информационной безопасности.
3.4. Документированность: управление (предоставление, изменение, блокировка, аннулирование) правами доступа к активам осуществляется исключительно на основании документа (заявки, иного обращения установленной формы на предоставление/изменение прав доступа), содержащей всю необходимую информацию для ее однозначного и правильного выполнения.
3.5. Требования к мерам защиты информации, реализуемые при осуществлении доступа (требования к применяемым средствам защиты информации и организационным мероприятиям), должны соответствовать законодательству Российской Федерации, в том числе приказам Федеральной службы по техническому и экспортному контролю
от 11.02.2013 г. N 17 и
от 18.02.2013 г. N 21.
4. Активы информационной безопасности как объекты доступа (политика учета активов ИБ)
4.1. Настоящая политика регулирует процессы управления доступом к следующим активам информационной безопасности ИТ-инфраструктуры ФНС России, являющимися объектами доступа:
- информационные ресурсы ИТ-инфраструктуры ФНС России;
- оборудование ИТ-инфраструктуры ФНС России (серверные комплексы, рабочие станции пользователей, технические средства ввода/вывода информации, комплексы сканирования документов, принтеры, средства хранения и архивирования данных, программно-аппаратные средства удостоверяющего центра, источники бесперебойного питания);
- телекоммуникационные сети и системы (активное и пассивное коммуникационное оборудование, система управления, мониторинга и обслуживания сетевой инфраструктуры);
- программные средства (операционные системы, системы управления базами данных, другое общесистемное, специальное и прикладное программное обеспечение);
- средства защиты информации (СЗИ);
- средства обеспечения жизнедеятельности объектов (гарантированные и бесперебойные системы электропитания и заземления объектов, системы пожарной и охранной сигнализации, электронные системы контроля и управления доступом на территорию и в помещения, системы громкоговорящей связи и оповещения, системы кондиционирования, отопления, вентиляции и пожаротушения);
- информация в электронном виде - электронные сообщения (электронные документы и информационные массивы, в том числе удаленные архивы);
- информация на материальных носителях:
- бумажные носители информации (документы);
- машинные носители информации (магнитные, магнитооптические, оптические, USB-накопители, карты памяти различных типов и др.).
4.2. Все активы информационной безопасности должны учитываться, иметь назначенного владельца (рекомендации по определению владельца для различных активов определены в Приложение N 1), а информация, обрабатываемая с использованием актива, должна быть классифицирована. При необходимости (обязательно для активов централизованных компонент ИТ-инфраструктуры ФНС России - ЦОДов) должны быть определены ограничения - определение групп субъектов доступа.
4.3. В рамках учета активов информационной безопасности требуется определить ответственного за поддержку соответствующих мер и средств контроля и управления. Реализация определенных мер и средств контроля и управления при необходимости может быть делегирована ответственным, но ответственность за надлежащую защиту активов при этом не снимается.
4.4. В отношении активов информационной безопасности, реализующих предоставление доступа в соответствии с ролями доступа, определение владельца, классификация информации и определение ограничений проводится в отношении каждой из ролей доступа.
4.5. При учете активов в виде ролей доступа централизованно предоставляемого информационного ресурса (АИС "Налог-3" или ФИР) в территориальных налоговых органах и подведомственных организациях в качестве владельцев назначаются структурные подразделения данных организаций.
4.6. Владелец актива несет ответственность за:
- классификацию информации, в том числе в активах информационной безопасности, связанных со средствами обработки информации;
- определение и периодический пересмотр ограничений и классификаций доступа, принимая в расчет применимые политики управления доступом.
4.7. При учете активов допускается обозначать группы активов, действующих вместе, для обеспечения функции, такой как "услуга". В данном случае владелец "услуги" является ответственным за поставку "услуги" и функционирование активов, которые обеспечивают данную "услугу".
4.8. Информация актива информационной безопасности должна быть классифицирована, чтобы определить необходимость, приоритеты и предполагаемую степень защиты при обработке информации.
4.9. Информация в ИТ-инфраструктуре ФНС России классифицируется в соответствии с Концепцией информационной безопасности исходя из законодательных требований как:
- общедоступная информация:
- публичная информация;
- служебная информация;
- служебная информация ограниченного распространения;
- информация ограниченного доступа:
- налоговая тайна;
- персональные данные;
- банковская тайна;
- первичные статистические данные.
5. Правила управления доступом (политика управления доступом)
5.1. Доступ к активам информационной безопасности предоставляется субъектам доступа (в том числе процессам), прошедшим этапы идентификации и аутентификации, в соответствии с Разделом 6 настоящей Политики. Исключение могут составлять действия, указанные в Перечне действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификация (Приложение N 3).
5.2. Доступ к информации, относящейся к информации ограниченного распространения и информации ограниченного доступа, а также к активам, являющимся средствами обработки информации такой классификации, допускается только для авторизованных субъектов доступа.
5.3. Необходимость авторизации доступа может быть определена владельцем и в отношении общедоступной информации и активов, являющихся средствами обработки информации указанной классификации. Данная необходимость должна быть определена в отношении активов в случае необходимости обеспечения целостности и доступности информации.
5.4. Настоящая политика предусматривает следующие стандартные категории учетных записей (пользователей):
- Непривилегированные учетные записи - по умолчанию для всех пользователей (субъектов доступа) ИТ-инфраструктуры ФНС России, которым не делегированы права привилегированных учетных записей;
- Привилегированные учетные записи - для администраторов ИТ-инфраструктуры ФНС России и системных компонент:
- Учетные записи системных администраторов - для пользователей, уполномоченных на выполнение действий по управлению (администрированию) инфраструктурой системы;
- Учетные записи администраторов учетных записей (доступа) - для пользователей, уполномоченных на выполнение действий по управлению учетными записями и их правами в ИТ-инфраструктуре ФНС России;
- Учетные записи администраторов безопасности - для пользователей, уполномоченных на выполнение действий по управлению средствами защиты информации;
- Технологические (сервисные) учетные записи - для общесистемных компонент ИТ-инфраструктуры ФНС России.
5.5. Должно быть обеспечено разграничение между отдельными должностными лицами следующих полномочий:
- по обработке информации (пользователей);
- по администрированию актива ИБ (системные администраторы);
- по управлению системой защиты информации (администратор безопасности);
- по контролю (мониторингу) за обеспечением уровня защищенности информации;
- по обеспечению функционирования ИТ-инфраструктуры ФНС России.
5.6. Администратором, имеющим права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющим контроль за использованием переданных полномочий (Супервизором) в ИТ-инфраструктуре ФНС России, является структурное подразделение ЦА ФНС России, в полномочия которого входит организация и координация процессов управления информационной безопасностью.
5.7. Процессы предоставления доступа к активам информационной безопасности, требующим авторизации субъектов доступа, осуществляются с учетом разделения следующих полномочий:
- по запросу доступа;
- по авторизации доступа;
- по администрированию доступа.
5.8. Запрос доступа:
- в отношении сотрудников налоговых органов и работников подведомственных ФНС России организаций:
- для сотрудников должностью ниже заместителя начальника отдела - запрос доступа осуществляется начальником соответствующего отдела;
- для сотрудников с должностью заместитель начальника отдела и выше - запрос доступа осуществляется пользователем самостоятельно;
- в отношении привлекаемых в рамках Государственных контрактов или иных договоров специалистов и экспертов запрос доступа осуществляется руководителем (уполномоченном лицом) организации, с которой непосредственно заключен Государственный контракт или договор;
- в отношении компонента ИТ-инфраструктуры (процесса) запрос доступа осуществляется начальником структурного подразделения, являющимся владельцем актива информационной безопасности, к которому относится данный компонент.
5.9. Авторизация (подтверждение) доступа:
- в отношении сотрудников Центрального аппарата ФНС России подтверждение доступа осуществляется совместно:
- начальником структурного подразделения ЦА ФНС России, к которому относится пользователь;
- начальником структурного подразделения ЦА ФНС России, в функции которого входит организация обеспечения выполнения нормативно-правовых документов по защите конфиденциальных сведений и персональных данных;
- начальником структурного подразделения ЦА ФНС России, являющимся владельцем актива (объекта доступа);
- в отношении сотрудников территориальных налоговых органов и работников подведомственных ФНС России организаций подтверждение доступа осуществляется совместно:
- начальником структурного подразделения, в функции которого входит организация обеспечения выполнения нормативно-правовых документов по защите конфиденциальных сведений и персональных данных (в случае, если доступ запрашивается для пользователя одной организации к активу, относящемуся к другой организации, то авторизация доступа осуществляется начальниками соответствующих структурных подразделений в обеих организациях);
- начальником структурного подразделения, являющимся владельцем актива (объекта доступа);
- руководителем или заместителем руководителя организации, к которой относится пользователь;
- в отношении привлекаемых в рамках Государственных контрактов или иных договоров специалистов и экспертов подтверждение доступа осуществляется совместно:
- руководителем или уполномоченным лицом налогового органа или подведомственной ФНС России организации, заключившей соответствующий Государственный контракт (договор);
- начальником структурного подразделения, являющимся владельцем актива (объекта доступа);
- начальником структурного подразделения налогового органа или подведомственной ФНС России организации, в функции которого входит организация обеспечения выполнения нормативно-правовых документов по защите конфиденциальных сведений и персональных данных.
5.10. Администрирование доступа осуществляется пользователями ИТ-инфраструктуры ФНС России, уполномоченными на выполнение действий по управлению правами доступа к соответствующему активу (администраторы доступа).
5.11. Возможности администратора доступа администрировать собственные права доступа должны быть ограничены, в случае наличия такой технической возможности.
5.12. Запрос, авторизация и администрирование доступа осуществляются при условии заверения всеми ответственными лицами указанных действий личной подписью или квалифицированной электронной подписью. Хранение указанных подписей должно обеспечиваться администраторами доступа на срок не менее двух лет после отзыва (окончания) прав доступа.
5.13. Запрос и авторизация доступа могут быть оформлены как заявка, матрица доступа (допускается использование должностей и категорий пользователей вместо конкретных идентификаторов пользователей) или как иной документ при условии соблюдения принципов документированности. Допускается объединение учетных записей в группу пользователей.
5.14. Права доступа в отношении пользователей, у которых изменились должностные обязанности (переведенных на другую должность) или уволившихся, должны быть немедленно пересмотрены (отменены - в случае увольнения) администраторами доступа.
5.15. Права доступа в отношении привилегированных учетных записей должны регистрироваться администраторами доступа в соответствующих журналах и пересматриваться не менее двух раз в три месяца.
5.16. Должна быть обеспечена блокировка попыток несанкционированной загрузки нештатной среды (операционной системы) на активах ИБ, а также контроль целостности системного программного обеспечения и аппаратных компонент активов.
5.17. В случае неактивности пользователя при доступе к активу более 1 (одного) часа в рамках одного сеанса (в случае технической возможности для реализации), данный сеанс доступа должен быть заблокирован.
5.18. В централизованном сегменте ИТ-инфраструктуры ФНС России рекомендуется осуществлять управление информационными потоками при передаче информации между устройствами, сегментами, включающее:
- фильтрацию информационных потоков в соответствии с установленными правилами управления потоками;
- разрешение передачи информации только по установленным маршрутам (профилям приложений);
- изменение (перенаправление) маршрута передачи информации;
- запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи.
5.19. Управление информационными потоками в рамках пункта 5.18 должно осуществляться на основе атрибутов (меток) безопасности, связанных с передаваемой информацией, источниками и получателями информации.
6. Правила управления учетными записями пользователей (политика идентификации и аутентификации)
6.1. При идентификации пользователей должны использоваться уникальные идентификаторы, позволяющие отследить действия конкретных пользователей в конкретный момент времени (повторное использование одного идентификатора различными субъектами доступа должно быть исключено).
6.2. Использование общих учетных записей (учетных записей, которыми пользуется несколько пользователей) должно быть минимизировано и обосновываться особенностью выполнения технологических процессов и технической реализации актива. Учет использования общих учетных записей конкретным пользователем должен выполняться за счет реализации организационных мер (ведение журналов и пр.).
6.3. Аутентификация пользователей в ИТ-инфраструктуре ФНС России допускается:
- с использованием пароля, соответствующего Разделу 7 настоящей Политики;
- с использованием средств криптографической защиты информации и усиленной электронной подписи с применением сертификата ключа проверки электронной подписи, выданного Удостоверяющим центром ФНС России;
- исключительно для доступа к общедоступной информации и активам, являющимся средствами обработки информации указанной классификации, допускается по согласованию с владельцем использование для аутентификации иной информации в электронном виде (например, в виде файла или ссылки в электронном сообщении);
- с использованием сертифицированных по требованиям ИБ электронных идентификаторов;
- с одновременным использованием нескольких вышеперечисленных способов (многофакторная аутентификация);
- по служебному удостоверению или документу, удостоверяющему личность (паспорт Российской Федерации).
6.4. Процедуры регистрации и блокировки учетных записей пользователей (и других пользовательских идентификаторов) должны быть формально учтены. В организации должен быть назначен ответственный за создание, присвоение и блокировку идентификаторов, а также за временное хранение, выдачу и инициализацию аутентификационной информации.
6.5. Соответствующими администраторами учетных записей должна проводиться периодическая (не менее двух раз в три месяца) проверка и блокирование избыточных пользовательских идентификаторов (учетных записей). Под избыточными пользовательскими идентификаторами понимаются неиспользуемые более 45 дней либо задублированные (при использовании в одной системе учетных записей нескольких идентификаторов, связанных с одним субъектом доступа).
6.6. Пользователи ИТ-инфраструктуры ФНС России при получении аутентификационной информации в обязательном порядке должны под роспись ознакомиться с настоящей политикой. При этом особое внимание пользователя необходимо обратить на обязанности пользователя (Приложение N 2).
6.7. Число разрешенных неудачных попыток аутентификации должно быть ограничено:
- для учетных записей пользователей - не более 3 в час;
- для привилегированных учетных записей - не более 3 в сутки.
После превышения указанного количества устройство, с которого осуществлялись попытки аутентификации, должно быть заблокировано (при наличии технической возможности).
6.8. Попытки аутентификации в ИТ-инфраструктуре ФНС России должны записываться и храниться.
6.9. Процедура регистрации (создания идентификационной информации) в системе должна быть спроектирована так, чтобы свести к минимуму возможность несанкционированного доступа.
6.10. Необходимо, чтобы процедура начала сеанса раскрывала минимум информации о системе, во избежание оказания какой-либо ненужной помощи неавторизованному пользователю.
6.11. При вводе паролей в информационной системе они не должны отображаться на экране.
6.12. Многократное использование одного идентификатора для доступа к одному активу должно быть ограничено.
6.13. При аутентификации пароли (и иная аутентификационная информация) не должны передаваться в открытом виде по сети.
6.14. В случае компрометации аутентификационной информации администраторами учетных записей должны быть приняты все меры по блокированию действий соответствующих учетных записей до проведения процедур по замене аутентификационной информации. По факту компрометации аутентификационной информации должны быть проведены мероприятия по выявлению причин компрометации и ее последствий.
6.15. Для идентификации и аутентификации в ИТ-инфраструктуре ФНС России рекомендуется использовать единый сервис.
6.16. В ИТ-инфраструктуре до начала информационного взаимодействия (передачи защищаемой информации от устройства к устройству) должна осуществляться идентификация и аутентификация устройств (технических средств обработки информации).
6.17. Идентификация устройств осуществляется по логическим именам устройств (доменным именам).
6.18. Аутентификация устройств обеспечивается с использованием протоколов аутентификации.
6.19. В ИТ-инфраструктуре ФНС России рекомендуется осуществлять идентификацию и аутентификацию объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа с использованием свидетельств подлинности информации.
7. Управление паролями пользователей (парольная политика)
7.1. Выдача паролей пользователю осуществляется исключительно при условии ознакомления пользователя под роспись с обязанностями по соблюдению требований информационной безопасности (Приложение N 2).
7.2. Должностные лица (администраторы учетных записей), ответственные за хранение, выдачу, инициализацию и блокировку паролей в организациях, должны быть назначены.
7.3. Создание (смена) паролей может:
- осуществляться самостоятельно пользователем - предпочтительный вариант;
- осуществляться администратором учетных записей - в случае особенности технологического процесса, в том числе при использовании общих учетных записей.
7.4. В случае самостоятельной смены пользователем личных паролей, администратором учетных записей первоначально или повторно (в случае утери) предоставляется временный пароль, который подлежит немедленной принудительной замене пользователем после его первого использования для доступа.
7.5. Регламентами и порядками доступа к активам должны быть предусмотрены меры проверки личности пользователя, прежде чем ему будет предоставлен новый, заменяющий или временный пароль.
7.6. В случае управления паролями администратором учетных записей, администратором обеспечивается запись новых и замещающих паролей на парольной карте и их безопасное хранение в запечатанном виде на все время использования пароля.
7.7. Пароли следует выдавать пользователям безопасным способом (обеспечивающим их конфиденциальность).
7.8. Пароли должны быть уникальны для каждого пользователя, не должны быть легко угадываемыми. Пароли должны формироваться с учетом следующих требований (для непривилегированных учетных записей):
- Минимальная длина паролей - 8 символов;
- Содержание в пароле буквенных символов латинского алфавита - да;
- Наличие не менее одного цифрового символа - да;
- Содержание в пароле букв верхнего и нижнего регистра - да;
- Содержание в пароле специальных символов (@, #, $, %, ^) - да;
- Минимальное отличие от предыдущего пароля - 2 символа.
7.9. Для привилегированных учетных записей должны соблюдаться следующие требования:
- Минимальная длина паролей - 12 символов;
- Содержание в пароле буквенных символов латинского алфавита - да;
- Наличие не менее одного цифрового символа - да;
- Содержание в пароле букв верхнего и нижнего регистра - да;
- Содержание в пароле специальных символов (@, #, $, %, ^) - да;
- Минимальное отличие от предыдущего пароля - 3 символа.
7.10. Пароли непривилегированных учетных записей должны меняться не реже 1-го раза в 60 календарных дней; привилегированных учетных записей - не реже 1-го раза в 90 календарных дней.
7.11. Пользователи должны подтверждать получение паролей.
7.12. Хранение (и иная обработка) паролей в ИТ-инфраструктуре ФНС России должно производиться только в защищенной форме (с использованием СКЗИ - в электронной форме и применением организационных мер - в иных случаях).
7.13. Пароли поставщика (разработчика/изготовителя), установленные по умолчанию, должны быть изменены после инсталляции в ИТ-инфраструктуре ФНС России лицом, осуществившем указанную инсталляцию, после чего на парольной карте переданы соответствующему администратору учетных записей.
7.14. Пользователи обязаны обеспечить конфиденциальность паролей, в том числе избегать запись паролей (например, на бумаге, в файле программного обеспечения или карманных устройствах), если не может быть обеспечено безопасное хранение, и способ хранения не утвержден.
7.15. Пользователи обязаны сообщать администратору доступа о всех признаках возможной компрометации пароля.
7.16. Запрещается использование одного и того же пароля для работы в ИТ-инфраструктуре ФНС России и для личных целей (для доступа к личной электронной почте, для доступа к социальным сетям, личным аккаунтам в интернет-магазинах и прочее).
8. Удаленный доступ пользователей (политика использования мобильной вычислительной техники)
8.1. Удаленный доступ пользователей к активам информационной безопасности, опубликованным в сети общего пользования Интернет, возможен исключительно для активов, к котором запрещен пользовательский внутренний доступ (из пределов ИТ-инфраструктуры ФНС России), и только в отношении активов, не требующих авторизации.
8.2. В случае необходимости предоставления удаленного доступа к активам, требующим авторизации, или активам, к которым одновременно осуществляется доступ пользователей из пределов информационной системы, должны выполняться следующие требования:
- на мобильной вычислительной технике должны быть реализованы необходимые меры защиты информации;
- удаленный доступ должен осуществляться исключительно по защищенным с использованием сертифицированного СКЗИ каналам связи;
- должна использоваться многофакторная (двухфакторная) аутентификация;
- перечень ip-адресов в сети Интернет, с которых предоставляется доступ к активам, должен быть ограничен.
8.3. При удаленном доступе пользователь обязан обеспечить необходимую защиту места дистанционной работы в отношении, например, хищения оборудования и информации, несанкционированного раскрытия информации, несанкционированного удаленного доступа к внутренним системам организации или неправильного использования оборудования.
8.4. Виды работ, которые могут быть осуществлены удаленно, время работы, классификацию информации, к которой разрешен доступ сотруднику в дистанционном режиме, должны утверждаться руководителем организации.
Приложение N 1
к Политике Управления
доступом ФНС России,
утвержденной приказом ФНС России
от 15 мая 2019 г. N ММВ-7-6/249@
РЕКОМЕНДАЦИИ
ПО ОПРЕДЕЛЕНИЮ ВЛАДЕЛЬЦА АКТИВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В общем случае владельцем актива определяется часть организации, ответственная за использование указанного актива. В отношении конкретных активов определение владельца рекомендуется осуществлять в соответствии с таблицей:
N | Актив ИБ | Определение владельца |
1. | Серверные комплексы | Владельцем определяется структурное подразделение, в обязанности которого входит обеспечение функционирования серверных комплексов, или владельцы информационного ресурса или информации, размещаемого на данном серверном комплексе. |
2. | Рабочие станции, технические средства ввода/вывода информации, комплексы сканирования документов, принтеры, средства хранения и архивирования данных | Владельцем определяется структурное подразделение, в пользование которого выдано оборудование. |
3. | Активное и пассивное коммуникационное оборудование, система управления, мониторинга и обслуживания сетевой инфраструктуры | Владельцем определяется структурное подразделение, в обязанности которого входит обеспечение функционирования телекоммуникационных сетей в организации. |
4. | Общесистемное программное обеспечение (операционные системы, системы управления базами данных) | Владельцем определяется структурное подразделение, в обязанности которого входит обеспечение функционирования общесистемного программного обеспечения, или структурное подразделение, являющееся владельцем оборудования, на котором функционирует общесистемное ПО. |
5. | Средства защиты информации | Владельцем актива определяется структурное подразделение, в обязанности которого входит обеспечение информационной безопасности. |
6. | Средства обеспечения жизнедеятельности объектов | Владельцем актива определяется структурное подразделение в обязанности которого входит обеспечение работоспособности соответствующего средства. |
7. | Информация | В случае разработки (создания) указанной информации в организации, проводящей учет активов, владельцем актива определяется структурное подразделение, разработавшее указанную информацию. В случае поступления указанной информации из вне, владелец определяется руководителем (заместителем руководителя) организации. |
Приложение N 2
к Политике Управления
доступом ФНС России,
утвержденной приказом ФНС России
от 15 мая 2019 г. N ММВ-7-6/249@
ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ ПРИ РАБОТЕ С АКТИВАМИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИТ-ИНФРАСТРУКТУРЫ ФНС РОССИИ
1. Целью настоящего документа является обеспечение уверенности в том, что сотрудники ФНС России и подведомственных организаций, а также подрядчики (исполнители государственных контрактов) осведомлены об угрозах и проблемах, связанных с информационной безопасностью, о мере их ответственности и обязательствах, что снижает риск человеческого фактора.
2. Пользователь обязан ознакомиться с соответствующей эксплуатационной документацией перед использованием актива, понимать свои обязанности при работе с активами и не использовать активы для целей, не соответствующих должностным обязанностям.
3. При использовании активов информационной безопасности пользователи должны обеспечивать сохранность аутентификационной информации, в том числе:
- сохранять конфиденциальность паролей и закрытой ключевой информации;
- избегать записи паролей, если не может быть обеспечено его и безопасное хранение и способ хранения не утвержден;
- изменять пароли и сообщать об этом администратору информационной безопасности всякий раз, когда появляется любой признак возможной компрометации системы или пароля;
- изменять временные пароли при первом начале сеанса;
- не включать пароли ни в какой автоматизированный процесс начала сеанса, например, с использованием хранимых макрокоманд или функциональных клавиш;
- не использовать коллективно индивидуальные пользовательские пароли;
- не использовать один и тот же пароль для работы в ИТ-инфраструктуре ФНС России и для личных целей.
4. Пользователь несет исключительную личную ответственность за все действия, осуществленные с использованием его идентификатора (имени учетной записи или др.) и аутентификационной информацией.
5. Все пользователи при работе с активами информационной безопасности должны обеспечивать возможные процедуры по обеспечению безопасности, в том числе:
- завершать активные сеансы по окончании работы, если отсутствует соответствующий механизм блокировки, например, защищенная паролем экранная заставка;
- завершить сеанс на виртуальной инфраструктуре, серверах и офисных персональных компьютерах, когда работа завершена (т.е. не только выключить экран персонального компьютера или терминал);
- обеспечивать безопасность персональных компьютеров или терминалов от несанкционированного использования с помощью блокировки клавиатуры или эквивалентных средств контроля, например, доступа по паролю, когда оборудование не используется.
6. Необходимо обеспечить политику "чистого стола" в отношении бумажных документов и носителей данных, а также политику "чистого экрана" в отношении средств обработки информации. Политика "чистого стола" и "чистого экрана" должна учитывать классификацию информации, законодательные и договорные требования, а также соответствующие риски. В рамках соблюдения политик "чистого стола" и "чистого экрана" необходимо обеспечить выполнение следующих рекомендаций:
- носители (бумажные или электронные), содержащие информацию ограниченного доступа или ограниченного распространения, а также иной критической информации, когда они не используются, следует убирать и запирать (лучше всего, в несгораемый сейф или шкаф), особенно, когда помещение пустует;
- компьютеры, когда их оставляют без присмотра, следует выключать или защищать посредством механизма блокировки экрана или клавиатуры, контролируемого паролем, носителем ключевой информации или аналогичным механизмом аутентификации пользователя, а также необходимо применять кодовые замки, пароли или другие меры и средства контроля и управления в то время, когда эти устройства не используются;
- необходимо обеспечить защиту пунктов приема/отправки корреспонденции, а также автоматических факсимильных аппаратов;
- документы, содержащие информацию ограниченного доступа или ограниченного распространения, а также иную критическую информацию, необходимо немедленно изымать из принтеров.
Приложение N 3
к Политике Управления
доступом ФНС России,
утвержденной приказом ФНС России
от 15 мая 2019 г. N ММВ-7-6/249@
ПЕРЕЧЕНЬ
ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ, РАЗРЕШЕННЫХ ДО ПРОХОЖДЕНИЯ
ИМИ ПРОЦЕДУР ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИЯ
N | Наименование действия |
1 | Доступ к общедоступной информации и иным общедоступным ресурсам (в том числе сетевым ресурсам, файловым хранилищам и прочее) |
2 | Доступ к веб-сайтам, порталам, содержащим открытую информацию (в том числе Интранет-порталу ФНС России) |
3 | Доступ к системам информационно-правового обеспечения |
4 | Действия привилегированных пользователей (администраторов), направленные на восстановление работоспособности системы и ее отдельных компонентов |
5 | Действия привилегированных пользователей (администраторов), направленные на восстановление доступности информации в ИТ-инфраструктуре ФНС России |
