Вы находитесь на странице: 1из 10

<html>

p { text-align: justify; text-indent: 1cm; margin-top: 0; margin-bottom:


0 }
table { font-size: smaller; border-collapse: collapse; border: 0 none }
td { vertical-align: top; border: 1px solid black; padding-left: 3; padding-
right: 3 }
.tt { text-align: center; text-indent: 0; font-weight: bold }
.pb { text-align: center; text-indent: 0; color: #663300; font-style: italic;
font-size: smaller }
.cu { font-size: smaller; text-align: justify; text-indent: -1cm; margin-
left: 2cm;
margin-right: 1cm; margin-top: 3 }
.cut { font-size: smaller; font-weight: bold; text-align: center; margin-left:
1cm;
margin-right: 1cm }
.cp { text-align: center; text-indent: 0; font-weight: bold }
.nt { text-align: justify; text-indent: -1cm; font-size: smaller; color:
#663300;
font-style: italic; margin-left: 1cm; margin-right: 1cm }
.md { font-size: smaller; color: #663300; font-style: italic }

.cn { text-align: center; text-indent: 0 }


.cb { text-align: center; text-indent: 0; font-weight: bold }
.rg { text-align: right; text-indent: 0 }
.js { text-align: justify; text-indent: 0 }
.lf { text-align: left; text-indent: 0 }
.forma { width:700px; font-size: 10pt; font-family: Arial }
.sm { margin-top:1em; border-collapse: initial;text-align: left; margin-left:
1cm; font-weight: bold; white-space: nowrap; border:0 }
.sm td { border:0;}
.sm_functia{ padding-right: 2em; }
.sm_data { padding-top: .4em; }

</style>
</head>
<p class=tt>требований кибернетической безопасности</p>
<p>В целях выполнения положений части (1) статьи 10 и части (1) статьи 18 <a
href="TEXT=LPLP20031121467">Закона об информатизации и государственных
информационных ресурсах № 467-XV от 21 ноября 2003 года</a> (Официальный монитор
Республики Молдова, 2004 г., № 6-12, ст.4), с последующими изменениями, пунктов e)
и f) части (2) статьи 11 и статьи 24 <a href="TEXT=LPLP2007032271">Закона о
регистрах № 71-XVI от 22 марта 2007 года</a> (Официальный монитор Республики
Молдова, 2007 г., № 70-73, ст.314), с последующими изменениями, и Национальной
программы кибербезопасности Республики Молдова на 2016-2020 гг., утвержденной <a
href="TEXT=HGHG20151029811">Постановлением Правительства № 811 от 29 октября 2015
г.</a> (Официальный монитор Республики Молдова, 2015 г., № 306-310, ст.905),
Правительство </p>
<p class="cb">ПОСТАНОВЛЯЕТ:</p>
<p><b>1.</b> Утвердить Минимальные обязательные требования кибернетической
безопасности (прилагаются).</p>
<p><b>2.</b> Министерству информационных технологий и связи в 6-месячный срок со
дня вступления в силу настоящего постановления обеспечить доработку
институциональной базы для внедрения Минимальных обязательных требований
кибернетической безопасности, разработать модель внутренней политики
кибернетической безопасности учреждения и конкретизировать список наиболее важных
государственных автоматизированных информационных систем для применения требований
повышенной безопасности.</p>
<p><b>3. </b>Государственной канцелярии, министерствам и другим подведомственным
Правительству центральным административным органам, а также организационным
структурам, находящимся в сфере их компетенции (подведомственным административным
органам, деконцентрированным публичным службам и подведомственным службам,
публичным учреждениям, в которых Государственная канцелярия, министерство или
другой центральный административный орган выступает в качестве учредителя),
автономным административным органам и хозрасчетным предприятиям в срок до 31
декабря 2017 года обеспечить внедрение Минимальных обязательных требований
кибернетической безопасности.</p>
<p><b>4.</b> Контроль за выполнением настоящего постановления возложить на
Министерство информационных технологий и связи.</p>
<table class="sm" id="table1">
<tr><td class="sm_functia">ПРЕМЬЕР-МИНИСТР </td><td>Павел ФИЛИП<p>&nbsp;</td></tr>
<tr><td colspan="2" class="sm_data">№ 201. Кишинэу, 28 марта 2017 г.</td></tr>
</table>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p class="rg">Приложение </p>
<p class="rg">к Постановлению Правительства </p>
<p class="rg">№ 201 от 28 марта 2017 г.</p>
<p>&nbsp;</p>
<p class="cp">МИНИМАЛЬНЫЕ ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ </p>
<p class="cp">КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ</p>
<p>&nbsp;</p>
<p class="cp">I. ОБЩИЕ ПОЛОЖЕНИЯ </p>
<p><b>1.</b> Минимальные обязательные требования кибернетической безопасности (в
дальнейшем – <i>Минимальные требования</i>) применяются в Государственной
канцелярии, министерствах, других центральных административных органах,
подведомственных Правительству, в том числе в организационных структурах,
находящихся в сфере их компетенции (подчиненные административные органы,
деконцентрированные публичные службы и подведомственные службы, публичные
учреждения, в которых Государственная канцелярия, министерство или другой
центральный административный орган выступает в качестве учредителя), автономных
административных органах и хозрасчетных предприятиях (в дальнейшем –
<i>учреждения</i>):</p>
<p>1) к оборудованию (hardware) и программному обеспечению (software), действующим
в каждом учреждении;</p>
<p>2) к компьютерным системам, информационным ресурсам и системам, существующим в
учреждении (в дальнейшем – <i>системы</i>), а также находящимся в стадии
разработки, тестирования и внедрения.</p>
<p><b>2.</b> Минимальные требования в соответствии с областью применения относятся
к двум категориям:</p>
<p>1) 1-го уровня – базовая кибернетическая безопасность (использование ИКТ в
деятельности учреждения); </p>
<p>2) 2-го уровня – повышенная кибернетическая безопасность (использование ИКТ в
деятельности учреждения и предоставление услуг на базе ИКТ).</p>
<p><b>3.</b> Данные требования не применяются к информационным системам и сетям
специальной связи, относящимся к государственной тайне.</p>
<p><b>4.</b> В других случаях, предусмотренных действующим законодательством,
применяются специальные требования кибернетической безопасности.</p>
<p><b>5.</b> В рамках настоящих Требований следующие основные понятия означают:</p>
<p><i>многофакторную аутентификацию – </i>аутентификация с использованием не менее
двух независимых факторов аутентификации;</p>
<p><i>минимальные обязательные требования кибернетической безопасности – система
менеджмента кибернетической безопасности</i> – все политики, процедуры, планы,
процессы, практики, функции, обязанности, ресурсы и структуры, которые используются
для защиты и сохранения целостности информации; </p>
<p><i>межсетевой экран (firewall) –</i> устройство или ряд устройств,
сконфигурированных таким образом, чтобы фильтровать, шифровать или осуществлять
промежуточный контроль потока информационного обмена между различными сферами
безопасности на основании предопределенных правил;</p>
<p><i>обновление</i> – способ изменения некоторых компьютерных файлов и приложений
или создания новых;</p>
<p><i>защита от вредоносных программ (malware)</i> – техническая мера безопасности,
осуществляемая с использованием антивирусных программ в целях кибернетической
безопасности;</p>
<p><i>антишпионская программа (antispyware) </i>– техническая мера безопасности,
осуществляемая с использованием программ в целях предотвращения кибершпионажа;</p>
<p><i>тест на проникновение – </i>оценка кибернетической защиты системы от
различного рода атак.</p>
<p>Другие термины используются в значении, определенном в <a
href="TEXT=LPLP20031121467">Законе № 467-XV от 21 ноября 2003 года</a> об
информатизации и государственных информационных ресурсах, в
<a href="TEXT=LPLP200006221069">Законе № 1069-XIV от 22 июня 2000 года об
информатике</a> и в <a href="TEXT=HGHG20151029811">Постановлении Правительства №
811 от 29 октября 2015 года</a> «О Национальной программе кибербезопасности
Республики Молдова на 2016-2020 годы».</p>
<p>&nbsp;</p>
<p class="cp">II. ОРГАНИЗАЦИЯ ВНУТРЕННЕЙ СИСТЕМЫ </p>
<p class="cp">КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ</p>
<p><b>6.</b> Руководитель органа управления несет ответственность за обеспечение
кибернетической безопасности в учреждении.</p>
<p><b>7.</b> Руководитель органа управления административным актом назначает лицо
(подразделение), ответственное за внедрение системы менеджмента кибербезопасности в
учреждении, и представляет Министерству информационных технологий и связи
соответствующую информацию в течение 5 рабочих дней со дня его назначения.</p>
<p><b>8.</b> Ответственное лицо выполняет следующие обязанности:</p>
<p>1) организует систему менеджмента кибербезопасности в учреждении в соответствии
с системой менеджмента кибернетической безопасности;</p>
<p>2) участвует не реже одного раза в год в курсах по кибербезопасности,
организованных Министерством информационных технологий и связи, и соответственно
организует курсы для работников учреждения;</p>
<p>3) обеспечивает разработку, внедрение и соблюдение положений следующих
документов: плана действий по обеспечению кибербезопасности учреждения, политики
кибербезопасности учреждения, плана подготовки и повышения ответственности
персонала в области кибербезопасности, внутренних регламентов по кибербезопасности,
процедур по восстановлению. </p>
<p><b>9.</b> Пакет документов утверждается руководителем учреждения и должен
пересматриваться не реже, чем один раз в год, если:</p>
<p>1) изменение системы может повлиять на ее безопасность; </p>
<p>2) были обнаружены новые угрозы безопасности системы;</p>
<p>3) было установлено резкое возрастание числа инцидентов в системе безопасности
или выявлен как минимум один значительный инцидент в системе безопасности;</p>
<p>4) было реструктурировано лицо/организационное подразделение, ответственное за
систему кибербезопасности;</p>
<p>5) были изменены и/или дополнены законы и/или нормативные акты, регламентирующие
функционирование системы.</p>
<p><b>10.</b> Система кибернетической безопасности обеспечивает:</p>
<p>1) доступность информации (доступ к информации на определенный период времени
согласно техническим спецификациям);</p>
<p>2) целостность информации (сохранение информации со всеми своими первоначальными
атрибутами и ее изменение только авторизованными лицами);</p>
<p>3) конфиденциальность информации (доступ к информации только для авторизованных
лиц и только к установленным для доступа данным);</p>
<p>4) защиту устройств и программных продуктов (компьютеров, программного
обеспечения, систем хранения данных, сетевого оборудования и другого технического
оснащения);</p>
<p>5) выявление и устранение уязвимостей;</p>
<p>6) выполнение резервного копирования и установление процедур по
восстановлению.</p>
<p><b>11.</b> Политика кибербезопасности в качестве институционального документа
включает:</p>
<p>1) цель и задачи;</p>
<p>2) принципы внутренней организации менеджмента кибербезопасности;</p>
<p>3) анализ ситуации и уязвимостей (доступность, целостность и конфиденциальность
данных, а также анализ рисков и способы устранения);</p>
<p>4) заявление руководства учреждения о поддержке цели и принципов
кибербезопасности в учреждении.</p>
<p><b>12.</b> План подготовки и повышения ответственности персонала учреждения в
области кибербезопасности включает:</p>
<p>1) обучение в сфере кибернетической гигиены и этики (программы/курсы подготовки
в области кибербезопасности);</p>
<p>2) меры внутренней безопасности, касающиеся деятельности персонала (авторизация
доступа, установление прав, обязанностей, ограничений, ответственности работников,
мониторинг, процедуры по поддержке пользователей в экстренных случаях); </p>
<p>3) меры безопасности, касающиеся деятельности персонала/привлеченных внешних
компаний (согласование обязанностей, соглашения о неразглашении, авторизация
доступа, мониторинг, план действий в чрезвычайных (экстренных) ситуациях по
приостановлению аутсорсинговых операций).</p>
<p><b>13.</b> Внутренние регламенты по кибербезопасности предусматривают:</p>
<p>1) развитие, обновление, изменение, обслуживание информационных систем;</p>
<p>2) управление активами и средствами электронных коммуникаций и информационных
технологий; </p>
<p>3) хранение резервных копий данных, а также процедуры контроля;</p>
<p>4) хранение данных о доступе, о протоколировании действий;</p>
<p>5) мониторинг безопасности системы;</p>
<p>6) правила управления событиями безопасности;</p>
<p>7) процедуры использования данных в исключительных (экстренных) случаях;</p>
<p>8) процедуры оценки кибербезопасности.</p>
<p><b>14.</b> Процедуры восстановления включают:</p>
<p>1) установление процедур, касающихся резервного копирования и восстановления в
случае инцидента кибербезопасности;</p>
<p>2) описание измеряемых мер по восстановлению системы;</p>
<p>3) установление обязанностей по восстановлению функциональности;</p>
<p>4) установление процедур оповещения.</p>
<p>&nbsp;</p>
<p class="cp">III. МИНИМАЛЬНЫЕ ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ КИБЕРБЕЗОПАСНОСТИ </p>
<p class="cp">1-ГО УРОВНЯ (ИСПОЛЬЗОВАНИЕ ИКТ В ДЕЯТЕЛЬНОСТИ УЧРЕЖДЕНИЯ)</p>
<p><b>15.</b> Контроль доступа осуществляется следующим образом:</p>
<p>1) права, обязанности, ограничения и ответственность пользователей должны
устанавливаться лицом, ответственным за процесс, и сообщаться в установленной форме
лицу/подразделению, отвечающему за кибербезопасность; </p>
<p>2) лицо, осуществляющее деятельность по администрированию системы, использует
разные учетные записи для осуществления функций администрирования и для
пользовательских функций; </p>
<p>3) каждая учетная запись пользователя ассоциируется с определенным лицом. Если
система предусматривает недопущение использования этих учетных записей другими
лицами, то она должна включать специальные технические средства, которые не
позволят третьим лицам использовать эти учетные записи;</p>
<p>4) если система не используется для многофакторной аутентификации, то есть не
является атрибутом статического характера (например, с применением символов,
сообщение с разовым кодовым текстом), но является каким-либо атрибутом иного
характера, пользователи системы должны использовать пароль;</p>
<p>5) пользователь системы должен использовать в качестве пароля комбинацию цифр
(0-9), латинских букв (заглавные и прописные) и специальных символов (!#%),
состоящую из минимального количества знаков, установленного внутренним регламентом
безопасности, но не менее 7 знаков;</p>
<p>6) запрещается хранить в электронном виде и транспортировать в незашифрованном
виде пароли пользователей системы, в том числе процесса аутентификации
пользователей. Допускается их транспортирование через публичную нешифрованную сеть
только в случае использования разового пароля, действительного в течение 48 часов с
момента их передачи; </p>
<p>7) система должна обладать механизмами администрирования паролей, а также
обеспечивать аутентификацию и идентификацию пользователя за ограниченный период
времени; </p>
<p>8) не допускается использование паролей по умолчанию (от производителя) в
устройствах и программных продуктах; </p>
<p>9) данные о действиях в системе (протоколирование) сохраняются в реальном
времени и хранятся в течение периода, установленного внутренним регламентом
безопасности, но не менее 6 месяцев; </p>
<p>10) любое действие в системе должно быть распознаваемым в определенной учетной
записи пользователя или адреса (IP);</p>
<p>11) менеджмент прав пользователей должен обеспечивать возможность использования
каждым пользователем только своих прав. Проверка действий в системе осуществляется
периодически на временных этапах, установленных внутренним регламентом
безопасности, но не реже одного раза в 6 месяцев;</p>
<p>12) менеджмент контроля доступа должен быть настроен таким образом, чтобы
позволять авторизованный доступ из внешней сети через Интернет только с
использованием разового пароля, в том числе посредством электронной подписи в
рамках правительственной электронной услуги аутентификации и контроля доступа
(MPass).</p>
<p><b>16.</b> Физическая безопасность предполагает:</p>
<p>1) четкое разграничение периметра, предназначенного для различных групп
оборудования ИТ, составление планов серверных помещений и сетей; </p>
<p>2) обеспечение условий отопления, вентиляции и кондиционирования воздуха
специализированных помещений;</p>
<p>3) обеспечение доступа в специализированные помещения строго в соответствии с
компетенцией; </p>
<p>4) обеспечение энергетической безопасности путем использования устройств,
соответствующих действующим нормам и с защитой от перегрузки;</p>
<p>5) обеспечение соответствующего обслуживания согласно техническим
требованиям;</p>
<p>6) учет оборудования и программных продуктов, используемых в учреждении.</p>
<p><b>17.</b> Операционная безопасность устанавливает, что:</p>
<p>1) оборудование и программные продукты должны быть защищены таким образом, чтобы
обеспечивать работоспособность систем;</p>
<p>2) на компьютерах, подключенных к сети Интернет, должны быть установлены как
минимум:</p>
<p>a) операционная система с установленными текущими обновлениями;</p>
<p>b) активированная и обновленная антивирусная программа; </p>
<p>c) активированный межсетевой экран (firewall);</p>
<p>d) функции автоматического блокирования системы в случае ее неиспользования
(screen saver, log-off);</p>
<p>3) технический контроль осуществляется периодически, согласно внутреннему
регламенту безопасности, и касается:</p>
<p>a) безопасности главных сетей, узлов и линий соединения с внешними сетями;</p>
<p>b) оценки необходимости установки и использования беспроводного оборудования,
согласно внутреннему регламенту безопасности, безопасности беспроводного соединения
(авторизация оборудования и шифрование данных);</p>
<p>c) безопасности web-, DNS- и DHCP-серверов;</p>
<p>d) безопасности серверов с базами данных (установка в зоне Интранет,
конфигурация сети таким образом, чтобы исключить прямой доступ из внешней
сети);</p>
<p>e) безопасности сетевого оборудования (маршрутизатор (router), коммутатор,
функции контроля доступа);</p>
<p>f) состояния функций кибербезопасности;</p>
<p>g) управления пакетами обновления для программных продуктов по
кибербезопасности;</p>
<p>h) проверки уязвимостей систем и устранения недостатков;</p>
<p>i) требований безопасности при использовании сети Интернет.</p>
<p>4) применение требований кибербезопасности при использовании сетей:</p>
<p>a) функции оборудования и программных продуктов для управления потоком данных от
пользователей/к пользователям, согласно внутреннему регламенту безопасности;</p>
<p>b) сетевые услуги, которые не используются, должны быть дезактивированы; </p>
<p>c) активное сетевое оборудование должно конфигурироваться и тестироваться таким
образом, чтобы обеспечивать изолирование частной сети от прилегающих сетей;</p>
<p>5) составление плана обеспечения непрерывности, который обеспечит восстановление
функций системы и данных в случае инцидента безопасности, который должен
включать:</p>
<p>a) процедуру выполнения резервного копирования (back-up) данных, приложений и
систем (автоматическое/ручное, периодичность и продолжительность доступности);</p>
<p>b) содержание резервной копии (данные, приложения, системы);</p>
<p>c) размещение резервной копии/копий;</p>
<p>d) периодическое тестирование резервных копий;</p>
<p>e) процедуру рекуперирования/восстановления данных, приложений и систем;</p>
<p>f) процедуру констатации необходимости выполнения других резервных копий;</p>
<p>6) установление механизма для вывода из эксплуатации оборудования, уничтожения
содержащихся в нем данных и его повторное использование;</p>
<p>7) установление требований безопасности и ограничений, касающихся личных
устройств, используемых в учреждении.</p>
<p><b>18.</b> Защищенный обмен данными и сообщениями включает следующее:</p>
<p>1) использование руководства по использованию услуг системы электронной почты,
утвержденного в качестве технического документа для всех вышеуказанных публичных
органов и предъявление обязательных требований к персоналу, касающихся: </p>
<p>a) проверки адресной книги перед отправкой корреспонденции и адресата во
избежание ошибок; </p>
<p>b) предосторожности по отношению к содержанию полученных сообщений, проверки
данных отправителя/компании, особенно незнакомых отправителей, на предмет возможной
фальсификации личности с целью скрыть истинный источник; </p>
<p>c) проверки и сканирования на наличие вирусов вложений к полученным сообщениям и
их расширений;</p>
<p>2) запрещается:</p>
<p>a) автоматическая переадресация сообщений из служебной почты на другие
личные/частные учетные записи; </p>
<p>b) использование служебной электронной почты для отправки или переадресации
сообщений, расцениваемых как непристойные, угрожающие, оскорбительные,
клеветнические, порочащие, расистские, порнографические, досаждающие, выражающие
ненависть, содержащие дискриминационные высказывания, а также для отправки или
переадресации других антисоциальных сообщений;</p>
<p>c) цепная рассылка/пересылка сообщений различного содержания, не имеющего
отношения к служебной деятельности; </p>
<p>d) использование служебной электронной почты с целью получения материальной
выгоды, в личных, политических или других целях;</p>
<p>e) распространение материалов, защищенных авторским правом; </p>
<p>f) передача конфиденциальной информации в незащищенных электронных сообщениях;
</p>
<p>g) использование служебной электронной почты с целью распространения
компьютерных вирусов, вирусов, проникающих в систему, повреждающих или уничтожающих
данные, программные продукты и оборудование, или ведущих к ухудшению или нарушению
работы сети;</p>
<p>h) утаивание или попытка скрыть личность в случае, когда сообщение отправляется
по служебной электронной почте;</p>
<p>3) ограничение доступа персонала к контенту непристойного и антисоциального
характера, скачиваний контента, защищенного авторским правом, ненадлежащее
использование и распространение служебной информации, скачивание материалов из
неизвестных источников, а также другие действия, которые противоречат целям
учреждения.</p>
<p>&nbsp;</p>
<p class="cp">IV. МИНИМАЛЬНЫЕ ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ КИБЕРБЕЗОПАСНОСТИ </p>
<p class="cp">2-ГО УРОВНЯ (ИСПОЛЬЗОВАНИЕ ИКТ В ДЕЯТЕЛЬНОСТИ УЧРЕЖДЕНИЯ И</p>
<p class="cp">ПРЕДОСТАВЛЕНИЕ УСЛУГ НА БАЗЕ ИКТ)</p>
<p>Дополнительно к требованиям главы III в случае учреждений, предоставляющих
услуги на базе ИКТ только для соответствующей инфраструктуры, применяются следующие
усовершенствованные требования.</p>
<p><b>19.</b> Контроль доступа осуществляется следующим образом:</p>
<p>1) пароли пользователей системы должны быть изменены не позднее 90 календарных
дней с ограничением возможности изменения этого пароля вручную не чаще двух раз в
течение 24 часов;</p>
<p>2) пароли должны быть выбраны таким образом, чтобы не совпадать ни с одним из
пяти паролей, использованных до этого;</p>
<p>3) учетная запись пользователя должна моментально блокироваться, если
пользователь системы использовал неверный пароль три раза подряд, за исключением
учетной записи системного администратора. Для таких случаев устанавливается
процедура повторной активации учетной записи пользователя;</p>
<p>4) в случае удаленного доступа к системе, а также к оборудованию, которым
учреждение не владеет, учетная запись администратора обеспечивается только
многофакторной аутентификацией и с использованием защищенного канала связи;</p>
<p>5) физический доступ к оборудованию, обеспечивающему функциональность системы,
должен быть разрешен учреждением только для авторизованных лиц;</p>
<p>6) учреждение должно обеспечивать хранение в течение не менее шести месяцев
записей о входе в систему, начиная с первого входа пользователя.</p>
<p><b>20.</b> Физическая безопасность включает следующее:</p>
<p>1) доступ к пространству, зарезервированному для ИТ-оборудования, производится в
соответствии с обязанностями, установленными должностной инструкцией, с
использованием механизмов повышенной защиты. Посещения отслеживаются и
регистрируются, в том числе и срок действительного доступа, а также его
приостановление в случае увольнения работника;</p>
<p>2) энергетическая безопасность подразумевает реализацию мер по защите и контролю
источников питания: использование некоторых устройств защиты от перегрузки,
источников бесперебойного питания, резервных электрических генераторов или
альтернативных кабелей. Кабели электропитания должны быть защищены. Источники
питания UPS должны устанавливаться в обязательном порядке в центрах данных, чтобы
поддерживать функционирование во время отключения от сети, до подключения к
альтернативным источникам энергии.</p>
<p>3) оборудование, используемое в компьютерной системе, должно быть размещено и
защищено таким образом, чтобы снизить риск его разрушения в случае стихийных
бедствий и других происшествий;</p>
<p>4) предотвращение, выявление и тушение пожаров; запрет курения на территории,
предназначенной для ИТ-оборудования, устранение легковоспламеняющихся материалов,
использование детекторов тепла и дыма, оснащение огнетушителями, использование
устройств сигнализации, подготовка персонала к чрезвычайным ситуациям;</p>
<p>5) защита от затоплений и избыточной влажности, которая предполагает оснащение
ИТ-периметра датчиками влажности, подключенными к устройствам сигнализации;</p>
<p>6) обеспечение условий для системы отопления, вентиляции и кондиционирования
воздуха; обеспечение контролируемой окружающей среды согласно техническим
требованиям.</p>
<p><b>21.</b> Эксплуатационная безопасность предполагает:</p>
<p>1) установку/эксплуатацию в узлах, взаимодействующих с внешними сетями системы
кибербезопасности для предотвращения вторжений (IPS) и/или системы обнаружения
вторжений (IDS);</p>
<p>2) установку/использование регистра событий со следующими функциями:</p>
<p>a) сохранение данных в течение не менее 12 месяцев;</p>
<p>b) записи деятельности пользователей в системе созданы с точным указанием
времени, которое должно совпадать со всемирным координированным временем (UTC)
компетентного органа;</p>
<p>c) система записывает содержание запланированного мониторинга и анализа с целью
обнаружения инцидентов. Минимальными зарегистрированными данными являются: имя
пользователя, время и IP-адрес;</p>
<p>d) система будет обеспечена механизмом фильтрации/администрирования
сгенерированными сообщениями об ошибке;</p>
<p>3) внедрение правил использования мобильных устройств в учреждении, утвержденных
в качестве технического документа для всех указанных выше органов управления,
которые включают:</p>
<p>a) требования для физической защиты и повышение ответственности
пользователей;</p>
<p>b) применение политики управления компонентами программных продуктов, в том
числе пакетами обновлений;</p>
<p>c) применение политики управления информационными ресурсами к сетевым
компонентам;</p>
<p>d) положения, касающиеся контроля доступа;</p>
<p>e) техники шифрования;</p>
<p>f) защиту от вредоносных программ;</p>
<p>g) отключение удаленного доступа к мобильному устройству в целях предупреждения
удаления или блокирования информации; </p>
<p>h) применение политики управления резервными копиями.</p>
<p>4) внедрение механизмов для предупреждения и быстрого выявления неавторизованных
установок и использования точек доступа к беспроводным сетям в рамках
учреждения;</p>
<p>5) управление ИТ-событиями предусматривает реализацию некоторых процедур,
обеспечивающих уверенность в том, что выполняются следующие условия:</p>
<p>a) описание процесса изменений/утверждений уполномоченных лиц, планируемых
испытаний и докладов;</p>
<p>b) обновления осуществляются своевременно и полностью;</p>
<p>c) управление списками изменений/воздействий;</p>
<p>d) обновление руководства по установке/использованию в соответствии с последней
версией системы;</p>
<p>e) управление/учет версий используемых программных продуктов и технической
документации.</p>
<p>6) управление внешними средствами хранения предусматривает следующее:</p>
<p>a) конфиденциальные или важные данные хранятся на съемных носителях в
зашифрованном виде;</p>
<p>b) копирование осуществляется при необходимости и на отдельные устройства;</p>
<p>c) сотрудники, использующие внешние носители информации, должны быть
соответствующим образом подготовлены;</p>
<p>d) в конце срока службы устройств хранения, содержащих классифицированную
информацию, данные из внешнего устройства извлекаются, а оборудование
уничтожается;</p>
<p>7) анализ рисков проводится периодически, но не реже одного раза каждые два года
и служит для адаптации политики кибербезопасности и внутренних регламентов;</p>
<p>8) осуществление разделения задач для следующих видов деятельности в ИТ-
области:</p>
<p>a) проектирование и программирование систем;</p>
<p>b) управление и поддержание систем;</p>
<p>c) ввод данных;</p>
<p>d) кибернетическая безопасность;</p>
<p>e) управление базами данных;</p>
<p>f) менеджмент изменений и развития компьютерной системы;</p>
<p>9) в ходе проведения внутреннего аудита безопасности, проводимого ежегодно до
конца января следующего года подразделениями, ответственными за информационные
технологии, проверяется:</p>
<p>a) удаление из компьютеров учреждения, подключенной к сети Интернет, данных и
программ, в которых более нет необходимости;</p>
<p>b) наличие межсетевого экрана (firewall). Если есть необходимость прямого
подключения к Интернету при минимальных рисках, используется включение в
конфигурацию межсетевого экрана типа «firewall» с целью облегчения контроля трафика
между сетью объекта и Интернетом, а также с целью предотвращения
несанкционированного проникновения внешних пакетов;</p>
<p>c) защита от компьютерных вирусов посредством внедрения процедуры по
использованию антивирусного средства, обеспечивающего: его применение всеми
серверами и рабочими станциями; обновление файла антивируса; запрет на отключение
антивирусного средства пользователями на своей собственной рабочей станции;
антивирусное средство периодически автоматически сканирует все файлы (на сервере и
рабочих станциях);</p>
<p>d) обнаружение и исправление других несанкционированных изменений настроек,
осуществленных пользователями, которые увеличивают угрозу кибербезопасности;</p>
<p>10) периодическое осуществление теста на проникновение в автоматизированные
информационные системы особого значения осуществляется в соответствии с политикой
кибербезопасности учреждения. Результаты теста представляются Министерству
информационных технологий и связи в течение одного месяца вместе с планом по
устранению выявленных недостатков.</p>
<p>&nbsp;</p>
<p class="cp">V. МИНИМАЛЬНЫЕ ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ</p>
<p class="cp">КИБЕРБЕЗОПАСНОСТИ ПРИ ЗАКУПКЕ НОВЫХ ИНФОРМАЦИОННЫХ </p>
<p class="cp">СИСТЕМ ИЛИ МОДЕРНИЗАЦИИ СУЩЕСТВУЮЩИХ</p>
<p><b>22.</b> При инициировании закупок новых автоматизированных информационных
систем или модернизации существующих учреждение должно обеспечить включение в
закупочную документацию в качестве нефункциональных требований следующих
требований:</p>
<p>1) поддержание определенных систем безопасности и сопровождения (включая
устранение недостатков в вопросах безопасности системы в течение заранее
установленного периода);</p>
<p>2) передача учреждению авторского права на исходный код программных
продуктов;</p>
<p>3) установление срока фактического выполнения работ по модернизации;</p>
<p>4) система кибербезопасности может предусматривать более строгие характеристики,
нежели предусмотренные в настоящих Требованиях только в той мере, в которой они не
противоречат действующему законодательству; </p>
<p>5) перед закупкой новой системы или усовершенствованием существующей учреждение
разрабатывает и утверждает политику безопасности, а также удостоверяется в том, что
новые системы на протяжении их развития будут соответствовать настоящим
Требованиям; </p>
<p>6) перед вводом в действие новой системы учреждение должно удостовериться в том,
что ее характеристики безопасности функционируют в соответствии с предварительно
установленными требованиями путем проведения соответствующих тестов, осуществляемых
третьим лицом;</p>
<p>7) учреждение обеспечивает периодическое проведение аудита безопасности системы
в соответствии с утвержденной технической документацией;</p>
<p>8) совершенствование и тестирование системы не должно создавать угрозу для
целостности хранимых в системе данных.</p>
<p>&nbsp;</p>
<p class="cp">VI. ТРЕБОВАНИЯ ПО БЕЗОПАСНОСТИ ПРИ АУТСОРСИНГЕ </p>
<p class="cp">УПРАВЛЕНИЯ/ОБСЛУЖИВАНИЯ СИСТЕМ</p>
<p><b>23.</b> Если учреждение осуществляет аутсорсинг услуг по управлению и
обслуживанию информационных систем и заключает договор с внешним поставщиком услуг,
договор должен включать и требования по безопасности. Договор, как минимум, должен
определять:</p>
<p>1) внутренние правила кибербезопасности учреждения, которые должен соблюдать
поставщик услуг при выполнении условий договора;</p>
<p>2) описание аутсорсинговых услуг;</p>
<p>3) точные требования к объему и качеству аутсорсинговых услуг,
задокументированные как Соглашение об уровне обслуживания (Service Level Agreement
(SLA));</p>
<p>4) права и обязанности учреждения и поставщиков аутсорсинговых услуг:</p>
<p>a) право учреждения осуществлять непрерывный мониторинг качества предоставляемых
услуг;</p>
<p>b) право учреждения предъявлять внешнему поставщику услуг исполнительный
документ относительно аспектов добросовестного, высококачественного аутсорсинга, а
также своевременного и точного выполнения законов и регламентов;</p>
<p>c) право учреждения представлять внешнему поставщику услуг обоснованное
письменное заявление для немедленного прекращения договора аутсорсинга, если
учреждение установило, что внешний поставщик услуг не соблюдает требования договора
аутсорсинга по объему или качеству обслуживания;</p>
<p>d) обязанность внешнего поставщика услуг предоставлять учреждению информацию для
непрерывного мониторинга качества предоставления аутсорсинговых услуг;</p>
<p>e) право на аудит поставщика услуг, если он был уведомлен о критических
несоответствиях.</p>
<p>&nbsp;</p>
<p class="cp">VII. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ, НЕПРЕРЫВНОСТЬ </p>
<p class="cp">ПРОЦЕССОВ И ВОССТАНОВЛЕНИЕ</p>
<p><b>24.</b> План реагирования на инциденты устанавливает, что:</p>
<p>1) учреждение должно разработать и внедрить план реагирования на
киберинциденты;</p>
<p>2) в случае угроз кибербезопасности ответственное лицо/подразделение
обеспечивает немедленное уведомление, регистрацию и проверку инцидентов в области
кибербезопасности и осуществление мер, направленных на их предотвращение в
соответствии с установленными процедурами.</p>
<p><b>25.</b> Бесперебойность деятельности и процедуры по восстановлению в случае
аварийной ситуации должны предусматривать:</p>
<p>1) внедрение процедур по выполнению резервных копий и восстановленных копий;</p>
<p>2) разработку и реализацию целей по восстановлению согласно целям на момент
восстановления (ЦМВ) и на период восстановления (ОПВ).</p>
<p><b>26.</b> Соответствие внутренним и внешним требованиям по кибербезопасности
предусматривает, что:</p>
<p>1) учреждение обновляет свой план действий для обеспечения кибернетической
безопасности, который уточняет осуществленные и планируемые меры;</p>
<p>2) учреждение обеспечивает свое соответствие внешним требованиям по
кибербезопасности, предусмотренным законодательством.</p>
<p>&nbsp;</p>