Рекомендации ОАЦ при Президенте Республики Беларусь по обеспечению безопасности информации в локальных сетях, подключенных к сети Интернет
Государственные органы обязаны реализовать в собственных информационных системах и контролировать выполнение подчиненными организациями меры, позволяющие:
- осуществлять предоставление доступа сотрудникам органа (организации) к сервисам сети Интернет (электронная почта, передача файлов, информационные ресурсы и др.) в соответствии с определенным в государственном органе порядком;
- определить правила работы сотрудников с сервисами сети Интернет (электронная почта, передача файлов, доступ к информационным ресурсам, IP-телефонии, социальным сетям и публичным системам мгновенных сообщений);
- определить администраторов сети, их права и обязанности;
- определить права и обязанности пользователей;
- определить ответственность сотрудников и должностных лиц за обеспечение защиты информации;
- обеспечить контроль использования сотрудниками в глобальных сетях: IP-телефонии, социальных сетей и публичных систем мгновенных сообщений;
- определить порядок и перечень используемого программного обеспечения на средствах вычислительной техники сотрудников;
- определить порядок применения средств защиты информации, установленных в локальной вычислительной сети;
- определить необходимые мероприятия по разграничению доступа к средствам защиты информации и обработки информации;
- определить регламент смены атрибутов безопасности (паролей) пользователей;
- определить порядок действий при возникновении нештатной ситуации (сбои, повреждения и отказы) с информационными ресурсами;
- определить регламенты резервирования и уничтожения информации;
- определить порядок контроля, учета использования ресурсов сети Интернет пользователями, формирования и предоставления руководству организации отчетных документов.
С использованием технических, программно-аппаратных и программных средств:
- обеспечить межсетевое экранирование с использованием собственных возможностей и (или) возможностей уполномоченных поставщиков интернет-услуг;
- обеспечить идентификацию абонентских устройств в локальной сети;
- обеспечить блокирование неконтролируемого обмена информацией между рабочими местами пользователей в локальной сети;
- исключить использование на рабочих местах в локальной сети постороннего программного обеспечения, ресурсов сети Интернет, предназначенных для сокрытия действий пользователя;
- исключить подключение рабочего места в локальной сети к сетям связи общего пользования через другие каналы доступа (сотовый телефон, модем);
- обеспечить синхронизацию системного времени от единого (общего) источника (в качестве источника использовать службу единого времени Белорусского государственного института метрологии);
- осуществлять сбор и хранение данных авторизации и статистики использования сети Интернет пользователями в течение 1 года;
- обеспечить возможность анализа использования сети Интернет пользователями (с использованием собственных возможностей или поставщиков интернет-услуг);
- применять криптографические протоколы для защиты данных авторизации при работе с сервисами сети Интернет.
Рекомендации по обеспечению безопасности информации интернет-ресурсов государственных органов
В соответствии с пунктом 7 Указа Президента Республики Беларусь от 1 февраля 2010 г. № 60 "О мерах по совершенствованию использования национального сегмента сети Интернет" уполномоченные поставщики интернет-услуг при оказании интернет-услуг обеспечивают защиту информации государственных органов и организаций, использующих в своей деятельности сведения, составляющие государственные секреты.
Требования по обеспечению защиты информации утверждены приказом начальника Оперативно-аналитического центра при Президенте Республики Беларусь от 2 августа 2010 г. № 60 "Об утверждении Положения о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты".
В этой связи для минимизации затрат по хостингу сайта целесообразно на начальном этапе выбрать поставщика интернет-услуг и осуществлять в тесном взаимодействии с ним создание системы защиты, включая вопросы формирования задания по безопасности и проведения аттестации.
Для использования функций по обеспечению защиты информации системы управления сайтом (далее – СУС) в государственных информационных системах необходимо проведение ее оценки. Оценка СУС по требованиям безопасности должна проводиться путем сертификации на соответствие требованиям Технического регламента Республики Беларусь "Информационные технологии. Средства защиты информации. Информационная безопасность" (ТР 2013/027/BY).