Об утверждении инструкций по обеспечению информационной безопасности при работе с базами данных управления и таможен
В целях совершенствования политики информационной безопасности при
работе с региональными базами данных Управления и таможен ПРИКАЗЫВАЮ:
1. Утвердить Инструкцию пользователя по защите информации при работе
с базами данных Управления (приложение 1).
2. Утвердить Инструкцию администратора по защите информации при
работе с базами данных Управления (приложение 2).
3. Начальникам служб, самостоятельных подразделений Управления и
подчиненных таможен, должностные лица которых имеют право доступа к
региональным базам данных Управления, обеспечить:
- соблюдение указанных инструкций и доведение настоящего приказа до
личного состава подразделений под роспись;
- своевременную подачу в информационно-техническую службу Управления
заявок на доступ к базам данных Управления должностным лицам, вновь
поступившим на службу в подразделения таможенных органов, в
функциональные обязанности которых входит работа с базами данных
Управления;
- представление сведений в отдел защиты информации
информационно-технической службы Управления о перемещениях и переводах в
другие подразделения должностных лиц, имеющих доступ к базам данных
Управления, в день принятия решения о переводе или перемещении;
- перерегистрацию до 01.06.2004 должностных лиц, работающих с базами
данных Управления, согласно утверждаемым инструкциям во избежание
прекращения доступа к базам данных Управления.
4. Начальникам таможен разработать и до 01.08.2004 согласовать с
информационно-технической службой Управления инструкции администраторов и
пользователей по защите информации при работе с базами данных таможен,
утвердить их соответствующими приказами.
5. Информационно-технической службе Управления (Н.И. Раменских):
5.1. Предоставлять должностным лицам Управления и подчиненных
таможен, в функции которых входит работа с базами данных Управления,
доступ к информации посредством функциональных подсистем, сопровождаемых
информационно-технической службой Управления.
5.2. Устанавливать непосредственный доступ к базам данных Управления
только должностным лицам, прошедшим инструктаж и перерегистрацию в
информационно-технической службе Управления.
6. Контроль за исполнением настоящего приказа возложить на
заместителя начальника Управления - начальника информационно-технической
службы Н.И. Раменских.
Начальник Управления
генерал-майор таможенной службы
В.И.Седов
Приложение 1
к приказу Центрального
таможенного управления
от 20 апреля 2004 г. N 222
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ ПРИ РАБОТЕ С БАЗАМИ
ДАННЫХ УПРАВЛЕНИЯ
В настоящей Инструкции использованы следующие термины и определения:
1. База данных (далее - БД) - централизованное хранилище информации,
оптимизированное для многопользовательского доступа и работающее под
управлением системы управления базами данных (далее - СУБД).
2. Информационная система с использованием БД (далее - ИСБД) -
система или приложение, использующее непосредственный доступ к БД.
3. Идентификатор - буквенно-числовая последовательность, позволяющая
однозначно определять работу пользователя в БД.
4. Пароль - секретная последовательность символов, известная только
пользователю, позволяющая подтвердить соответствие реальной сущности
пользователя, предъявляемая им идентификатору.
5. Пользователи - должностные лица таможенных органов, а также все
другие лица и организации, работающие с БД Управления.
6. Администратор БД и администратор безопасности БД - должностные
лица таможенного органа, уполномоченные для выполнения административных
функций и обеспечивающие функционирование БД и ее безопасность
соответственно.
7. ЛВС - локальная вычислительная сеть.
8. Политика информационной безопасности - комплекс
организационно-технических мероприятий, правил и условий использования
информационных систем Центрального таможенного управления (далее - ИС
ЦТУ), определяющих нормальное функционирование систем и обеспечение
безопасности информации, обрабатываемой в ИС ЦТУ, оформленных в виде
нормативных документов.
Общие положения
по организации доступа к базам данных Управления
9. Инструкция пользователя по защите информации при работе с базами
данных Управления (далее - Инструкция) определяет комплекс
организационно-технических мероприятий по обеспечению безопасности
информации, хранящейся в БД и обрабатываемой с помощью средств
вычислительной техники в ЛВС Управления.
10. Инструкция предназначена для обеспечения эффективной организации
и управления доступом пользователей к информации, хранящейся в БД, и
содержит требования по обеспечению информационной безопасности таможенных
органов в части выполнения операций по организации и управлению доступом
к БД.
11. Инструкция является частью политики информационной безопасности
Управления.
12. Обеспечение информационной безопасности работы таможенных органов
в части организации и управления доступом к БД основывается на
требованиях следующих руководящих документов:
- Таможенного кодекса Российской Федерации;
- приказа ГТК России от 31.12.98 N 906 "О Концепции информационной
безопасности таможенных органов Российской Федерации";
- приказа ГТК России от 03.09.99 N 595дсп "Об устранении недостатков,
выявленных Инспекцией Гостехкомиссии России";
- приказа ГТК России от 16.06.2001 N 670 "О временном руководстве
администратора безопасности по организации разграничения доступа к базам
данных таможенных органов";
- приказа ГТК России от 15.03.2004 N 315 "Об утверждении Положения о
порядке формирования и использования информационных ресурсов таможенных
органов";
- руководящих документов Гостехкомиссии России по обеспечению
информационной безопасности.
13. Требования Инструкции обязательны для выполнения всеми
пользователями. Ответственность за выполнение требований Инструкции несут
пользователь БД и начальник подразделения, в котором работает данный
пользователь. Перед началом работы пользователь обязан ознакомиться с
данной Инструкцией.
14. Все положения Инструкции, упоминающие подключение к БД,
распространяются также и на подключение к ИСБД, если иное не оговорено
явно в тексте Инструкции.
15. Решение задач, связанных с организацией и управлением доступом
должностных лиц Управления к БД, осуществляется администратором баз
данных совместно с администратором безопасности БД (приложение 1 к
настоящей Инструкции). При возникновении ситуаций, не описываемых
положениями настоящей Инструкции, решение принимает администратор БД
совместно с администратором безопасности БД, руководствуясь Инструкцией
администратора по защите информации при работе с базами данных
Управления.
16. Ответственность за сохранность и правильное использование
информации, полученной из БД, несут пользователь, имеющий доступ к БД, и
начальник структурного подразделения, в составе которого работает
пользователь. Ответственность наступает с момента поступления информации
на рабочую станцию пользователя, фиксируемого в протоколе аудита БД.
17. Для обеспечения доступа пользователей к БД на их рабочих станциях
должно быть установлено специальное программное обеспечение,
обеспечивающее доступ и выполнение операций с информацией в БД. Установку
и конфигурирование данного программного обеспечения на рабочих станциях
пользователей выполняют уполномоченные администратором БД должностные
лица информационно-технических подразделений.
18. Пользователям запрещается самостоятельно устанавливать другое
программное обеспечение (или менять параметры конфигурации ранее
установленных программных средств) для доступа и манипулирования данными
в БД.
19. Рабочие станции, на которых обрабатывается или хранится
информация, полученная из БД, а также с которых осуществляется доступ к
БД, должны соответствовать требованиям, устанавливаемым информационно-
технической службой (далее - ИТС) Управления. Данные требования
утверждаются начальником ИТС Управления и доводятся информационным
письмом до сведения всех пользователей и начальников подразделений.
20. Доступ пользователей к БД предоставляется только с использованием
типовых ролей через формальные схемы БД, ассоциируемые с конкретными
пользователями, или с использованием специального программного
обеспечения, введенного в эксплуатацию ИТС Управления. Запрещается
предоставлять пользователям доступ к информации, хранящейся в БД,
способами, отличными от вышеуказанных.
21. Доступ к БД предоставляется исключительно пользователям,
прошедшим регистрацию в вычислительных сетях Управления согласно политике
информационной безопасности и имеющим активированный почтовый ящик
ведомственной электронной почты.
Идентификация и авторизация пользователей
22. Для каждого из пользователей, которым необходим доступ к БД,
создается учетная запись о пользователе БД, состоящая из имени
(идентификатора) пользователя и пароля.
23. Срок действия активной учетной записи пользователя БД 1 год. Срок
действия учетной записи пользователя должен периодически продлеваться
согласно нижеследующей процедуре, иначе учетная запись блокируется до
принятия положительного решения о продлении полномочий пользователя.
24. Первоначальное значение пароля устанавливает администратор БД.
Периодичность, порядок и технология изменения пароля доводится
администратором безопасности БД до пользователей отдельным информационным
письмом.
25. Пользователю запрещается использовать пароль, предоставленный
администратором БД для первоначального доступа к БД, в качестве
постоянного рабочего пароля.
26. Не допускается использование различными пользователями одной и
той же учетной записи. Это правило действует и в тех случаях, когда
пользователи имеют одинаковые полномочия по доступу к БД. Для ИСБД данное
положение может не применяться, если в технологической схеме есть прямое
указание на возможность коллективного использования одной учетной записи.
Порядок организации доступа пользователей к базам данных
27. Порядок организации доступа к БД состоит из следующих этапов:
Начальник ИТС Управления или его заместитель принимает решение о
разрешении доступа пользователя к БД по ходатайству начальника службы
(начальника самостоятельного отдела, отделения), в составе которой
работает данный пользователь. Начальник структурного подразделения
составляет и подписывает заявку на регистрацию пользователя баз данных
(приложение 2 к настоящей Инструкции), выполняет действия в следующем
порядке:
- подписывает заявку у начальника службы;
- согласует ее со службой собственной безопасности Управления;
- утверждает ее у начальника ИТС Управления;
- передает ее администратору БД (приложение 1 к настоящей
Инструкции).
Администратор БД лично сообщает пользователю его идентификатор и
пароль для доступа к БД под роспись в карточке пользователя (приложение 3
к настоящей Инструкции). Заявка и карточка остаются на хранении у
администратора безопасности БД.
Решение о необходимости изменения полномочий доступа пользователя к
БД принимает начальник ИТС Управления по ходатайству начальника
структурного подразделения, в составе которого работает данный
пользователь, на основании заявки на изменение полномочий пользователя БД
(приложение 2 к настоящей Инструкции). Администратор БД вносит
необходимые изменения в карточку пользователя.
За 1 месяц до окончания срока действия полномочий пользователя
начальник структурного подразделения направляет заявку на продление
полномочий пользователя в ИТС Управления (приложение 4 к настоящей
Инструкции).
Решение об удалении учетной записи пользователя БД принимает
начальник ИТС Управления или его заместитель по представлению
администратора БД или администратора безопасности БД на основании заявки
начальника структурного подразделения, в составе которого работает данный
пользователь (приложение 5 к настоящей Инструкции), либо информации,
полученной из кадровой службы Управления.
28. Пользователю запрещается передавать в любом виде или сообщать
идентификаторы и пароли для доступа к БД другим лицам, в том числе и
своим руководителям. Идентификатор, но не пароль пользователя может
сообщаться администратору БД при выявлении неисправностей. Запрещается
хранение пароля на любых твердых носителях, позволяющих другим лицам
получить информацию о пароле.
29. Пользователю запрещается использовать информацию, полученную в
результате доступа к БД, в целях, не предусмотренных его функциональными
обязанностями и технологическими схемами.
Обязанности пользователей баз данных
30. Пользователь, имеющий возможность ввода или изменения данных в
БД, обязан обеспечить правильность вводимых данных.
31. Пользователь обязан закрывать соединение с базой данных на время
своего отсутствия у рабочей станции.
32. Пользователь или начальник структурного подразделения обязаны
своевременно сообщать администратору баз данных об изменениях статуса
пользователя (увольнение, перевод на другую должность и т.п.).
33. В случае выявления инцидентов с доступом к БД (фактов
несанкционированного доступа к БД, блокировки доступа, утери или
компрометации пароля и т.д.) пользователь обязан незамедлительно сообщить
об этом администратору БД или администратору безопасности БД.
34. Возможность подключения к БД не дает права пользователям
подключаться к БД, если им не предоставлены права доступа к этим БД.
Такие подключения рассматриваются как попытки несанкционированного
доступа.
Ответственность пользователей баз данных
35. При нарушениях правил, связанных с информационной безопасностью,
пользователь несет ответственность, установленную действующим
законодательством Российской Федерации и нормативными актами таможенных
органов.
36. Пользователь несет ответственность за все действия, совершенные
от имени его учетной записи, если не доказан факт несанкционированного
использования учетной записи.
37. Начальники служб и отделов (отделений) несут персональную
ответственность за неправильное использование личным составом учетных
записей пользователей, имеющих доступ к региональным БД Управления, а
также за ознакомление (под роспись) с Инструкцией новых пользователей БД
в своем структурном подразделении.
38. При выявлении инцидентов с доступом к БД доступ пользователей к
БД может быть приостановлен до окончания расследования инцидента, о чем
пользователь либо его руководитель уведомляются в кратчайшие сроки. По
результатам служебного расследования нарушитель может быть лишен прав
доступа к БД, материалы расследования могут быть направлены в
соответствующие службы для привлечения нарушителя к административной
ответственности.
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
Н.И.Раменских
Приложение 1
к Инструкции
СПИСОК
ДОЛЖНОСТНЫХ ЛИЦ, ИСПОЛНЯЮЩИХ ОБЯЗАННОСТИ
АДМИНИСТРАТОРОВ БАЗ ДАННЫХ УПРАВЛЕНИЯ
Администраторы баз данных Управления:
1. Начальник отдела эксплуатации и администрирования ЛВС ИТС
Управления - Иванов Дмитрий Павлович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-idp@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
2. Заместитель начальника отдела эксплуатации и администрирования ЛВС
ИТС Управления - Волчанецкий Владимир Владимирович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-vvv@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
3. Начальник отделения ведения баз данных отдела эксплуатации и
администрирования ЛВС ИТС Управления - Штенцов Максим Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-smn@mtu.customs.ru.
(095) 975-45-14; 52-23-77.
Администратор безопасности баз данных Управления:
Начальник отдела защиты информации ИТС Управления - Алексахин Андрей
Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 206.
Asu-aan@mtu.customs.ru.
(095) 975-45-93; 52-21-51.
Приложение 2
к Инструкции
УТВЕРЖДАЮ
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
__________________________ Н.И. Раменских
"___" __________________________ 200__ г.
ЗАЯВКА
НА РЕГИСТРАЦИЮ (МОДИФИКАЦИЮ ПОЛНОМОЧИЙ) ПОЛЬЗОВАТЕЛЯ
БАЗ ДАННЫХ
Подразделение _________________________________________________ Должность _____________________________________________________ Фамилия, имя, отчество ________________________________________ Инструкцию пользователя по защите информации при работе с базами данных Управления, утвержденную приказом Управления от __________ N _______________, изучил(а), обязуюсь выполнять. ________________________________ (подпись, дата) Телефоны, e-mail ______________________________________________ Сетевой идентификатор _________________________________________ База данных Є (Функциональные задачи) Таможенное оформление Є Контроль доставки товаров Є Оформление автотранспортных средств Є Региональные среднерасчетные цены Є Учет участников ВЭД Є Периодичность доступа Постоянный доступ Доступ в рабочее время Заместитель начальника таможенного органа (начальник службы Управления) _________________________ (______________) Начальник подразделения _________________________ (______________) Согласовано: Администратор БД ________ ________________ (______________) (дата) Начальник отдела защиты информации ________ ________________ (______________) (дата) Начальник отдела защиты информации ________ ________________ (______________) (дата) От службы собственной безопасности ________ ________________ (______________) (дата)
Приложение 3
к Инструкции
УТВЕРЖДАЮ
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
______________________ Н.И. Раменских
"___" ______________________ 200__ г.
КАРТОЧКА ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ N ________ Є Фамилия, имя, отчество Организация (подразделение)
Согласовано: