Контрольные мероприятия для обеспечения информационной безопасности
Информационная безопасность организации - целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных средств по достижению состояния защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий, чреватых нанесением ущерба. Она подразумевает собой защиту конфиденциальности, целостности и доступности информации.
Подразделение информационной безопасности штатным расписанием в инспекции не предусмотрено. Организацией обеспечения информационной безопасности согласно должностному регламенту в проверяемом периоде занимались старший специалист-эксперт отдела общего обеспечения Комбу В.В., старший специалист-эксперт отдела общего обеспечения Куулар О.Д.
Информационная безопасность в Управлении, рассматривается с позиций учета положений и соблюдения требований, сформулированных в Концепции информационной безопасности ФНС России, утвержденной приказом ФНС России от 29.08.2006 № САЭ-3-27/559@, Руководства по организации информационной безопасности на объектах информатизации Федеральной налоговой службы, утвержденного приказом ФНС России от 23.10.2007 № ММ-4-27/29дсп@, Концепции построения системы управления информационной безопасностью, утвержденной приказом ФНС России от 10.06.2008 № ВЕ-4-6/24дсп@ и выполнения законодательных, нормативно-правовых требований по информационной безопасности ФНС России.[8]
В Управлении проводится систематическая работа по планомерному созданию комплексной системы мер, обеспечивающей информационную безопасность. В проверяемом периоде в инспекции проводились мероприятия по реализации требований Концепции и Руководства информационной безопасности ФНС России, по блокированию попыток несанкционированного доступа к сетевым, информационным, программным и аппаратным ресурсам. Для защиты автоматизированной системы (АС) ПТК «ГНИВЦ ПРИЕМ Регион» используется специализированное техническое средство (электронный ключ «eToken PRO»).
В соответствии с требованиями приказа ФНС России от 23.10.2007 № ММ-4-27/29дсп@ «Об утверждении Руководства по организации информационной безопасности на объектах информатизации Федеральной налоговой службы» (далее - приказ ФНС России ММ-4-27/29дсп@), заменившего приказ Госналогслужбы России от 24.03.1997 № ВА-3-24/53дсп «О мерах по совершенствованию информационной безопасности в органах Государственной налоговой службы Российской Федерации», проводятся следующие мероприятия:
- инвентаризация используемых информационных ресурсов;
- проверка актуальности баз сертификатов электронных цифровых подписей и адресных книг, и порядок хранения и использования ключевых носителей;
- проверка организации доступа к информационным ресурсам;
- проверка функциональных ролей в Системе ЭОД;
- проверка оформления магнитных носителей резервных копий;
- просмотр результатов антивирусной проверки и несанкционированных атак из внешней сети.
Во исполнение приказа ФНС России от 30.07.2008 № ММ-3-6/336@ «Об утверждении Типового порядка доступа к информационным, программным и аппаратным ресурсам объекта информатизации ФНС России» утвержден Управлением «Порядок доступа к информационным, программным и аппаратным ресурсам объекта информатизации». Утвержден «Перечень информационных, программных и аппаратных ресурсов», заведен журнал инструктажа пользователей с правилами доступа к ресурсам Инспекции, журнал регистрации и учета заявок на предоставление доступа к информационным, программным и аппаратным ресурсам. Доступ к информационным ресурсам локальной вычислительной сети (ЛВС), сетевым задачам и базам данных осуществляется на основании Порядка, с которым ознакомлены, под роспись, все начальники отделов Управления, в чьи обязанности входит подача заявок на предоставление доступа к ИР для сотрудников своего отдела.
Системный администратор на основании запроса-заявки, утвержденного начальником Управления, включает в группы доступа к информационным ресурсам вновь принятых сотрудников, изменяет группы доступа при переводе сотрудника в другой отдел, исключает из групп доступа уволенных. Отдел общего обеспечения представляет информацию об уволенных сотрудниках в течение 3 дней после увольнения.
На основании приказа ФНС России от 03.03.2009 № ММ-3-6/386@ «Об утверждении Положения по информационной безопасности информационных, программных и аппаратных ресурсов объекта информатизации ФНС России», в соответствии с «Концепцией построения системы управления информационной безопасностью Федеральной налоговой службы», утвержденной приказом ФНС России от 10.02.2009 № ВВ-4-3/21дсп@, данное положение утверждено и принято к исполнению приказом Управления от 25.12.2008 № 01-04/34дсп «Об утверждении Положения о порядке организации и проведения работ по защите конфиденциальной информации». Приказом УФНС от 29.06.2014 № 01-27/56дсп «О создании Постоянно действующей технического совета по информационной безопасности» создан Постоянно действующий технический совет (далее – ПДТС). В соответствии с приказом ФНС России ММ-4-27/29дсп@, заседание ПДТС проводились не реже одного раза в полгода, в 2015 году проведено 2 заседания ПДТС и в 2016 году – 2 заседания.
ПДТС разработаны и утверждены следующие документы:
- Информационно-логический паспорт объекта информатизации за 2015 и 2016 гг.;
- Политика безопасности рабочих станций и серверов;
- Политика управления парольной защитой;
- Политика идентификации пользователей в локальной вычислительной сети;
- Политика информационной безопасности;
- Возможные каналы утечки и типовая модель угроз информационной безопасности на объекте информатизации.
В нарушение приказа ФНС России № ММ-4-27/29дсп@, разработана и утверждена Типовая модель нарушителя объекта информатизации Инспекции, а должна быть разработана Модель нарушителя ОИ применительно к условиям Инспекции. Организация работы по предоставлению информации ограниченного доступа органам государственной власти, органам местного самоуправления, организациям, общественным объединениям, юридическим и физическим лицам и другим пользователями в проверяемом периоде соответствовала требованиям приказа МНС России от 03.03.2003 № БГ-3-28/96 «Об утверждении порядка доступа к конфиденциальной информации налоговых органов». Работа по организации взаимодействия со сторонними организациями по обмену конфиденциальной информацией возложена на старшего специалиста-эксперта отдела общего обеспечения Комбу В.В. Организация работы с документами, содержащими сведения, составляющие служебную тайну налоговых органов в течение всего проверяемого периода соответствовала требованиям Инструкции о порядке работы с документами, содержащими сведения, составляющие служебную тайну налоговых органов, утвержденной приказом МНС России от 04.03.2002 № БГ-4-18/5дсп, Порядку обмена документами, содержащими конфиденциальную информацию, утвержденному приказом ФНС России от 17.11.2006 № САЭ-3-18/794, Перечню сведений ограниченного доступа, утвержденному приказом ФНС России от 05.06.2007 № ММ-4-27/17дсп.
Учет документов «Для служебного пользования» (далее – ДСП) организован в журналах учета входящих документов ДСП, ведущихся в канцелярии Управления и в отделах. Все документы с пометкой «Для служебного пользования» хранятся в надежно запираемых металлических шкафах и сейфах. Ведется журнал регистрации документов с грифом ДСП. Проверка наличия документов ДСП осуществляется ежегодно. Результаты работы комиссии по проверке наличия документов ДСП докладываются руководителю Управления справкой для принятия решения. По факту уничтожения непригодных к использованию небумажных носителей информации ДСП составляются акты.
Во исполнение требований приказа МНС России от 19.02.2001 № БГ-3-24/48, Приказа ФНС России от 31.12.2009 №ММ-7-6/731@ «Об утверждении Регламента управления ключевой информации» издан приказ Инспекции от 11.10.2010 № 01-12/174 «О назначении должностных лиц, ответственных за эксплуатацию и обеспечение безопасности СКЗИ в налоговых органах», где назначены за эксплуатацию и обеспечение безопасности ФАПСИ СКЗИ в Управлении Сереп Л.О., специалист 1 разряда отдела финансового обеспечения, Ичин А.А. старшего государственного налогового инспектора отдела работы с налогоплательщиками, Очур-оол А.Ю. и Ондар Т.О., государственные налоговые инспектора отдела работы с налогоплательщиками, Маады О.Н. заместитель начальника отдела работы с налогоплательщиками, Ооржак Э.Д., заместитель начальника отдела регистрации и учета налогоплательщиков. Возложены обязанности администратора безопасности сертифицированных ФАПСИ СКЗИ в Управлении на Комбу В.В., старшего специалиста-эксперта отдела общего обеспечения.
В соответствии с приказом от 11.12.2015 № 64 «О назначении ответственных за прием и отправку документов «ДСП в электронном виде», ответственными за прием и отправку документов, содержащих конфиденциальную информацию, в электронном виде назначены специалист 1 разряда Адыя Э.С., специалист 1 разряда Седен Л.Ч., специалиста 1 разряда Тюлюш У.С. Непосредственную работу с автономным программным комплексом DiSign (ЭЦП) осуществляют: оператор – специалистами 1 разряда отдела финансового обеспечения – Тюлюш У.С. и Сереп Л.О. ЭЦП руководителя Управления и его заместителей проставляется непосредственно специалистами 1 разряда Тюлюш У.С. и Сереп Л.О. по доверенности. Ключевые съемные накопители с ЭЦП руководителя, заместителей руководителя и оператора зарегистрированы в «Журнале учета выдачи ключей шифрования». Также разработан и утвержден Типовой порядок использования средств криптографической защиты информации и управления ключевой информацией в Инспекции. Работа абонентского пункта (АП) ведется в соответствии с «Порядком обмена документами в электронном виде между инспекциями МНС России по районам, районам в городах, городам без районного деления и инспекциями МНС России межрайонного уровня», утвержденным приказом МНС России от 10.09.2004 № САЭ-3-18/494@, а так же в соответствии с инструкцией РМ2-4-1.
В инспекции доведена до сотрудников под роспись Стратегия обеспечения информационной безопасности на объекте информатизации ФНС России, утвержденная приказом ФНС России от 31.12.2009 г. № ММ-7-6/727@. Проводится техучеба по обращению с документами ограниченного распространения – 3 раза. В автоматизированной системе (АС) в качестве сетевых операционных систем используется технологии Microsoft Windows Server 2003 EE и MS SQL Server 2000 EE. Регистрация пользователей в АС осуществляется при наличии учетной записи, создаваемой администратором сети. Несанкционированный доступ к Системе ЭОД незарегистрированным пользователям невозможен. Доступ в Системе ЭОД определяется функциональными ролями. Порядок работы со съемными накопителями информации определен приказом от 14.01.2008 № 01-12/01 «Об утверждении Технологии обработки конфиденциальной информации, используя съемные накопители информации большой емкости. Ежегодно проверяется наличие несанкционированного доступа к портам USB, CD/DVD-Rom, приемникам гибких дисков.
Согласно политике управления парольной защитой, осуществляется контроль за порядком присвоения уникальных идентификаторов и паролей администраторам сети и пользователям. У каждого администратора и сотрудника имеется личный «логин» и пароль для входа в локальную сеть. Имя регистрации присваивается системным администратором при создании учетной записи пользователя и не может быть изменено пользователем самостоятельно.
Для всех пользователей предусмотрена необходимость периодической смены паролей с интервалом в 30 дней. Пароль является безопасным, отвечает требованиям сложности – минимальная длина пароля 8 символов, используются заглавные, строчные буквы, цифры и спецсимволы. Каждым сотрудником инспекции заполняется парольная карта, которую он в запечатанном конверте передает администратору ИБ. Во исполнение Указа Президента Российской Федерации от 12.05.2004 № 611 «О мерах по обеспечению информационной безопасности РФ в сфере международного информационного обмена» и в соответствии с «Требованиями по использованию сети Интернет в Госналогслужбе России», утвержденными требованиями Госналогслужбы России от 26.09.1997 № 1997, и письма Госналогслужбы России от 07.10.97 № БГ-6-24/713дсп по использованию сети Интернет рабочие места, на которых обрабатывается служебная информация ограниченного распространения, не имеют выхода в Интернет.
Приказом от 17 февраля 2016 г. №01-12/29 «О назначении администратора безопасности» назначен Комбу В.В., старший специалист-эксперт отдела общего обеспечения. Администратор безопасности обеспечивает защищенный доступ к сети Интернет и осуществляет постоянный контроль использования ресурсов сети. Подключение АРМ к глобальной сети Интернет производится только с разрешения руководителя Управления. Обмен документами в системе электронного документооборота осуществляется только по каналу электронной почты, оснащенному средствами криптографической защиты информации с возможностью шифрования-дешифрования конфиденциальной информации и электронно-цифровой подписи.
В качестве основного антивирусного средства используется Антивирус Касперского для Windows Workstations и Антивирус Касперского для Windows Servers. Обновление антивирусных баз производится ежедневно. Не реже одного раза в неделю проверяются рабочие станции и сервера. Контроль антивирусной защиты обеспечивается программным приложением Антивируса Касперского – Kaspersky Administration Kit, что позволяет контролировать все рабочие станции в ЛВС Управления. В соответствии с приказом ФНС России от 23.11.2006 № САЭ-3-13/804@ «О порядке подключения пользователей к услуге удаленного доступа к федеральным информационным ресурсам, сопровождаемым Межрегиональной инспекцией ФНС России по централизованной обработке данных», (в редакции приказа от 06.08.2008 № ММ-3-6/345@), утверждены инструкции пользователя и сотрудника отвечающего за безопасность в части предоставления услуги удаленного доступа к информационным ресурсам, сопровождаемым МИ ФНС России по ЦОД.
По обеспечении безопасности рабочих мест пользователей услуги удаленного доступа к федеральным информационным ресурсам требованиям приказа ФНС России ль 06.08.2008 №MM-3-6/345@ представлены акты подготовки автоматизированных рабочих мест. О реализации в налоговых органах рекомендаций по использованию услуги удаленного доступа к федеральным информационным ресурсам, доведенным письмом ФНС России от 18.04.2008 №ЧД-6-6/296@ выполняются. Сотрудники, использующие услугу, ознакомлены с инструкцией под роспись. Акт подготовки рабочего места согласно приложению к приказу ФНС России от 23.11.2006 № САЭ-3-13/804@ «О порядке подключения пользователей к услуге удаленного доступа к федеральным информационным ресурсам, сопровождаемым Межрегиональной инспекцией ФНС России по централизованной обработке данных» составлен и утвержден 16.03.2007 г.
В соответствии с приказом ФНС России от 06.08.2008 № ММ-3-6/345@ и письмом ФНС России от 18.04.2008 № ЧД-6-6/296@ автоматизированные рабочие места соответствуют требованиям по защите от НСД к АРМ инспекторов, использующих услугу. В Управлении ведется Журнал регистрации пользователей услуги удаленного доступа к федеральным информационным ресурсам, сопровождаемым МИ ФНС России по ЦОД. В целом, принимаемые в Управлении по меры по соблюдению положений Концепции информационной безопасности Федеральной налоговой службы, утвержденной приказом ФНС России от 29.08.2006 № САЭ-3-27/559@, и выполнению законодательных и нормативно-правовых требований по информационной безопасности, способствуют своевременному выявлению, оценке и прогнозированию источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба интересам ФНС России, нарушению нормального функционирования и развития информационно-телекоммуникационной системы (далее - ИТКС) ФНС России.