- необходимо строго придерживаться установленных процедур по уведомлению о случаях поражения АИС компьютерными вирусами и принятию мер по ликвидации последствий от их проникновения;
- следует иметь планы обеспечения бесперебойной работы организации для случаев вирусного заражения, в том числе планы резервного копирования всех необходимых данных и программ и их восстановления. Эти меры особенно важны для сетевых файловых серверов, поддерживающих большое количество рабочих станций.
В рамках создания системы антивирусной защиты информационных ресурсов ФНС России необходимо разработать следующие организационно-распорядительные и нормативно-технические документы:
- Политика защиты от вредоносных программ, включая определение основных целей и области применения системы антивирусной защиты, требования к персоналу, степень ответственности, структуру и необходимый уровень защищенности от вредоносных программ, статус и должностные обязанности сотрудников отдела сопровождения системы антивирусной защиты
- Регламент централизованного управления, мониторинга и контроля функционирования системы антивирусной защиты;
- Регламент реагирования при обнаружении зараженных информационных ресурсов и систем (реакция на инциденты);
- Регламент предотвращения вирусных эпидемий и устранений последствий (очистка ресурсов ИТКС);
- Должностные инструкции администраторов и сотрудников безопасности, которые должны включать:
- Порядок установки и настройки средств антивирусной защиты;
- Порядок эксплуатации средств антивирусной защиты, в т.ч. обновление ПО, мониторинг и управление;
- Порядок действия в период вирусных эпидемий;
- Порядок действий при возникновении внештатных ситуаций, связанных с работоспособностью средств антивирусной защиты;
- Порядок действия для устранения последствий заражений.
- Технологические инструкции
5.10. Мероприятия по обнаружению компьютерных атак на информационные ресурсы и телекоммуникационные системы ФНС России
Основополагающими требованиями к системе обнаружения компьютерных атак на информационные ресурсы и телекоммуникационные системы ФНС России являются:
- система обнаружения компьютерных атак должна быть сертифицирована;
- система обнаружения компьютерных атак должна быть способна выявлять атаки, направленные на нарушение конфиденциальности, целостности и доступности информационных ресурсов.
Система обнаружения компьютерных атак должна обеспечивать возможность выполнения следующих основных функций:
- выявление информационных атак на прикладном уровне стека TCP/IP посредством анализа пакетов данных, передаваемых в ИТКС;
- блокирование пакетов данных, нарушающих заданную политику безопасности;
- мониторинг трафика, циркулирующего на сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем;
- выявление аномалий сетевого трафика;
- оповещение администратора безопасности об обнаруженных атаках или аномалиях сетевого трафика.
5.11. Мероприятия по организации разработки, хранения и распространения программного обеспечения ФНС России
При разработке специального программного обеспечения необходимо руководствоваться существующей системой разработки программной продукции, определяемой ЕСПД и другими государственными стандартами и нормативно-методическими документами, в том числе в области защиты информации.
Разработку СПО необходимо проводить в соответствии с ТЗ, согласованными с Управлением информационной безопасности ЦА ФНС России.
В состав СПО, содержащего функции обработки конфиденциальной информации должны включаться механизмы обеспечения безопасности информации (идентификации/аутентификации, контроля доступа, регистрации, целостности).
На всех этапах разработки СПО должны выполняться мероприятия по обеспечению конфиденциальности информации о назначении, механизмах функционирования, алгоритмах работы СПО, а также обеспечиваться контроль доступа к исходным текстам СПО.
Испытания СПО и сдача в эксплуатацию должны осуществляться в установленном порядке в соответствии с требованиями нормативных документов и стандартов.
Все стадии создания СПО должны согласовываться и/или проходить с участием представителей УИБ ЦА ФНС России.
Хранение дистрибутивов СПО должно исключать бесконтрольный доступ к ним сотрудников ФНС России.
СПО, предназначенное для защиты информации или содержащее механизмы обеспечения безопасности информации, должно проходить сертификационные испытания на соответствие требованиям по защите информации в специализированных организациях, имеющих лицензию на проведение соответствующих работ.
5.12. Мероприятия по совершенствованию организационно-штатной структуры подразделений, отвечающих за обеспечение информационной безопасности ФНС России
Основные мероприятия по совершенствованию организационно-штатной структуры подразделений защиты информации:
- создание в ЦА и территориальных подразделениях ФНС России аппарата администраторов информационной безопасности
- увеличение штата сотрудников отделов информационной безопасности территориальных подразделений ФНС России
- оснащение подразделений информационной безопасности программно-техническими средствами для проведения контроля состояния ИБ в ФНС России
- проведение мероприятий по повышению квалификации сотрудников подразделений по защите информации
5.13. Мероприятия по повышению квалификации специалистов в области защиты информации
Подготовка и переподготовка пользователей и специалистов ФНС России по защите информации требует создание системы повышения уровня технической грамотности и информированности пользователей в области информационной безопасности, а также переподготовки специалистов по защите информации. Для этого необходимо регулярно проводить тренинги для персонала и контроль готовности новых сотрудников по применению правил информационной защиты, а также периодически осуществлять переподготовку специалистов подразделений защиты информации. Особенно важно проводить тренинги при изменении конфигурации информационной системы (внедрении новых технологий и прикладных автоматизированных систем, смены оборудования, операционной системы, ключевых приложений, принятии новых правил или инструкций и т.д.)
5.14. Мероприятия по внутреннему аудиту информационных систем ФНС России
Внутренний аудит информационных систем ФНС России производится сотрудниками, ответственными за информационную безопасность, по распоряжению Руководителя Службы (подразделения ФНС) или начальника Управления (отдела) информационной безопасности ФНС России. Сроки и режим проведения внутреннего аудита устанавливаются Руководителем или начальником УИБ ФНС России.
Целью внутреннего аудита является оценка текущего состояния системы информационной безопасности ИТКС, разработка или актуализация организационных и технических требований к системе информационной безопасности ФНС России, прогнозирование на основе этого требуемых затрат на ее поддержание и модернизацию.
Требования к системе информационной безопасности разрабатываются на основе анализа существующих угроз информационно-телекоммуникационной системы, идентификации существующих уязвимостей и оценки величины возможного ущерба.
В ходе внутреннего аудита должны быть выполнены следующие процедуры:
- построение или актуализация структурной модели составляющих ИТКС ФНС России;
- построение или актуализация моделей угроз по составляющим ИТКС ФНС России;
- построение моделей защиты по составляющим ИТКС ФНС России;
- идентификация и оценка критически важных и опасных составляющих ИТКС;