Протокол №3/18
ПРОТОКОЛ
заседания Совета по вопросам технической защиты информации
в Ханты-Мансийском автономном округе - Югре
№ 3/18
__________________________________________________________________
г. Ханты-Мансийск |
11 декабря 2018 года |
ПРЕДСЕДАТЕЛЬСТВОВАЛ
Директор Департамента информационных технологий и цифрового развития
Ханты-Мансийского автономного округа - Югры,
заместитель председателя Совета
Ципорин Павел Игоревич
В заседании Совета по вопросам технической защиты информации приняли участие должностные лица, определенные постановлением Губернатора Ханты-Мансийского автономного округа - Югры от 07 июня 2018 года № 49 и начальник 2 отдела Управления ФСТЭК России по Уральскому федеральному округу Киршин Николай Аркадьевич.
1. О составе нарушений и недостатков, выявленных в ходе проверок организации и состояния работ по технической защите информации и обеспечению безопасности персональных данных в органах государственной власти Уральского федерального округа.
__________________________________________________________________
(Киршин Н.А.)
РЕШИЛИ:
1.1. Информацию Киршина Н.А. принять к сведению.
1.2. Руководителям исполнительных органов государственной власти Ханты-Мансийского автономного округа - Югры (далее - автономный округ), Главам городских округов и муниципальных районов автономного округа, руководителям бюджетных (автономных) и муниципальных учреждений при реализации мероприятий по защите информации учитывать следующие нарушения и недостатки, выявленные в ходе проверок организации и состояния работ по технической защите информации и обеспечению безопасности персональных данных в органах государственной власти Уральского федерального округа:
- не назначены ответственные за непосредственное руководство работами по защите информации;
- порядок и проведение работ по защите информации с пометкой «Для служебного пользования» не разработан;
- не назначены должностные лица, ответственные за реализацию мероприятий по защите информации, в том числе за организацию обработки персональных данных;
- не определены границы контролируемой зоны объектов информатизации;
- не реализованы в полном объеме меры по исключению несанкционированного доступа к средствам, обеспечивающим функционирование государственных (муниципальных) информационных систем персональных данных;
- не определены классы защищенности информационных систем, либо результаты классификации не оформлены актом классификации;
- не производится учет машинных носителей информации;
- не определены угрозы безопасности персональных данных, модели угроз не разработаны, либо модели угроз разработаны не в полном соответствии с «Методикой определения актуальных угроз безопасности»;
- не учитывались меры по защите среды виртуализации при аттестационных испытаниях;
- в качестве реализации мер по идентификации и аутентификации, управлению доступом и регистрации событий безопасности, применяется программное обеспечение, не прошедшим оценку соответствия, при этом, достаточные меры защиты, компенсирующие данный факт, не приняты;
- не в полной мере применяются средства защиты информации, необходимые для блокирования (нейтрализации) актуальных угроз безопасности информации (средства антивирусной защиты, средства по обнаружению (предотвращению) вторжений, средства межсетевого экранирования);
- не реализованы меры по ограничению программной среды;
- не проводится анализ защищенности информационных систем с использованием сертифицированных программных средств (сканеров безопасности);
- не проводится анализ уязвимостей информационных систем;
- не проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных (далее – ПДн) до ввода в эксплуатацию государственных информационных систем ПДн;
- не выполняются требования парольной защиты (недостаточная сложность паролей, срок действия паролей не ограничен);
- состав программной среды не соответствует перечню программных средств, указанному в техническом паспорте;
- подключение беспроводных средств доступа (USB-модемов, сотовых телефонов) и USB-накопителей к автоматизированным рабочим местам пользователей, используемых для обработки ПДН, при существующем запрете на подключение внешних носителей информации;
- настройки средств защиты информации от несанкционированного доступа не соответствуют документам, определяющим разрешительную систему доступа;
- использование на автоматизированных рабочих местах, входящих в состав государственных информационных систем, старых версий средств защиты информации от несанкционированного доступа, имеющих уязвимости (BDU:2016-01520, BDU:2016-00436);
- использование операционных систем, имеющих многочисленные уязвимости в связи с прекращенной производителем поддержкой и отсутствием обновлений;
- для обработки служебной информации ограниченного распространения использовались неаттестованные по требованиям безопасности информации объекты информатизации, в том числе, имеющие подключение к сети «Интернет»;
- на защищаемые помещения, аттестованные по требованиям безопасности информации, отсутствуют технические паспорта и протоколы аттестационных испытаний, а также не были назначены ответственные за эксплуатацию объектов информатизации;
- машинные носители информации, предназначенные для хранения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, не учитывались;
- защищенность объекта информатизации, используемого для обработки информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки конфиденциальной информации по каналу побочных информативных электромагнитных излучений не обеспечивается.
Срок: постоянно.
2. О реализации требований Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» на территории автономного округа.
__________________________________________________________________
(Чиликов А.Ю.)
РЕШИЛИ:
2.1. Информацию Чиликова А.Ю. принять к сведению.
2.2. Департаменту информационных технологий и цифрового развития автономного округа:
2.2.1. Спланировать и организовать мероприятия по реализации «Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утверждённых приказом ФСТЭК России от 25 декабря 2017 года № 239.
2.2.1. Обеспечить оказание методической помощи исполнительным органам государственной власти автономного округа и подведомственным им учреждениям по организации безопасности значимых объектов критической информационной инфраструктуры.
Срок: до 01.11.2019.
3. О результатах анализа уязвимостей и угроз информационной безопасности в корпоративной сети органов государственной власти автономного округа.
__________________________________________________________________
(Мельников А.В.)
РЕШИЛИ:
3.1. Информацию Мельникова А.В. принять к сведению.
3.2. Департаменту финансов автономного округа, Главам городских округов и муниципальных районов автономного округа, руководителям государственных и муниципальных учреждений предусмотреть в плане работ по защите информации на 2019 год мероприятия по анализу уязвимостей и угроз информационной безопасности на ежемесячной основе с отражением результатов анализа в соответствующем журнале.
Срок: до 01.02.2019.
4. Об утверждении «Плана мероприятий по технической защите информации в исполнительных органах государственной власти Ханты- Мансийского автономного округа - Югры на 2019 год» и «Плана работы Совета по вопросам технической защиты информации в Ханты- Мансийском автономном округе - Югре на 2019 год».
__________________________________________________________________
(Зеленин П.Н.)
РЕШИЛИ:
4.1. Информацию Зеленина П.Н. принять к сведению.
4.2. Утвердить План мероприятий по технической защите информации в исполнительных органах государственной власти Ханты-Мансийского автономного округа — Югры на 2019 год (далее — «План ТЗИ-2019») и План работы Совета по вопросам технической защиты информации в Ханты- Мансийском автономном округе - Югре на 2019 год.
4.3. Управлению информационной безопасности Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа - Югры организовать проведение комплексных мероприятий по технической защите информации в соответствии с утвержденным «Планом ТЗИ-2019».
Отв.: Чиликов А.Ю. Срок: до 30.12.2019.
4.3.2. Выписки из «Плана ТЗИ-2019» и настоящего протокола направить в исполнительные органы государственной власти и органы местного самоуправления городских округов и муниципальных районов автономного округа (в части, касающейся).
Отв.: Чиликов А.Ю. Срок: до 28.12.2018
4.4. Департаменту финансов автономного округа:
4.4.1. Разработать план комплексных мероприятий по защите информации в Департаменте финансов Югры (по ранее доведенной форме, исх. от 12.02.2014 от ВЕ-2350) и направить копию утвержденного плана в Управление информационной безопасности Депинформтехнологий Югры.
Срок: до 01.02.2019
4.4.2. Информационную справку о реализации мероприятий «Плана комплексных мероприятий по защите информации в Департаменте финансов Югры на 2019 год» направить в Управление информационной безопасности Депинформтехнологий Югры.
Срок-до 10.12.2019.
Директор Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа - Югры, заместитель председателя Совета Секретарь Совета
Директор Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа - Югры, заместитель председателя Совета Секретарь Совета
|
П.И.Ципорин |
заместитель председателя Совета Секретарь Совета
|
П.Н.Зеленин |
Заместитель директора Департамента – начальник Управления информационной безопасности Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа – Югры |
А.Ю.Чиликов |