ПРОТОКОЛ

заседания Совета по вопросам технической защиты информации
в Ханты-Мансийском автономном округе - Югре

№ 3/18

__________________________________________________________________

г. Ханты-Мансийск

11 декабря 2018 года

ПРЕДСЕДАТЕЛЬСТВОВАЛ

Директор Департамента информационных технологий и цифрового развития
Ханты-Мансийского автономного округа - Югры,
заместитель председателя Совета
Ципорин Павел Игоревич

В заседании Совета по вопросам технической защиты информации приняли участие должностные лица, определенные постановлением Губернатора Ханты-Мансийского автономного округа - Югры от 07 июня 2018 года № 49 и начальник 2 отдела Управления ФСТЭК России по Уральскому федеральному округу Киршин Николай Аркадьевич.

1.            О составе нарушений и недостатков, выявленных в ходе проверок организации и состояния работ по технической защите информации и обеспечению безопасности персональных данных в органах государственной власти Уральского федерального округа.

__________________________________________________________________

(Киршин Н.А.)

РЕШИЛИ:

1.1.      Информацию Киршина Н.А. принять к сведению.

1.2.      Руководителям исполнительных органов государственной власти Ханты-Мансийского автономного округа - Югры (далее - автономный округ), Главам городских округов и муниципальных районов автономного округа, руководителям бюджетных (автономных) и муниципальных учреждений при реализации мероприятий по защите информации учитывать следующие нарушения и недостатки, выявленные в ходе проверок организации и состояния работ по технической защите информации и обеспечению безопасности персональных данных в органах государственной власти Уральского федерального округа:

-   не назначены ответственные за непосредственное руководство работами по защите информации;

-   порядок и проведение работ по защите информации с пометкой «Для служебного пользования» не разработан;

-   не назначены должностные лица, ответственные за реализацию мероприятий по защите информации, в том числе за организацию обработки персональных данных;

-                         не определены границы контролируемой зоны объектов информатизации;

-                    не реализованы в полном объеме меры по исключению несанкционированного доступа к средствам, обеспечивающим функционирование государственных (муниципальных) информационных систем персональных данных;

-    не определены классы защищенности информационных систем, либо результаты классификации не оформлены актом классификации;

-     не производится учет машинных носителей информации;

-    не определены угрозы безопасности персональных данных, модели угроз не разработаны, либо модели угроз разработаны не в полном соответствии с «Методикой определения актуальных угроз безопасности»;

-    не учитывались меры по защите среды виртуализации при аттестационных испытаниях;

-    в качестве реализации мер по идентификации и аутентификации, управлению доступом и регистрации событий безопасности, применяется программное обеспечение, не прошедшим оценку соответствия, при этом, достаточные меры защиты, компенсирующие данный факт, не приняты;

-    не в полной мере применяются средства защиты информации, необходимые для блокирования (нейтрализации) актуальных угроз безопасности информации (средства антивирусной защиты, средства по обнаружению (предотвращению) вторжений, средства межсетевого экранирования);

-     не реализованы меры по ограничению программной среды;

-    не проводится анализ защищенности информационных систем с использованием сертифицированных программных средств (сканеров безопасности);

-     не проводится анализ уязвимостей информационных систем;

-    не проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных (далее – ПДн) до ввода в эксплуатацию государственных информационных систем ПДн;

-    не выполняются требования парольной защиты (недостаточная сложность паролей, срок действия паролей не ограничен);

-    состав программной среды не соответствует перечню программных средств, указанному в техническом паспорте;

-    подключение беспроводных средств доступа (USB-модемов, сотовых телефонов) и USB-накопителей к автоматизированным рабочим местам пользователей, используемых для обработки ПДН, при существующем запрете на подключение внешних носителей информации;

-    настройки средств защиты информации от несанкционированного доступа не соответствуют документам, определяющим разрешительную систему доступа;

-    использование на автоматизированных рабочих местах, входящих в состав государственных информационных систем, старых версий средств защиты информации от несанкционированного доступа, имеющих уязвимости (BDU:2016-01520, BDU:2016-00436);

-    использование операционных систем, имеющих многочисленные уязвимости в связи с прекращенной производителем поддержкой и отсутствием обновлений;

-    для обработки служебной информации ограниченного распространения использовались неаттестованные по требованиям безопасности информации объекты информатизации, в том числе, имеющие подключение к сети «Интернет»;

-    на защищаемые помещения, аттестованные по требованиям безопасности информации, отсутствуют технические паспорта и протоколы аттестационных испытаний, а также не были назначены ответственные за эксплуатацию объектов информатизации;

-   машинные носители информации, предназначенные для хранения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, не учитывались;

-   защищенность объекта информатизации, используемого для обработки информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки конфиденциальной информации по каналу побочных информативных электромагнитных излучений не обеспечивается.

Срок: постоянно.

2.     О реализации требований Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» на территории автономного округа.

__________________________________________________________________

(Чиликов А.Ю.)

РЕШИЛИ:

2.1.       Информацию Чиликова А.Ю. принять к сведению.

2.2.       Департаменту информационных технологий и цифрового развития автономного округа:

2.2.1.            Спланировать и организовать мероприятия по реализации «Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утверждённых приказом ФСТЭК России от 25 декабря 2017 года № 239.

2.2.1.            Обеспечить оказание методической помощи исполнительным органам государственной власти автономного округа и подведомственным им учреждениям по организации безопасности значимых объектов критической информационной инфраструктуры.

Срок: до 01.11.2019.

3.        О результатах анализа уязвимостей и угроз информационной безопасности в корпоративной сети органов государственной власти автономного округа.

__________________________________________________________________

(Мельников А.В.)

РЕШИЛИ:

3.1.      Информацию Мельникова А.В. принять к сведению.

3.2.     Департаменту финансов автономного округа, Главам городских округов и муниципальных районов автономного округа, руководителям государственных и муниципальных учреждений предусмотреть в плане работ по защите информации на 2019 год мероприятия по анализу уязвимостей и угроз информационной безопасности на ежемесячной основе с отражением результатов анализа в соответствующем журнале.

Срок: до 01.02.2019.

4.        Об утверждении «Плана мероприятий по технической защите информации в исполнительных органах государственной власти Ханты- Мансийского автономного округа - Югры на 2019 год» и «Плана работы Совета по вопросам технической защиты информации в Ханты- Мансийском автономном округе - Югре на 2019 год».

__________________________________________________________________

(Зеленин П.Н.)

РЕШИЛИ:

4.1.      Информацию Зеленина П.Н. принять к сведению.

4.2.     Утвердить План мероприятий по технической защите информации в исполнительных органах государственной власти Ханты-Мансийского автономного округа — Югры на 2019 год (далее — «План ТЗИ-2019») и План работы Совета по вопросам технической защиты информации в Ханты- Мансийском автономном округе - Югре на 2019 год.

4.3.               Управлению информационной безопасности Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа - Югры организовать проведение комплексных мероприятий по технической защите информации в соответствии с утвержденным «Планом ТЗИ-2019».

Отв.: Чиликов А.Ю. Срок: до 30.12.2019.

4.3.2. Выписки из «Плана ТЗИ-2019» и настоящего протокола направить в исполнительные органы государственной власти и органы местного самоуправления городских округов и муниципальных районов автономного округа (в части, касающейся).

Отв.: Чиликов А.Ю. Срок: до 28.12.2018

4.4.     Департаменту финансов автономного округа:

4.4.1.     Разработать план комплексных мероприятий по защите информации в Департаменте финансов Югры (по ранее доведенной форме, исх. от 12.02.2014 от ВЕ-2350) и направить копию утвержденного плана в Управление информационной безопасности Депинформтехнологий Югры.

Срок: до 01.02.2019

4.4.2.     Информационную справку о реализации мероприятий «Плана комплексных мероприятий по защите информации в Департаменте финансов Югры на 2019 год» направить в Управление информационной безопасности Депинформтехнологий Югры.

Срок-до 10.12.2019.

Директор Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа - Югры, заместитель председателя Совета Секретарь Совета

Директор Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа - Югры, заместитель председателя Совета Секретарь Совета	П.И.Ципорин
заместитель председателя Совета Секретарь Совета	П.Н.Зеленин
Заместитель директора Департамента – начальник Управления информационной безопасности Департамента информационных технологий и цифрового развития Ханты-Мансийского автономного округа – Югры	А.Ю.Чиликов