В настоящей Инструкции использованы следующие термины и определения:
1. База данных (далее - БД) - централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базами данных (далее - СУБД).
2. Информационная система с использованием БД (далее - ИСБД) - система или приложение, использующее непосредственный доступ к БД.
3. Пользователи - должностные лица таможенных органов, а также все другие лица и организации, использующие базы данных Управления либо обращающиеся к ним.
4. Администратор БД и администратор безопасности БД - должностные лица таможенного органа, уполномоченные для выполнения административных функций и обеспечивающие функционирование БД и ее безопасность соответственно.
5. ЛВС - локальная вычислительная сеть.
6. Политика информационной безопасности - комплекс организационно-технических мероприятий, правил и условий использования информационных систем Центрального таможенного управления (далее - ИС ЦТУ), определяющих нормальное функционирование систем и обеспечения безопасности информации, обрабатываемой в ИС ЦТУ, оформленных в виде нормативных документов.
Назначение Инструкции администратора по защите информации при работе с базами данных Управления
7. Инструкция администратора по защите информации при работе с базами данных Управления (далее - Инструкция) определяет комплекс организационно-технических мероприятий по обеспечению безопасности информации, хранящейся в БД и обрабатываемой средствами вычислительной техники в ЛВС Управления.
8. Инструкция предназначена для обеспечения эффективной организации и управления доступом пользователей к информации, хранящейся в БД, и содержит требования по обеспечению информационной безопасности таможенных органов в части выполнения операций по организации и управлению доступом к БД.
Общие положения по организации доступа к базам данных должностных лиц таможенных органов Управления
9. Обеспечение информационной безопасности таможенных органов в части организации и управления доступом к БД основывается на требованиях следующих руководящих документов:
- Таможенного кодекса Российской Федерации;
- приказа ГТК России от 31.12.98 N 906 "О Концепции информационной безопасности таможенных органов Российской Федерации";
- приказа ГТК России от 03.09.99 N 595дсп "Об устранении недостатков, выявленных Инспекцией Гостехкомиссии России";
- приказа ГТК России от 16.06.2001 N 670 "О временном руководстве администратора безопасности по организации разграничения доступа к базам данных таможенных органов";
- приказа ГТК России от 01.10.2002 N 1164дсп "О разграничении полномочий подразделений ГТК России и об установлении их ответственности при обеспечении информационной безопасности таможенных органов";
- приказа ГТК России от 15.03.2004 N 315 "Об утверждении Положения о порядке формирования и использования информационных ресурсов таможенных органов";
- руководящих документов Гостехкомиссии России по обеспечению информационной безопасности.
10. Требования Инструкции обязательны для выполнения всеми администраторами БД и администраторами безопасности БД. Ответственность за выполнение требований Инструкции несут администратор и начальник подразделения, в котором работает данный администратор.
11. Все положения Инструкции, упоминающие подключение к БД, распространяются также и на подключение к ИСБД, если иное не оговорено явно.
12. Решение задач, связанных с организацией и управлением доступом пользователей к БД, осуществляется администратором БД совместно с администратором безопасности БД (приложение 1 к настоящей Инструкции). Для каждой БД должны быть назначены не менее 2 администраторов БД и одного администратора безопасности БД.
13. Ответственность за сохранность информации, находящейся в БД, несут администратор БД и администратор безопасности БД, действия которых фиксируются в протоколе аудита БД.
14. Технологическая модификация и удаление информации в БД должны быть регламентированы для каждой БД и утверждены начальником информационно-технической службы Управления.
15. Администратор БД организует и контролирует процесс установки и конфигурирования стандартного программного обеспечения для работы пользователей с БД. Администратор БД осуществляет сопровождение и тестирование специального программного обеспечения для доступа к БД, обеспечивает разработку дополнительных требований по обеспечению доступа к БД и доведение их до сведения пользователей и их руководителей.
16. Администратор БД и администратор безопасности БД обязаны производить административные действия со строго определенных доверенных станций, оснащенных средствами защиты от несанкционированного доступа и располагающихся в помещениях с ограниченным доступом. Все действия администратора БД должны протоколироваться и быть доступны в течение 1 года для контроля администратора безопасности БД.
17. При контактах с пользователем решение об идентификации обратившегося лица принимает администратор БД любым доступным для него способом.
18. В исключительных случаях по решению службы собственной безопасности с согласия администратора БД и администратора безопасности БД возможно отклонение от требований данной Инструкции при условии, что данное отклонение не влечет значительного риска для информационной безопасности. В таких случаях лицо, принимающее решение о допустимом риске, берет на себя ответственность за возможные последствия. Этим лицом не могут быть администратор БД и администратор безопасности БД. Все необходимые сведения заносятся в журнал допустимых рисков при работе с базами данных (приложение 2 к настоящей Инструкции).
19. Все журналы и документы по безопасности БД хранит администратор безопасности БД в электронном виде не менее трех лет, если иное не указано явно в технологической схеме, причем ежегодно и по требованию контролирующих органов должна производиться их распечатка на бумажном носителе за подписью должностных лиц информационно-технических подразделений. Копии журналов на бумажных носителях хранятся у администратора безопасности БД в течение года.
Обязанности администраторов баз данных Управления
20. Администратор БД обеспечивает техническое сопровождение процедуры организации доступа пользователя к БД, описанной в Инструкции пользователя по защите информации при работе с базами данных Управления. Администратор БД устанавливает первоначальное значение пароля пользователя и обеспечивает доведение его до пользователя безопасным способом. Администратор БД и администратор безопасности БД совместно разрабатывают технологию изменения паролей и доводят ее до сведения пользователей и их руководителей.
21. Администратор БД разрабатывает типовые роли для доступа к БД, определяет право роли на объекты БД и регистрирует их в журнале типовых ролей (приложение 3 к настоящей Инструкции), которые хранит администратор безопасности БД вместе с карточками пользователей в течение года.
Ответственность администраторов БД и администраторов безопасности БД
22. При нарушениях администратором БД или администратором безопасности БД правил, связанных с информационной безопасностью, они несут ответственность, установленную действующим законодательством Российской Федерации и нормативными актами таможенных органов.
23. Администратор БД и администратор безопасности БД несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
Действия администраторов при обнаружениипопыток несанкционированного доступа
24. К попыткам несанкционированного доступа (далее - НСД) относятся:
- сеансы работы с БД незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции по доступу к данным или манипулирования ими;
- действия третьего лица, пытающегося получить доступ (или получившего доступ) к БД, при использовании учетной записи администратора или другого пользователя БД, в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.
25. При выявлении факта НСД администратор БД или администратор безопасности БД обязаны:
- прекратить доступ к БД со стороны выявленного участка НСД;
- доложить руководству Управления служебной запиской о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;
- известить начальника структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;
- проанализировать характер НСД;
- внести запись в журнал регистрации попыток несанкционированного доступа к базам данных (приложение 4 к настоящей Инструкции);
- известить сотрудников подразделения собственной безопасности и по их решению представить всю необходимую информацию.
Поделиться
