Инструкция пользователя по защите информации при работе с базами данных

 

В настоящей Инструкции использованы следующие термины и определения:
1. База данных (далее - БД) - централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базами данных (далее - СУБД).
2. Информационная система с использованием БД (далее - ИСБД) - система или приложение, использующее непосредственный доступ к БД.
3. Идентификатор - буквенно-числовая последовательность, позволяющая однозначно определять работу пользователя в БД.
4. Пароль - секретная последовательность символов, известная только пользователю, позволяющая подтвердить соответствие реальной сущности пользователя, предъявляемая им идентификатору.
5. Пользователи - должностные лица таможенных органов, а также все другие лица и организации, работающие с БД Управления.
6. Администратор БД и администратор безопасности БД - должностные лица таможенного органа, уполномоченные для выполнения административных функций и обеспечивающие функционирование БД и ее безопасность соответственно.
7. ЛВС - локальная вычислительная сеть.
8. Политика информационной безопасности - комплекс организационно-технических мероприятий, правил и условий использования информационных систем Центрального таможенного управления (далее - ИС ЦТУ), определяющих нормальное функционирование систем и обеспечение безопасности информации, обрабатываемой в ИС ЦТУ, оформленных в виде нормативных документов.

 

Общие положения по организации доступак базам данных Управления

9. Инструкция пользователя по защите информации при работе с базами данных Управления (далее - Инструкция) определяет комплекс организационно-технических мероприятий по обеспечению безопасности информации, хранящейся в БД и обрабатываемой с помощью средств вычислительной техники в ЛВС Управления.
10. Инструкция предназначена для обеспечения эффективной организации и управления доступом пользователей к информации, хранящейся в БД, и содержит требования по обеспечению информационной безопасности таможенных органов в части выполнения операций по организации и управлению доступом к БД.
11. Инструкция является частью политики информационной безопасности Управления.
12. Обеспечение информационной безопасности работы таможенных органов в части организации и управления доступом к БД основывается на требованиях следующих руководящих документов:
- Таможенного кодекса Российской Федерации;
- приказа ГТК России от 31.12.98 N 906 "О Концепции информационной безопасности таможенных органов Российской Федерации";
- приказа ГТК России от 03.09.99 N 595дсп "Об устранении недостатков, выявленных Инспекцией Гостехкомиссии России";
- приказа ГТК России от 16.06.2001 N 670 "О временном руководстве администратора безопасности по организации разграничения доступа к базам данных таможенных органов";
- приказа ГТК России от 15.03.2004 N 315 "Об утверждении Положения о порядке формирования и использования информационных ресурсов таможенных органов";
- руководящих документов Гостехкомиссии России по обеспечению информационной безопасности.
13. Требования Инструкции обязательны для выполнения всеми пользователями. Ответственность за выполнение требований Инструкции несут пользователь БД и начальник подразделения, в котором работает данный пользователь. Перед началом работы пользователь обязан ознакомиться с данной Инструкцией.
14. Все положения Инструкции, упоминающие подключение к БД, распространяются также и на подключение к ИСБД, если иное не оговорено явно в тексте Инструкции.
15. Решение задач, связанных с организацией и управлением доступом должностных лиц Управления к БД, осуществляется администратором баз данных совместно с администратором безопасности БД (приложение 1 к настоящей Инструкции). При возникновении ситуаций, не описываемых положениями настоящей Инструкции, решение принимает администратор БД совместно с администратором безопасности БД, руководствуясь Инструкцией администратора по защите информации при работе с базами данных Управления.
16. Ответственность за сохранность и правильное использование информации, полученной из БД, несут пользователь, имеющий доступ к БД, и начальник структурного подразделения, в составе которого работает пользователь. Ответственность наступает с момента поступления информации на рабочую станцию пользователя, фиксируемого в протоколе аудита БД.
17. Для обеспечения доступа пользователей к БД на их рабочих станциях должно быть установлено специальное программное обеспечение, обеспечивающее доступ и выполнение операций с информацией в БД. Установку и конфигурирование данного программного обеспечения на рабочих станциях пользователей выполняют уполномоченные администратором БД должностные лица информационно-технических подразделений.
18. Пользователям запрещается самостоятельно устанавливать другое программное обеспечение (или менять параметры конфигурации ранее установленных программных средств) для доступа и манипулирования данными в БД.
19. Рабочие станции, на которых обрабатывается или хранится информация, полученная из БД, а также с которых осуществляется доступ к БД, должны соответствовать требованиям, устанавливаемым информационно-технической службой (далее - ИТС) Управления. Данные требования утверждаются начальником ИТС Управления и доводятся информационным письмом до сведения всех пользователей и начальников подразделений.
20. Доступ пользователей к БД предоставляется только с использованием типовых ролей через формальные схемы БД, ассоциируемые с конкретными пользователями, или с использованием специального программного обеспечения, введенного в эксплуатацию ИТС Управления. Запрещается предоставлять пользователям доступ к информации, хранящейся в БД, способами, отличными от вышеуказанных.
21. Доступ к БД предоставляется исключительно пользователям, прошедшим регистрацию в вычислительных сетях Управления согласно политике информационной безопасности и имеющим активированный почтовый ящик ведомственной электронной почты.

Идентификация и авторизация пользователей

22. Для каждого из пользователей, которым необходим доступ к БД, создается учетная запись о пользователе БД, состоящая из имени (идентификатора) пользователя и пароля.
23. Срок действия активной учетной записи пользователя БД 1 год. Срок действия учетной записи пользователя должен периодически продлеваться согласно нижеследующей процедуре, иначе учетная запись блокируется до принятия положительного решения о продлении полномочий пользователя.
24. Первоначальное значение пароля устанавливает администратор БД. Периодичность, порядок и технология изменения пароля доводится администратором безопасности БД до пользователей отдельным информационным письмом.
25. Пользователю запрещается использовать пароль, предоставленный администратором БД для первоначального доступа к БД, в качестве постоянного рабочего пароля.
26. Не допускается использование различными пользователями одной и той же учетной записи. Это правило действует и в тех случаях, когда пользователи имеют одинаковые полномочия по доступу к БД. Для ИСБД данное положение может не применяться, если в технологической схеме есть прямое указание на возможность коллективного использования одной учетной записи.

 

Порядок организации доступа пользователей к базам данных

27. Порядок организации доступа к БД состоит из следующих этапов:
Начальник ИТС Управления или его заместитель принимает решение о разрешении доступа пользователя к БД по ходатайству начальника службы (начальника самостоятельного отдела, отделения), в составе которой работает данный пользователь. Начальник структурного подразделения составляет и подписывает заявку на регистрацию пользователя баз данных (приложение 2 к настоящей Инструкции), выполняет действия в следующем порядке:
- подписывает заявку у начальника службы;
- согласует ее со службой собственной безопасности Управления;
- утверждает ее у начальника ИТС Управления;
- передает ее администратору БД (приложение 1 к настоящей Инструкции).
Администратор БД лично сообщает пользователю его идентификатор и пароль для доступа к БД под роспись в карточке пользователя (приложение 3 к настоящей Инструкции). Заявка и карточка остаются на хранении у администратора безопасности БД.
Решение о необходимости изменения полномочий доступа пользователя к БД принимает начальник ИТС Управления по ходатайству начальника структурного подразделения, в составе которого работает данный пользователь, на основании заявки на изменение полномочий пользователя БД (приложение 2 к настоящей Инструкции). Администратор БД вносит необходимые изменения в карточку пользователя.
За 1 месяц до окончания срока действия полномочий пользователя начальник структурного подразделения направляет заявку на продление полномочий пользователя в ИТС Управления (приложение 4 к настоящей Инструкции).
Решение об удалении учетной записи пользователя БД принимает начальник ИТС Управления или его заместитель по представлению администратора БД или администратора безопасности БД на основании заявки начальника структурного подразделения, в составе которого работает данный пользователь (приложение 5 к настоящей Инструкции), либо информации, полученной из кадровой службы Управления.
28. Пользователю запрещается передавать в любом виде или сообщать идентификаторы и пароли для доступа к БД другим лицам, в том числе и своим руководителям. Идентификатор, но не пароль пользователя может сообщаться администратору БД при выявлении неисправностей. Запрещается хранение пароля на любых твердых носителях, позволяющих другим лицам получить информацию о пароле.
29. Пользователю запрещается использовать информацию, полученную в результате доступа к БД, в целях, не предусмотренных его функциональными обязанностями и технологическими схемами.

 

Обязанности пользователей баз данных

30. Пользователь, имеющий возможность ввода или изменения данных в БД, обязан обеспечить правильность вводимых данных.
31. Пользователь обязан закрывать соединение с базой данных на время своего отсутствия у рабочей станции.
32. Пользователь или начальник структурного подразделения обязаны своевременно сообщать администратору баз данных об изменениях статуса пользователя (увольнение, перевод на другую должность и т.п.).
33. В случае выявления инцидентов с доступом к БД (фактов несанкционированного доступа к БД, блокировки доступа, утери или компрометации пароля и т.д.) пользователь обязан незамедлительно сообщить об этом администратору БД или администратору безопасности БД.
34. Возможность подключения к БД не дает права пользователям подключаться к БД, если им не предоставлены права доступа к этим БД. Такие подключения рассматриваются как попытки несанкционированного доступа.

 

Ответственность пользователей баз данных

35. При нарушениях правил, связанных с информационной безопасностью, пользователь несет ответственность, установленную действующим законодательством Российской Федерации и нормативными актами таможенных органов.
36. Пользователь несет ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования учетной записи.
37. Начальники служб и отделов (отделений) несут персональную ответственность за неправильное использование личным составом учетных записей пользователей, имеющих доступ к региональным БД Управления, а также за ознакомление (под роспись) с Инструкцией новых пользователей БД в своем структурном подразделении.
38. При выявлении инцидентов с доступом к БД доступ пользователей к БД может быть приостановлен до окончания расследования инцидента, о чем пользователь либо его руководитель уведомляются в кратчайшие сроки. По результатам служебного расследования нарушитель может быть лишен прав доступа к БД, материалы расследования могут быть направлены в соответствующие службы для привлечения нарушителя к административной ответственности.

Вид документа: 
Ключевые слова: 
Рубрика: