Утратил силу- ПРИКАЗ ЦТУ ОТ 09.10.2007 N 454
ЦЕНТРАЛЬНОЕ ТАМОЖЕННОЕ УПРАВЛЕНИЕ
ПРИКАЗ
от 20 апреля 2004 г. N 222
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИЙ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ПРИ РАБОТЕ С БАЗАМИ ДАННЫХ УПРАВЛЕНИЯ И ТАМОЖЕН
В целях совершенствования политики информационной безопасности
при работе с региональными базами данных Управления и таможен
приказываю:
1. Утвердить Инструкцию пользователя по защите информации при
работе с базами данных Управления (приложение 1).
2. Утвердить Инструкцию администратора по защите информации при
работе с базами данных Управления (приложение 2).
3. Начальникам служб, самостоятельных подразделений Управления
и подчиненных таможен, должностные лица которых имеют право
доступа к региональным базам данных Управления, обеспечить:
- соблюдение указанных инструкций и доведение настоящего
приказа до личного состава подразделений под роспись;
- своевременную подачу в информационно-техническую службу
Управления заявок на доступ к базам данных Управления должностным
лицам, вновь поступившим на службу в подразделения таможенных
органов, в функциональные обязанности которых входит работа с
базами данных Управления;
- представление сведений в отдел защиты информации
информационно-технической службы Управления о перемещениях и
переводах в другие подразделения должностных лиц, имеющих доступ к
базам данных Управления, в день принятия решения о переводе или
перемещении;
- перерегистрацию до 01.06.2004 должностных лиц, работающих с
базами данных Управления, согласно утверждаемым инструкциям во
избежание прекращения доступа к базам данных Управления.
4. Начальникам таможен разработать и до 01.08.2004 согласовать
с информационно-технической службой Управления инструкции
администраторов и пользователей по защите информации при работе с
базами данных таможен, утвердить их соответствующими приказами.
5. Информационно-технической службе Управления (Н.И.
Раменских):
5.1. Предоставлять должностным лицам Управления и подчиненных
таможен, в функции которых входит работа с базами данных
Управления, доступ к информации посредством функциональных
подсистем, сопровождаемых информационно-технической службой
Управления.
5.2. Устанавливать непосредственный доступ к базам данных
Управления только должностным лицам, прошедшим инструктаж и
перерегистрацию в информационно-технической службе Управления.
6. Контроль за исполнением настоящего приказа возложить на
заместителя начальника Управления - начальника информационно-
технической службы Н.И. Раменских.
Начальник Управления
генерал-майор таможенной службы
В.И. Седов
Приложение 1
к приказу Центрального
таможенного управления
от 20 апреля 2004 г. N 222
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ ПРИ РАБОТЕ С БАЗАМИ
ДАННЫХ УПРАВЛЕНИЯ
В настоящей Инструкции использованы следующие термины и
определения:
1. База данных (далее - БД) - централизованное хранилище
информации, оптимизированное для многопользовательского доступа и
работающее под управлением системы управления базами данных (далее
- СУБД).
2. Информационная система с использованием БД (далее - ИСБД) -
система или приложение, использующее непосредственный доступ к БД.
3. Идентификатор - буквенно-числовая последовательность,
позволяющая однозначно определять работу пользователя в БД.
4. Пароль - секретная последовательность символов, известная
только пользователю, позволяющая подтвердить соответствие реальной
сущности пользователя, предъявляемая им идентификатору.
5. Пользователи - должностные лица таможенных органов, а также
все другие лица и организации, работающие с БД Управления.
6. Администратор БД и администратор безопасности БД -
должностные лица таможенного органа, уполномоченные для выполнения
административных функций и обеспечивающие функционирование БД и ее
безопасность соответственно.
7. ЛВС - локальная вычислительная сеть.
8. Политика информационной безопасности - комплекс
организационно-технических мероприятий, правил и условий
использования информационных систем Центрального таможенного
управления (далее - ИС ЦТУ), определяющих нормальное
функционирование систем и обеспечение безопасности информации,
обрабатываемой в ИС ЦТУ, оформленных в виде нормативных
документов.
Общие положения
по организации доступа к базам данных Управления
9. Инструкция пользователя по защите информации при работе с
базами данных Управления (далее - Инструкция) определяет комплекс
организационно-технических мероприятий по обеспечению безопасности
информации, хранящейся в БД и обрабатываемой с помощью средств
вычислительной техники в ЛВС Управления.
10. Инструкция предназначена для обеспечения эффективной
организации и управления доступом пользователей к информации,
хранящейся в БД, и содержит требования по обеспечению
информационной безопасности таможенных органов в части выполнения
операций по организации и управлению доступом к БД.
11. Инструкция является частью политики информационной
безопасности Управления.
12. Обеспечение информационной безопасности работы таможенных
органов в части организации и управления доступом к БД
основывается на требованиях следующих руководящих документов:
- Таможенного кодекса Российской Федерации;
- приказа ГТК России от 31.12.98 N 906 "О Концепции
информационной безопасности таможенных органов Российской
Федерации";
- приказа ГТК России от 03.09.99 N 595дсп "Об устранении
недостатков, выявленных Инспекцией Гостехкомиссии России";
- приказа ГТК России от 16.06.2001 N 670 "О временном
руководстве администратора безопасности по организации
разграничения доступа к базам данных таможенных органов";
- приказа ГТК России от 15.03.2004 N 315 "Об утверждении
Положения о порядке формирования и использования информационных
ресурсов таможенных органов";
- руководящих документов Гостехкомиссии России по обеспечению
информационной безопасности.
13. Требования Инструкции обязательны для выполнения всеми
пользователями. Ответственность за выполнение требований
Инструкции несут пользователь БД и начальник подразделения, в
котором работает данный пользователь. Перед началом работы
пользователь обязан ознакомиться с данной Инструкцией.
14. Все положения Инструкции, упоминающие подключение к БД,
распространяются также и на подключение к ИСБД, если иное не
оговорено явно в тексте Инструкции.
15. Решение задач, связанных с организацией и управлением
доступом должностных лиц Управления к БД, осуществляется
администратором баз данных совместно с администратором
безопасности БД (приложение 1 к настоящей Инструкции). При
возникновении ситуаций, не описываемых положениями настоящей
Инструкции, решение принимает администратор БД совместно с
администратором безопасности БД, руководствуясь Инструкцией
администратора по защите информации при работе с базами данных
Управления.
16. Ответственность за сохранность и правильное использование
информации, полученной из БД, несут пользователь, имеющий доступ к
БД, и начальник структурного подразделения, в составе которого
работает пользователь. Ответственность наступает с момента
поступления информации на рабочую станцию пользователя,
фиксируемого в протоколе аудита БД.
17. Для обеспечения доступа пользователей к БД на их рабочих
станциях должно быть установлено специальное программное
обеспечение, обеспечивающее доступ и выполнение операций с
информацией в БД. Установку и конфигурирование данного
программного обеспечения на рабочих станциях пользователей
выполняют уполномоченные администратором БД должностные лица
информационно-технических подразделений.
18. Пользователям запрещается самостоятельно устанавливать
другое программное обеспечение (или менять параметры конфигурации
ранее установленных программных средств) для доступа и
манипулирования данными в БД.
19. Рабочие станции, на которых обрабатывается или хранится
информация, полученная из БД, а также с которых осуществляется
доступ к БД, должны соответствовать требованиям, устанавливаемым
информационно-технической службой (далее - ИТС) Управления. Данные
требования утверждаются начальником ИТС Управления и доводятся
информационным письмом до сведения всех пользователей и
начальников подразделений.
20. Доступ пользователей к БД предоставляется только с
использованием типовых ролей через формальные схемы БД,
ассоциируемые с конкретными пользователями, или с использованием
специального программного обеспечения, введенного в эксплуатацию
ИТС Управления. Запрещается предоставлять пользователям доступ к
информации, хранящейся в БД, способами, отличными от
вышеуказанных.
21. Доступ к БД предоставляется исключительно пользователям,
прошедшим регистрацию в вычислительных сетях Управления согласно
политике информационной безопасности и имеющим активированный
почтовый ящик ведомственной электронной почты.
Идентификация и авторизация пользователей
22. Для каждого из пользователей, которым необходим доступ к
БД, создается учетная запись о пользователе БД, состоящая из имени
(идентификатора) пользователя и пароля.
23. Срок действия активной учетной записи пользователя БД 1
год. Срок действия учетной записи пользователя должен периодически
продлеваться согласно нижеследующей процедуре, иначе учетная
запись блокируется до принятия положительного решения о продлении
полномочий пользователя.
24. Первоначальное значение пароля устанавливает администратор
БД. Периодичность, порядок и технология изменения пароля доводится
администратором безопасности БД до пользователей отдельным
информационным письмом.
25. Пользователю запрещается использовать пароль,
предоставленный администратором БД для первоначального доступа к
БД, в качестве постоянного рабочего пароля.
26. Не допускается использование различными пользователями
одной и той же учетной записи. Это правило действует и в тех
случаях, когда пользователи имеют одинаковые полномочия по доступу
к БД. Для ИСБД данное положение может не применяться, если в
технологической схеме есть прямое указание на возможность
коллективного использования одной учетной записи.
Порядок организации доступа пользователей к базам данных
27. Порядок организации доступа к БД состоит из следующих
этапов:
Начальник ИТС Управления или его заместитель принимает решение
о разрешении доступа пользователя к БД по ходатайству начальника
службы (начальника самостоятельного отдела, отделения), в составе
которой работает данный пользователь. Начальник структурного
подразделения составляет и подписывает заявку на регистрацию
пользователя баз данных (приложение 2 к настоящей Инструкции),
выполняет действия в следующем порядке:
- подписывает заявку у начальника службы;
- согласует ее со службой собственной безопасности Управления;
- утверждает ее у начальника ИТС Управления;
- передает ее администратору БД (приложение 1 к настоящей
Инструкции).
Администратор БД лично сообщает пользователю его идентификатор
и пароль для доступа к БД под роспись в карточке пользователя
(приложение 3 к настоящей Инструкции). Заявка и карточка остаются
на хранении у администратора безопасности БД.
Решение о необходимости изменения полномочий доступа
пользователя к БД принимает начальник ИТС Управления по
ходатайству начальника структурного подразделения, в составе
которого работает данный пользователь, на основании заявки на
изменение полномочий пользователя БД (приложение 2 к настоящей
Инструкции). Администратор БД вносит необходимые изменения в
карточку пользователя.
За 1 месяц до окончания срока действия полномочий пользователя
начальник структурного подразделения направляет заявку на
продление полномочий пользователя в ИТС Управления (приложение 4 к
настоящей Инструкции).
Решение об удалении учетной записи пользователя БД принимает
начальник ИТС Управления или его заместитель по представлению
администратора БД или администратора безопасности БД на основании
заявки начальника структурного подразделения, в составе которого
работает данный пользователь (приложение 5 к настоящей
Инструкции), либо информации, полученной из кадровой службы
Управления.
28. Пользователю запрещается передавать в любом виде или
сообщать идентификаторы и пароли для доступа к БД другим лицам, в
том числе и своим руководителям. Идентификатор, но не пароль
пользователя может сообщаться администратору БД при выявлении
неисправностей. Запрещается хранение пароля на любых твердых
носителях, позволяющих другим лицам получить информацию о пароле.
29. Пользователю запрещается использовать информацию,
полученную в результате доступа к БД, в целях, не предусмотренных
его функциональными обязанностями и технологическими схемами.
Обязанности пользователей баз данных
30. Пользователь, имеющий возможность ввода или изменения
данных в БД, обязан обеспечить правильность вводимых данных.
31. Пользователь обязан закрывать соединение с базой данных на
время своего отсутствия у рабочей станции.
32. Пользователь или начальник структурного подразделения
обязаны своевременно сообщать администратору баз данных об
изменениях статуса пользователя (увольнение, перевод на другую
должность и т.п.).
33. В случае выявления инцидентов с доступом к БД (фактов
несанкционированного доступа к БД, блокировки доступа, утери или
компрометации пароля и т.д.) пользователь обязан незамедлительно
сообщить об этом администратору БД или администратору безопасности
БД.
34. Возможность подключения к БД не дает права пользователям
подключаться к БД, если им не предоставлены права доступа к этим
БД. Такие подключения рассматриваются как попытки
несанкционированного доступа.
Ответственность пользователей баз данных
35. При нарушениях правил, связанных с информационной
безопасностью, пользователь несет ответственность, установленную
действующим законодательством Российской Федерации и нормативными
актами таможенных органов.
36. Пользователь несет ответственность за все действия,
совершенные от имени его учетной записи, если не доказан факт
несанкционированного использования учетной записи.
37. Начальники служб и отделов (отделений) несут персональную
ответственность за неправильное использование личным составом
учетных записей пользователей, имеющих доступ к региональным БД
Управления, а также за ознакомление (под роспись) с Инструкцией
новых пользователей БД в своем структурном подразделении.
38. При выявлении инцидентов с доступом к БД доступ
пользователей к БД может быть приостановлен до окончания
расследования инцидента, о чем пользователь либо его руководитель
уведомляются в кратчайшие сроки. По результатам служебного
расследования нарушитель может быть лишен прав доступа к БД,
материалы расследования могут быть направлены в соответствующие
службы для привлечения нарушителя к административной
ответственности.
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
Н.И. Раменских
Приложение 1
к Инструкции
СПИСОК
ДОЛЖНОСТНЫХ ЛИЦ, ИСПОЛНЯЮЩИХ ОБЯЗАННОСТИ
АДМИНИСТРАТОРОВ БАЗ ДАННЫХ УПРАВЛЕНИЯ
Администраторы баз данных Управления:
1. Начальник отдела эксплуатации и администрирования ЛВС ИТС
Управления - Иванов Дмитрий Павлович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-idp@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
2. Заместитель начальника отдела эксплуатации и
администрирования ЛВС ИТС Управления - Волчанецкий Владимир
Владимирович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-vvv@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
3. Начальник отделения ведения баз данных отдела эксплуатации и
администрирования ЛВС ИТС Управления - Штенцов Максим Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-smn@mtu.customs.ru.
(095) 975-45-14; 52-23-77.
Администратор безопасности баз данных Управления:
Начальник отдела защиты информации ИТС Управления - Алексахин
Андрей Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 206.
Asu-aan@mtu.customs.ru.
(095) 975-45-93; 52-21-51.
Приложение 2
к Инструкции
УТВЕРЖДАЮ
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
__________________________ Н.И. Раменских
"___" __________________________ 200__ г.
ЗАЯВКА
НА РЕГИСТРАЦИЮ (МОДИФИКАЦИЮ ПОЛНОМОЧИЙ) ПОЛЬЗОВАТЕЛЯ
БАЗ ДАННЫХ
Подразделение _________________________________________________
Должность _____________________________________________________
Фамилия, имя, отчество ________________________________________
Инструкцию пользователя по защите информации при работе с
базами данных Управления, утвержденную приказом Управления
от __________ N _______________, изучил(а), обязуюсь выполнять.
________________________________
(подпись, дата)
Телефоны, e-mail ______________________________________________
Сетевой идентификатор _________________________________________
База данных ----¬
(Функциональные задачи) ¦ ¦ Таможенное оформление
L----
----¬
¦ ¦ Контроль доставки товаров
L----
----¬
¦ ¦ Оформление автотранспортных средств
L----
----¬
¦ ¦ Региональные среднерасчетные цены
L----
----¬
¦ ¦ Учет участников ВЭД
L----
----¬
¦ ¦
L----
Периодичность доступа Постоянный доступ Доступ в рабочее время
Заместитель начальника
таможенного органа
(начальник службы
Управления) _________________________ (______________)
Начальник подразделения _________________________ (______________)
Согласовано:
Администратор БД ________ ________________ (______________)
(дата)
Начальник отдела защиты
информации ________ ________________ (______________)
(дата)
Начальник отдела защиты
информации ________ ________________ (______________)
(дата)
От службы собственной
безопасности ________ ________________ (______________)
(дата)
Приложение 3
к Инструкции
УТВЕРЖДАЮ
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
______________________ Н.И. Раменских
"___" ______________________ 200__ г.
КАРТОЧКА ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ N ________
----------------------------T------------------------------------¬
¦Фамилия, имя, отчество ¦ ¦
+---------------------------+------------------------------------+
¦Организация (подразделение)¦ ¦
+---------------------------+------------------------------------+
¦Должность ¦ ¦
+---------------------------+------------------------------------+
¦Телефон, телефакс ¦ ¦
+---------------------------+------------------------------------+
¦Адрес электронной почты ¦ ¦
+---------------------------+------------------------------------+
¦Идентификатор пользователя ¦ ¦
+---------------------------+------------------------------------+
¦Наименование баз данных ¦ ¦
+---------------------------+------------------------------------+
¦Вид подключения ¦ ¦
+---------------------------+------------------------------------+
¦Периодичность доступа ¦ ¦
L---------------------------+-------------------------------------
УПРАВЛЕНИЕ ДОСТУПОМ
----------------------T------------------------------------------------------¬
¦Имя базы данных ¦Тип доступа ¦
¦ +------T------T----------T----------T---------T--------+
¦ ¦Чтение¦Запись¦Выполнение¦Добавление¦Изменение¦Удаление¦
+---------------------+------+------+----------+----------+---------+--------+
¦Таможенное оформление¦ ¦ ¦ ¦ ¦ ¦ ¦
¦(GTD) ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+----------+----------+---------+--------+
¦Доставка (DKD/MDP) ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+----------+----------+---------+--------+
¦Автомобили (AVTO) ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+----------+----------+---------+--------+
¦УВЭД ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+----------+----------+---------+--------+
¦РСЦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+----------+----------+---------+--------+
¦ИРС "Доход" ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+----------+----------+---------+--------+
¦ИС "Парус" ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+----------+----------+---------+--------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+----------+----------+---------+--------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+------+------+---T------+----------+---------+--------+
¦Дата начала работы ¦"__" ____ 200_ г.¦Дата окончания ¦"__" _____ 200_ г.¦
¦пользователя ¦ ¦работы ¦ ¦
¦ ¦ ¦пользователя ¦ ¦
+---------------------+-----------------+--T--------------+------------------+
¦СОГЛАСОВАНО ¦С правилами работы ознакомлен, ¦
¦ ¦обязуюсь соблюдать ¦
¦Начальник отдела защиты информации ¦_________________________________¦
¦__________________________ (_____________)¦ (должность пользователя) ¦
¦ ¦_________________________________¦
¦Начальник отделения ведения баз данных ¦ (специальное звание) ¦
¦__________________________ (_____________)¦__________________ (____________)¦
L------------------------------------------+----------------------------------
Приложение 4
к Инструкции
УТВЕРЖДАЮ
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
______________________ Н.И. Раменских
"___" ______________________ 200__ г.
ЗАЯВКА
НА ПРОДЛЕНИЕ ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ
Подразделение _________________________________________________
Должность _____________________________________________________
Фамилия, имя, отчество ________________________________________
Телефоны, e-mail ______________________________________________
Сетевой идентификатор _________________________________________
Периодичность доступа Постоянный доступ Доступ в рабочее время
Начальник подразделения _________________________ (______________)
Согласовано:
Администратор БД ________ ________________ (______________)
(дата)
Начальник отдела защиты
информации ________ ________________ (______________)
(дата)
Приложение 5
к Инструкции
УТВЕРЖДАЮ
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
______________________ Н.И. Раменских
"___" ______________________ 200__ г.
ЗАЯВКА
НА УДАЛЕНИЕ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ
Подразделение _________________________________________________
Должность _____________________________________________________
Фамилия, имя, отчество ________________________________________
Начальник подразделения _______________________ (_____________)
Приложение 2
к приказу Центрального
таможенного управления
от 20 апреля 2004 г. N 222
ИНСТРУКЦИЯ
АДМИНИСТРАТОРА ПО ЗАЩИТЕ ИНФОРМАЦИИ ПРИ РАБОТЕ С БАЗАМИ
ДАННЫХ УПРАВЛЕНИЯ
В настоящей Инструкции использованы следующие термины и
определения:
1. База данных (далее - БД) - централизованное хранилище
информации, оптимизированное для многопользовательского доступа и
работающее под управлением системы управления базами данных (далее
- СУБД).
2. Информационная система с использованием БД (далее - ИСБД) -
система или приложение, использующее непосредственный доступ к БД.
3. Пользователи - должностные лица таможенных органов, а также
все другие лица и организации, использующие базы данных Управления
либо обращающиеся к ним.
4. Администратор БД и администратор безопасности БД -
должностные лица таможенного органа, уполномоченные для выполнения
административных функций и обеспечивающие функционирование БД и ее
безопасность соответственно.
5. ЛВС - локальная вычислительная сеть.
6. Политика информационной безопасности - комплекс
организационно-технических мероприятий, правил и условий
использования информационных систем Центрального таможенного
управления (далее - ИС ЦТУ), определяющих нормальное
функционирование систем и обеспечения безопасности информации,
обрабатываемой в ИС ЦТУ, оформленных в виде нормативных
документов.
Назначение Инструкции администратора по защите
информации при работе с базами данных Управления
7. Инструкция администратора по защите информации при работе с
базами данных Управления (далее - Инструкция) определяет комплекс
организационно-технических мероприятий по обеспечению безопасности
информации, хранящейся в БД и обрабатываемой средствами
вычислительной техники в ЛВС Управления.
8. Инструкция предназначена для обеспечения эффективной
организации и управления доступом пользователей к информации,
хранящейся в БД, и содержит требования по обеспечению
информационной безопасности таможенных органов в части выполнения
операций по организации и управлению доступом к БД.
Общие положения по организации доступа к базам данных
должностных лиц таможенных органов Управления
9. Обеспечение информационной безопасности таможенных органов в
части организации и управления доступом к БД основывается на
требованиях следующих руководящих документов:
- Таможенного кодекса Российской Федерации;
- приказа ГТК России от 31.12.98 N 906 "О Концепции
информационной безопасности таможенных органов Российской
Федерации";
- приказа ГТК России от 03.09.99 N 595дсп "Об устранении
недостатков, выявленных Инспекцией Гостехкомиссии России";
- приказа ГТК России от 16.06.2001 N 670 "О временном
руководстве администратора безопасности по организации
разграничения доступа к базам данных таможенных органов";
- приказа ГТК России от 01.10.2002 N 1164дсп "О разграничении
полномочий подразделений ГТК России и об установлении их
ответственности при обеспечении информационной безопасности
таможенных органов";
- приказа ГТК России от 15.03.2004 N 315 "Об утверждении
Положения о порядке формирования и использования информационных
ресурсов таможенных органов";
- руководящих документов Гостехкомиссии России по обеспечению
информационной безопасности.
10. Требования Инструкции обязательны для выполнения всеми
администраторами БД и администраторами безопасности БД.
Ответственность за выполнение требований Инструкции несут
администратор и начальник подразделения, в котором работает данный
администратор.
11. Все положения Инструкции, упоминающие подключение к БД,
распространяются также и на подключение к ИСБД, если иное не
оговорено явно.
12. Решение задач, связанных с организацией и управлением
доступом пользователей к БД, осуществляется администратором БД
совместно с администратором безопасности БД (приложение 1 к
настоящей Инструкции). Для каждой БД должны быть назначены не
менее 2 администраторов БД и одного администратора безопасности
БД.
13. Ответственность за сохранность информации, находящейся в
БД, несут администратор БД и администратор безопасности БД,
действия которых фиксируются в протоколе аудита БД.
14. Технологическая модификация и удаление информации в БД
должны быть регламентированы для каждой БД и утверждены
начальником информационно-технической службы Управления.
15. Администратор БД организует и контролирует процесс
установки и конфигурирования стандартного программного обеспечения
для работы пользователей с БД. Администратор БД осуществляет
сопровождение и тестирование специального программного обеспечения
для доступа к БД, обеспечивает разработку дополнительных
требований по обеспечению доступа к БД и доведение их до сведения
пользователей и их руководителей.
16. Администратор БД и администратор безопасности БД обязаны
производить административные действия со строго определенных
доверенных станций, оснащенных средствами защиты от
несанкционированного доступа и располагающихся в помещениях с
ограниченным доступом. Все действия администратора БД должны
протоколироваться и быть доступны в течение 1 года для контроля
администратора безопасности БД.
17. При контактах с пользователем решение об идентификации
обратившегося лица принимает администратор БД любым доступным для
него способом.
18. В исключительных случаях по решению службы собственной
безопасности с согласия администратора БД и администратора
безопасности БД возможно отклонение от требований данной
Инструкции при условии, что данное отклонение не влечет
значительного риска для информационной безопасности. В таких
случаях лицо, принимающее решение о допустимом риске, берет на
себя ответственность за возможные последствия. Этим лицом не могут
быть администратор БД и администратор безопасности БД. Все
необходимые сведения заносятся в журнал допустимых рисков при
работе с базами данных (приложение 2 к настоящей Инструкции).
19. Все журналы и документы по безопасности БД хранит
администратор безопасности БД в электронном виде не менее трех
лет, если иное не указано явно в технологической схеме, причем
ежегодно и по требованию контролирующих органов должна
производиться их распечатка на бумажном носителе за подписью
должностных лиц информационно-технических подразделений. Копии
журналов на бумажных носителях хранятся у администратора
безопасности БД в течение года.
Обязанности администраторов баз данных Управления
20. Администратор БД обеспечивает техническое сопровождение
процедуры организации доступа пользователя к БД, описанной в
Инструкции пользователя по защите информации при работе с базами
данных Управления. Администратор БД устанавливает первоначальное
значение пароля пользователя и обеспечивает доведение его до
пользователя безопасным способом. Администратор БД и администратор
безопасности БД совместно разрабатывают технологию изменения
паролей и доводят ее до сведения пользователей и их руководителей.
21. Администратор БД разрабатывает типовые роли для доступа к
БД, определяет право роли на объекты БД и регистрирует их в
журнале типовых ролей (приложение 3 к настоящей Инструкции),
которые хранит администратор безопасности БД вместе с карточками
пользователей в течение года.
Ответственность администраторов БД и администраторов
безопасности БД
22. При нарушениях администратором БД или администратором
безопасности БД правил, связанных с информационной безопасностью,
они несут ответственность, установленную действующим
законодательством Российской Федерации и нормативными актами
таможенных органов.
23. Администратор БД и администратор безопасности БД несут
ответственность за все действия, совершенные от имени их учетных
записей или системных учетных записей, если не доказан факт
несанкционированного использования учетных записей.
Действия администраторов при обнаружении попыток
несанкционированного доступа
24. К попыткам несанкционированного доступа (далее - НСД)
относятся:
- сеансы работы с БД незарегистрированных пользователей,
пользователей, нарушивших установленную периодичность доступа,
либо срок действия полномочий которых истек, либо в состав
полномочий которых не входят операции по доступу к данным или
манипулирования ими;
- действия третьего лица, пытающегося получить доступ (или
получившего доступ) к БД, при использовании учетной записи
администратора или другого пользователя БД, в целях получения
коммерческой или другой личной выгоды, методом подбора пароля или
другого метода (случайного разглашения пароля и т.п.) без ведома
владельца учетной записи.
25. При выявлении факта НСД администратор БД или администратор
безопасности БД обязаны:
- прекратить доступ к БД со стороны выявленного участка НСД;
- доложить руководству Управления служебной запиской о факте
НСД, его результате (успешный, неуспешный) и предпринятых
действиях;
- известить начальника структурного подразделения, в котором
работает пользователь, от имени учетной записи которого была
осуществлена попытка НСД, о факте НСД;
- проанализировать характер НСД;
- внести запись в журнал регистрации попыток
несанкционированного доступа к базам данных (приложение 4 к
настоящей Инструкции);
- известить сотрудников подразделения собственной безопасности
и по их решению представить всю необходимую информацию.
Заместитель начальника Управления -
начальник информационно-технической службы
полковник таможенной службы
Н.И. Раменских
Приложение 1
к Инструкции
СПИСОК
ДОЛЖНОСТНЫХ ЛИЦ, ИСПОЛНЯЮЩИХ ОБЯЗАННОСТИ
АДМИНИСТРАТОРОВ БАЗ ДАННЫХ УПРАВЛЕНИЯ
Администраторы баз данных Управления:
1. Начальник отдела эксплуатации и администрирования ЛВС ИТС
Управления - Иванов Дмитрий Павлович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-idp@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
2. Заместитель начальника отдела эксплуатации и
администрирования ЛВС ИТС Управления - Волчанецкий Владимир
Владимирович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Бух-vvv@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
3. Начальник отделения ведения баз данных отдела эксплуатации и
администрирования ЛВС ИТС Управления - Штенцов Максим Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-smn@mtu.customs.ru.
(095) 975-45-14; 52-23-77.
Администратор безопасности баз данных Управления:
Начальник отдела защиты информации ИТС Управления - Алексахин
Андрей Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 206.
Asu-aan@mtu.customs.ru.
(095) 975-45-93; 52-21-51.
Приложение 2
к Инструкции
ЖУРНАЛ
ДОПУСТИМЫХ РИСКОВ ПРИ РАБОТЕ С БАЗАМИ ДАННЫХ
__________________________________________________________________
(наименование таможенного органа)
1. Наименование базы данных ______________________________________
2. Описание риска:
Степень риска осознаю, ответственность за возможные последствия
принимаю на себя:
_________________________________ ________________________________
(должность) (дата)
_________________________________ ________________________________
(Ф.И.О.) (подпись)
_________________________________
Согласовано:
Администратор баз данных _________________________________________
(должность, Ф.И.О., подпись)
Администратор безопасности
баз данных _________________________________________
(должность, Ф.И.О., подпись)
Приложение 3
к Инструкции
ЖУРНАЛ
ТИПОВЫХ РОЛЕЙ
Наименование базы данных _________________________________________
---T-----------------T-----------T-------------------------------¬
¦N ¦Наименование роли¦Объект ¦Матрица доступа ¦
¦ ¦ ¦ +------T-----T-----T-----T------+
¦ ¦ ¦ ¦R ¦W ¦X ¦D ¦E ¦
+--+-----------------+-----------+------+-----+-----+-----+------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+-----------------+-----------+------+-----+-----+-----+------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+-----------------+-----------+------+-----+-----+-----+------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+-----------------+-----------+------+-----+-----+-----+------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+-----------------+-----------+------+-----+-----+-----+------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+-----------------+-----------+------+-----+-----+-----+------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
L--+-----------------+-----------+------+-----+-----+-----+-------
Администратор баз данных _________________________________________
(должность, Ф.И.О., подпись)
Администратор безопасности
баз данных _________________________________________
(должность, Ф.И.О., подпись)
Приложение 4
к Инструкции
ЖУРНАЛ
РЕГИСТРАЦИИ ПОПЫТОК НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
К БАЗАМ ДАННЫХ _____________________________________
(наименование таможенного органа)
---T--------T--------T-------T------------T------------T---------¬
¦N ¦Дата ¦Рабочая ¦База ¦Пользователь¦Описание ¦Принятые ¦
¦ ¦и время ¦станция ¦данных ¦ ¦попытки НСД ¦меры ¦
+--+--------+--------+-------+------------+------------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+--------+--------+-------+------------+------------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+--------+--------+-------+------------+------------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+--------+--------+-------+------------+------------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+--------+--------+-------+------------+------------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+--------+--------+-------+------------+------------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+--+--------+--------+-------+------------+------------+---------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
L--+--------+--------+-------+------------+------------+----------
Администратор баз данных _________________________________________
(должность, Ф.И.О., подпись)
Администратор безопасности
баз данных _________________________________________
(должность, Ф.И.О., подпись)
|
