ЦЕНТРАЛЬНОЕ ТАМОЖЕННОЕ УПРАВЛЕНИЕ
ПРИКАЗ
от 9 октября 2007 г. N 454
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИЙ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ПРИ РАБОТЕ С БАЗАМИ ДАННЫХ УПРАВЛЕНИЯ
В целях совершенствования политики информационной безопасности
при работе с базами данных таможенных органов Управления
приказываю:
1. Утвердить Инструкцию пользователя по обеспечению
информационной безопасности при работе с базами данных Управления
(приложение 1).
2. Утвердить Инструкцию администратора по обеспечению
информационной безопасности при работе с базами данных Управления
(приложение 2).
3. Утвердить список должностных лиц, исполняющих обязанности
администраторов баз данных Управления и администраторов
безопасности баз данных Управления (приложение 3).
4. Начальникам служб и самостоятельных подразделений
Управления, начальникам таможенных органов Управления, должностным
лицам которых предоставлено право доступа к базам данных
Управления, обеспечить:
соблюдение указанных Инструкций и доведение настоящего приказа
до личного состава подразделений под роспись;
своевременное направление в информационно-техническую службу
Управления или информационно-технические подразделения подчиненных
таможенных органов заявок на предоставление доступа к базам данных
должностным лицам, вновь поступившим на службу в подразделения
таможенных органов и в функциональные обязанности которых входит
работа с базами данных;
перерегистрацию согласно утверждаемым Инструкциям в срок,
указанный в заявке на регистрацию пользователя баз данных,
должностных лиц, работающих с базами данных, во избежание
прекращения доступа к базам данных.
5. Информационно-технической службе Управления (С.С. Никитин):
5.1. Обеспечить предоставление должностным лицам Управления и
подчиненных таможенных органов, в функции которых входит работа с
базами данных Управления, доступа к информации в соответствии с
настоящим приказом.
5.2. Устанавливать непосредственный доступ к базам данных
Управления на основании решения, утвержденного первым заместителем
начальника Управления по таможенному контролю, только должностным
лицам Управления, прошедшим инструктаж и регистрацию в
информационно-технической службе Управления.
6. Кадровой службе Управления (В.А. Топорков) незамедлительно
информировать информационно-техническую службу об увольнении
должностного лица или переводе его по службе для прекращения
доступа пользователя к базам данных Управления.
7. Начальникам таможенных органов Управления разработать,
согласовать с информационно-технической службой Управления и до
01.12.2007 утвердить приказами Инструкции пользователей и
администраторов по обеспечению информационной безопасности при
работе с базами данных таможенных органов Управления, а также
списки должностных лиц, исполняющих обязанности администраторов
баз данных и администраторов безопасности баз данных таможенных
органов Управления.
8. Признать утратившим силу приказ Управления от 20.04.2004 N
222 "Об утверждении Инструкций по обеспечению информационной
безопасности при работе с базами данных Управления и таможен".
9. Контроль за исполнением настоящего приказа возложить на
первого заместителя начальника Управления по таможенному контролю
С.Н. Прусова.
Начальник Управления
полковник таможенной службы
О.А. Корнев
Приложение 1
к приказу Центрального
таможенного управления
от 9 октября 2007 г. N 454
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИ РАБОТЕ С БАЗАМИ ДАННЫХ УПРАВЛЕНИЯ
В Инструкции пользователя по обеспечению информационной
безопасности при работе с базами данных Управления (далее -
Инструкция пользователя) использованы следующие термины и
определения:
1. База данных (далее - БД) - централизованное хранилище
информации, оптимизированное для многопользовательского доступа и
работающее под управлением системы управления базами данных (далее
- СУБД).
2. Комплекс программных средств (далее - КПС) - система или
приложение, использующее непосредственный доступ к БД.
3. Идентификатор (учетное имя или login) - присвоенная
пользователю индивидуально буквенно-числовая последовательность,
используемая для идентификации пользователя при установлении
доступа к БД и позволяющая однозначно определять работу
конкретного пользователя в БД.
4. Пароль - секретная персональная последовательность
символов, известная только пользователю, которая используется
совместно с идентификатором для доступа в БД и позволяет
подтвердить, что доступ к БД осуществляет именно конкретный
пользователь.
5. Пользователи - должностные лица таможенных органов, а также
все другие лица и организации, работающие с БД Управления.
6. Администратор БД и администратор безопасности БД -
должностные лица таможенного органа, уполномоченные для выполнения
административных функций и обеспечивающие функционирование БД и ее
безопасность соответственно.
7. Локально-вычислительная сеть (далее - ЛВС) - группа ЭВМ, а
также периферийное оборудование, объединенные одним или
несколькими автономными (неарендуемыми) высокоскоростными каналами
передачи цифровых данных в пределах одного или нескольких
близлежащих зданий.
8. Политика информационной безопасности - комплекс
организационно-технических мероприятий, правил и условий
использования информационных систем Центрального таможенного
управления (далее - ИС ЦТУ), определяющих нормальное
функционирование систем и обеспечение безопасности информации,
обрабатываемой в ИС ЦТУ, оформленных в виде правовых документов.
Общие положения по организации доступа
к базам данных Управления
9. Инструкция пользователя определяет комплекс
организационно-технических мероприятий по обеспечению безопасности
информации, хранящейся в БД и обрабатываемой с помощью средств
вычислительной техники в ЛВС Управления.
10. Инструкция пользователя является частью политики
информационной безопасности Управления, предназначена для
обеспечения эффективной организации и управления доступом
пользователей к информации, хранящейся в БД Управления, и содержит
требования по обеспечению информационной безопасности таможенных
органов в части выполнения операций по организации и управлению
доступом к БД.
11. Обеспечение информационной безопасности работы таможенных
органов в части организации и управления доступом к БД
основывается на требованиях следующих нормативно-правовых актов:
Таможенного кодекса Российской Федерации;
приказа ГТК России от 16.06.2001 N 670 "О временном
руководстве администратора безопасности по организации
разграничения доступа к базам данных таможенных органов";
приказа ГТК России от 15.03.2004 N 315 "Об утверждении
Положения о порядке формирования и использования информационных
ресурсов таможенных органов";
приказа ФТС России от 19.09.2006 N 900 "О решении, принятом на
заседании коллегии ФТС России, о Концепции информационной
безопасности таможенных органов, Российской Федерации на период до
2010 года";
приказа ФТС России от 06.02.2007 N 168 "Об утверждении порядка
предоставления должностным лицам таможенных органов доступа к
ресурсам центральной базы данных Единой автоматизированной
информационной системы таможенных органов";
приказа ФТС России от 22.08.2007 N 1011дсп "Об утверждении
Положения о разграничении полномочий и установлении
ответственности подразделений ФТС России при обеспечении
информационной безопасности таможенных органов Российской
Федерации";
нормативно-правовых актов ФСТЭК России (Гостехкомиссии России)
по обеспечению информационной безопасности.
12. Требования Инструкции пользователя обязательны для
выполнения всеми пользователями, которым предоставляется доступ к
БД Управления (таможенных органов).
13. Все положения Инструкции пользователя, упоминающие
подключение к БД, распространяются также и на подключение к КПС,
если иное не оговорено в тексте Инструкции пользователя. Все
положения Инструкции пользователя применимы для всех БД Управления
и КПС, использующих БД Управления.
14. Решение задач, связанных с организацией и управлением
доступом должностных лиц Управления к БД, осуществляется
администратором баз данных совместно с администратором
безопасности БД.
При возникновении ситуаций, не включенных в положения
настоящей Инструкции пользователя, решение принимает администратор
БД совместно с администратором безопасности БД, руководствуясь
Инструкцией администратора по обеспечению информационной
безопасности при работе с базами данных Управления.
15. Доступ к БД Управления может быть предоставлен с рабочего
места пользователя (с использованием программных средств доступа,
включенных в фонд алгоритмов и программ ФТС России, используемых в
Управлении). Для отдельных БД может быть установлено разрешение на
доступ пользователям только с определенных рабочих станций,
абонентских пунктов или с использованием терминального доступа.
16. Для обеспечения доступа пользователей к БД на их рабочих
станциях должно быть установлено специальное программное
обеспечение, обеспечивающее доступ и выполнение операций с
информацией в БД. Установку и конфигурирование данного
программного обеспечения на рабочих станциях пользователей
выполняют уполномоченные администратором БД должностные лица
информационно-технических подразделений таможенных органов
Управления.
17. Пользователям запрещается самостоятельно устанавливать
другое программное обеспечение (или менять параметры конфигурации
ранее установленных программных средств) для доступа и
манипулирования данными в БД.
18. Доступ пользователей к БД предоставляется только с
использованием типовых ролей (поименованных групп полномочий,
предоставляемых пользователям) через формальные схемы БД,
ассоциируемые с конкретными пользователями, а также с
использованием программных средств доступа, включенных в фонд
алгоритмов и программ ФТС России, используемых в Управлении.
Запрещается предоставлять пользователям доступ к информации,
хранящейся в БД, способами, отличными от вышеуказанных.
Перечень БД и КПС, а также допустимых типовых ролей ведет
информационно-техническая служба и доводит все изменения в перечне
до сведения пользователей.
19. Доступ к БД предоставляется исключительно пользователям,
прошедшим регистрацию в вычислительных сетях Управления согласно
политике информационной безопасности и имеющим активированный
почтовый ящик ведомственной электронной почты.
20. Доступ к БД предоставляется пользователям на определенный
срок и устанавливается, как правило, на срок действия трудовых
отношений (контракта) должностного лица Управления (таможенного
органа) и исполнения им служебных обязанностей в одном структурном
подразделении таможенного органа. Срок доступа к БД может быть
изменен в случаях перемещения по службе, перевода в другие
подразделения и увольнения должностных лиц, имеющих доступ к базам
данных Управления.
Порядок организации доступа пользователей
к базам данных Управления
21. Порядок организации доступа пользователя к БД Управления
состоит из следующих этапов:
оформление доступа пользователя к БД Управления, включая
регистрацию, идентификацию и авторизацию пользователя БД;
продление полномочий пользователя и доступа к БД перед
окончанием установленного срока действия учетной записи
пользователя БД;
изменение (модификация) полномочий пользователя БД в период
действия учетной записи;
прекращение доступа к БД Управления и удаление учетной записи
пользователя БД по окончании действия полномочий пользователя БД.
Решение об оформлении доступа и последующих изменениях в
состоянии доступа пользователя к БД Управления утверждает первый
заместитель начальника Управления по таможенному контролю на
основании заявок, оформленных начальником соответствующего
структурного подразделения Управления, в составе которого работает
данный пользователь, и согласованных с информационно-технической
службой Управления.
22. Оформление доступа к БД Управления осуществляется по
ходатайству начальника службы (начальника самостоятельного отдела,
отделения) Управления, в составе которого работает данный
пользователь, на основании заявки на регистрацию (модификацию
полномочий) пользователя баз данных (приложение 1 к настоящей
Инструкции) в следующем порядке.
Начальник структурного подразделения в составе службы
Управления составляет (в том числе определяет срок действия
доступа к БД, перечень БД, к которым разрешен доступ, и
периодичность доступа) и подписывает заявку на регистрацию
пользователя баз данных Управления лично, также подписывает ее у
начальника службы, в составе которой работает пользователь, а
затем (как и начальник самостоятельного отдела, отделения
Управления) выполняет действия в порядке следующей очередности:
1) согласовывает ее со службой собственной безопасности
Управления;
2) согласовывает ее в информационно-технической службе
Управления;
- с администратором безопасности БД;
- с администратором БД;
- с начальником информационно-технической службы Управления;
3) утверждает ее у первого заместителя начальника Управления
по таможенному контролю;
4) передает ее после утверждения администратору БД для
регистрации.
При необходимости указания в заявке на регистрацию
(модификацию) дополнительных полномочий пользователя БД на доступ
к базам данных, не относящимся непосредственно к компетенции
структурного подразделения, в котором работает пользователь,
должно быть проведено дополнительное согласование и добавлены
согласующие подписи начальников соответствующих служб
(самостоятельных отделов, отделений), ответственных за наполнение
и ведение этих баз данных.
23. Для каждого из пользователей после оформления доступа к БД
администратор БД совместно с пользователем и с помощью
специального программного обеспечения производит регистрацию,
идентификацию и авторизацию пользователя путем создания учетной
записи о пользователе БД, состоящей из идентификатора (учетного
имени) пользователя и пароля для подключения и доступа к БД.
24. Присвоение идентификатора (учетного имени) пользователя
производится в учетной записи администратором БД по согласованию с
пользователем. Администратор БД формирует карточку пользователя
баз данных (приложение 2 к Инструкции пользователя), назначает с
учетом сведений в заявке на регистрацию (модификацию полномочий)
пользователя баз данных типовую роль и сообщает пользователю его
идентификатор и первоначальный пароль для доступа к БД под роспись
в карточке пользователя.
После оформления доступа пользователей к БД Управления и
регистрации пользователей в вычислительных сетях Управления все
заявки на регистрацию пользователей и карточки пользователей
передаются администратором БД на хранение администратору
безопасности БД на срок не менее 1 (одного) года с даты окончания
работы пользователя, указанной в карточке пользователя БД.
25. Первоначальное значение пароля устанавливает администратор
БД. Периодичность, порядок и технология изменения пароля доводятся
администратором безопасности БД до пользователей отдельным
информационным письмом или по электронной почте.
26. Пользователю запрещается в качестве постоянного рабочего
пароля использовать пароль, установленный администратором БД для
первоначального доступа к БД. При этом должна обеспечиваться
уникальность пароля пользователя, исключающая использование
одинаковых паролей различными пользователями.
27. Пользователю запрещается передавать в любом виде или
сообщать идентификаторы и пароли для доступа к БД другим лицам, в
том числе и своим руководителям. Идентификатор, но не пароль,
пользователя может сообщаться администратору БД при выявлении
неисправностей. Запрещается хранение пароля на любых носителях и в
общедоступных местах, позволяющих другим лицам получить информацию
о пароле.
28. Срок действия активной учетной записи пользователя БД не
может превышать срока действия трудовых отношений (контракта,
договора) пользователя в таможенных органах и устанавливается с
даты ее регистрации администратором БД до даты, определенной
руководителем структурного подразделения, в котором работает
пользователь, и указанной в заявке на регистрацию (модификацию)
полномочий пользователя БД (приложение 1 к Инструкции
пользователя). Срок действия учетной записи пользователя и доступ
пользователя к БД может продлеваться согласно нижеследующей
процедуре, иначе учетная запись блокируется до принятия
положительного решения о продлении полномочий пользователя.
29. При необходимости продления полномочий пользователя и
доступа к БД Управления за 1 месяц до истечения установленного
срока окончания действия учетной записи пользователя БД начальник
соответствующего структурного подразделения службы
(самостоятельного отдела, отделения) Управления составляет заявку
на продление полномочий пользователя БД Управления (приложение 3 к
Инструкции пользователя), утверждает ее у первого заместителя
начальника Управления по таможенному контролю и передает в
информационно-техническую службу Управления администратору БД.
30. Решение о необходимости изменения (модификации) полномочий
доступа пользователя к БД утверждает первый заместитель начальника
Управления по таможенному контролю по ходатайству начальника
структурного подразделения службы (самостоятельного отдела,
отделения) Управления, в составе которого работает данный
пользователь, на основании новой заявки на регистрацию
(модификацию) полномочий пользователя БД (приложение 1 к
Инструкции пользователя). Новая заявка после утверждения
передается администратору БД, который составляет новую карточку
пользователя (приложение 2 к Инструкции пользователя) с внесением
в нее необходимых изменений и установлением нового срока действия
активной учетной записи пользователя БД, указанного в заявке, и
передает ее на хранение администратору безопасности БД.
31. Решение о прекращении доступа к БД Управления и удалении
учетной записи пользователя БД утверждает начальник
информационно-технической службы Управления на основании:
поступления заявки на удаление учетной записи пользователя БД
(приложение 4 к Инструкции пользователя) от начальника
структурного подразделения службы (самостоятельного отдела,
отделения) Управления, в составе которого работает данный
пользователь;
информации, полученной из кадровой службы Управления, о
перемещениях, переводах в другие подразделения и увольнениях
должностных лиц, имеющих доступ к БД Управления;
представления администратора БД или администратора
безопасности БД о нарушении пользователем БД настоящей Инструкции
пользователя;
материалов служебного расследования в отношении пользователя
БД.
32. Прекращение доступа пользователя к БД Управления в случае
увольнения должностного лица или перевода его по службе
осуществляется незамедлительно с момента объявления приказом по
Управлению (таможенному органу) на основании информации,
полученной информационно-технической службой Управления из
кадровой службы Управления, или заявки на удаление учетной записи
пользователя, оформленной начальником соответствующего
структурного подразделения. При получении утвержденной начальником
информационно-технической службы Управления заявки администратор
БД удаляет учетную запись данного пользователя.
33. При получении информации из кадровой службы об увольнении
должностного лица, имеющего доступ к БД Управления, либо выявлении
факта нарушения пользователем БД требований настоящей Инструкции
пользователя учетная запись данного пользователя незамедлительно
блокируется администратором БД по согласованию с администратором
безопасности БД.
Обязанности пользователей баз данных Управления
34. Перед началом первой работы с БД пользователь обязан
изучить Инструкцию пользователя и ознакомиться с необходимостью
несения ответственности за выполнение требований Инструкции
пользователя при работе с БД под роспись.
35. Пользователь, имеющий возможность ввода или изменения
данных в БД, обязан обеспечить правильность вводимых данных.
36. Не допускается использование различными пользователями
одной и той же учетной записи. Это правило действует и в тех
случаях, когда пользователи имеют одинаковые полномочия по доступу
к БД. Для КПС данное положение может не применяться, если в
Инструкции по использованию КПС есть прямое указание на
возможность коллективного использования одной учетной записи.
37. Пользователь обязан закрывать соединение с БД на время
своего отсутствия у рабочей станции или блокировать доступ к
станции заставкой с установленной обязательной авторизацией.
38. Пользователь или начальник структурного подразделения, в
котором работает пользователь, обязаны своевременно сообщать
администратору БД об изменениях статуса пользователя (увольнение,
перевод на другую должность и т.п.).
39. В случае выявления инцидентов с доступом к БД (фактов
несанкционированного доступа к БД, блокировки доступа, утери или
компрометации пароля и т.п.) пользователь обязан незамедлительно
сообщить об этом администратору БД или администратору безопасности
БД.
40. Возможность подключения к БД не дает права пользователям
подключаться к БД, если им не предоставлены права доступа к этим
БД. Такие подключения рассматриваются как попытки
несанкционированного доступа.
41. Пользователь при работе с защищаемыми информационными
ресурсами обязан на основании утвержденных перечней сведений,
составляющих государственную или иную охраняемую законом тайну, и
правовых актов ФТС России об обеспечении информационной
безопасности осуществлять мероприятия по обеспечению режима
секретности в служебной деятельности и обеспечивать соблюдение
установленных мер по защите информации.
42. Пользователю запрещается использовать информацию,
полученную в результате доступа к БД, в целях, не предусмотренных
его функциональными обязанностями и технологическими схемами.
43. В соответствии со ст. 10 Таможенного кодекса Российской
Федерации пользователи, получившие доступ к БД Управления
(таможенных органов), не вправе разглашать, использовать в личных
целях либо передавать третьим лицам, в том числе государственным
органам, информацию из БД Управления (таможенных органов), за
исключением случаев, установленных Таможенным кодексом Российской
Федерации и иными федеральными законами.
Ответственность за работу пользователей
баз данных Управления
44. Ответственность за выполнение требований Инструкции
пользователя, за сохранность и правильное использование
информации, полученной из БД, несут начальник структурного
подразделения службы (самостоятельного отдела, отделения)
Управления (таможенного органа), в котором работает данный
пользователь, и непосредственно пользователь БД. Ответственность
за сохранность и правильное использование информации, полученной
из БД, наступает с момента поступления информации на рабочую
станцию пользователя, фиксируемого в протоколе аудита БД
администратором БД.
45. Пользователь несет персональную ответственность за
хранение содержимого личного пароля.
46. В случае нарушения правил, связанных с информационной
безопасностью, пользователь несет ответственность, установленную
действующим законодательством Российской Федерации и правовыми
актами таможенных органов.
47. Пользователь несет персональную ответственность за все
действия, совершенные от имени его учетной записи, если не доказан
факт несанкционированного использования учетной записи другими
лицами при соблюдении самим пользователем требований настоящей
Инструкции пользователя.
48. Начальники служб и отделов (отделений) несут
ответственность за ознакомление (под роспись) с Инструкцией
пользователя новых пользователей БД в своем структурном
подразделении.
49. При выявлении инцидентов с доступом к БД доступ
пользователей к БД может быть приостановлен до окончания
расследования инцидента, о чем пользователь либо его руководитель
уведомляются в кратчайшие сроки. По результатам служебного
расследования нарушитель может быть лишен прав доступа к БД,
материалы расследования могут быть направлены в соответствующие
службы для привлечения нарушителя к административной
ответственности.
Начальник
информационно-технической
службы Управления
С.С. Никитин
Приложение 1
к Инструкции пользователя
УТВЕРЖДАЮ
Первый заместитель начальника ЦТУ
по таможенному контролю
________________________
(специальное звание)
________________________
(инициалы, фамилия)
________________________
"___" _________ 200__ г.
ЗАЯВКА
НА РЕГИСТРАЦИЮ (МОДИФИКАЦИЮ ПОЛНОМОЧИЙ) ПОЛЬЗОВАТЕЛЯ
БАЗ ДАННЫХ
---------------T--------------------------------------------------------¬
¦Основание ¦(договор, контракт, приказ) ___________________________ ¦
¦ ¦От ______ N ____ сроком действия до "__" ______ 200__ г.¦
+--------------+--------------------------------------------------------+
¦Подразделение ¦ ¦
+--------------+--------------------------------------------------------+
¦Должность ¦ ¦
+--------------+-------T------------------------------------------------+
¦Фамилия, имя, отчество¦ ¦
L----------------------+-------------------------------------------------
Инструкцию пользователя по защите информации при работе
с базами данных Управления изучил(а), обязуюсь выполнять
/подпись пользователя/ _____________ /дата/ _____________ 200__ г.
---------------------------------------------T------------------------------------------------¬
¦Сетевой идентификатор /____________________/¦Телефоны, e-mail ¦
+--------------------------------------------+------------------------------------------------+
¦Разрешен доступ к базе данных (КПС) ¦Тип доступа (типовая роль) ¦
+--------------------------------------------+------------------------------------------------+
¦ ¦ ¦
+--------------------------------------------+------------------------------------------------+
¦ ¦ ¦
+--------------------------------------------+------------------------------------------------+
¦ ¦ ¦
+--------------------------------------------+------------------------------------------------+
¦ ¦ ¦
+--------------------------------------------+------------------------------------------------+
¦ ¦ ¦
+--------------------------------------------+------------------------------------------------+
¦ ¦ ¦
+--------------------------------------------+------------------------------------------------+
¦Периодичность доступа (ненужное зачеркнуть) ¦--¬ постоянный доступ --¬ доступ в рабочее время¦
¦ ¦L-- L-- ¦
L--------------------------------------------+-------------------------------------------------
Заместитель начальника Дата/Подпись/Инициалы, фамилия/
_________________________________
таможенного органа
(начальник службы Управления) /_____/_______/_________________/
Начальник подразделения /_____/_______/_________________/
------------------------------T-----T---------------------------¬
¦Согласовано ¦Дата ¦Подпись/Инициалы, фамилия/ ¦
+-----------------------------+-----+---------------------------+
¦Ответственный за ведение БД ¦ ¦______/___________________/¦
¦(при необходимости) ¦ ¦ ¦
+-----------------------------+-----+---------------------------+
¦От службы собственной ¦ ¦______/___________________/¦
¦безопасности ¦ ¦ ¦
+-----------------------------+-----+---------------------------+
¦Администратор безопасности БД¦ ¦______/___________________/¦
+-----------------------------+-----+---------------------------+
¦Администратор БД ¦ ¦______/___________________/¦
+-----------------------------+-----+---------------------------+
¦Начальник ИТС Управления ¦ ¦______/___________________/¦
L-----------------------------+-----+----------------------------
Приложение 2
к Инструкции пользователя
УТВЕРЖДАЮ
Начальник информационно-технической службы
________________________
(специальное звание)
________________________
(инициалы, фамилия)
________________________
"___" _________ 200__ г.
КАРТОЧКА ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ N _____
------------------------------T--------------------------------------------------------¬
¦Фамилия, имя, отчество ¦ ¦
+-----------------------------+--------------------------------------------------------+
¦Организация (подразделение) ¦ ¦
+-----------------------------+--------------------------------------------------------+
¦Должность ¦ ¦
+-----------------------------+--------------------------------------------------------+
¦Телефон, телефакс ¦ ¦
+-----------------------------+--------------------------------------------------------+
¦Адрес электронной почты ¦ ¦
+-----------------------------+--------------------------------------------------------+
¦Идентификатор пользователя ¦ ¦
+-----------------------------+--------------------------------------------------------+
¦Наименование баз данных ¦ ¦
+-----------------------------+--------------------------------------------------------+
¦Вид подключения ¦ ¦
+-----------------------------+--------------------------------------------------------+
¦Периодичность доступа ¦ ¦
L-----------------------------+---------------------------------------------------------
УПРАВЛЕНИЕ ДОСТУПОМ
----------------------T----------------------------------------------------------------¬
¦Имя базы данных/КПС ¦Тип доступа (типовая роль) ¦
+---------------------+-------T------T-----------T--------------T-----------T----------+
¦ ¦Чтение ¦Запись¦Выполнение ¦Добавление ¦Изменение ¦Удаление ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+-----------+--------------+-----------+----------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---------------------+-------+------+----T------+--------------+-----------+----------+
¦Дата начала работы ¦"___" _______ 200__¦Дата окончания работы¦"___" _______ 200__ ¦
¦пользователя ¦ ¦пользователя ¦ ¦
+---------------------+-------------------+---------------------+----------------------+
¦Продлено с ¦до ¦Продлено с ¦до ¦
+---------------------+-------------------+-T-------------------+----------------------+
¦СОГЛАСОВАНО: ¦С правилами работы ознакомлен, обязуюсь их¦
¦ ¦соблюдать ¦
¦Администратор безопасности БД ¦(должность пользователя) ¦
¦ ¦ ¦
¦______________________________/___________/¦(специальное звание) ¦
+-------------------------------------------+ ¦
¦Администратор БД ¦ ¦
¦______________________________/___________/¦_____________________________/___________/¦
L-------------------------------------------+-------------------------------------------
Приложение 3
к Инструкции пользователя
УТВЕРЖДАЮ
Первый заместитель начальника ЦТУ
по таможенному контролю
________________________
(специальное звание)
________________________
(инициалы, фамилия)
________________________
"___" _________ 200__ г.
ЗАЯВКА
НА ПРОДЛЕНИЕ ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ УПРАВЛЕНИЯ
Основание для ____________________________________________________
продления С ______ 200__ г. (дата) до _______ 200 __ г. (дата)
Подразделение ____________________________________________________
Должность ________________________________________________________
Фамилия, имя, отчество ___________________________________________
Телефоны, e-mail _________________________________________________
Сетевой идентификатор ____________________________________________
Периодичность доступа: постоянный доступ/доступ в рабочее время
(ненужное зачеркнуть)
Начальник подразделения /___________/___________________/
(подпись) (инициалы, фамилия)
Приложение 4
к Инструкции пользователя
УТВЕРЖДАЮ
Начальник информационно-технической службы
________________________
(специальное звание)
________________________
(инициалы, фамилия)
________________________
"___" _________ 200__ г.
ЗАЯВКА
НА УДАЛЕНИЕ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ
УПРАВЛЕНИЯ
(наименование таможенного органа)
Подразделение ____________________________________________________
Должность пользователя ___________________________________________
Фамилия, имя, отчество ___________________________________________
Основание для удаления ___________________________________________
Начальник подразделения _________/___________________/
(подпись) (инициалы, фамилия)
_____________________________
Приложение 2
к приказу Центрального
таможенного управления
от 9 октября 2007 г. N 454
ИНСТРУКЦИЯ
АДМИНИСТРАТОРА ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИ РАБОТЕ С БАЗАМИ ДАННЫХ УПРАВЛЕНИЯ
В Инструкции администратора по обеспечению информационной
безопасности при работе с базами данных Управления (далее -
Инструкция администратора) использованы следующие термины и
определения:
1. База данных (далее - БД) - централизованное хранилище
информации, оптимизированное для многопользовательского доступа и
работающее под управлением системы управления базами данных (далее
- СУБД).
2. Комплекс программных средств (далее - КПС) - система или
приложение, использующее непосредственный доступ к БД.
3. Пользователи - должностные лица таможенных органов, а также
все другие лица и организации, работающие с БД Управления.
4. Администратор БД и администратор безопасности БД -
должностные лица таможенного органа, уполномоченные для выполнения
административных функций и обеспечивающие функционирование БД и ее
безопасность соответственно.
5. Локально-вычислительная сеть (далее - ЛВС) - группа ЭВМ, а
также периферийное оборудование, объединенные одним или
несколькими автономными (неарендуемыми) высокоскоростными каналами
передачи цифровых данных в пределах одного или нескольких
близлежащих зданий.
6. Политика информационной безопасности - комплекс
организационно-технических мероприятий, правил и условий
использования информационных систем Центрального таможенного
управления (далее - ИС ЦТУ), определяющих нормальное
функционирование систем и обеспечение безопасности информации,
обрабатываемой в ИС ЦТУ, оформленных в виде правовых документов.
Назначение Инструкции администратора по обеспечению
информационной безопасности при работе с базами
данных Управления
7. Инструкция администратора определяет комплекс
организационно-технических мероприятий по обеспечению безопасности
информации, хранящейся в БД и обрабатываемой средствами
вычислительной техники в ЛВС Управления.
8. Инструкция администратора предназначена для обеспечения
эффективной организации и управления доступом пользователей к
информации, хранящейся в БД, и содержит требования по обеспечению
информационной безопасности таможенных органов в части выполнения
операций по организации и управлению доступом к БД.
Общие положения по организации доступа к базам данных
должностных лиц таможенных органов Управления
9. Обеспечение информационной безопасности таможенных органов
в части организации и управления доступом к БД основывается на
требованиях следующих нормативно-правовых актов:
Таможенного кодекса Российской Федерации;
приказа ГТК России от 16.06.2001 N 670 "О временном
руководстве администратора безопасности по организации
разграничения доступа к базам данных таможенных органов";
приказа ГТК России от 15.03.2004 N 315 "Об утверждении
Положения о порядке формирования и использования информационных
ресурсов таможенных органов";
приказа ФТС России от 10.04.2006 N 320дсп "Об утверждении
положения о разграничении полномочий и установлении
ответственности подразделений ФТС России при обеспечении
информационной безопасности таможенных органов Российской
Федерации";
приказа ФТС России от 19.09.2006 N 900 "О решении, принятом на
заседании коллегии ФТС России, о Концепции информационной
безопасности таможенных органов Российской Федерации на период до
2010 года";
приказа ФТС России от 06.02.2007 N 168 "Об утверждении порядка
предоставления должностным лицам таможенных органов доступа к
ресурсам центральной базы данных Единой автоматизированной
информационной системы таможенных органов";
приказа ФТС России от 22.08.2007 N 1011дсп "Об утверждении
Положения о разграничении полномочий и установлении
ответственности подразделений ФТС России при обеспечении
информационной безопасности таможенных органов Российской
Федерации";
нормативно-правовых актов ФСТЭК России (Гостехкомиссии России)
по обеспечению информационной безопасности.
10. Требования Инструкции администратора обязательны для
выполнения администраторами БД и администраторами безопасности БД,
а также всеми должностными лицами структурных подразделений
(таможенных органов) Управления, которым предоставляется доступ к
БД Управления.
Все положения Инструкции администратора, упоминающие
подключение к БД, распространяются также и на подключение к КПС,
если иное не оговорено в Инструкции администратора.
11. В исключительных случаях по решению службы (подразделения)
собственной безопасности Управления (таможенного органа), по
согласованию с администратором БД и администратором безопасности
БД возможно отклонение от требований Инструкции администратора
(например, в случае разрешения кратковременного доступа к БД
лицам, не имеющим полномочий для доступа к БД) при условии, что
данное отклонение не влечет значительного риска для информационной
безопасности. В таких случаях лицо, принимающее решение о
допустимом риске, берет на себя ответственность за возможные
последствия. Таким лицом не могут быть администратор БД и
администратор безопасности БД. Все необходимые сведения заносятся
в журнал допустимых рисков при работе с базами данных (приложение
1 к Инструкции администратора).
12. Решение задач, связанных с организацией и управлением
доступом пользователей к БД, осуществляется администратором БД
совместно с администратором безопасности БД. Для каждой БД должны
быть назначены не менее 2 администраторов БД и одного
администратора безопасности БД. Для отдельных БД или КПС
Управления могут быть назначены иные администраторы БД и
администраторы безопасности БД.
13. Назначение должностных лиц администраторами баз данных и
администраторами безопасности баз данных Управления (таможенного
органа) осуществляется по согласованию с информационно-технической
службой и службой собственной безопасности Управления.
Список должностных лиц, исполняющих обязанности
администраторов баз данных и администраторов безопасности баз
данных Управления (таможенного органа), утверждается приказом
начальника Управления (таможенного органа).
Обязанности лиц, временно назначенных администраторами баз
данных и администраторами безопасности баз данных Управления
(таможенного органа), могут выполнять другие лица только на
основании приказа начальника Управления (таможенного органа) о
временном исполнении обязанностей администратора другим лицом, в
котором указан срок исполнения обязанностей администратора.
Администраторами баз данных и администраторами безопасности
баз данных Управления (таможенного органа) не могут быть
должностные лица сторонних организаций, в том числе являющихся
разработчиками программного обеспечения.
14. Все журналы и документы по безопасности БД хранятся у
администратора безопасности БД в электронном виде не менее трех
лет с даты их окончания, если иное не указано явно в документации
на БД (КПС) технологической схеме. Причем ежегодно и в случае
требования контролирующих органов должна производиться их
распечатка на бумажном носителе, заверенная подписью должностных
лиц информационно-технических подразделений таможенного органа
(начальника информационно-технической службы Управления). Копии
журналов на бумажных носителях хранятся у администратора
безопасности БД в течение года после их окончания.
Обязанности администраторов баз данных Управления
15. Администраторы БД обеспечивают техническое сопровождение
процедуры организации доступа пользователя к БД, описанной в
Инструкции пользователя по обеспечению информационной безопасности
при работе с базами данных Управления.
16. Администратор БД организует и контролирует процесс
установки и конфигурирования стандартного программного обеспечения
для работы пользователей с БД. Администратор БД осуществляет
сопровождение и тестирование специального программного обеспечения
для доступа к БД, обеспечивает разработку дополнительных
требований по обеспечению доступа к БД и доведение их до сведения
пользователей и их руководителей.
17. Администратор БД и администратор безопасности БД обязаны
производить административные действия со строго определенных
доверенных станций, оснащенных средствами защиты от
несанкционированного доступа и располагающихся в помещениях с
ограниченным доступом. Все действия администратора БД должны
протоколироваться встроенными программными средствами и быть
доступны для контроля администратора безопасности БД в течение 1
(одного) года с момента их совершения.
18. При контактах с пользователем решение об идентификации
обратившегося лица принимает администратор БД любым доступным для
него способом.
19. Администратор БД устанавливает первоначальное значение
пароля пользователя и обеспечивает доведение его до пользователя
безопасным способом. Администратор БД и администратор безопасности
БД совместно разрабатывают технологию изменения паролей и доводят
ее до сведения пользователей и их руководителей.
20. Администратор БД разрабатывает типовые роли для доступа к
БД, определяет право роли на объекты БД и регистрирует их в
журнале типовых ролей и матрицы доступа к базам данных Управления
(таможенного органа) (приложение 2 к Инструкции администратора),
который хранится у администратора безопасности БД вместе с
карточками пользователей в течение года с момента его окончания.
21. Администратор БД совместно с администратором безопасности
БД обязаны обеспечивать соблюдение пользователями БД Управления
политики информационной безопасности и выявление попыток
несанкционированного доступа к базам данных Управления.
Порядок действий администраторов при обнаружении попыток
несанкционированного доступа к базам данных Управления
22. К попыткам несанкционированного доступа (далее - НСД) к
базам данных Управления (таможенного органа) относятся:
сеансы работы с БД незарегистрированных пользователей и
пользователей, нарушивших установленную периодичность доступа,
либо срок действия полномочий которых истек, либо в состав
полномочий которых не входят операции по доступу к данным или
манипулированию ими;
действия третьего лица, пытающегося получить доступ (или
получившего доступ) к БД, при использовании учетной записи
администратора или другого пользователя БД, в целях получения
коммерческой или другой личной выгоды, методом подбора пароля или
другого метода (случайного разглашения пароля и т.п.) без ведома
владельца учетной записи.
23. При выявлении факта НСД администратор БД или администратор
безопасности БД обязаны:
немедленно прекратить доступ к БД со стороны выявленного
участка НСД;
срочно доложить руководству Управления (таможенного органа)
докладной запиской о факте НСД, его результате (успешный,
неуспешный) и предпринятых действиях;
известить о факте НСД начальника информационно-технической
службы Управления (информационно-технического подразделения
таможенного органа) и начальника структурного подразделения, в
котором работает пользователь, от имени учетной записи которого
была осуществлена попытка НСД;
внести запись в журнал регистрации попыток
несанкционированного доступа к базам данных (приложение 3 к
Инструкции администратора);
проанализировать характер НСД для принятия мер по недопущению
его повторного использования;
известить сотрудников подразделения собственной безопасности и
по их решению предоставить всю необходимую информацию;
принимать участие в устранении последствий НСД и реализации
мер по недопущению его повторного использования.
Ответственность за выполнение требований Инструкции
администратора по обеспечению информационной безопасности
при работе с базами данных Управления
24. Ответственность за выполнение требований Инструкции
администратора несут администраторы и начальники подразделений, в
которых работают администраторы.
25. За нарушение настоящей Инструкции администратора и правил,
связанных с информационной безопасностью, администратор БД и
администратор безопасности БД несут ответственность, установленную
действующим законодательством Российской Федерации и нормативными
правовыми актами таможенных органов.
26. Администратор БД и администратор безопасности БД, действия
которых фиксируются в протоколе аудита БД, несут ответственность
за сохранность информации, находящейся в БД. Технологическая
модификация и удаление информации в БД администраторами БД
регламентируются для каждой БД информационно-технической службой
Управления.
27. Администратор БД и администратор безопасности БД несут
ответственность за все действия, совершенные от имени их учетных
записей или системных учетных записей, если не доказан факт
несанкционированного использования учетных записей другими лицами
при соблюдении администраторами требований настоящей Инструкции
администратора.
Начальник
информационно-технической
службы Управления
С.С. Никитин
Приложение 1
к Инструкции администратора
ЖУРНАЛ
ДОПУСТИМЫХ РИСКОВ ПРИ РАБОТЕ С БАЗАМИ ДАННЫХ
_____________________________________________
(наименование таможенного органа)
1. Наименование базы данных ______________________________________
2. Описание риска:
Степень риска осознаю, ответственность за возможные
последствия принимаю на себя:
___________________________ _________________________
(должность) (дата)
___________________________ _________________________
(Ф.И.О.) (подпись)
___________________________
Служба собственной
безопасности _________________________________________
(должность, инициалы, фамилия, подпись)
Согласовано:
Администратор баз данных _________________________________________
(должность, инициалы, фамилия, подпись)
Администратор безопасности
баз данных _________________________________________
(должность, инициалы, фамилия, подпись)
Приложение 2
к Инструкции администратора
ЖУРНАЛ
ТИПОВЫХ РОЛЕЙ И МАТРИЦЫ ДОСТУПА К БАЗАМ ДАННЫХ
____________________________________
(наименование таможенного органа)
Наименование базы данных _________________________________________
----T--------------T-------T--------------¬
¦N ¦Наименование ¦Объект ¦Матрица ¦
¦п/п¦роли ¦ ¦доступа к БД ¦
¦ ¦ ¦ +--T--T--T--T--+
¦ ¦ ¦ ¦R ¦W ¦X ¦D ¦E ¦
+---+--------------+-------+--+--+--+--+--+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---+--------------+-------+--+--+--+--+--+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---+--------------+-------+--+--+--+--+--+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---+--------------+-------+--+--+--+--+--+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---+--------------+-------+--+--+--+--+--+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+---+--------------+-------+--+--+--+--+--+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
L---+--------------+-------+--+--+--+--+---
Администратор баз данных _________________________________________
(должность, инициалы, фамилия, подпись)
Администратор безопасности
баз данных __________________________________________
(должность, инициалы, фамилия, подпись)
Приложение 3
к Инструкции администратора
ЖУРНАЛ
РЕГИСТРАЦИИ ПОПЫТОК НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД)
К БАЗАМ ДАННЫХ _________________________________
(наименование таможенного органа)
------T---------T--------T-------T------------T-----------T-------------------¬
¦N ¦Дата ¦Рабочая ¦База ¦Пользователь¦Описание ¦Принятые меры, кто ¦
¦п/п ¦и время ¦станция ¦данных ¦ ¦попытки НСД¦проинформирован ¦
+-----+---------+--------+-------+------------+-----------+-------------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-----+---------+--------+-------+------------+-----------+-------------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-----+---------+--------+-------+------------+-----------+-------------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-----+---------+--------+-------+------------+-----------+-------------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-----+---------+--------+-------+------------+-----------+-------------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-----+---------+--------+-------+------------+-----------+-------------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+-----+---------+--------+-------+------------+-----------+-------------------+
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
L-----+---------+--------+-------+------------+-----------+--------------------
Журнал начат ____________ 200__ г.
Журнал окончен __________ 200__ г.
Администратор баз данных _________________________________________
(должность, инициалы, фамилия, подпись)
Администратор безопасности
баз данных __________________________________________
(должность, инициалы, фамилия, подпись)
Приложение 3
к приказу Центрального
таможенного управления
от 9 октября 2007 г. N 454
СПИСОК
ДОЛЖНОСТНЫХ ЛИЦ, ИСПОЛНЯЮЩИХ ОБЯЗАННОСТИ АДМИНИСТРАТОРОВ
БАЗ ДАННЫХ УПРАВЛЕНИЯ И АДМИНИСТРАТОРОВ БЕЗОПАСНОСТИ БАЗ
ДАННЫХ УПРАВЛЕНИЯ
Администраторы баз данных Управления
1. Начальник отдела эксплуатации и администрирования локальных
вычислительных сетей информационно-технической службы:
Иванов Дмитрий Павлович.
Москва, Комсомольская пл., д. 1а, корп. 7, каб. 142А.
Asu-idp@mtu.customs.ru.
(495) 975-45-14; 52-23-76.
2. Заместитель начальника отдела эксплуатации и
администрирования локальных вычислительных сетей
информационно-технической службы:
Волчанецкий Владимир Владимирович.
Москва, Комсомольская пл., д. 1а, корп. 7, каб. 142А.
Asu-vvv@mtu.customs.ru.
(495) 975-45-14; 52-23-76.
3. Главный государственный таможенный инспектор отдела
эксплуатации и администрирования локальных вычислительных сетей
информационно-технической службы:
Боденцова Наталья Юрьевна.
Москва, Комсомольская пл., д. 1а, корп. 7, каб. 142А.
Asu-bnu@mtu.customs.ru.
(495) 975-45-14; 52-23-77.
4. Старший государственный таможенный инспектор отдела
эксплуатации и администрирования локальных вычислительных сетей
информационно-технической службы:
Грачева Светлана Владимировна.
Москва, Комсомольская пл., д. 1а, корп. 7, каб. 142А.
Asu-GSV@mtu.customs.ru.
(495) 975-45-14; 52-23-77.
Администраторы безопасности баз данных Управления
1. Начальник отдела информационной безопасности и технической
защиты информации информационно-технической службы:
Бражников Михаил Юрьевич.
Москва, Комсомольская пл., д. 1а, корп. 7, каб. 209.
Asu-bmy@mtu.customs.ru.
(495) 975-45-93; 52-21-51.
2. Специалист 1 разряда отдела эксплуатации функциональных
подсистем и информационного обеспечения информационно-технической
службы:
Владимиров Михаил Александрович.
Москва, Комсомольская пл., д. 1а, корп. 7, каб. 209.
Asu-vma@mtu.customs.ru.
(495) 975-45-93; 52-21-51.
3. Специалист 1 разряда отдела телекоммуникаций и
системотехнического обеспечения средств вычислительной техники
информационно-технической службы:
Хохлов Алексей Сергеевич.
Москва, Комсомольская пл., д. 1а, корп. 7, каб. 209.
Asu-has@mtu.customs.ru.
(495) 975-45-93; 52-21-51.
Начальник
информационно-технической
службы Управления
С.С. Никитин
|
