3.16. Обеспечение защиты информации при взаимодействии с подрядными организациями (ЗП)

3.16. Обеспечение защиты информации при взаимодействии

с подрядными организациями (ЗП)

Цель: Исключение возможности несанкционированного доступа или воздействий на информационные системы и содержащуюся в них информацию через взаимодействующие с информационными системами программно-аппаратные средства подрядных организаций или каналы передачи данных и интерфейсы, используемые для доступа подрядных организаций к информационным системам.

Требования к реализации: Должны быть определены информационные системы, программные, программно-аппаратные средства и состав информации, к которым подрядным организациям предоставляется доступ для выполнения условий договора, и обеспечен контроль доступа подрядных организаций к информационным системам, программным, программно-аппаратным средствам и информации.

В договорах или иных документах, на основании которых подрядным организациям предоставлен доступ к информационным системам или передана содержащаяся в них информация, должна быть предусмотрена необходимость обеспечения подрядными организациями защиты информации, к которой получен доступ, а также установлена ответственность за нарушения данных требований оператора. Не допускается копирование подрядными организациями информации, к которой им предоставлен доступ, в случае если это не предусмотрено в договорах или иных документах, на основании которых получен доступ к информационным системам.

Предоставление доступа к информационным системам, программным, программно-аппаратным средствам и информации работникам подрядных организаций осуществляется по заявке подразделения, обеспечивающего функционирование информационных систем, согласованной со структурным подразделением, специалистами по защите информации, или с использованием систем управления привилегированными учетными записями.

Для доступа работников подрядных организаций должны быть созданы отдельные учетные записи с правами доступа, минимально необходимыми для выполнения условий договора.

Подрядные организации должны осуществлять использование созданных для них учетных записей в соответствии с настоящим методическим документом, внутренними регламентами и стандартами по защите информации.

Должен осуществляться мониторинг и регистрация действий учетных записей, выделенных для подрядных организаций. При обнаружении попыток нарушения правил разграничения доступа или иных действий, не предусмотренных договором с подрядной организацией, учетные записи подрядных организаций незамедлительно блокируются.

В случае использования работниками подрядных организаций в ходе проведения работ по обслуживанию, сопровождению, иных регламентных работ в информационных системах отдельных программно-аппаратных средств в таких средствах должны использоваться средства защиты информации, исключающие несанкционированный доступ к ним.

В информационных системах, отдельных программно-аппаратных средствах подрядных организаций, в которых осуществляются обработка и хранение полученной в результате предоставленного доступа информации, должны быть приняты меры по защите информации.

Порядок вывода разработанного программного обеспечения из контуров разработки и (или) тестирования в эксплуатируемые информационные системы оператора определяется во внутренних регламентах по защите информации, которые должны быть доведены до работников подрядных организаций в части, их касающейся.

Разработка (развитие) и (или) тестирование программного обеспечения подрядными организациями непосредственно в контуре промышленной эксплуатации информационных систем оператора (обладателя информации) не допускается. Для проведения работ по разработке (развитию) и (или) тестированию программного обеспечения работникам подрядных организаций должен быть предоставлен доступ к специально выделенным для проведения таких работ стендам разработки и (или) тестирования. Контроль доступа подрядных организаций к стендам разработки (развития) и (или) тестирования должен осуществляться в соответствии с внутренними регламентами по защите информации.

Удаленный доступ работников подрядных организаций к информационным системам и содержащейся в них информации осуществляется с использованием шифровальных (криптографических) средств защиты информации, обеспечивающих защиту каналов передачи данных.

Удаленный доступ подрядных организаций к информационным системам должен осуществляться только с программно-аппаратных средств, размещенных на территории Российской Федерации.

В договорах или иных документах, на основании которых подрядным организациям предоставлен доступ к информационным системам или передана содержащаяся в них информация, должна быть предусмотрена необходимость обеспечения подрядными организациями защиты информации, к которой получен доступ, а также установлена ответственность за нарушения данных требований оператора.

В случае если в результате предоставленного доступа в информационных системах подрядных организаций осуществляется обработка и хранение полученной информации, в них должны быть приняты меры по защите информации в соответствии с настоящим методическим документом. Состав информации, цели ее защиты и классы защищенности, в соответствии с которыми подрядными организациями должны быть приняты меры по защите информации во взаимодействующих информационных системах, согласуются с оператором (обладателем информации).

Требования к документированию: Внутренний регламент по предоставлению работникам подрядных организаций доступа к информационным системам и содержащейся в них информации должен содержать:

цели предоставления подрядным организациям доступа к информационным системам и содержащейся в них информации, категории подрядных организаций, которым возможно предоставление доступа к информационным системам и содержащейся в них информации;

перечень информационных систем, сегментов информационных систем, отдельных программно-аппаратных средств, стендов разработки и тестирования, а также категории информации, к которым подрядным организациям предоставляется доступ;

виды доступа подрядных организаций к информационным системам и содержащейся в них информации, функции и полномочия подрядных организаций при каждом виде доступа;

основания и порядок предоставления доступа подрядных организаций к информационным системам и содержащейся в них информации;

условия предоставления доступа подрядных организаций к информационным системам и содержащейся в них информации, в том числе меры по защите программно-аппаратных средств, информационных систем, каналов передачи данных, используемых подрядными организациями;

обязанности и ответственность подрядных организаций при обработке и хранении информации оператора (обладателя), в том числе порядок удаления информации;

перечень подразделений (работников), ответственных за контроль выполнения подрядными организациями требований по защите информации, и порядок проведения контроля.

Требования к усилению:

1) должно быть обеспечено централизованное управление учетными записями (группами учетных записей) подрядных организаций и их аутентификационной информацией;

2) должны применяться средства, системы геопозиционирования программно-аппаратных средств, обеспечивающие определение места, из которого осуществляется удаленный доступ;

3) должен быть обеспечен контроль загружаемых подрядными организациями в информационные системы файлов на наличие в них вредоносного программного обеспечения, а также контроль выгружаемых подрядными организациями файлов.