Основная информация
Дата опубликования: | 10 мая 2016г. |
Номер документа: | RU51000201600274 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Мурманская область |
Принявший орган: | Министерство юстиции Мурманской области |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
Губернатору Мурманской области
1
МИНИСТЕРСТВО ЮСТИЦИИ
МУРМАНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 10.05.2016 № 47
г. Мурманск
О ЗАЩИЩЕННОЙ ВИРТУАЛЬНОЙ СЕТИ
МИНИСТЕРСТВА ЮСТИЦИИ МУРМАНСКОЙ ОБЛАСТИ
Во исполнение требований Федерального закона 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федерального закона от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи» и Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в целях обеспечения защищенного обмена электронными документами между участниками информационного взаимодействия п р и к а з ы в а ю:
Утвердить прилагаемое положение о защищенной виртуальной сети Министерства юстиции Мурманской области (далее – Положение).
Административному отделу Министерства юстиции Мурманской области (Р.С. Солнышкова) обеспечить размещение Положения на официальном сайте Министерства юстиции Мурманской области.
Контроль за исполнением настоящего приказа возложить на заместителя министра юстиции Мурманской области Свиридовского М.Б.
Министр В.И. Плевако
Приложение
к приказу Министерства юстиции
Мурманской области
от «10» мая 2016 г. № 47
ПОЛОЖЕНИЕ
О ЗАЩИЩЁННОЙ ВИРТУАЛЬНОЙ СЕТИ
МИНИСТЕРСТВА ЮСТИЦИИ МУРМАНСКОЙ ОБЛАСТИ
Мурманск
2016
1. Термины и определения
1.1. Для целей исполнения настоящего Положения используются следующие термины и определения:
Защищенная сеть
виртуальная, наложенная на физические каналы
связи защищенная транспортная сеть, построенная с
использованием технологий ViPNet, реализованная
сертифицированными в установленном порядке
средствами защиты информации.
Технология ViPNet
технология, предназначенная для построения виртуальных защищенных сетей, путем использования системы персональных и межсетевых экранов на защищаемых компонентах распределенной сети и объединения защищаемых элементов через виртуальные соединения (туннели), обеспечивающие шифрование сетевого трафика между этими элементами на базе средства криптографической защиты информации ViPNet.
Абонентский пункт
персональный компьютер с установленным программным обеспечением ViPNet Клиент, входящий в состав Защищенной сети.
Администратор
Защищенной сети
организация, обладающая соответствующей разрешительной (лицензионной) базой в соответствии с действующим законодательством и оказывающая услуги по обслуживанию и технической поддержке Защищенной сети с использованием технологии ViPNet.
ПАК VipNet Координатор
аппаратно-программный комплекс, выполняющий функции межсетевого экрана и криптомаршрутизатора, имеющий сертификат соответствия ФСБ РФ, устанавливаемый у Участника Защищенной сети.
Центр управления сетью
аппаратные или программные средства для мониторинга, конфигурирования и управления узлами Защищенной сети.
Компонент
Защищенной сети
сетевые узлы, обеспечивающие функционирование Защищенной сети, и представляющие собой ПАК VipNet Координатор или абонентские пункты VipNet Клиент.
Компрометация
ключа
утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
Оператор
Защищенной сети
лицо, осуществляющее подготовительные работы по организации предоставления доступа к компонентам Защищенной сети, координацию действий Участников Защищенной сети, разработку организационно-распорядительных документов, регламентирующих работу Участников в Защищенной сети. (Министерство юстиции Мурманской области)
Несанкционированный доступ
доступ к информации, хранящейся на различных типах носителей, в базах данных, файловых хранилищах путем изменения (повышения, фальсификации) своих прав доступа.
Пользователь Защищенной сети
должностное лицо Участника, использующее для выполнения своих служебных обязанностей информационные системы и ресурсы, входящие в состав Защищѐнной сети.
Участники
юридические лица (Министерство юстиции Мурманской области, территориальные органы федеральных органов исполнительной власти, органы ЗАГС администраций муниципальных образований Мурманской области (отделы ЗАГС), являющиеся операторами информации, формирующейся и обрабатываемой в процессе деятельности органов ЗАГС администраций муниципальных образований Мурманской области с целью электронного информационного взаимодействия.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Положение о защищенной сети Министерства юстиции Мурманской области (далее - Положение) разработано в соответствии со следующими нормативно-правовыми актами:
- Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
- Федеральным законом от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
- Регламент информационной безопасности при использовании программно-аппаратных средств комплекса ViPNet, ОАО «ИнфоТеКС», 2010 г., ФРКЕ. 00029-04 90 01;
- Приказом ФАПСИ №152 от 13.06.2001 г. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
- Приказом ФСБ РФ № 378 от 10.07.2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
2.2. Настоящее Положение определяет и устанавливает:
состав и порядок функционирования Защищенной сети;
принципы подключения и использования сервисов Защищенной сети;
функции и полномочия участников Защищенной сети в соответствии с установленными федеральным законодательством правилами информационной безопасности;
порядок подключения Участников к Защищенной сети;
порядок предоставления доступа к информационным ресурсам Защищенной сети;
порядок организации защищенного межсетевого взаимодействия.
3. НАЗНАЧЕНИЕ ЗАЩИЩЕННОЙ СЕТИ
3.1. Защищенная сеть создается на основе информационной вычислительной сети Министерства юстиции Мурманской области (далее – ИВС), других Участников, подключенных к Защищенной сети в установленном порядке. Объединение в единую ИВС осуществляется цифровыми каналами передачи данных.
3.2. Развитие и обслуживание Защищенной сети осуществляется с привлечением в установленном порядке специализированной организации, располагающей для осуществления деятельности в сфере распространения и технического обслуживания шифровальных (криптографических) средств и оказания услуг в области шифрования информации соответствующей разрешительной (лицензионной) базой, подтверждающей компетенцию, необходимую для обеспечения бесперебойного функционирования Защищенной сети в соответствии с настоящим Положением.
3.3. Основными задачами, которые решает Защищенная сеть, являются:
3.3.1. Организация защищенного информационного взаимодействия между Участниками.
3.3.2. Уменьшение вероятности утраты и несанкционированной модификации информации в процессе информационного обмена между Участниками.
3.3.3. Организация защищенного доступа к информационным ресурсам Участников в целях реализации Федерального закона 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
4. СТРУКТУРА И СОСТАВ ЗАЩИЩЕННОЙ СЕТИ
4.1. Защищенная сеть представляет собой территориально распределенную информационно-телекоммуникационную сеть, объединяющую сегменты Защищенной сети и Абонентские пункты Участников.
4.2. Основными активными компонентами Защищенной сети являются серверы, программно-аппаратные комплексы и Абонентские пункты, являющиеся сетевыми узлами Защищенной сети.
4.3. Связь сетевых узлов Защищенной сети осуществляется по каналам связи, которые используются Участниками.
4.4. Программное обеспечение, обеспечивающее функционирование Защищенной сети, состоит из модулей (компонентов):
- ViPNet Администратор;
- ViPNet Координатор;
- ViPNet Клиент.
4.5. В составе Защищенной сети функционируют следующие основные виды серверов: файловые серверы, серверы ViPNet Координатор, серверы баз данных, расположенные в специально оборудованных помещениях Участников с ограниченным доступом.
4.6. Основные функции сетевых узлов Защищенной сети.
4.6.1. Файловые серверы сети ViPNet, оптимизированные для выполнения файловых операций ввода - вывода, предназначенные для хранения файлов Участников.
4.6.2. Серверы ViPNet Координатор - многофункциональные серверы, осуществляющие, в зависимости от настроек:
- маршрутизацию почтовых и управляющих защищенных сообщений;
- регистрацию и предоставление информации о состоянии объектов Защищенной сети;
- фильтрацию трафика от источников, не входящих в состав Защищенной сети, в соответствии с заданной политикой безопасности.
Функциональность ViPNet Координатора определяется Центром управления Защищенной сетью и формируемыми им справочниками и маршрутными таблицами.
4.6.3. Серверы баз данных, предназначенные для обслуживания баз данных, отвечающие за целостность и сохранность данных, а также обеспечивающие операции ввода-вывода информации при доступе Участников Защищенной сети к информационным системам.
4.6.4. Основными функциями Абонентских пунктов являются оперативный защищенный обмен и защищенная передача электронных документов с шифрованием сетевого трафика и реализация сервисов, предусмотренных в разделе 6 настоящего Положения.
4.7. Режим работы защищенной сети.
4.7.1. Файловые серверы, серверы баз данных, серверы ViPNet Координатор работают круглосуточно, 7 дней в неделю, за исключением перерывов для проведения аварийно-ремонтных и планово-профилактических работ.
5. КАТЕГОРИИ ПОЛЬЗОВАТЕЛЕЙ ЗАЩИЩЕННОЙ СЕТИ
5.1. Оператор Защищенной сети.
5.1.1. Пользователь данной категории контролирует и анализирует процесс функционирования Защищенной сети, определяет общую стратегию развития Защищенной сети, организует разработку организационно-распорядительных документов, регламентирующих работу Участников в Защищенной сети. Осуществляет, на основании заявок и соглашений подготовительные работы по организации предоставления доступа к компонентам Защищенной сети.
5.1.2. Функции и полномочия Оператора определяются в разделе 7 настоящего Положения.
5.2. Администратор Защищенной сети.
5.2.1. Пользователь данной категории осуществляет техническое обслуживание и администрирование компонентов Защищенной сети.
5.2.2. Функции и полномочия Администратора определяются в разделе 8 настоящего Положения.
5.3. Пользователь Защищенной сети.
5.3.1. Пользователем (далее - Пользователь) Защищенной сети является должностное лицо Участника, имеющее доступ к информационным ресурсам Защищенной сети.
5.3.2. Полномочия Пользователей при работе в Защищенной сети определяются его должностными обязанностями и 9 разделом данного Положения.
СЕРВИСЫ ЗАЩИЩЕННОЙ СЕТИ
6.1. Участники Защищенной сети могут получить доступ к следующим основным сервисам (в зависимости от установленного клиентского программного обеспечения):
6.1.1. Защищенная электронная почта.
6.1.2. Защищенный файловый обмен.
6.1.3. Оперативный обмен защищенными сообщениями.
6.1.4. Доступ к ресурсам и информационным системам Защищенной сети.
6.2. Защищенная электронная почта - сервис, реализованный на базе модуля «Деловая почта», входящего в состав программного обеспечения ViPNet Клиент, выполняющий функции почтового клиента защищенной почтовой службы, функционирующей в рамках Защищенной сети.
6.2.1. Основными функциями модуля «Деловая почта» являются: 6.2.1.1. Передача электронных сообщений, а также прикрепленных к ним файлов по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя.
6.2.1.2. Организация по установленным правилам защищенного автопроцессинга стандартных документов.
6.2.1.3. Подтверждение получения и использования сообщений, а также даты, времени получения и личности получателей.
6.3. Защищенный файловый обмен - сервис, позволяющий Абонентам обмениваться любыми файлами без установки дополнительного программного обеспечения или использования функций операционной системы.
6.3.1. Основными функциями защищенного файлового обмена являются:
6.3.1.1. Обмен файлами между абонентами через защищенную транспортную сеть ViPNet.
6.3.1.2. Гарантированная доставка и возобновление передачи файлов при обрыве связи.
6.4. Оперативный обмен защищенными сообщениями - сервис, предназначенный для обмена сообщениями в режиме реального времени между Абонентами.
6.4.1. Основными функциями оперативного обмена, защищенными сообщениями являются:
6.4.1.1. Передача сообщений между абонентами в защищенном виде, исключающим постороннее вмешательство.
6.4.1.2. Обмен сообщениями в режиме конференции.
6.4.1.3. Сохранение результатов в протокол.
6.5. Защищенный доступ к информационным системам - сервис, обеспечивающий возможность защищенной работы в режиме «клиент-сервер» с установленным программным обеспечением ViPNet Клиент на серверах и рабочих станциях.
6.5.1. Основными функциями защищенного доступа к информационным системам являются:
6.5.1.1. Защита трафика при обращении к серверам баз данных.
6.5.1.2. Разграничение доступа к информационным системам.
ФУНКЦИИ И ПОЛНОМОЧИЯ ОПЕРАТОРА ЗАЩИЩЕННОЙ СЕТИ
7.1. Обязанности Оператора Защищенной сети:
7.1.1. Рассматривает заявления Участников на подключение к Защищенной сети.
7.1.2. Осуществляет, на основании заявок и соглашений, подготовительные работы по организации предоставления доступа к компонентам Защищённой сети.
7.1.3. Формирует и поддерживает в актуальном состоянии электронный реестр Участников, подключенных к Защищенной сети.
7.1.4. Разработка единых правил формирования, развития и функционирования Защищенной сети.
7.1.5. Разрабатывает, вводит в действие и предоставляет Участникам Защищенной сети организационно-распорядительные документы, регламентирующие порядок и условия подключения к Защищенной сети, порядок работы Участников в Защищенной сети, проекты соглашений и заявлений о подключении к Защищенной сети.
7.1.6. Разработка предложений по формированию и внедрению компонентов Защищенной сети (совместно с Администратором Защищенной сети).
7.1.7. Осуществляет мероприятия по модернизации и развитию Защищенной сети.
7.2. Права Оператора:
7.2.1. Информировать руководителей Участников при невыполнении их должностными лицами требований безопасности и несоблюдения других требований по обеспечению бесперебойного функционирования Защищенной сети. 7.2.2. Запрашивать у Администратора защищенной сети информацию о компонентах Защищенной сети.
7.2.3. Запрашивать и получать от Участников Защищенной сети необходимые материалы и сведения об использовании ими Защищенной сети.
7.2.4. Принимать решение об отключении или ограничении доступа к информационным системам Защищенной сети в случаях нарушения должностными лицами Участника требований настоящего Положения.
7.3. Оператор несет ответственность:
7.3.1. За невыполнение требований настоящего Положения, а также других актов, регулирующих работу Защищенной сети.
7.3.2. Неправомерное использование информации, циркулирующей в Защищенной сети, к которой Оператор получает доступ в связи с выполнением своих должностных обязанностей.
ФУНКЦИИ И ПОЛНОМОЧИЯ АДМИНИСТРАТОРА ЗАЩИЩЕННОЙ СЕТИ
8.1. Администратор Защищенной сети осуществляет техническое обслуживание и администрирование оборудования и программного обеспечения Защищенной сети, с учетом требований действующего законодательства технической и эксплуатационной документацией на программное обеспечение VipNet.
8.2. Администратор Защищенной сети выполняет следующие функции:
8.2.1. Обеспечивает администрирование Защищенной сети, наблюдение за работоспособностью защищенной сети и принимает меры по восстановлению её работоспособности.
8.2.2. Осуществляет установку и настройку компонентов Защищенной сети в сегменте Участника, по согласованию с Участником.
8.2.3. Осуществляет поэкземплярный учет ключевых документов, выданных Участникам и относящихся к компонентам Защищенной сети в соответствии с требований действующего законодательства.
8.2.4. Осуществляет подключение к Защищенной сети новых Участников, в соответствии с заявками на подключение.
8.2.5. Осуществляет профилактические работы компонентов Защищенной сети.
8.2.6. Осуществляет техническое сопровождение Защищенной сети.
8.2.7. Организация мероприятий по модернизации и развитию Защищенной сети (совместно с Оператором), предоставление Участникам доступа к информационным системам Защищенной сети в соответствии с заявками, оформленными в установленном порядке.
8.2.8. Своевременное реагирование на попытки несанкционированного доступа к компонентам Защищенной сети.
8.2.9. Выработка рекомендаций пользователям, направленных на обеспечение работоспособности Защищенной сети.
8.3. Обязанности Администратора Защищенной сети.
8.3.1. Осуществление поддержки работоспособности компонентов Защищенной сети.
8.3.2. Предоставление Оператору Защищенной сети информации о компонентах Защищенной сети.
8.4. Права Администратора.
8.4.1. Информировать руководителей Участников при невыполнении их должностными лицами требований безопасности и несоблюдении других требований по обеспечению бесперебойного функционирования Защищенной сети (по согласованию с Оператором).
8.4.2. Производить отключение или ограничение доступа к информационным системам Защищенной сети должностным лицам Участника в случаях нарушения ими требований настоящего Положения.
8.4.3. Осуществление поддержки работоспособности компонентов Защищенной сети.
8.4.4. Информирование пользователей о проводимых работах по обслуживанию и возможных перебоях в работе Защищенной сети.
8.4.5. Соблюдать конфиденциальность информации, полученной в связи с выполнением своих обязанностей.
8.5. Администратор несет ответственность:
8.5.1. За невыполнение требований настоящего Положения, а также других актов, регулирующих работу Защищенной сети.
8.5.2. За несвоевременное выявление попыток несанкционированного доступа, приведших к нарушению требований обеспечения безопасности Защищенной сети.
8.5.3. За несвоевременное устранение неисправностей в работе компонентов Защищенной сети.
8.5.4. За неправомерное использование информации, циркулирующей в Защищенной сети, к которой Администратор Защищенной сети получает доступ в связи с выполнением своих функций.
8.5.5. За бесперебойное функционирование Защищенной сети.
ФУНКЦИИ И ПОЛНОМОЧИЯ ПОЛЬЗОВАТЕЛЕЙ УЧАСТНИКА
9.1. Назначение Пользователей Защищенной сети.
9.2. Перечень сотрудников (Пользователей), которым для выполнения служебных обязанностей необходим доступ в Защищенную сеть, утверждается руководителем Участника.
9.3. В случае изменения состава Пользователей, которым для выполнения служебных обязанностей необходим доступ в Защищенную сеть, Участник обязан информировать Оператора в течение 5-и рабочих дней.
9.4. Пользователи должны быть ознакомлены, с правилами работы в Защищенной сети, предусмотренными настоящим Положением и предупреждены о возможной ответственности за их нарушение.
9.5. Пользователь ЗС обязан:
9.5.1. Знать и соблюдать правила информационной безопасности при работе в Защищенной сети, определенные настоящим Положением, а также другими актами, регулирующими работу Защищенной сети.
9.5.2. При работе в Защищенной сети выполнять только задания, связанные с должностными обязанностями.
9.5.3. При выявлении вредоносных программ или признаков нештатного функционирования программного обеспечения немедленно сообщить Администратору Защищенной сети.
9.5.4. Предоставлять свой Абонентский пункт либо рабочую станцию администратору для контроля и осуществления административных действий.
9.5.5. Обеспечивать безопасность хранения ключевой информации и (или) пароля.
9.6. Пользователю ЗС запрещается:
9.6.1. Оставлять свой Абонентский пункт либо рабочую станцию во включенном состоянии без контроля и с незаблокированными устройствами ввода и отображения информации.
9.6.2. Допускать к подключенному в Защищенную сеть Абонентскому пункту или рабочей станции посторонних лиц.
9.6.3. Самостоятельно проводить изменения в настройках Абонентского пункта или сетевых настройках рабочей станции.
9.6.4. Передавать пароли и ключевую информацию третьим лицам, а также размещать их в местах, доступных посторонним.
9.7. Пользователь ЗС имеет право:
9.7.1. Пользоваться информационными системами, ресурсами и сервисами Защищенной сети в рамках предоставленных ему полномочий.
9.7.2. Обращаться к непосредственному руководителю для решения вопросов использования информационных систем Участников.
9.7.3. Соблюдать конфиденциальность информации, полученной в связи с выполнением своих обязанностей.
9.8. Пользователь ЗС несет ответственность:
9.8.1. За невыполнение требований настоящего Положения, а также других актов, регулирующих работу Защищенной сети.
9.8.2. За неправомерное использование информации, циркулирующей в Защищенной сети, к которой Пользователь ЗС получает доступ в связи с выполнением своих должностных обязанностей.
9.9. Ответственность за допуск Пользователя ЗС к работе в Защищенной сети и предоставленные ему соответствующие полномочия несет руководитель Участника, принявший решение о подключении Пользователя к Защищенной сети.
10. ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
10.1. Технические мероприятия по обслуживанию компонентов Защищенной сети и информационных систем организуются Администратором Защищенной сети.
10.2. В случае возникновения производственной необходимости проведения аварийных и планово-профилактических работ доступ к Защищенной сети или ее отдельным сегментам может быть закрыт.
10.3. Плановые работы проводятся по графику, разрабатываемому Администратором Защищенной сети.
10.4. К плановым работам относятся:
10.4.1. Реконфигурирование Защищенной сети.
10.4.2. Установка (переустановка) программного обеспечения, в том числе операционных систем.
10.4.3. Техническое обслуживание компонентов Защищенной сети.
10.4.4. Другие виды работ, необходимость проведения которых определяется Администратором по согласованию с Оператором.
10.5. О проведение плановых работ Администратор уведомляет Участников Защищенной сети не менее чем за 24 часа до намеченного срока начала работ.
10.6. Функционирование Защищенной сети в аварийном режиме.
10.6.1. Для защиты компонентов Защищенной сети от сбоев электропитания основные компоненты Защищенной сети (файловые серверы, серверы ViPNet Координатор, серверы баз данных и Абонентские пункты) оборудуются источниками бесперебойного питания, мощность которых в случае отключения электропитания обеспечивает возможность корректного завершения выполняемых задач.
10.6.2. В случае возникновения нештатных ситуаций Администратор обязан восстановить работоспособность обслуживаемых им сегментов Защищенной сети в максимально сжатые сроки.
11. ПОРЯДОК ОРГАНИЗАЦИИ ПОДКЛЮЧЕНИЯ УЧАСТНИКОВ К ЗАЩИЩЁННОЙ СЕТИ
11.1. Подключение Участников к Защищенной сети организовывается как централизованно по решению Оператора, в рамках исполнения целевых программ, так и самостоятельно по инициативе нового Участника.
11.2. Организация подключения новых Участников включает в себя следующие этапы:
- Этап подачи заявки.
- Этап рассмотрения заявки.
- Этап закупки программного или программно-аппаратного обеспечения.
- Этап подключения Участника.
11.2.1. Новый Участник формирует и направляет Оператору пакет документов о намерении подключиться к Защищенной сети, с указанием цели подключения, перечня Участников, с которыми необходима организация защищённого информационного обмена.
В комплект документов, передаваемый Участником входят:
- Заявка на подключение к Защищенной сети (Приложение №1);
- В случае подключения программно-аппаратного комплекса ПАК ViPNet Координатор, Участник предоставляет информацию об адресации согласно схеме подключения (Приложение №2).
11.2.2. Оператор в течение 5 (пяти) рабочих дней с момента получения заявки принимает решение о целесообразности подключения нового Участника к Защищенной сети.
11.2.3. В случае отрицательного результата рассмотрения заявки, Оператор уведомляет Участника об отказе в подключении к Защищенной сети с обоснованием причины отказа.
11.2.4. В случае отсутствия замечаний по представленным документам, не позднее установленного в п. 11.2.2 срока, Оператор совместно с Администратором Защищенной сети осуществляют процедуру оценки технической возможности и согласования схемы подключения нового Участника.
11.2.5. По результатам оценки и рассмотрения технической возможности подключения Участника, Оператор передает комплект документов Администратору Защищенной сети для формирования ключевой информации и осуществления подключения нового Участника.
11.2.6. В случае отсутствия технической возможности подключения Участника к Защищенной сети, Участник совместно с Оператором принимают меры по устранения выявленных проблем.
11.2.7. Подключение нового Участника осуществляется с использованием программного или аппаратного обеспечения ViPNet CUSTOM. Обеспечение необходимым для подключения количеством лицензий, ключевых носителей информации осуществляется новым Участником самостоятельно. При оформлении документов на приобретение программных или аппаратных продуктов и лицензий новый Участник указывает регистрационный номер Защищенной сети – 1971.
11.2.8. Сроки установки программного обеспечения и подключения Абонентских пунктов или ПАК ViPNet Координаторов нового Участника к Защищенной сети согласовываются новым Участником и Администратором Защищенной сети.
11.2.9. Администратор Защищенной сети в согласованные с новым Участником сроки организует:
- регистрацию сетевых узлов в Центре управления сетью;
- основные направления связи между сетевыми узлами, в соответствии с заявкой на подключение;
- формирование необходимой справочной и ключевой информации;
- формирует дистрибутивы ключей для сетевых узлов вместе с паролем доступа к нему;
- уведомление Участника, по контактной информации указанной в заявке, о завершении обозначенных работ;
- запись ключевой информации Участника на носители Участника (при необходимости);
- предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.
11.2.10. Участник для получения дистрибутива ключей и пароля доступа к нему должен направить к Администратору Защищенной сети пользователя с доверенностью на получение дистрибутива ключей (Приложение № 3).
11.2.11. На Участника распространяются все обязанности по соблюдению требований информационной безопасности, определенные действующим законодательством в области защиты информации, технической и эксплуатационной документации и настоящим Положением.
11.2.12. В случае создания Участником собственной защищенной сети на базе технологии ViPNet CUSTOM, между Участником и Оператором дополнительно заключается соответствующее соглашение о межсетевом взаимодействии.
ОРГАНИЗАЦИЯ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ С ДРУГИМИ СЕТЯМИ VIPNET
12.1. Организация межсетевого взаимодействия с другими сетями, организованными с использованием технологии ViPNet, включает в себя следующие стадии:
12.1.1. Направление новым Участником заявки Оператору об организации межсетевого взаимодействия.
12.1.2. Рассмотрение заявки Оператором.
12.1.3. Передача заявки Оператором Администратору Защищенной сети и заключение соглашения о межсетевом взаимодействии между Оператором и Участником.
12.1.4. Формирование Администратором Защищенной сети ключевой информации и передача ее Участнику.
12.2.Направление заявки.
12.2.1. С целью организации межсетевого взаимодействия между Защищенной сетью и сторонней сетью ViPNet, Участник сторонней сети письменно информируют Оператора о необходимости подключения с указанием контактов должностных лиц, ответственных за организацию такого взаимодействия.
12.3. Рассмотрение заявки.
12.3.1. Оператор, в течение 10 (десяти) рабочих дней со дня получения заявки, совместно с Администратором проводят оценку оснований и технической возможности для организации межсетевого взаимодействия.
12.3.2. Оператор имеет право отказать в подключении новому Участнику межсетевого взаимодействия, при этом проинформировать об имеющихся основаниях для такого решения.
12.3.3. В случае принятия решения об организации межсетевого взаимодействия Оператор в течение 5 (пяти) рабочих дней в письменной форме уведомляет нового Участника, инициирующего данное взаимодействие, и направляет Участнику для подписания проект соглашения между Оператором и Участником о межсетевом взаимодействии.
12.4. Формирование и передача ключевой информации.
12.4.1. В случае принятия положительного решения об организации межсетевого взаимодействия, Оператор совместно с Администратором Защищенной сети и администратором сторонней сети ViPNet, в соответствии с «Руководством администратора. ViPNet Administrator Центр управления сетью» и «Руководством администратора. ViPNet Administrator Удостоверяющий и ключевой центр» организуют формирование необходимой адресной и ключевой информации - формирование начального экспорта (индивидуальные симметричные межсетевые мастер-ключи связи и шифрования, справочная информация), включая корневые сертификаты для каждой из сетей.
12.4.2. Указанные данные (начальный экспорт) доверенным способом передаются в соответствующие Центры управления сетей (далее – ЦУС), с которыми необходимо осуществлять межсетевое взаимодействие.
12.4.3. Во всех ЦУС в соответствии с «Руководством администратора. ViPNet Administrator Центр управления сетью» и «Руководством администратора. ViPNet Administrator Удостоверяющий и ключевой центр» производится ввод и обработка (импорт) полученных из других ЦУС данных (начального экспорта), установление связей своих Абонентских пунктов с Абонентскими пунктами ЦУС, предоставившими информацию (ответный экспорт) для ЦУС, приславших первичную информацию, включая свои сертификаты.
12.4.5. Ответная информация (ответный экспорт) доверенным способом передаются в соответствующие ЦУС, где она обрабатывается и вводится в действие. На этом этапе завершается процесс создания межсетевого взаимодействия между ЦУС, в дальнейшем обмен данными между ними производится в автоматическом режиме.
12.4.6. Сформированная ключевая и справочная информация через ЦУС отправляется на Абонентские пункты, участвующие в межсетевом взаимодействии.
12.4.7. После завершения процедуры организации межсетевого взаимодействия между Защищенной сетью и сторонней сетью ViPNet, подписывается Протокол установления межсетевого взаимодействия (Приложение № 4).
12.5. При каждой модификации межсетевого взаимодействия Администратор Защищенной чети заносит соответствующие записи в Журнал изменений межсетевого взаимодействия (Приложение № 8).
13. ПОРЯДОК ОРГАНИЗАЦИИ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ В СЛУЧАЕ ПЛАНОВОЙ СМЕНЫ МЕЖСЕТЕВОГО МАСТЕР-КЛЮЧА
13.1. Порядок модификации межсетевого взаимодействия в случае плановой смены межсетевого мастер-ключа предполагает выполнение ряда технологических и организационных мероприятий.
13.2. Предварительные организационные мероприятия.
Перед плановой сменой межсетевого мастер-ключа, Администратор Защищенной сети и администратор сторонней сети ViPNet, с которой установлено межсетевое взаимодействие должны:
- выбрать тип межсетевого мастер-ключа, который будет использоваться для связи между сетями;
- в случае использования симметричного мастер ключа выбирается сеть, в которой будет создан новый межсетевой мастер-ключ;
- выбрать и согласовать время проведения смены межсетевого мастер-ключа и последующего обновления ключей шифрования для Абонентских пунктов сетей.
13.3. Формирование нового межсетевого мастер-ключа производится в соответствии с «Руководством администратора. ViPNet Administrator [Удостоверяющий и ключевой центр]».
13.4. После смены межсетевого мастер-ключа производится процедура создания экспортных данных и приём импортированных данных в соответствии с «Руководством администратора. ViPNet Administrator [Центр управления сетью]» и «Руководством администратора. ViPNet Administrator [Удостоверяющий и ключевой центр]».
13.5. После смены межсетевого мастер - ключа связь между взаимодействующими Абонентскими пунктами Защищённой сети и ViPNet сети, с которой установлено межсетевое взаимодействие, возможна только после прохождения обновления ключевой информации на всех соответствующих Абонентских пунктах.
13.6. Обновленная ключевая информация отправляется на Абонентские пункты, участвующие в межсетевом взаимодействии.
13.7. После смены межсетевого мастер-ключа Администратор Защищенной сети заносит соответствующие записи в Журнал изменений межсетевого взаимодействия.
14. КОМПРОМЕТАЦИЯ КЛЮЧЕВОЙ ИНФОРМАЦИИ АБОНЕНТСКИХ ПУНКТОВ
14.1. Под компрометацией ключей понимается утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
14.2. Ключи пользователя считаются скомпрометированными в следующих случаях:
- посторонним лицам мог стать доступным файл ключевого дистрибутива;
- посторонним лицам мог стать доступным съемный носитель с ключевой информацией;
- посторонние лица могли получить неконтролируемый физический доступ к ключевой информации, хранящейся на компьютере, если все ключи хранятся на компьютере;
- на компьютере, подключенном к сети, установлен модуль ViPNet Клиент [Монитор] и он устанавливался в 4 или 5 режим работы и:
- в локальной сети считается возможным присутствие посторонних лиц или на границе локальной сети отсутствует (отключен) межсетевой экран;
- уволился Пользователь, на которого оформлен пароль и ключ.
14.3. К событиям, требующим проведения расследования и принятия решения о компрометации ключевой информации, относится возникновение подозрений в утечке информации при ее передаче в Защищенной сети.
14.3.1. В случае прекращения полномочий Пользователя, ключи данного Пользователя считаются скомпрометированными и подлежат отзыву (аннулированию).
14.4. В случае наступления любого из событий, связанных с компрометацией ключевой информации, Пользователь немедленно прекращает связь с другими Абонентскими пунктами и сообщает о факте компрометации Администратору Защищенной сети в течение 1-го рабочего дня.
14.5. Администратор Защищенной сети при получении информации о компрометации ключевой информации в течение 1-го рабочего дня обязан организовать:
14.5.1. Объявление (с помощью ПО ViPNet Администратор) ключей Абонентского пункта скомпрометированными и создание справочников связей при компрометации с необходимой информацией.
14.5.2. Оповещение о факте компрометации ключей всех Пользователей, связанных с Пользователем, ключевая информация которого была скомпрометирована.
14.6. Формирование новой ключевой информации.
14.6.1. Рассылку сформированных обновлений ключей на Абонентские пункты Защищенной сети.
15. ПОРЯДОК ОРГАНИЗАЦИИ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ В СЛУЧАЕ КОМПРОМЕТАЦИИ КЛЮЧЕВОЙ ИНФОРМАЦИИ АБОНЕНТСКИХ ПУНКТОВ
15.1. При наступлении любого из перечисленных в п. 15.2. настоящего Положения событий Пользователь должен немедленно прекратить работу на своем Абонентском пункте и сообщить о факте компрометации Администратору Защищенной сети.
15.2. Администратор Защищенной сети ViPNet при получении информации о компрометации ключевой информации в течение 1-го рабочего дня обязан организовать:
15.2.1. Объявление ключей Абонентского пункта скомпрометированными и создание справочников связей при компрометации с необходимой информацией.
15.2.2. Формирование и импорт для сети ViPNet, с Абонентскими пунктами которой взаимодействовал скомпрометированный Абонентский пункт.
15.3. Администратор сети ViPNet, Пользователи которой взаимодействовали с Пользователем, ключи которого скомпрометированы, после приема и обработки импорта организует создание новой ключевой информации для своих Пользователей.
15.4. Возобновление межсетевого взаимодействия возможно только после прохождения обновления ключевой информации на всех взаимодействующих Абонентских пунктах.
15.5. Внеплановая смена межсетевого мастер-ключа.
15.5.1. Внеплановая смена ключей выполняется в случае компрометации или угрозы компрометации межсетевого мастер-ключа, на котором происходит организация межсетевого взаимодействия.
15.5.2. В случае компрометации симметричного межсетевого мастер-ключа считается скомпрометированной вся ключевая информация, которая используется при защищенном межсетевом взаимодействии. Межсетевое взаимодействие должно быть немедленно остановлено.
15.5.3. Для восстановления работы межсетевого взаимодействия при ситуации, описанной в п.15.5.2. настоящего Положения, необходимо организовать следующие мероприятия:
- оповещение о факте компрометации ключей всех Пользователей, связанных с Пользователем, ключевая информация которого была скомпрометирована.
- формирование новой ключевой информации.
- рассылку сформированных обновлений ключей на Абонентские пункты Защищенной сети.
15.5.4. Факт компрометации ключей регистрируется Администратором Защищенной сети в Журнале изменений межсетевого взаимодействия.
ПОРЯДОК ОРГАНИЗАЦИИ ХРАНЕНИЯ И УЧЕТА КЛЮЧЕВОЙ ИНФОРМАЦИИ КОМПОНЕНТОВ ЗАЩИЩЕННОЙ СЕТИ
16.1. Хранение, эксплуатация и учет СКЗИ, ключевой информации компонентов Защищенной сети производится Участником в соответствии с требованиями действующего законодательства в области криптографической защиты информации.
16.1.1. Организация поэкземплярного учета СКЗИ и ключевой информации компонентов Защищенной сети Участника осуществляется пользователем Участника.
16.1.2. Учет СКЗИ ведется в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
16.1.3. Программные СКЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.
16.1.4. Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем Журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.
16.1.5. Если эксплуатационной и технической документацией к СКЗИ предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в СКЗИ, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в техническом журнале (Приложение № 9).
16.2. В состав ключевой информации компонентов Защищенной сети, входят следующие составляющие:
- Дистрибутив справочно-ключевой информации. Представляет собой сборник, содержащие личные ключи пользователя, ключевой набор сетевого узла и адресные справочники ViPNet.
- Личные ключи пользователя. Представляют собой ключи защиты пользователя, необходимые для его аутентификации на сетевом узле, и может содержать ключи подписи пользователя;
- Резервный набор персональных ключей пользователя. Предназначен для получения дистанционного обновления ключевой информации при изменении исходной ключевой информации в УКЦ.
16.3. Дистрибутив справочно-ключевой информации.
16.3.1. Дистрибутив справочно-ключевой информации формируется Администратором Защищенной сети и передается пользователю Участника Защищенной сети лично без использования канала связи с оформлением соответствующей записи в журнале.
16.3.2. Пользователь Участника должен хранить дистрибутив на съемном носителе. Должны быть приняты меры по надежному хранению ключевых дистрибутивов и другой ключевой информации, размещенной на съемных носителях. При отсутствии условий хранения дистрибутивов на рабочих местах они должны быть уничтожены с соответствующей отметкой в журнале учета СКЗИ Участника.
16.4. Резервные наборы персональных ключей.
16.4.1. Резервные наборы формируется Администратором Защищенной сети и передаются пользователю Участника Защищенной сети, вместе с дистрибутивом справочно-ключевой информации.
16.4.2. Резервные наборы должны храниться на съемных носителях. Запрещается хранение наборов на мобильных ПЭВМ и на компонентах Защищенной сети в помещениях, в которые могут иметь доступ посторонние лица.
16.4.3. При отсутствии условий для хранения данных наборов они должны быть уничтожены вместе с дистрибутивами для первичной инициализации.
16.5. Личные ключи пользователя.
16.5.1. Личные ключи могут передаваться пользователю вместе с дистрибутивом для первичной инициализации или переноситься на ключевой носитель в процессе первичной инициализации.
УСТАНОВКА И ВВОД В ЭКСПЛУАТАЦИЮ КОМПОНЕНТОВ ЗАЩИЩЕННОЙ СЕТИ
17.1. Требования к установке компонентов Защищенной сети.
17.1.1. Установку, настройку и управление ПАК Координаторами, обеспечивающими криптографическую защиту каналов связи в Защищенной сети Министерства юстиции Мурманской области в части сегмента Участника, осуществляется исключительно Администратором Защищенной сети. Самостоятельная установка, настройка или управление ПАК Координаторами, со стороны Участника не допускается.
17.1.2. Первичная установка абонентских пунктов Защищенной сети осуществляется Администратором Защищенной сети. Настройка абонентских пунктов Защищенной сети осуществляется исключительно Администратором Защищенной сети. Все указанные действия производятся строго в соответствии с технической и эксплуатационной документацией на компоненты Защищенной сети.
17.1.3. После завершения процедур установки и настройки производится процедура проверки работоспособности компонента Защищенной сети. Результаты проверки оформляются в виде протокола контрольной проверки в соответствии с Приложением № 6.
17.1.4. На каждый компонент Защищенной сети Участником оформляется Акт о вводе в эксплуатацию по типовой форме (Приложение № 5 и Приложение № 5.1).
17.1.5. Экземпляры Акта и Протокола хранятся у Участника, а копии передаются Администратору Защищенной сети.
17.2. Требования к размещению компонентов Защищенной сети.
17.2.1. Общие требования.
- Размещение, охрана и специальное оборудование помещений, в которых установлены компоненты Защищенной сети и ведется работа с носителями персональной ключевой информации, должны исключать возможность бесконтрольного проникновения в них посторонних лиц, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами, а также гарантировать сохранность находящихся в этих помещениях ключевых документов.
- Порядок охраны и организации режима помещений, в которых установлены компоненты Защищенной сети, регламентируется разделом 4 Приказа ФАПСИ №152 от 13.06.2001 г.
- При подключении компонентов Защищенной сети к каналам передачи данных, выходящих за пределы контролируемой зоны, необходимо выполнение действующих в Российской Федерации требований по защите информации от утечки по техническим каналам, в том числе по каналу связи.
17.2.2. Размещение ПАК ViPNet Координатор.
- ПАК ViPNet Координаторы рекомендуется устанавливать в выделенных помещениях серверных узлов.
- Доступ в помещение серверных узлов должен быть ограничен.
17.2.3. Размещение абонентского пункта ViPNet Клиент.
- ViPNet Клиент является персональным средством защиты пользователя ViPNet и размещается на рабочем месте сотрудника Участника. Дополнительных специальных требований к помещениям, где установлено ПО ViPNet Клиент, не предъявляется данным Положением.
17.3. Настройка операционной системы Абонентского пункта, а так же выбор типа аутентификации производится в соответствии с эксплуатационной и технической документацией на компоненты Защищенной сети.
ВЫВОД КОМПОНЕНТОВ ЗАЩИЩЕННОЙ СЕТИ ИЗ ЭКСПЛУАТАЦИИ
18.1. Вывод компонентов Защищенной сети из эксплуатации.
18.1.1. Вывод из эксплуатации компонентов Защищенной сети оформляется в виде Акта по типовой форме (Приложение № 7).
18.1.2. Акт хранится у пользователя СКЗИ, а копия передается Администратору Защищенной сети.
18.2. Удаление ключевой информации компонентов Защищенной сети.
18.2.1. Удаление ключевой информации при обновлениях или деинсталляции программного обеспечения производится штатными средствами ViPNet.
18.2.2. Удаление ключевой информации на жестких дисках, дискетах или флэш-памяти производится с использованием специальной программы, входящей в состав поставки программного обеспечения ViPNet. В журнале учета выдачи ключевых документов делается отметка об уничтожении ключей.
18.2.3. Ключевая информация должна быть уничтожена в сроки, указанные в эксплуатационной и технической документации. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 дней после вывода их из действия.
18.2.4. При удалении дистрибутивов или невозможности воспользоваться штатными средствами удаление ключевой информации производится Администратором Защищенной сети под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом.
18.2.5. Уничтожение по акту производит комиссия в составе не менее двух человек из числа лиц, допущенных к пользованию СКЗИ. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих криптосредства носителей, эксплуатационной и технической документации. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.
РЕЖИМ РАБОТЫ ЗАЩИЩЕННОЙ СЕТИ И ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
19.1. Технические мероприятия по обслуживанию компонентов Защищенной сети (относящихся к программному или аппаратному обеспечению ViPNet) организуются Администратором с привлечением Оператора Защищенной сети.
19.2. Плановые работы проводятся по графику, разрабатываемому Оператором.
19.3. К плановым работам относятся:
19.3.1. Реконфигурирование Защищенной сети.
19.3.2. Установка (переустановка) программного обеспечения, в том числе операционных систем.
19.3.3.Техническое обслуживание компонентов Защищенной сети.
19.3.4. Обновление программного обеспечения ViPNet компонента.
19.3.5. Другие виды работ, необходимость проведения которых определяется Администратором Защищенной сети по согласованию с Оператором.
19.4. О проведение плановых работ Администратор уведомляет Оператора не менее чем за 72 часа до намеченного срока начала работ.
19.5. Администратор Защищенной сети осуществляет периодический контроль работоспособности компонентов Защищенной сети (ПАК ViPNet Координатор и Абонентские пункты).
19.5.1 Контроль может осуществляться как непосредственно на проверяемом компоненте, так и удаленно. Контрольная проверка осуществляется в следующих случаях:
19.5.1.1. При вводе компонента в эксплуатацию;
19.5.1.2. При изменении лица, ответственного за эксплуатацию;
19.5.1.3. При изменении состава аппаратных средств компонента;
19.5.1.4. Периодически, по графику, разрабатываемому Оператором.
19.5.2. Результаты проверки оформляются в виде протокола проверки в соответствии с технической и эксплуатационной документацией на компоненты Защищенной сети.
19.5.3. Удаленная проверка компонентов Защищенной сети осуществляется выборочно или полностью для всех компонентов Защищенной сети после процедуры удаленного обновления ПО или периодически в промежутках между контрольными проверками.
19.6. При обнаружении фактов сбоев в работе ПО или нарушения правил эксплуатации пользователь Защищенной сети обязан принять меры для устранения выявленных нарушений, уведомив об этом Администратора.
19.7. Функционирование Защищенной сети в аварийном режиме.
19.7.1. В случае возникновения производственной необходимости проведения аварийных и планово-профилактических работ доступ к Защищенной сети или ее отдельным сегментам может быть закрыт.
19.7.2. Для защиты компонентов Защищенной сети от сбоев электропитания, компоненты Защищенной сети необходимо оборудовать источниками бесперебойного питания, мощность которых в случае отключения электропитания обеспечивает возможность корректного завершения выполняемых задач.
19.7.3. В случае возникновения нештатных ситуаций пользователи, с привлечением Администратора Защищенной сети, обязаны восстановить работоспособность обслуживаемых ими сегментов Защищенной сети в максимально сжатые сроки.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НАСТОЯЩЕГО ПОЛОЖЕНИЯ
20.1. В случае нарушения требований данного Положения, послужившего причиной сбоя функционирования Защищенной сети или несанкционированного доступа к информации, разглашения, компрометации, уничтожения, несанкционированного изменения информации, циркулирующей в Защищенной сети, все категории пользователей несут ответственность в соответствии с действующим законодательством.
ПРИЛОЖЕНИЕ 1
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ЗАЯВЛЕНИЕ
на подключение к защищенной сети передачи данных
Министерства юстиции Мурманской области
Наименование учреждения ____________________________ ____________________________
ИНН____________________________________________________________________________
*В случае подключения нескольких средств СКЗИ – указывать информацию обо всех
СКЗИ №____
Адрес подключения
Указывается фактический адрес установки СКЗИ (Город, почтовый адрес)….
Наименование СКЗИ
Указывается СКЗИ, с использованием, которого будет производиться подключение к защищенной сети (Пример: ViPNet Client 3.2; ViPNet Coordinator HW100A; ViPNet Coordinator HW100B; ViPNet Coordinator HW100C; ViPNet Coordinator HW1000).
Направления связи для организации защищённого обмена информацией
Указывается общий перечень Участников, с которыми необходима организация защищённого обмен
ФИО пользователя
Заполняется только при подключении с использованием СКЗИ ViPNet Client
Структурное подразделение
Электронная почта
Телефон
(*Все поля заполняются максимально полно. Фамилия, имя, отчество впечатываются полностью без сокращений в ИМЕНИТЕЛЬНОМ ПАДЕЖЕ, все поля заполняются исключительно в печатном виде, путем редактирования на компьютере с последующем распечатыванием на принтере. Заполнение «от руки» НЕДОПУСТИМО.)
Поставщик СКЗИ «Наименование организации-поставщика СКЗИ»
Руководитель учреждения _________________ /________________/
Подпись
"____" _________________ 201_ г
М.П.
ПРИЛОЖЕНИЕ 2
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ТРЕБОВАНИЯ
ПО ВЫДЕЛЕНИЮ АДРЕСНОГО ПРОСТРАНСТВА УЧАСТНИКА ПРИ ПОДКЛЮЧЕНИИ ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА К ЗАЩИЩЁННОЙ СЕТИ
Для подключения ПАК ViPNet на территории Участника необходимо:
Обеспечить подключение к одному из каналов передачи данных:
- IP/MPLS-сеть, Сеть Интернет (любые провайдеры, доступные в регионе).
При подключении через сеть Интернет обеспечение доступности внешнего интерфейса криптошлюза (IP внеш.) из сети Интернет одним из следующих способов:
2.1. Обеспечение NAT-трансляции частного IP-адреса в публичный IP-адрес (трафик по протоколу UDP, порт 55777).
2.2. Выделение для интерфейса публичного IP-адреса.
Обеспечить маршрутизацию в локальной сети Участника таким образом, чтобы трафик с адресов серверов или автоматизированных рабочих мест Участника, отправляемый на серверы Защищенной сети, направлялся на внутренний интерфейс криптомаршрутизатора.
Для организации подключения ПАК ViPNet в Защищенную сеть Министерства юстиции Мурманской области необходимо обеспечить выделение в следующих IP адресов:
п/п
IP адрес/маска
Назначение
1
IP внеш./маска
IP-адрес и маска сети внешнего интерфейса ПАК ViPNet. Может быть как из частного, так и из публичного адресного пространства.
2
IP gw внеш.
Адрес шлюза по умолчанию в сети, в которую включается внешний интерфейс ПАК ViPNet .
3
IP fw (NAT)
Публичный Интернет адрес NAT-трансляции, через который осуществляется доступ к внешнему интерфейсу ПАК ViPNet .
Указывается в случае использования частного адреса на внешнем интерфейсе ПАК ViPNet при подключении через сеть Интернет. При подключении ПАК ViPNet в сеть Интернет напрямую IP fw совпадает с IP внеш./маска.
4
IP внут./маска
Адрес и маска сети внутреннего(-их) интерфейса(-ов) ПАК ViPNet . IP внеш. и IP внут. обязательно должны принадлежать разным подсетям.
5
IP gw внут.
Адрес шлюза для доступа к внутренним ресурсам организации.
Указывается в случае нахождения ресурсов организации и внутреннего интерфейса ПАК ViPNet в разных сетях.
6
IP тунн.
Адрес сервера или АРМ (диапазон адресов), которые будут взаимодействовать с серверами Защищенной ведомственной сети.
ПРИЛОЖЕНИЕ 3
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ДОВЕРЕННОСТЬ № _____
на получение средств криптографической защиты информации
и электронно-цифровой подписи
Дата выдачи: ____________________________________________________________________ (дата прописью)
_________________________________________________________________________________,
(наименование организации)
в лице ___________________________________________________________________________,
(должность и ФИО руководителя - полностью)
действующего на основании ________________________________________________________
настоящей доверенностью уполномочивает ___________________________________________
_________________________________________________________________________________
(должность и ФИО – полностью)
(паспорт серии ___________ № _________________, выдан “___” ________________________
______ года ___________________________________________) представлять интересы
(кем выдан)
______________________________________________________________________ и получить
(наименование организации)
средства криптографической защиты информации (СКЗИ), а так же дистрибутивы ключей для первичного запуска прикладной программы сети ViPNet и выполнить все необходимые действия, связанные с исполнением настоящего поручения.
Ответственным в _________________________________________________________________
(наименование организации)
за работу с СКЗИ назначен ____________________________________________________
(Ф.И.О., занимаемая должность)
_________________________________________________________________________________.
Доверенность действительна до “___” _____________ 20___ года и дана без права передоверия.
Подпись лица, получившего доверенность _________________________. (подпись)
Руководитель ______________________________ ( ____________________________ )
(подпись) (инициалы и фамилия)
М.П.
“____”______________20___г.
ПРИЛОЖЕНИЕ 4
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ПРОТОКОЛ
УСТАНОВЛЕНИЯ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ
«___» ____________ 201___г.
Межсетевое взаимодействие устанавливается между сетями:
Номер сети
Наименование организаций
Целью установление межсетевого взаимодействия является межведомственное защищенное информационное взаимодействие ViPNet сетей указанных организаций.
Процедуру установления межсетевого взаимодействия осуществляли:
Номер сети
Должность
ФИО
Примечание
Передача начального и ответного экспорта между сетями № _____ и № _____осуществлялась через специалиста, уполномоченного на данные действия.
Для установления межсетевого взаимодействия использовался индивидуальный симметричный межсетевой мастер-ключ, созданный в сети № ______.
При установлении межсетевого взаимодействия в части ЭЦП, были произведены импорты справочников ЭЦП сети № ______ и № ______.
Для установления межсетевого взаимодействия были назначены серверы маршрутизаторы для организации шлюза:
в сети №___ - «___________________________________________»
в сети №___ - «___________________________________________»
Смена межсетевых ключей, изменение состава АП, участвующих в межсетевом взаимодействии, производится после предварительного согласования средствами взаимного экспорта/импорта, о чём администраторы защищённых сетей уведомляют друг друга с помощью ПО ViPNet [Клиент] [Деловая почта] с указанием производимых изменений.
Стороны обязуются без предварительного согласия не производить изменений в настройках и структуре защищённых сетей, могущих привести к нарушению межсетевого взаимодействия.
Администратор сети
ViPNet № _____
Администратор сети
ViPNet № _____
_____________________________________
(подпись)
«_____»____________________20___г.
М.П.
____________________________________
(подпись)
«_____»____________________20___г.
М.П.
ПРИЛОЖЕНИЕ 5
к Положению о Защищённой сети
Министерства юстиции Мурманской области
АКТ
о вводе в эксплуатацию ПК ViPNet Client
«___» _______________ 20___ г.
Комиссия в составе: председателя комиссии _________________________ ______________________, членов комиссии ____________________________ ________________________________________________________________ и ответственного пользователя СКЗИ __________________________________ составила акт о том, что ПК ViPNet Client установлен в ___________________
__________________________________________________________________ по адресу_______________________________________________________ __________________________________________________________________
в помещении №______, в соответствии с эксплуатационно-технической документацией и введен в эксплуатацию.
Состав ПК ViPNet Client: Системный блок № ______________________.
Программный комплекс ПК ViPNet Client: версия ______сборка _______.
Серийный номер дистрибутива ПК ViPNet Client: ____________________.
Версия операционной системы ____________________.
Дополнительно установленное ПО (антивирусное ПО, Прокси-сервер, ПО для удаленного администрирования и т. д.): ____________________________.
Дополнительно установленное оборудование (наименование, назначение, серийный номер и т. д.) _____________________________________________.
Председатель комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
Члены комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
ПРИЛОЖЕНИЕ 5.1
к Положению о Защищённой сети
Министерства юстиции Мурманской области
АКТ
о вводе в эксплуатацию ПАК ViPNet Coordinator HW
«___» _______________ 20___ г.
Комиссия в составе: председателя комиссии _________________________ ______________________, членов комиссии ____________________________ ________________________________________________________________ и ответственного пользователя СКЗИ __________________________________ составила акт о том, что ПАК ViPNet Coordinator HW установлен в __________
__________________________________________________________________ по адресу_______________________________________________________ __________________________________________________________________
в помещении №______, в соответствии с эксплуатационно-технической документацией и введен в эксплуатацию.
Состав ПАК ViPNet Coordinator HW:
Системный блок № ___________________, опечатан ___________________, вариант комплектации ___, регистрационный номер __________________, учетный номер по ФСБ ________________________, учетный номер по ФСТЭК _______________________.
Дополнительное оборудование (наименование, назначение, серийный номер и т. д.): ____________________________________________________
Председатель комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
Члены комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
ПРИЛОЖЕНИЕ 6
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ПРОТОКОЛ
контрольной проверки СКЗИ
«___» _______________ 20___ г.
(наименование СКЗИ ) установлен в _________________________________________________
по адресу________________________________________________________________________
в помещении №______, в соответствии с технической и эксплуатационной документацией.
Состав (наименование СКЗИ):
Системный блок № _______________________________________________________________
Программный комплекс:
(наименование СКЗИ) версия: _____________________________________________________
Версия операционной системы: _____________________________________________________
Дополнительно установленное оборудование (наименование, назначение, серийный номер и т.д) ____________________________________________________________________________
Дополнительно установленное ПО (антивирусное ПО, Прокси-сервер, ПО для удаленного администрирования и т. д.): ________________________________________________________
Состав и результаты проверок и контрольных тестов
№
Описание действий
Ожидаемый результат
Результат
(+/-)
Примечания.
Отметки об устранении
1.
Загрузка ОС с отказом от ввода пароля ViPNet
Отказ в загрузке ОС
2.
Загрузка ОС с аутентификацией
пользователя[1]
Загрузка ОС и старт ПО ViPNet
3.
Проверка установленных режимов безопасности[2]
Режимы безопасности соответствуют назначению СУ
4.
Проверка настроек ПО
Настройки ПО соответствуют требованиям[3]
5.
Аутентификация с паролем администратора СУ
Переход ПО в режим работы администратора СУ
6.
Контроль журнала событий ПО ViPNet Координатор [Монитор]
Отсутствие попыток несанкционированного изменения режимов, настроек фильтров, аварийных завершений ПО
7.
Контроль журнала регистрации IP-пакетов
Отсутствие признаков сетевых атак, отсутствие информации о пропуске пакетов на запрещенные режимом (фильтрами) адреса (протоколы)
8.
Проверка связи с видимыми СУ защищенной сети
Наличие сообщений о доступности СУ
9.
Проверка связи с видимым СУ защищенной сети, для которого включен фильтр блокировки пакетов
Наличие сообщений о недоступности СУ, информация в журнале о блокировании пакетов
10.
Проверка связи (ping __________________) c открытым не зарегистрированным адресом (во 2 режиме)
Отсутствие ответа от узла.
Информация в журнале о блокировке пакетов для данного адреса
11.
Настройка фильтра, блокирующего отдельный протокол (например, ICMP) для отдельного СУ защищенной сети, проверка соединения с СУ по данному протоколу
Отсутствие ответа от СУ, информация о блокировании пакетов по выбранному протоколу
12.
Настройка фильтра, запрещающего отдельный протокол (например, UDP) для всех СУ защищенной сети, проверка связи с СУ по данному протоколу (например, проверка соединения)
Наличие сообщений о недоступности СУ. Информация в
журнале о блокировании пакетов
13.
Настройка фильтра, разрешающего отдельный протокол (например, ICMP) для всех узлов открытой сети, проверка связи с любым открытым узлом
по данному протоколу (например, ping)
Наличие ответа от узла.
Информация в журнале о пропуске пакетов для данного адреса
14.
Проверка связи по разрешенному протоколу для зарегистрированных открытых адресов[4]
Наличие соединения по данному протоколу
15.
Проверка связи по запрещенному протоколу для зарегистрированных открытых адресов
Отсутствие соединения по данному протоколу
16.
Отправка зашифрованного и подписанного письма адресатам ДП[5]
Отправка письма, получение квитанций о доставке (прочтении)
17.
Контроль журналов автопроцессинга ДП[6]
Отсутствие сбоев в работе правил
ПРИЛОЖЕНИЕ 7
к Положению о Защищённой сети
Министерства юстиции Мурманской области
АКТ
о выводе СКЗИ из эксплуатации
«___» _______________ 20___ г.
Комиссия в составе: председателя комиссии _______________________________________ ______________________, членов комиссии __________________________________________ _________________________________________________________________ и ответственного пользователя СКЗИ __________________________________________ составила акт о том, что (наименование СКЗИ) установленный в _____________________________________________
по адресу________________________________________________________________________ в помещении №______ выведен в эксплуатацию «___» _______________ 20___ г.
Состав (наименование СКЗИ):
Системный блок № _____________________________________________________________
Программный комплекс:
(наименование СКЗИ) версия _____________ сборка __________________________
Председатель комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
Члены комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
ПРИЛОЖЕНИЕ 8
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ЖУРНАЛ
ПО ОРГАНИЗАЦИИ ЗАЩИЩЁННОГО ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ СЕТЕЙ VIPNET ЗАЩИЩЕННОЙ СЕТИ МИНИСТЕРСТВА ЮСТИЦИИ МУРМАНСКОЙ ОБЛАСТИ
№
п/п
Наименование сети защищённого информационного взаимодействия
Наименование произведённого
изменения в межсетевом
взаимодействии
Дата изменения
Подпись
специалиста,
проводившего
изменения
Пояснение по ведению журнала изменений.
В журнал заносятся все события, которые относятся к организации межведомственного защищённого информационного взаимодействия
- установление межсетевого взаимодействия;
- выбор Координатора, выполняющего функции сервер-шлюза;
- формирование межсетевого мастер-ключа, плановая смена межсетевого мастер-ключа;
- смена ключей при компрометации;
- модификация межсетевого взаимодействия (добавление или удаление сетевого узла и т.д.)
Каждая запись журнала должна заверяться специалистом, проводившим изменение.
1
ПРИЛОЖЕНИЕ 9
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ТЕХНИЧЕСКИЙ (АППАРАТНЫЙ)
ЖУРНАЛ
№
п/п
Дата
Тип и регистрационные номера
Запись об обслуживании криптосредств
Используемые криптоключи
Отметка об уничтожении (стирании)
Примечание
Тип ключевого документа
Серийный криптографический номер и номер экземпляра ключевого документа
Номер разового ключевого носителя или зоны криптосредств, в которую введены криптоключи
Дата
Подпись пользователя криптосредств
1
2
3
4
5
6
7
8
9
10
[1] Указать тип аутентификации
[2] Для координаторов на каждом из сетевых интерфейсов
[3] Пункт 5.3.1, Регламент информационной безопасности при использовании программно-аппаратных средств комплекса ViPNet (ФРКЕ. 00029-04 90 01)
[4] Только для 2 режима безопасности
[5] При наличии установленного ПО ViPNet Клиент [Деловая Почта]
[6] При наличии данного функционала на СУ
Губернатору Мурманской области
1
МИНИСТЕРСТВО ЮСТИЦИИ
МУРМАНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 10.05.2016 № 47
г. Мурманск
О ЗАЩИЩЕННОЙ ВИРТУАЛЬНОЙ СЕТИ
МИНИСТЕРСТВА ЮСТИЦИИ МУРМАНСКОЙ ОБЛАСТИ
Во исполнение требований Федерального закона 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федерального закона от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи» и Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в целях обеспечения защищенного обмена электронными документами между участниками информационного взаимодействия п р и к а з ы в а ю:
Утвердить прилагаемое положение о защищенной виртуальной сети Министерства юстиции Мурманской области (далее – Положение).
Административному отделу Министерства юстиции Мурманской области (Р.С. Солнышкова) обеспечить размещение Положения на официальном сайте Министерства юстиции Мурманской области.
Контроль за исполнением настоящего приказа возложить на заместителя министра юстиции Мурманской области Свиридовского М.Б.
Министр В.И. Плевако
Приложение
к приказу Министерства юстиции
Мурманской области
от «10» мая 2016 г. № 47
ПОЛОЖЕНИЕ
О ЗАЩИЩЁННОЙ ВИРТУАЛЬНОЙ СЕТИ
МИНИСТЕРСТВА ЮСТИЦИИ МУРМАНСКОЙ ОБЛАСТИ
Мурманск
2016
1. Термины и определения
1.1. Для целей исполнения настоящего Положения используются следующие термины и определения:
Защищенная сеть
виртуальная, наложенная на физические каналы
связи защищенная транспортная сеть, построенная с
использованием технологий ViPNet, реализованная
сертифицированными в установленном порядке
средствами защиты информации.
Технология ViPNet
технология, предназначенная для построения виртуальных защищенных сетей, путем использования системы персональных и межсетевых экранов на защищаемых компонентах распределенной сети и объединения защищаемых элементов через виртуальные соединения (туннели), обеспечивающие шифрование сетевого трафика между этими элементами на базе средства криптографической защиты информации ViPNet.
Абонентский пункт
персональный компьютер с установленным программным обеспечением ViPNet Клиент, входящий в состав Защищенной сети.
Администратор
Защищенной сети
организация, обладающая соответствующей разрешительной (лицензионной) базой в соответствии с действующим законодательством и оказывающая услуги по обслуживанию и технической поддержке Защищенной сети с использованием технологии ViPNet.
ПАК VipNet Координатор
аппаратно-программный комплекс, выполняющий функции межсетевого экрана и криптомаршрутизатора, имеющий сертификат соответствия ФСБ РФ, устанавливаемый у Участника Защищенной сети.
Центр управления сетью
аппаратные или программные средства для мониторинга, конфигурирования и управления узлами Защищенной сети.
Компонент
Защищенной сети
сетевые узлы, обеспечивающие функционирование Защищенной сети, и представляющие собой ПАК VipNet Координатор или абонентские пункты VipNet Клиент.
Компрометация
ключа
утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
Оператор
Защищенной сети
лицо, осуществляющее подготовительные работы по организации предоставления доступа к компонентам Защищенной сети, координацию действий Участников Защищенной сети, разработку организационно-распорядительных документов, регламентирующих работу Участников в Защищенной сети. (Министерство юстиции Мурманской области)
Несанкционированный доступ
доступ к информации, хранящейся на различных типах носителей, в базах данных, файловых хранилищах путем изменения (повышения, фальсификации) своих прав доступа.
Пользователь Защищенной сети
должностное лицо Участника, использующее для выполнения своих служебных обязанностей информационные системы и ресурсы, входящие в состав Защищѐнной сети.
Участники
юридические лица (Министерство юстиции Мурманской области, территориальные органы федеральных органов исполнительной власти, органы ЗАГС администраций муниципальных образований Мурманской области (отделы ЗАГС), являющиеся операторами информации, формирующейся и обрабатываемой в процессе деятельности органов ЗАГС администраций муниципальных образований Мурманской области с целью электронного информационного взаимодействия.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Положение о защищенной сети Министерства юстиции Мурманской области (далее - Положение) разработано в соответствии со следующими нормативно-правовыми актами:
- Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
- Федеральным законом от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
- Регламент информационной безопасности при использовании программно-аппаратных средств комплекса ViPNet, ОАО «ИнфоТеКС», 2010 г., ФРКЕ. 00029-04 90 01;
- Приказом ФАПСИ №152 от 13.06.2001 г. «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
- Приказом ФСБ РФ № 378 от 10.07.2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
2.2. Настоящее Положение определяет и устанавливает:
состав и порядок функционирования Защищенной сети;
принципы подключения и использования сервисов Защищенной сети;
функции и полномочия участников Защищенной сети в соответствии с установленными федеральным законодательством правилами информационной безопасности;
порядок подключения Участников к Защищенной сети;
порядок предоставления доступа к информационным ресурсам Защищенной сети;
порядок организации защищенного межсетевого взаимодействия.
3. НАЗНАЧЕНИЕ ЗАЩИЩЕННОЙ СЕТИ
3.1. Защищенная сеть создается на основе информационной вычислительной сети Министерства юстиции Мурманской области (далее – ИВС), других Участников, подключенных к Защищенной сети в установленном порядке. Объединение в единую ИВС осуществляется цифровыми каналами передачи данных.
3.2. Развитие и обслуживание Защищенной сети осуществляется с привлечением в установленном порядке специализированной организации, располагающей для осуществления деятельности в сфере распространения и технического обслуживания шифровальных (криптографических) средств и оказания услуг в области шифрования информации соответствующей разрешительной (лицензионной) базой, подтверждающей компетенцию, необходимую для обеспечения бесперебойного функционирования Защищенной сети в соответствии с настоящим Положением.
3.3. Основными задачами, которые решает Защищенная сеть, являются:
3.3.1. Организация защищенного информационного взаимодействия между Участниками.
3.3.2. Уменьшение вероятности утраты и несанкционированной модификации информации в процессе информационного обмена между Участниками.
3.3.3. Организация защищенного доступа к информационным ресурсам Участников в целях реализации Федерального закона 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
4. СТРУКТУРА И СОСТАВ ЗАЩИЩЕННОЙ СЕТИ
4.1. Защищенная сеть представляет собой территориально распределенную информационно-телекоммуникационную сеть, объединяющую сегменты Защищенной сети и Абонентские пункты Участников.
4.2. Основными активными компонентами Защищенной сети являются серверы, программно-аппаратные комплексы и Абонентские пункты, являющиеся сетевыми узлами Защищенной сети.
4.3. Связь сетевых узлов Защищенной сети осуществляется по каналам связи, которые используются Участниками.
4.4. Программное обеспечение, обеспечивающее функционирование Защищенной сети, состоит из модулей (компонентов):
- ViPNet Администратор;
- ViPNet Координатор;
- ViPNet Клиент.
4.5. В составе Защищенной сети функционируют следующие основные виды серверов: файловые серверы, серверы ViPNet Координатор, серверы баз данных, расположенные в специально оборудованных помещениях Участников с ограниченным доступом.
4.6. Основные функции сетевых узлов Защищенной сети.
4.6.1. Файловые серверы сети ViPNet, оптимизированные для выполнения файловых операций ввода - вывода, предназначенные для хранения файлов Участников.
4.6.2. Серверы ViPNet Координатор - многофункциональные серверы, осуществляющие, в зависимости от настроек:
- маршрутизацию почтовых и управляющих защищенных сообщений;
- регистрацию и предоставление информации о состоянии объектов Защищенной сети;
- фильтрацию трафика от источников, не входящих в состав Защищенной сети, в соответствии с заданной политикой безопасности.
Функциональность ViPNet Координатора определяется Центром управления Защищенной сетью и формируемыми им справочниками и маршрутными таблицами.
4.6.3. Серверы баз данных, предназначенные для обслуживания баз данных, отвечающие за целостность и сохранность данных, а также обеспечивающие операции ввода-вывода информации при доступе Участников Защищенной сети к информационным системам.
4.6.4. Основными функциями Абонентских пунктов являются оперативный защищенный обмен и защищенная передача электронных документов с шифрованием сетевого трафика и реализация сервисов, предусмотренных в разделе 6 настоящего Положения.
4.7. Режим работы защищенной сети.
4.7.1. Файловые серверы, серверы баз данных, серверы ViPNet Координатор работают круглосуточно, 7 дней в неделю, за исключением перерывов для проведения аварийно-ремонтных и планово-профилактических работ.
5. КАТЕГОРИИ ПОЛЬЗОВАТЕЛЕЙ ЗАЩИЩЕННОЙ СЕТИ
5.1. Оператор Защищенной сети.
5.1.1. Пользователь данной категории контролирует и анализирует процесс функционирования Защищенной сети, определяет общую стратегию развития Защищенной сети, организует разработку организационно-распорядительных документов, регламентирующих работу Участников в Защищенной сети. Осуществляет, на основании заявок и соглашений подготовительные работы по организации предоставления доступа к компонентам Защищенной сети.
5.1.2. Функции и полномочия Оператора определяются в разделе 7 настоящего Положения.
5.2. Администратор Защищенной сети.
5.2.1. Пользователь данной категории осуществляет техническое обслуживание и администрирование компонентов Защищенной сети.
5.2.2. Функции и полномочия Администратора определяются в разделе 8 настоящего Положения.
5.3. Пользователь Защищенной сети.
5.3.1. Пользователем (далее - Пользователь) Защищенной сети является должностное лицо Участника, имеющее доступ к информационным ресурсам Защищенной сети.
5.3.2. Полномочия Пользователей при работе в Защищенной сети определяются его должностными обязанностями и 9 разделом данного Положения.
СЕРВИСЫ ЗАЩИЩЕННОЙ СЕТИ
6.1. Участники Защищенной сети могут получить доступ к следующим основным сервисам (в зависимости от установленного клиентского программного обеспечения):
6.1.1. Защищенная электронная почта.
6.1.2. Защищенный файловый обмен.
6.1.3. Оперативный обмен защищенными сообщениями.
6.1.4. Доступ к ресурсам и информационным системам Защищенной сети.
6.2. Защищенная электронная почта - сервис, реализованный на базе модуля «Деловая почта», входящего в состав программного обеспечения ViPNet Клиент, выполняющий функции почтового клиента защищенной почтовой службы, функционирующей в рамках Защищенной сети.
6.2.1. Основными функциями модуля «Деловая почта» являются: 6.2.1.1. Передача электронных сообщений, а также прикрепленных к ним файлов по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя.
6.2.1.2. Организация по установленным правилам защищенного автопроцессинга стандартных документов.
6.2.1.3. Подтверждение получения и использования сообщений, а также даты, времени получения и личности получателей.
6.3. Защищенный файловый обмен - сервис, позволяющий Абонентам обмениваться любыми файлами без установки дополнительного программного обеспечения или использования функций операционной системы.
6.3.1. Основными функциями защищенного файлового обмена являются:
6.3.1.1. Обмен файлами между абонентами через защищенную транспортную сеть ViPNet.
6.3.1.2. Гарантированная доставка и возобновление передачи файлов при обрыве связи.
6.4. Оперативный обмен защищенными сообщениями - сервис, предназначенный для обмена сообщениями в режиме реального времени между Абонентами.
6.4.1. Основными функциями оперативного обмена, защищенными сообщениями являются:
6.4.1.1. Передача сообщений между абонентами в защищенном виде, исключающим постороннее вмешательство.
6.4.1.2. Обмен сообщениями в режиме конференции.
6.4.1.3. Сохранение результатов в протокол.
6.5. Защищенный доступ к информационным системам - сервис, обеспечивающий возможность защищенной работы в режиме «клиент-сервер» с установленным программным обеспечением ViPNet Клиент на серверах и рабочих станциях.
6.5.1. Основными функциями защищенного доступа к информационным системам являются:
6.5.1.1. Защита трафика при обращении к серверам баз данных.
6.5.1.2. Разграничение доступа к информационным системам.
ФУНКЦИИ И ПОЛНОМОЧИЯ ОПЕРАТОРА ЗАЩИЩЕННОЙ СЕТИ
7.1. Обязанности Оператора Защищенной сети:
7.1.1. Рассматривает заявления Участников на подключение к Защищенной сети.
7.1.2. Осуществляет, на основании заявок и соглашений, подготовительные работы по организации предоставления доступа к компонентам Защищённой сети.
7.1.3. Формирует и поддерживает в актуальном состоянии электронный реестр Участников, подключенных к Защищенной сети.
7.1.4. Разработка единых правил формирования, развития и функционирования Защищенной сети.
7.1.5. Разрабатывает, вводит в действие и предоставляет Участникам Защищенной сети организационно-распорядительные документы, регламентирующие порядок и условия подключения к Защищенной сети, порядок работы Участников в Защищенной сети, проекты соглашений и заявлений о подключении к Защищенной сети.
7.1.6. Разработка предложений по формированию и внедрению компонентов Защищенной сети (совместно с Администратором Защищенной сети).
7.1.7. Осуществляет мероприятия по модернизации и развитию Защищенной сети.
7.2. Права Оператора:
7.2.1. Информировать руководителей Участников при невыполнении их должностными лицами требований безопасности и несоблюдения других требований по обеспечению бесперебойного функционирования Защищенной сети. 7.2.2. Запрашивать у Администратора защищенной сети информацию о компонентах Защищенной сети.
7.2.3. Запрашивать и получать от Участников Защищенной сети необходимые материалы и сведения об использовании ими Защищенной сети.
7.2.4. Принимать решение об отключении или ограничении доступа к информационным системам Защищенной сети в случаях нарушения должностными лицами Участника требований настоящего Положения.
7.3. Оператор несет ответственность:
7.3.1. За невыполнение требований настоящего Положения, а также других актов, регулирующих работу Защищенной сети.
7.3.2. Неправомерное использование информации, циркулирующей в Защищенной сети, к которой Оператор получает доступ в связи с выполнением своих должностных обязанностей.
ФУНКЦИИ И ПОЛНОМОЧИЯ АДМИНИСТРАТОРА ЗАЩИЩЕННОЙ СЕТИ
8.1. Администратор Защищенной сети осуществляет техническое обслуживание и администрирование оборудования и программного обеспечения Защищенной сети, с учетом требований действующего законодательства технической и эксплуатационной документацией на программное обеспечение VipNet.
8.2. Администратор Защищенной сети выполняет следующие функции:
8.2.1. Обеспечивает администрирование Защищенной сети, наблюдение за работоспособностью защищенной сети и принимает меры по восстановлению её работоспособности.
8.2.2. Осуществляет установку и настройку компонентов Защищенной сети в сегменте Участника, по согласованию с Участником.
8.2.3. Осуществляет поэкземплярный учет ключевых документов, выданных Участникам и относящихся к компонентам Защищенной сети в соответствии с требований действующего законодательства.
8.2.4. Осуществляет подключение к Защищенной сети новых Участников, в соответствии с заявками на подключение.
8.2.5. Осуществляет профилактические работы компонентов Защищенной сети.
8.2.6. Осуществляет техническое сопровождение Защищенной сети.
8.2.7. Организация мероприятий по модернизации и развитию Защищенной сети (совместно с Оператором), предоставление Участникам доступа к информационным системам Защищенной сети в соответствии с заявками, оформленными в установленном порядке.
8.2.8. Своевременное реагирование на попытки несанкционированного доступа к компонентам Защищенной сети.
8.2.9. Выработка рекомендаций пользователям, направленных на обеспечение работоспособности Защищенной сети.
8.3. Обязанности Администратора Защищенной сети.
8.3.1. Осуществление поддержки работоспособности компонентов Защищенной сети.
8.3.2. Предоставление Оператору Защищенной сети информации о компонентах Защищенной сети.
8.4. Права Администратора.
8.4.1. Информировать руководителей Участников при невыполнении их должностными лицами требований безопасности и несоблюдении других требований по обеспечению бесперебойного функционирования Защищенной сети (по согласованию с Оператором).
8.4.2. Производить отключение или ограничение доступа к информационным системам Защищенной сети должностным лицам Участника в случаях нарушения ими требований настоящего Положения.
8.4.3. Осуществление поддержки работоспособности компонентов Защищенной сети.
8.4.4. Информирование пользователей о проводимых работах по обслуживанию и возможных перебоях в работе Защищенной сети.
8.4.5. Соблюдать конфиденциальность информации, полученной в связи с выполнением своих обязанностей.
8.5. Администратор несет ответственность:
8.5.1. За невыполнение требований настоящего Положения, а также других актов, регулирующих работу Защищенной сети.
8.5.2. За несвоевременное выявление попыток несанкционированного доступа, приведших к нарушению требований обеспечения безопасности Защищенной сети.
8.5.3. За несвоевременное устранение неисправностей в работе компонентов Защищенной сети.
8.5.4. За неправомерное использование информации, циркулирующей в Защищенной сети, к которой Администратор Защищенной сети получает доступ в связи с выполнением своих функций.
8.5.5. За бесперебойное функционирование Защищенной сети.
ФУНКЦИИ И ПОЛНОМОЧИЯ ПОЛЬЗОВАТЕЛЕЙ УЧАСТНИКА
9.1. Назначение Пользователей Защищенной сети.
9.2. Перечень сотрудников (Пользователей), которым для выполнения служебных обязанностей необходим доступ в Защищенную сеть, утверждается руководителем Участника.
9.3. В случае изменения состава Пользователей, которым для выполнения служебных обязанностей необходим доступ в Защищенную сеть, Участник обязан информировать Оператора в течение 5-и рабочих дней.
9.4. Пользователи должны быть ознакомлены, с правилами работы в Защищенной сети, предусмотренными настоящим Положением и предупреждены о возможной ответственности за их нарушение.
9.5. Пользователь ЗС обязан:
9.5.1. Знать и соблюдать правила информационной безопасности при работе в Защищенной сети, определенные настоящим Положением, а также другими актами, регулирующими работу Защищенной сети.
9.5.2. При работе в Защищенной сети выполнять только задания, связанные с должностными обязанностями.
9.5.3. При выявлении вредоносных программ или признаков нештатного функционирования программного обеспечения немедленно сообщить Администратору Защищенной сети.
9.5.4. Предоставлять свой Абонентский пункт либо рабочую станцию администратору для контроля и осуществления административных действий.
9.5.5. Обеспечивать безопасность хранения ключевой информации и (или) пароля.
9.6. Пользователю ЗС запрещается:
9.6.1. Оставлять свой Абонентский пункт либо рабочую станцию во включенном состоянии без контроля и с незаблокированными устройствами ввода и отображения информации.
9.6.2. Допускать к подключенному в Защищенную сеть Абонентскому пункту или рабочей станции посторонних лиц.
9.6.3. Самостоятельно проводить изменения в настройках Абонентского пункта или сетевых настройках рабочей станции.
9.6.4. Передавать пароли и ключевую информацию третьим лицам, а также размещать их в местах, доступных посторонним.
9.7. Пользователь ЗС имеет право:
9.7.1. Пользоваться информационными системами, ресурсами и сервисами Защищенной сети в рамках предоставленных ему полномочий.
9.7.2. Обращаться к непосредственному руководителю для решения вопросов использования информационных систем Участников.
9.7.3. Соблюдать конфиденциальность информации, полученной в связи с выполнением своих обязанностей.
9.8. Пользователь ЗС несет ответственность:
9.8.1. За невыполнение требований настоящего Положения, а также других актов, регулирующих работу Защищенной сети.
9.8.2. За неправомерное использование информации, циркулирующей в Защищенной сети, к которой Пользователь ЗС получает доступ в связи с выполнением своих должностных обязанностей.
9.9. Ответственность за допуск Пользователя ЗС к работе в Защищенной сети и предоставленные ему соответствующие полномочия несет руководитель Участника, принявший решение о подключении Пользователя к Защищенной сети.
10. ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
10.1. Технические мероприятия по обслуживанию компонентов Защищенной сети и информационных систем организуются Администратором Защищенной сети.
10.2. В случае возникновения производственной необходимости проведения аварийных и планово-профилактических работ доступ к Защищенной сети или ее отдельным сегментам может быть закрыт.
10.3. Плановые работы проводятся по графику, разрабатываемому Администратором Защищенной сети.
10.4. К плановым работам относятся:
10.4.1. Реконфигурирование Защищенной сети.
10.4.2. Установка (переустановка) программного обеспечения, в том числе операционных систем.
10.4.3. Техническое обслуживание компонентов Защищенной сети.
10.4.4. Другие виды работ, необходимость проведения которых определяется Администратором по согласованию с Оператором.
10.5. О проведение плановых работ Администратор уведомляет Участников Защищенной сети не менее чем за 24 часа до намеченного срока начала работ.
10.6. Функционирование Защищенной сети в аварийном режиме.
10.6.1. Для защиты компонентов Защищенной сети от сбоев электропитания основные компоненты Защищенной сети (файловые серверы, серверы ViPNet Координатор, серверы баз данных и Абонентские пункты) оборудуются источниками бесперебойного питания, мощность которых в случае отключения электропитания обеспечивает возможность корректного завершения выполняемых задач.
10.6.2. В случае возникновения нештатных ситуаций Администратор обязан восстановить работоспособность обслуживаемых им сегментов Защищенной сети в максимально сжатые сроки.
11. ПОРЯДОК ОРГАНИЗАЦИИ ПОДКЛЮЧЕНИЯ УЧАСТНИКОВ К ЗАЩИЩЁННОЙ СЕТИ
11.1. Подключение Участников к Защищенной сети организовывается как централизованно по решению Оператора, в рамках исполнения целевых программ, так и самостоятельно по инициативе нового Участника.
11.2. Организация подключения новых Участников включает в себя следующие этапы:
- Этап подачи заявки.
- Этап рассмотрения заявки.
- Этап закупки программного или программно-аппаратного обеспечения.
- Этап подключения Участника.
11.2.1. Новый Участник формирует и направляет Оператору пакет документов о намерении подключиться к Защищенной сети, с указанием цели подключения, перечня Участников, с которыми необходима организация защищённого информационного обмена.
В комплект документов, передаваемый Участником входят:
- Заявка на подключение к Защищенной сети (Приложение №1);
- В случае подключения программно-аппаратного комплекса ПАК ViPNet Координатор, Участник предоставляет информацию об адресации согласно схеме подключения (Приложение №2).
11.2.2. Оператор в течение 5 (пяти) рабочих дней с момента получения заявки принимает решение о целесообразности подключения нового Участника к Защищенной сети.
11.2.3. В случае отрицательного результата рассмотрения заявки, Оператор уведомляет Участника об отказе в подключении к Защищенной сети с обоснованием причины отказа.
11.2.4. В случае отсутствия замечаний по представленным документам, не позднее установленного в п. 11.2.2 срока, Оператор совместно с Администратором Защищенной сети осуществляют процедуру оценки технической возможности и согласования схемы подключения нового Участника.
11.2.5. По результатам оценки и рассмотрения технической возможности подключения Участника, Оператор передает комплект документов Администратору Защищенной сети для формирования ключевой информации и осуществления подключения нового Участника.
11.2.6. В случае отсутствия технической возможности подключения Участника к Защищенной сети, Участник совместно с Оператором принимают меры по устранения выявленных проблем.
11.2.7. Подключение нового Участника осуществляется с использованием программного или аппаратного обеспечения ViPNet CUSTOM. Обеспечение необходимым для подключения количеством лицензий, ключевых носителей информации осуществляется новым Участником самостоятельно. При оформлении документов на приобретение программных или аппаратных продуктов и лицензий новый Участник указывает регистрационный номер Защищенной сети – 1971.
11.2.8. Сроки установки программного обеспечения и подключения Абонентских пунктов или ПАК ViPNet Координаторов нового Участника к Защищенной сети согласовываются новым Участником и Администратором Защищенной сети.
11.2.9. Администратор Защищенной сети в согласованные с новым Участником сроки организует:
- регистрацию сетевых узлов в Центре управления сетью;
- основные направления связи между сетевыми узлами, в соответствии с заявкой на подключение;
- формирование необходимой справочной и ключевой информации;
- формирует дистрибутивы ключей для сетевых узлов вместе с паролем доступа к нему;
- уведомление Участника, по контактной информации указанной в заявке, о завершении обозначенных работ;
- запись ключевой информации Участника на носители Участника (при необходимости);
- предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.
11.2.10. Участник для получения дистрибутива ключей и пароля доступа к нему должен направить к Администратору Защищенной сети пользователя с доверенностью на получение дистрибутива ключей (Приложение № 3).
11.2.11. На Участника распространяются все обязанности по соблюдению требований информационной безопасности, определенные действующим законодательством в области защиты информации, технической и эксплуатационной документации и настоящим Положением.
11.2.12. В случае создания Участником собственной защищенной сети на базе технологии ViPNet CUSTOM, между Участником и Оператором дополнительно заключается соответствующее соглашение о межсетевом взаимодействии.
ОРГАНИЗАЦИЯ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ С ДРУГИМИ СЕТЯМИ VIPNET
12.1. Организация межсетевого взаимодействия с другими сетями, организованными с использованием технологии ViPNet, включает в себя следующие стадии:
12.1.1. Направление новым Участником заявки Оператору об организации межсетевого взаимодействия.
12.1.2. Рассмотрение заявки Оператором.
12.1.3. Передача заявки Оператором Администратору Защищенной сети и заключение соглашения о межсетевом взаимодействии между Оператором и Участником.
12.1.4. Формирование Администратором Защищенной сети ключевой информации и передача ее Участнику.
12.2.Направление заявки.
12.2.1. С целью организации межсетевого взаимодействия между Защищенной сетью и сторонней сетью ViPNet, Участник сторонней сети письменно информируют Оператора о необходимости подключения с указанием контактов должностных лиц, ответственных за организацию такого взаимодействия.
12.3. Рассмотрение заявки.
12.3.1. Оператор, в течение 10 (десяти) рабочих дней со дня получения заявки, совместно с Администратором проводят оценку оснований и технической возможности для организации межсетевого взаимодействия.
12.3.2. Оператор имеет право отказать в подключении новому Участнику межсетевого взаимодействия, при этом проинформировать об имеющихся основаниях для такого решения.
12.3.3. В случае принятия решения об организации межсетевого взаимодействия Оператор в течение 5 (пяти) рабочих дней в письменной форме уведомляет нового Участника, инициирующего данное взаимодействие, и направляет Участнику для подписания проект соглашения между Оператором и Участником о межсетевом взаимодействии.
12.4. Формирование и передача ключевой информации.
12.4.1. В случае принятия положительного решения об организации межсетевого взаимодействия, Оператор совместно с Администратором Защищенной сети и администратором сторонней сети ViPNet, в соответствии с «Руководством администратора. ViPNet Administrator Центр управления сетью» и «Руководством администратора. ViPNet Administrator Удостоверяющий и ключевой центр» организуют формирование необходимой адресной и ключевой информации - формирование начального экспорта (индивидуальные симметричные межсетевые мастер-ключи связи и шифрования, справочная информация), включая корневые сертификаты для каждой из сетей.
12.4.2. Указанные данные (начальный экспорт) доверенным способом передаются в соответствующие Центры управления сетей (далее – ЦУС), с которыми необходимо осуществлять межсетевое взаимодействие.
12.4.3. Во всех ЦУС в соответствии с «Руководством администратора. ViPNet Administrator Центр управления сетью» и «Руководством администратора. ViPNet Administrator Удостоверяющий и ключевой центр» производится ввод и обработка (импорт) полученных из других ЦУС данных (начального экспорта), установление связей своих Абонентских пунктов с Абонентскими пунктами ЦУС, предоставившими информацию (ответный экспорт) для ЦУС, приславших первичную информацию, включая свои сертификаты.
12.4.5. Ответная информация (ответный экспорт) доверенным способом передаются в соответствующие ЦУС, где она обрабатывается и вводится в действие. На этом этапе завершается процесс создания межсетевого взаимодействия между ЦУС, в дальнейшем обмен данными между ними производится в автоматическом режиме.
12.4.6. Сформированная ключевая и справочная информация через ЦУС отправляется на Абонентские пункты, участвующие в межсетевом взаимодействии.
12.4.7. После завершения процедуры организации межсетевого взаимодействия между Защищенной сетью и сторонней сетью ViPNet, подписывается Протокол установления межсетевого взаимодействия (Приложение № 4).
12.5. При каждой модификации межсетевого взаимодействия Администратор Защищенной чети заносит соответствующие записи в Журнал изменений межсетевого взаимодействия (Приложение № 8).
13. ПОРЯДОК ОРГАНИЗАЦИИ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ В СЛУЧАЕ ПЛАНОВОЙ СМЕНЫ МЕЖСЕТЕВОГО МАСТЕР-КЛЮЧА
13.1. Порядок модификации межсетевого взаимодействия в случае плановой смены межсетевого мастер-ключа предполагает выполнение ряда технологических и организационных мероприятий.
13.2. Предварительные организационные мероприятия.
Перед плановой сменой межсетевого мастер-ключа, Администратор Защищенной сети и администратор сторонней сети ViPNet, с которой установлено межсетевое взаимодействие должны:
- выбрать тип межсетевого мастер-ключа, который будет использоваться для связи между сетями;
- в случае использования симметричного мастер ключа выбирается сеть, в которой будет создан новый межсетевой мастер-ключ;
- выбрать и согласовать время проведения смены межсетевого мастер-ключа и последующего обновления ключей шифрования для Абонентских пунктов сетей.
13.3. Формирование нового межсетевого мастер-ключа производится в соответствии с «Руководством администратора. ViPNet Administrator [Удостоверяющий и ключевой центр]».
13.4. После смены межсетевого мастер-ключа производится процедура создания экспортных данных и приём импортированных данных в соответствии с «Руководством администратора. ViPNet Administrator [Центр управления сетью]» и «Руководством администратора. ViPNet Administrator [Удостоверяющий и ключевой центр]».
13.5. После смены межсетевого мастер - ключа связь между взаимодействующими Абонентскими пунктами Защищённой сети и ViPNet сети, с которой установлено межсетевое взаимодействие, возможна только после прохождения обновления ключевой информации на всех соответствующих Абонентских пунктах.
13.6. Обновленная ключевая информация отправляется на Абонентские пункты, участвующие в межсетевом взаимодействии.
13.7. После смены межсетевого мастер-ключа Администратор Защищенной сети заносит соответствующие записи в Журнал изменений межсетевого взаимодействия.
14. КОМПРОМЕТАЦИЯ КЛЮЧЕВОЙ ИНФОРМАЦИИ АБОНЕНТСКИХ ПУНКТОВ
14.1. Под компрометацией ключей понимается утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
14.2. Ключи пользователя считаются скомпрометированными в следующих случаях:
- посторонним лицам мог стать доступным файл ключевого дистрибутива;
- посторонним лицам мог стать доступным съемный носитель с ключевой информацией;
- посторонние лица могли получить неконтролируемый физический доступ к ключевой информации, хранящейся на компьютере, если все ключи хранятся на компьютере;
- на компьютере, подключенном к сети, установлен модуль ViPNet Клиент [Монитор] и он устанавливался в 4 или 5 режим работы и:
- в локальной сети считается возможным присутствие посторонних лиц или на границе локальной сети отсутствует (отключен) межсетевой экран;
- уволился Пользователь, на которого оформлен пароль и ключ.
14.3. К событиям, требующим проведения расследования и принятия решения о компрометации ключевой информации, относится возникновение подозрений в утечке информации при ее передаче в Защищенной сети.
14.3.1. В случае прекращения полномочий Пользователя, ключи данного Пользователя считаются скомпрометированными и подлежат отзыву (аннулированию).
14.4. В случае наступления любого из событий, связанных с компрометацией ключевой информации, Пользователь немедленно прекращает связь с другими Абонентскими пунктами и сообщает о факте компрометации Администратору Защищенной сети в течение 1-го рабочего дня.
14.5. Администратор Защищенной сети при получении информации о компрометации ключевой информации в течение 1-го рабочего дня обязан организовать:
14.5.1. Объявление (с помощью ПО ViPNet Администратор) ключей Абонентского пункта скомпрометированными и создание справочников связей при компрометации с необходимой информацией.
14.5.2. Оповещение о факте компрометации ключей всех Пользователей, связанных с Пользователем, ключевая информация которого была скомпрометирована.
14.6. Формирование новой ключевой информации.
14.6.1. Рассылку сформированных обновлений ключей на Абонентские пункты Защищенной сети.
15. ПОРЯДОК ОРГАНИЗАЦИИ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ В СЛУЧАЕ КОМПРОМЕТАЦИИ КЛЮЧЕВОЙ ИНФОРМАЦИИ АБОНЕНТСКИХ ПУНКТОВ
15.1. При наступлении любого из перечисленных в п. 15.2. настоящего Положения событий Пользователь должен немедленно прекратить работу на своем Абонентском пункте и сообщить о факте компрометации Администратору Защищенной сети.
15.2. Администратор Защищенной сети ViPNet при получении информации о компрометации ключевой информации в течение 1-го рабочего дня обязан организовать:
15.2.1. Объявление ключей Абонентского пункта скомпрометированными и создание справочников связей при компрометации с необходимой информацией.
15.2.2. Формирование и импорт для сети ViPNet, с Абонентскими пунктами которой взаимодействовал скомпрометированный Абонентский пункт.
15.3. Администратор сети ViPNet, Пользователи которой взаимодействовали с Пользователем, ключи которого скомпрометированы, после приема и обработки импорта организует создание новой ключевой информации для своих Пользователей.
15.4. Возобновление межсетевого взаимодействия возможно только после прохождения обновления ключевой информации на всех взаимодействующих Абонентских пунктах.
15.5. Внеплановая смена межсетевого мастер-ключа.
15.5.1. Внеплановая смена ключей выполняется в случае компрометации или угрозы компрометации межсетевого мастер-ключа, на котором происходит организация межсетевого взаимодействия.
15.5.2. В случае компрометации симметричного межсетевого мастер-ключа считается скомпрометированной вся ключевая информация, которая используется при защищенном межсетевом взаимодействии. Межсетевое взаимодействие должно быть немедленно остановлено.
15.5.3. Для восстановления работы межсетевого взаимодействия при ситуации, описанной в п.15.5.2. настоящего Положения, необходимо организовать следующие мероприятия:
- оповещение о факте компрометации ключей всех Пользователей, связанных с Пользователем, ключевая информация которого была скомпрометирована.
- формирование новой ключевой информации.
- рассылку сформированных обновлений ключей на Абонентские пункты Защищенной сети.
15.5.4. Факт компрометации ключей регистрируется Администратором Защищенной сети в Журнале изменений межсетевого взаимодействия.
ПОРЯДОК ОРГАНИЗАЦИИ ХРАНЕНИЯ И УЧЕТА КЛЮЧЕВОЙ ИНФОРМАЦИИ КОМПОНЕНТОВ ЗАЩИЩЕННОЙ СЕТИ
16.1. Хранение, эксплуатация и учет СКЗИ, ключевой информации компонентов Защищенной сети производится Участником в соответствии с требованиями действующего законодательства в области криптографической защиты информации.
16.1.1. Организация поэкземплярного учета СКЗИ и ключевой информации компонентов Защищенной сети Участника осуществляется пользователем Участника.
16.1.2. Учет СКЗИ ведется в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
16.1.3. Программные СКЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.
16.1.4. Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем Журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.
16.1.5. Если эксплуатационной и технической документацией к СКЗИ предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в СКЗИ, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в техническом журнале (Приложение № 9).
16.2. В состав ключевой информации компонентов Защищенной сети, входят следующие составляющие:
- Дистрибутив справочно-ключевой информации. Представляет собой сборник, содержащие личные ключи пользователя, ключевой набор сетевого узла и адресные справочники ViPNet.
- Личные ключи пользователя. Представляют собой ключи защиты пользователя, необходимые для его аутентификации на сетевом узле, и может содержать ключи подписи пользователя;
- Резервный набор персональных ключей пользователя. Предназначен для получения дистанционного обновления ключевой информации при изменении исходной ключевой информации в УКЦ.
16.3. Дистрибутив справочно-ключевой информации.
16.3.1. Дистрибутив справочно-ключевой информации формируется Администратором Защищенной сети и передается пользователю Участника Защищенной сети лично без использования канала связи с оформлением соответствующей записи в журнале.
16.3.2. Пользователь Участника должен хранить дистрибутив на съемном носителе. Должны быть приняты меры по надежному хранению ключевых дистрибутивов и другой ключевой информации, размещенной на съемных носителях. При отсутствии условий хранения дистрибутивов на рабочих местах они должны быть уничтожены с соответствующей отметкой в журнале учета СКЗИ Участника.
16.4. Резервные наборы персональных ключей.
16.4.1. Резервные наборы формируется Администратором Защищенной сети и передаются пользователю Участника Защищенной сети, вместе с дистрибутивом справочно-ключевой информации.
16.4.2. Резервные наборы должны храниться на съемных носителях. Запрещается хранение наборов на мобильных ПЭВМ и на компонентах Защищенной сети в помещениях, в которые могут иметь доступ посторонние лица.
16.4.3. При отсутствии условий для хранения данных наборов они должны быть уничтожены вместе с дистрибутивами для первичной инициализации.
16.5. Личные ключи пользователя.
16.5.1. Личные ключи могут передаваться пользователю вместе с дистрибутивом для первичной инициализации или переноситься на ключевой носитель в процессе первичной инициализации.
УСТАНОВКА И ВВОД В ЭКСПЛУАТАЦИЮ КОМПОНЕНТОВ ЗАЩИЩЕННОЙ СЕТИ
17.1. Требования к установке компонентов Защищенной сети.
17.1.1. Установку, настройку и управление ПАК Координаторами, обеспечивающими криптографическую защиту каналов связи в Защищенной сети Министерства юстиции Мурманской области в части сегмента Участника, осуществляется исключительно Администратором Защищенной сети. Самостоятельная установка, настройка или управление ПАК Координаторами, со стороны Участника не допускается.
17.1.2. Первичная установка абонентских пунктов Защищенной сети осуществляется Администратором Защищенной сети. Настройка абонентских пунктов Защищенной сети осуществляется исключительно Администратором Защищенной сети. Все указанные действия производятся строго в соответствии с технической и эксплуатационной документацией на компоненты Защищенной сети.
17.1.3. После завершения процедур установки и настройки производится процедура проверки работоспособности компонента Защищенной сети. Результаты проверки оформляются в виде протокола контрольной проверки в соответствии с Приложением № 6.
17.1.4. На каждый компонент Защищенной сети Участником оформляется Акт о вводе в эксплуатацию по типовой форме (Приложение № 5 и Приложение № 5.1).
17.1.5. Экземпляры Акта и Протокола хранятся у Участника, а копии передаются Администратору Защищенной сети.
17.2. Требования к размещению компонентов Защищенной сети.
17.2.1. Общие требования.
- Размещение, охрана и специальное оборудование помещений, в которых установлены компоненты Защищенной сети и ведется работа с носителями персональной ключевой информации, должны исключать возможность бесконтрольного проникновения в них посторонних лиц, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами, а также гарантировать сохранность находящихся в этих помещениях ключевых документов.
- Порядок охраны и организации режима помещений, в которых установлены компоненты Защищенной сети, регламентируется разделом 4 Приказа ФАПСИ №152 от 13.06.2001 г.
- При подключении компонентов Защищенной сети к каналам передачи данных, выходящих за пределы контролируемой зоны, необходимо выполнение действующих в Российской Федерации требований по защите информации от утечки по техническим каналам, в том числе по каналу связи.
17.2.2. Размещение ПАК ViPNet Координатор.
- ПАК ViPNet Координаторы рекомендуется устанавливать в выделенных помещениях серверных узлов.
- Доступ в помещение серверных узлов должен быть ограничен.
17.2.3. Размещение абонентского пункта ViPNet Клиент.
- ViPNet Клиент является персональным средством защиты пользователя ViPNet и размещается на рабочем месте сотрудника Участника. Дополнительных специальных требований к помещениям, где установлено ПО ViPNet Клиент, не предъявляется данным Положением.
17.3. Настройка операционной системы Абонентского пункта, а так же выбор типа аутентификации производится в соответствии с эксплуатационной и технической документацией на компоненты Защищенной сети.
ВЫВОД КОМПОНЕНТОВ ЗАЩИЩЕННОЙ СЕТИ ИЗ ЭКСПЛУАТАЦИИ
18.1. Вывод компонентов Защищенной сети из эксплуатации.
18.1.1. Вывод из эксплуатации компонентов Защищенной сети оформляется в виде Акта по типовой форме (Приложение № 7).
18.1.2. Акт хранится у пользователя СКЗИ, а копия передается Администратору Защищенной сети.
18.2. Удаление ключевой информации компонентов Защищенной сети.
18.2.1. Удаление ключевой информации при обновлениях или деинсталляции программного обеспечения производится штатными средствами ViPNet.
18.2.2. Удаление ключевой информации на жестких дисках, дискетах или флэш-памяти производится с использованием специальной программы, входящей в состав поставки программного обеспечения ViPNet. В журнале учета выдачи ключевых документов делается отметка об уничтожении ключей.
18.2.3. Ключевая информация должна быть уничтожена в сроки, указанные в эксплуатационной и технической документации. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 дней после вывода их из действия.
18.2.4. При удалении дистрибутивов или невозможности воспользоваться штатными средствами удаление ключевой информации производится Администратором Защищенной сети под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом.
18.2.5. Уничтожение по акту производит комиссия в составе не менее двух человек из числа лиц, допущенных к пользованию СКЗИ. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих криптосредства носителей, эксплуатационной и технической документации. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.
РЕЖИМ РАБОТЫ ЗАЩИЩЕННОЙ СЕТИ И ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
19.1. Технические мероприятия по обслуживанию компонентов Защищенной сети (относящихся к программному или аппаратному обеспечению ViPNet) организуются Администратором с привлечением Оператора Защищенной сети.
19.2. Плановые работы проводятся по графику, разрабатываемому Оператором.
19.3. К плановым работам относятся:
19.3.1. Реконфигурирование Защищенной сети.
19.3.2. Установка (переустановка) программного обеспечения, в том числе операционных систем.
19.3.3.Техническое обслуживание компонентов Защищенной сети.
19.3.4. Обновление программного обеспечения ViPNet компонента.
19.3.5. Другие виды работ, необходимость проведения которых определяется Администратором Защищенной сети по согласованию с Оператором.
19.4. О проведение плановых работ Администратор уведомляет Оператора не менее чем за 72 часа до намеченного срока начала работ.
19.5. Администратор Защищенной сети осуществляет периодический контроль работоспособности компонентов Защищенной сети (ПАК ViPNet Координатор и Абонентские пункты).
19.5.1 Контроль может осуществляться как непосредственно на проверяемом компоненте, так и удаленно. Контрольная проверка осуществляется в следующих случаях:
19.5.1.1. При вводе компонента в эксплуатацию;
19.5.1.2. При изменении лица, ответственного за эксплуатацию;
19.5.1.3. При изменении состава аппаратных средств компонента;
19.5.1.4. Периодически, по графику, разрабатываемому Оператором.
19.5.2. Результаты проверки оформляются в виде протокола проверки в соответствии с технической и эксплуатационной документацией на компоненты Защищенной сети.
19.5.3. Удаленная проверка компонентов Защищенной сети осуществляется выборочно или полностью для всех компонентов Защищенной сети после процедуры удаленного обновления ПО или периодически в промежутках между контрольными проверками.
19.6. При обнаружении фактов сбоев в работе ПО или нарушения правил эксплуатации пользователь Защищенной сети обязан принять меры для устранения выявленных нарушений, уведомив об этом Администратора.
19.7. Функционирование Защищенной сети в аварийном режиме.
19.7.1. В случае возникновения производственной необходимости проведения аварийных и планово-профилактических работ доступ к Защищенной сети или ее отдельным сегментам может быть закрыт.
19.7.2. Для защиты компонентов Защищенной сети от сбоев электропитания, компоненты Защищенной сети необходимо оборудовать источниками бесперебойного питания, мощность которых в случае отключения электропитания обеспечивает возможность корректного завершения выполняемых задач.
19.7.3. В случае возникновения нештатных ситуаций пользователи, с привлечением Администратора Защищенной сети, обязаны восстановить работоспособность обслуживаемых ими сегментов Защищенной сети в максимально сжатые сроки.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НАСТОЯЩЕГО ПОЛОЖЕНИЯ
20.1. В случае нарушения требований данного Положения, послужившего причиной сбоя функционирования Защищенной сети или несанкционированного доступа к информации, разглашения, компрометации, уничтожения, несанкционированного изменения информации, циркулирующей в Защищенной сети, все категории пользователей несут ответственность в соответствии с действующим законодательством.
ПРИЛОЖЕНИЕ 1
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ЗАЯВЛЕНИЕ
на подключение к защищенной сети передачи данных
Министерства юстиции Мурманской области
Наименование учреждения ____________________________ ____________________________
ИНН____________________________________________________________________________
*В случае подключения нескольких средств СКЗИ – указывать информацию обо всех
СКЗИ №____
Адрес подключения
Указывается фактический адрес установки СКЗИ (Город, почтовый адрес)….
Наименование СКЗИ
Указывается СКЗИ, с использованием, которого будет производиться подключение к защищенной сети (Пример: ViPNet Client 3.2; ViPNet Coordinator HW100A; ViPNet Coordinator HW100B; ViPNet Coordinator HW100C; ViPNet Coordinator HW1000).
Направления связи для организации защищённого обмена информацией
Указывается общий перечень Участников, с которыми необходима организация защищённого обмен
ФИО пользователя
Заполняется только при подключении с использованием СКЗИ ViPNet Client
Структурное подразделение
Электронная почта
Телефон
(*Все поля заполняются максимально полно. Фамилия, имя, отчество впечатываются полностью без сокращений в ИМЕНИТЕЛЬНОМ ПАДЕЖЕ, все поля заполняются исключительно в печатном виде, путем редактирования на компьютере с последующем распечатыванием на принтере. Заполнение «от руки» НЕДОПУСТИМО.)
Поставщик СКЗИ «Наименование организации-поставщика СКЗИ»
Руководитель учреждения _________________ /________________/
Подпись
"____" _________________ 201_ г
М.П.
ПРИЛОЖЕНИЕ 2
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ТРЕБОВАНИЯ
ПО ВЫДЕЛЕНИЮ АДРЕСНОГО ПРОСТРАНСТВА УЧАСТНИКА ПРИ ПОДКЛЮЧЕНИИ ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА К ЗАЩИЩЁННОЙ СЕТИ
Для подключения ПАК ViPNet на территории Участника необходимо:
Обеспечить подключение к одному из каналов передачи данных:
- IP/MPLS-сеть, Сеть Интернет (любые провайдеры, доступные в регионе).
При подключении через сеть Интернет обеспечение доступности внешнего интерфейса криптошлюза (IP внеш.) из сети Интернет одним из следующих способов:
2.1. Обеспечение NAT-трансляции частного IP-адреса в публичный IP-адрес (трафик по протоколу UDP, порт 55777).
2.2. Выделение для интерфейса публичного IP-адреса.
Обеспечить маршрутизацию в локальной сети Участника таким образом, чтобы трафик с адресов серверов или автоматизированных рабочих мест Участника, отправляемый на серверы Защищенной сети, направлялся на внутренний интерфейс криптомаршрутизатора.
Для организации подключения ПАК ViPNet в Защищенную сеть Министерства юстиции Мурманской области необходимо обеспечить выделение в следующих IP адресов:
п/п
IP адрес/маска
Назначение
1
IP внеш./маска
IP-адрес и маска сети внешнего интерфейса ПАК ViPNet. Может быть как из частного, так и из публичного адресного пространства.
2
IP gw внеш.
Адрес шлюза по умолчанию в сети, в которую включается внешний интерфейс ПАК ViPNet .
3
IP fw (NAT)
Публичный Интернет адрес NAT-трансляции, через который осуществляется доступ к внешнему интерфейсу ПАК ViPNet .
Указывается в случае использования частного адреса на внешнем интерфейсе ПАК ViPNet при подключении через сеть Интернет. При подключении ПАК ViPNet в сеть Интернет напрямую IP fw совпадает с IP внеш./маска.
4
IP внут./маска
Адрес и маска сети внутреннего(-их) интерфейса(-ов) ПАК ViPNet . IP внеш. и IP внут. обязательно должны принадлежать разным подсетям.
5
IP gw внут.
Адрес шлюза для доступа к внутренним ресурсам организации.
Указывается в случае нахождения ресурсов организации и внутреннего интерфейса ПАК ViPNet в разных сетях.
6
IP тунн.
Адрес сервера или АРМ (диапазон адресов), которые будут взаимодействовать с серверами Защищенной ведомственной сети.
ПРИЛОЖЕНИЕ 3
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ДОВЕРЕННОСТЬ № _____
на получение средств криптографической защиты информации
и электронно-цифровой подписи
Дата выдачи: ____________________________________________________________________ (дата прописью)
_________________________________________________________________________________,
(наименование организации)
в лице ___________________________________________________________________________,
(должность и ФИО руководителя - полностью)
действующего на основании ________________________________________________________
настоящей доверенностью уполномочивает ___________________________________________
_________________________________________________________________________________
(должность и ФИО – полностью)
(паспорт серии ___________ № _________________, выдан “___” ________________________
______ года ___________________________________________) представлять интересы
(кем выдан)
______________________________________________________________________ и получить
(наименование организации)
средства криптографической защиты информации (СКЗИ), а так же дистрибутивы ключей для первичного запуска прикладной программы сети ViPNet и выполнить все необходимые действия, связанные с исполнением настоящего поручения.
Ответственным в _________________________________________________________________
(наименование организации)
за работу с СКЗИ назначен ____________________________________________________
(Ф.И.О., занимаемая должность)
_________________________________________________________________________________.
Доверенность действительна до “___” _____________ 20___ года и дана без права передоверия.
Подпись лица, получившего доверенность _________________________. (подпись)
Руководитель ______________________________ ( ____________________________ )
(подпись) (инициалы и фамилия)
М.П.
“____”______________20___г.
ПРИЛОЖЕНИЕ 4
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ПРОТОКОЛ
УСТАНОВЛЕНИЯ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ
«___» ____________ 201___г.
Межсетевое взаимодействие устанавливается между сетями:
Номер сети
Наименование организаций
Целью установление межсетевого взаимодействия является межведомственное защищенное информационное взаимодействие ViPNet сетей указанных организаций.
Процедуру установления межсетевого взаимодействия осуществляли:
Номер сети
Должность
ФИО
Примечание
Передача начального и ответного экспорта между сетями № _____ и № _____осуществлялась через специалиста, уполномоченного на данные действия.
Для установления межсетевого взаимодействия использовался индивидуальный симметричный межсетевой мастер-ключ, созданный в сети № ______.
При установлении межсетевого взаимодействия в части ЭЦП, были произведены импорты справочников ЭЦП сети № ______ и № ______.
Для установления межсетевого взаимодействия были назначены серверы маршрутизаторы для организации шлюза:
в сети №___ - «___________________________________________»
в сети №___ - «___________________________________________»
Смена межсетевых ключей, изменение состава АП, участвующих в межсетевом взаимодействии, производится после предварительного согласования средствами взаимного экспорта/импорта, о чём администраторы защищённых сетей уведомляют друг друга с помощью ПО ViPNet [Клиент] [Деловая почта] с указанием производимых изменений.
Стороны обязуются без предварительного согласия не производить изменений в настройках и структуре защищённых сетей, могущих привести к нарушению межсетевого взаимодействия.
Администратор сети
ViPNet № _____
Администратор сети
ViPNet № _____
_____________________________________
(подпись)
«_____»____________________20___г.
М.П.
____________________________________
(подпись)
«_____»____________________20___г.
М.П.
ПРИЛОЖЕНИЕ 5
к Положению о Защищённой сети
Министерства юстиции Мурманской области
АКТ
о вводе в эксплуатацию ПК ViPNet Client
«___» _______________ 20___ г.
Комиссия в составе: председателя комиссии _________________________ ______________________, членов комиссии ____________________________ ________________________________________________________________ и ответственного пользователя СКЗИ __________________________________ составила акт о том, что ПК ViPNet Client установлен в ___________________
__________________________________________________________________ по адресу_______________________________________________________ __________________________________________________________________
в помещении №______, в соответствии с эксплуатационно-технической документацией и введен в эксплуатацию.
Состав ПК ViPNet Client: Системный блок № ______________________.
Программный комплекс ПК ViPNet Client: версия ______сборка _______.
Серийный номер дистрибутива ПК ViPNet Client: ____________________.
Версия операционной системы ____________________.
Дополнительно установленное ПО (антивирусное ПО, Прокси-сервер, ПО для удаленного администрирования и т. д.): ____________________________.
Дополнительно установленное оборудование (наименование, назначение, серийный номер и т. д.) _____________________________________________.
Председатель комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
Члены комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
ПРИЛОЖЕНИЕ 5.1
к Положению о Защищённой сети
Министерства юстиции Мурманской области
АКТ
о вводе в эксплуатацию ПАК ViPNet Coordinator HW
«___» _______________ 20___ г.
Комиссия в составе: председателя комиссии _________________________ ______________________, членов комиссии ____________________________ ________________________________________________________________ и ответственного пользователя СКЗИ __________________________________ составила акт о том, что ПАК ViPNet Coordinator HW установлен в __________
__________________________________________________________________ по адресу_______________________________________________________ __________________________________________________________________
в помещении №______, в соответствии с эксплуатационно-технической документацией и введен в эксплуатацию.
Состав ПАК ViPNet Coordinator HW:
Системный блок № ___________________, опечатан ___________________, вариант комплектации ___, регистрационный номер __________________, учетный номер по ФСБ ________________________, учетный номер по ФСТЭК _______________________.
Дополнительное оборудование (наименование, назначение, серийный номер и т. д.): ____________________________________________________
Председатель комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
Члены комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
ПРИЛОЖЕНИЕ 6
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ПРОТОКОЛ
контрольной проверки СКЗИ
«___» _______________ 20___ г.
(наименование СКЗИ ) установлен в _________________________________________________
по адресу________________________________________________________________________
в помещении №______, в соответствии с технической и эксплуатационной документацией.
Состав (наименование СКЗИ):
Системный блок № _______________________________________________________________
Программный комплекс:
(наименование СКЗИ) версия: _____________________________________________________
Версия операционной системы: _____________________________________________________
Дополнительно установленное оборудование (наименование, назначение, серийный номер и т.д) ____________________________________________________________________________
Дополнительно установленное ПО (антивирусное ПО, Прокси-сервер, ПО для удаленного администрирования и т. д.): ________________________________________________________
Состав и результаты проверок и контрольных тестов
№
Описание действий
Ожидаемый результат
Результат
(+/-)
Примечания.
Отметки об устранении
1.
Загрузка ОС с отказом от ввода пароля ViPNet
Отказ в загрузке ОС
2.
Загрузка ОС с аутентификацией
пользователя[1]
Загрузка ОС и старт ПО ViPNet
3.
Проверка установленных режимов безопасности[2]
Режимы безопасности соответствуют назначению СУ
4.
Проверка настроек ПО
Настройки ПО соответствуют требованиям[3]
5.
Аутентификация с паролем администратора СУ
Переход ПО в режим работы администратора СУ
6.
Контроль журнала событий ПО ViPNet Координатор [Монитор]
Отсутствие попыток несанкционированного изменения режимов, настроек фильтров, аварийных завершений ПО
7.
Контроль журнала регистрации IP-пакетов
Отсутствие признаков сетевых атак, отсутствие информации о пропуске пакетов на запрещенные режимом (фильтрами) адреса (протоколы)
8.
Проверка связи с видимыми СУ защищенной сети
Наличие сообщений о доступности СУ
9.
Проверка связи с видимым СУ защищенной сети, для которого включен фильтр блокировки пакетов
Наличие сообщений о недоступности СУ, информация в журнале о блокировании пакетов
10.
Проверка связи (ping __________________) c открытым не зарегистрированным адресом (во 2 режиме)
Отсутствие ответа от узла.
Информация в журнале о блокировке пакетов для данного адреса
11.
Настройка фильтра, блокирующего отдельный протокол (например, ICMP) для отдельного СУ защищенной сети, проверка соединения с СУ по данному протоколу
Отсутствие ответа от СУ, информация о блокировании пакетов по выбранному протоколу
12.
Настройка фильтра, запрещающего отдельный протокол (например, UDP) для всех СУ защищенной сети, проверка связи с СУ по данному протоколу (например, проверка соединения)
Наличие сообщений о недоступности СУ. Информация в
журнале о блокировании пакетов
13.
Настройка фильтра, разрешающего отдельный протокол (например, ICMP) для всех узлов открытой сети, проверка связи с любым открытым узлом
по данному протоколу (например, ping)
Наличие ответа от узла.
Информация в журнале о пропуске пакетов для данного адреса
14.
Проверка связи по разрешенному протоколу для зарегистрированных открытых адресов[4]
Наличие соединения по данному протоколу
15.
Проверка связи по запрещенному протоколу для зарегистрированных открытых адресов
Отсутствие соединения по данному протоколу
16.
Отправка зашифрованного и подписанного письма адресатам ДП[5]
Отправка письма, получение квитанций о доставке (прочтении)
17.
Контроль журналов автопроцессинга ДП[6]
Отсутствие сбоев в работе правил
ПРИЛОЖЕНИЕ 7
к Положению о Защищённой сети
Министерства юстиции Мурманской области
АКТ
о выводе СКЗИ из эксплуатации
«___» _______________ 20___ г.
Комиссия в составе: председателя комиссии _______________________________________ ______________________, членов комиссии __________________________________________ _________________________________________________________________ и ответственного пользователя СКЗИ __________________________________________ составила акт о том, что (наименование СКЗИ) установленный в _____________________________________________
по адресу________________________________________________________________________ в помещении №______ выведен в эксплуатацию «___» _______________ 20___ г.
Состав (наименование СКЗИ):
Системный блок № _____________________________________________________________
Программный комплекс:
(наименование СКЗИ) версия _____________ сборка __________________________
Председатель комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
Члены комиссии:
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
___________________ ___________________ ___________________
Должность Ф.И.О. Подпись
ПРИЛОЖЕНИЕ 8
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ЖУРНАЛ
ПО ОРГАНИЗАЦИИ ЗАЩИЩЁННОГО ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ СЕТЕЙ VIPNET ЗАЩИЩЕННОЙ СЕТИ МИНИСТЕРСТВА ЮСТИЦИИ МУРМАНСКОЙ ОБЛАСТИ
№
п/п
Наименование сети защищённого информационного взаимодействия
Наименование произведённого
изменения в межсетевом
взаимодействии
Дата изменения
Подпись
специалиста,
проводившего
изменения
Пояснение по ведению журнала изменений.
В журнал заносятся все события, которые относятся к организации межведомственного защищённого информационного взаимодействия
- установление межсетевого взаимодействия;
- выбор Координатора, выполняющего функции сервер-шлюза;
- формирование межсетевого мастер-ключа, плановая смена межсетевого мастер-ключа;
- смена ключей при компрометации;
- модификация межсетевого взаимодействия (добавление или удаление сетевого узла и т.д.)
Каждая запись журнала должна заверяться специалистом, проводившим изменение.
1
ПРИЛОЖЕНИЕ 9
к Положению о Защищённой сети
Министерства юстиции Мурманской области
ТЕХНИЧЕСКИЙ (АППАРАТНЫЙ)
ЖУРНАЛ
№
п/п
Дата
Тип и регистрационные номера
Запись об обслуживании криптосредств
Используемые криптоключи
Отметка об уничтожении (стирании)
Примечание
Тип ключевого документа
Серийный криптографический номер и номер экземпляра ключевого документа
Номер разового ключевого носителя или зоны криптосредств, в которую введены криптоключи
Дата
Подпись пользователя криптосредств
1
2
3
4
5
6
7
8
9
10
[1] Указать тип аутентификации
[2] Для координаторов на каждом из сетевых интерфейсов
[3] Пункт 5.3.1, Регламент информационной безопасности при использовании программно-аппаратных средств комплекса ViPNet (ФРКЕ. 00029-04 90 01)
[4] Только для 2 режима безопасности
[5] При наличии установленного ПО ViPNet Клиент [Деловая Почта]
[6] При наличии данного функционала на СУ
Дополнительные сведения
Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 03.06.2019 |
Рубрики правового классификатора: | 020.000.000 Основы государственного управления, 020.010.000 Органы исполнительной власти, 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 120.000.000 Информация и информатизация, 120.010.000 Общие положения в сфере информации и информатизации |
Вопрос юристу
Поделитесь ссылкой на эту страницу: