;
Действует
История статусов
Подписан 20.04.2004 |
В целях совершенствования политики информационной безопасности при работе с региональными базами данных Управления и таможен ПРИКАЗЫВАЮ:
1. Утвердить Инструкцию пользователя по защите информации при работе с базами данных Управления (приложение 1).
2. Утвердить Инструкцию администратора по защите информации при работе с базами данных Управления (приложение 2).
3. Начальникам служб, самостоятельных подразделений Управления и подчиненных таможен, должностные лица которых имеют право доступа к региональным базам данных Управления, обеспечить:
- соблюдение указанных инструкций и доведение настоящего приказа до личного состава подразделений под роспись;
- своевременную подачу в информационно-техническую службу Управления заявок на доступ к базам данных Управления должностным лицам, вновь поступившим на службу в подразделения таможенных органов, в функциональные обязанности которых входит работа с базами данных Управления;
- представление сведений в отдел защиты информации информационно-технической службы Управления о перемещениях и переводах в другие подразделения должностных лиц, имеющих доступ к базам данных Управления, в день принятия решения о переводе или перемещении;
- перерегистрацию до 01.06.2004 должностных лиц, работающих с базами данных Управления, согласно утверждаемым инструкциям во избежание прекращения доступа к базам данных Управления.
4. Начальникам таможен разработать и до 01.08.2004 согласовать с информационно-технической службой Управления инструкции администраторов и пользователей по защите информации при работе с базами данных таможен, утвердить их соответствующими приказами.
5. Информационно-технической службе Управления (Н.И. Раменских):
5.1. Предоставлять должностным лицам Управления и подчиненных таможен, в функции которых входит работа с базами данных Управления, доступ к информации посредством функциональных подсистем, сопровождаемых информационно-технической службой Управления.
5.2. Устанавливать непосредственный доступ к базам данных Управления только должностным лицам, прошедшим инструктаж и перерегистрацию в информационно-технической службе Управления.
6. Контроль за исполнением настоящего приказа возложить на заместителя начальника Управления - начальника информационно-технической службы Н.И. Раменских.
В настоящей Инструкции использованы следующие термины и определения:
1. База данных (далее - БД) - централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базами данных (далее - СУБД).
2. Информационная система с использованием БД (далее - ИСБД) - система или приложение, использующее непосредственный доступ к БД.
3. Идентификатор - буквенно-числовая последовательность, позволяющая однозначно определять работу пользователя в БД.
4. Пароль - секретная последовательность символов, известная только пользователю, позволяющая подтвердить соответствие реальной сущности пользователя, предъявляемая им идентификатору.
5. Пользователи - должностные лица таможенных органов, а также все другие лица и организации, работающие с БД Управления.
6. Администратор БД и администратор безопасности БД - должностные лица таможенного органа, уполномоченные для выполнения административных функций и обеспечивающие функционирование БД и ее безопасность соответственно.
7. ЛВС - локальная вычислительная сеть.
8. Политика информационной безопасности - комплекс организационно-технических мероприятий, правил и условий использования информационных систем Центрального таможенного управления (далее - ИС ЦТУ), определяющих нормальное функционирование систем и обеспечение безопасности информации, обрабатываемой в ИС ЦТУ, оформленных в виде нормативных документов.
9. Инструкция пользователя по защите информации при работе с базами данных Управления (далее - Инструкция) определяет комплекс организационно-технических мероприятий по обеспечению безопасности информации, хранящейся в БД и обрабатываемой с помощью средств вычислительной техники в ЛВС Управления.
10. Инструкция предназначена для обеспечения эффективной организации и управления доступом пользователей к информации, хранящейся в БД, и содержит требования по обеспечению информационной безопасности таможенных органов в части выполнения операций по организации и управлению доступом к БД.
11. Инструкция является частью политики информационной безопасности Управления.
12. Обеспечение информационной безопасности работы таможенных органов в части организации и управления доступом к БД основывается на требованиях следующих руководящих документов:
- Таможенного кодекса Российской Федерации;
- приказа ГТК России от 31.12.98 N 906 "О Концепции информационной безопасности таможенных органов Российской Федерации";
- приказа ГТК России от 03.09.99 N 595дсп "Об устранении недостатков, выявленных Инспекцией Гостехкомиссии России";
- приказа ГТК России от 16.06.2001 N 670 "О временном руководстве администратора безопасности по организации разграничения доступа к базам данных таможенных органов";
- приказа ГТК России от 15.03.2004 N 315 "Об утверждении Положения о порядке формирования и использования информационных ресурсов таможенных органов";
- руководящих документов Гостехкомиссии России по обеспечению информационной безопасности.
13. Требования Инструкции обязательны для выполнения всеми пользователями. Ответственность за выполнение требований Инструкции несут пользователь БД и начальник подразделения, в котором работает данный пользователь. Перед началом работы пользователь обязан ознакомиться с данной Инструкцией.
14. Все положения Инструкции, упоминающие подключение к БД, распространяются также и на подключение к ИСБД, если иное не оговорено явно в тексте Инструкции.
15. Решение задач, связанных с организацией и управлением доступом должностных лиц Управления к БД, осуществляется администратором баз данных совместно с администратором безопасности БД (приложение 1 к настоящей Инструкции). При возникновении ситуаций, не описываемых положениями настоящей Инструкции, решение принимает администратор БД совместно с администратором безопасности БД, руководствуясь Инструкцией администратора по защите информации при работе с базами данных Управления.
16. Ответственность за сохранность и правильное использование информации, полученной из БД, несут пользователь, имеющий доступ к БД, и начальник структурного подразделения, в составе которого работает пользователь. Ответственность наступает с момента поступления информации на рабочую станцию пользователя, фиксируемого в протоколе аудита БД.
17. Для обеспечения доступа пользователей к БД на их рабочих станциях должно быть установлено специальное программное обеспечение, обеспечивающее доступ и выполнение операций с информацией в БД. Установку и конфигурирование данного программного обеспечения на рабочих станциях пользователей выполняют уполномоченные администратором БД должностные лица информационно-технических подразделений.
18. Пользователям запрещается самостоятельно устанавливать другое программное обеспечение (или менять параметры конфигурации ранее установленных программных средств) для доступа и манипулирования данными в БД.
19. Рабочие станции, на которых обрабатывается или хранится информация, полученная из БД, а также с которых осуществляется доступ к БД, должны соответствовать требованиям, устанавливаемым информационно- технической службой (далее - ИТС) Управления. Данные требования утверждаются начальником ИТС Управления и доводятся информационным письмом до сведения всех пользователей и начальников подразделений.
20. Доступ пользователей к БД предоставляется только с использованием типовых ролей через формальные схемы БД, ассоциируемые с конкретными пользователями, или с использованием специального программного обеспечения, введенного в эксплуатацию ИТС Управления. Запрещается предоставлять пользователям доступ к информации, хранящейся в БД, способами, отличными от вышеуказанных.
21. Доступ к БД предоставляется исключительно пользователям, прошедшим регистрацию в вычислительных сетях Управления согласно политике информационной безопасности и имеющим активированный почтовый ящик ведомственной электронной почты.
22. Для каждого из пользователей, которым необходим доступ к БД, создается учетная запись о пользователе БД, состоящая из имени (идентификатора) пользователя и пароля.
23. Срок действия активной учетной записи пользователя БД 1 год. Срок действия учетной записи пользователя должен периодически продлеваться согласно нижеследующей процедуре, иначе учетная запись блокируется до принятия положительного решения о продлении полномочий пользователя.
24. Первоначальное значение пароля устанавливает администратор БД. Периодичность, порядок и технология изменения пароля доводится администратором безопасности БД до пользователей отдельным информационным письмом.
25. Пользователю запрещается использовать пароль, предоставленный администратором БД для первоначального доступа к БД, в качестве постоянного рабочего пароля.
26. Не допускается использование различными пользователями одной и той же учетной записи. Это правило действует и в тех случаях, когда пользователи имеют одинаковые полномочия по доступу к БД. Для ИСБД данное положение может не применяться, если в технологической схеме есть прямое указание на возможность коллективного использования одной учетной записи.
27. Порядок организации доступа к БД состоит из следующих этапов:
Начальник ИТС Управления или его заместитель принимает решение о разрешении доступа пользователя к БД по ходатайству начальника службы (начальника самостоятельного отдела, отделения), в составе которой работает данный пользователь. Начальник структурного подразделения составляет и подписывает заявку на регистрацию пользователя баз данных (приложение 2 к настоящей Инструкции), выполняет действия в следующем порядке:
- подписывает заявку у начальника службы;
- согласует ее со службой собственной безопасности Управления;
- утверждает ее у начальника ИТС Управления;
- передает ее администратору БД (приложение 1 к настоящей Инструкции).
Администратор БД лично сообщает пользователю его идентификатор и пароль для доступа к БД под роспись в карточке пользователя (приложение 3 к настоящей Инструкции). Заявка и карточка остаются на хранении у администратора безопасности БД.
Решение о необходимости изменения полномочий доступа пользователя к БД принимает начальник ИТС Управления по ходатайству начальника структурного подразделения, в составе которого работает данный пользователь, на основании заявки на изменение полномочий пользователя БД (приложение 2 к настоящей Инструкции). Администратор БД вносит необходимые изменения в карточку пользователя.
За 1 месяц до окончания срока действия полномочий пользователя начальник структурного подразделения направляет заявку на продление полномочий пользователя в ИТС Управления (приложение 4 к настоящей Инструкции).
Решение об удалении учетной записи пользователя БД принимает начальник ИТС Управления или его заместитель по представлению администратора БД или администратора безопасности БД на основании заявки начальника структурного подразделения, в составе которого работает данный пользователь (приложение 5 к настоящей Инструкции), либо информации, полученной из кадровой службы Управления.
28. Пользователю запрещается передавать в любом виде или сообщать идентификаторы и пароли для доступа к БД другим лицам, в том числе и своим руководителям. Идентификатор, но не пароль пользователя может сообщаться администратору БД при выявлении неисправностей. Запрещается хранение пароля на любых твердых носителях, позволяющих другим лицам получить информацию о пароле.
29. Пользователю запрещается использовать информацию, полученную в результате доступа к БД, в целях, не предусмотренных его функциональными обязанностями и технологическими схемами.
30. Пользователь, имеющий возможность ввода или изменения данных в БД, обязан обеспечить правильность вводимых данных.
31. Пользователь обязан закрывать соединение с базой данных на время своего отсутствия у рабочей станции.
32. Пользователь или начальник структурного подразделения обязаны своевременно сообщать администратору баз данных об изменениях статуса пользователя (увольнение, перевод на другую должность и т.п.).
33. В случае выявления инцидентов с доступом к БД (фактов несанкционированного доступа к БД, блокировки доступа, утери или компрометации пароля и т.д.) пользователь обязан незамедлительно сообщить об этом администратору БД или администратору безопасности БД.
34. Возможность подключения к БД не дает права пользователям подключаться к БД, если им не предоставлены права доступа к этим БД. Такие подключения рассматриваются как попытки несанкционированного доступа.
35. При нарушениях правил, связанных с информационной безопасностью, пользователь несет ответственность, установленную действующим законодательством Российской Федерации и нормативными актами таможенных органов.
36. Пользователь несет ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования учетной записи.
37. Начальники служб и отделов (отделений) несут персональную ответственность за неправильное использование личным составом учетных записей пользователей, имеющих доступ к региональным БД Управления, а также за ознакомление (под роспись) с Инструкцией новых пользователей БД в своем структурном подразделении.
38. При выявлении инцидентов с доступом к БД доступ пользователей к БД может быть приостановлен до окончания расследования инцидента, о чем пользователь либо его руководитель уведомляются в кратчайшие сроки. По результатам служебного расследования нарушитель может быть лишен прав доступа к БД, материалы расследования могут быть направлены в соответствующие службы для привлечения нарушителя к административной ответственности.
Администраторы баз данных Управления:
1. Начальник отдела эксплуатации и администрирования ЛВС ИТС
Управления - Иванов Дмитрий Павлович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-idp@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
2. Заместитель начальника отдела эксплуатации и администрирования ЛВС
ИТС Управления - Волчанецкий Владимир Владимирович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-vvv@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
3. Начальник отделения ведения баз данных отдела эксплуатации и
администрирования ЛВС ИТС Управления - Штенцов Максим Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-smn@mtu.customs.ru.
(095) 975-45-14; 52-23-77.
Администратор безопасности баз данных Управления:
Начальник отдела защиты информации ИТС Управления - Алексахин Андрей
Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 206.
Asu-aan@mtu.customs.ru.
(095) 975-45-93; 52-21-51.
УТВЕРЖДАЮ Заместитель начальника Управления - начальник информационно-технической службы полковник таможенной службы __________________________ Н.И. Раменских "___" __________________________ 200__ г.
ЗАЯВКА НА РЕГИСТРАЦИЮ (МОДИФИКАЦИЮ ПОЛНОМОЧИЙ) ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ
Подразделение _________________________________________________ Должность _____________________________________________________ Фамилия, имя, отчество ________________________________________ Инструкцию пользователя по защите информации при работе с базами данных Управления, утвержденную приказом Управления от __________ N _______________, изучил(а), обязуюсь выполнять. ________________________________ (подпись, дата) Телефоны, e-mail ______________________________________________ Сетевой идентификатор _________________________________________ База данных ┌───┐ (Функциональные задачи) │ │ Таможенное оформление └───┘ ┌───┐ │ │ Контроль доставки товаров └───┘ ┌───┐ │ │ Оформление автотранспортных средств └───┘ ┌───┐ │ │ Региональные среднерасчетные цены └───┘ ┌───┐ │ │ Учет участников ВЭД └───┘ ┌───┐ │ │ └───┘ Периодичность доступа Постоянный доступ Доступ в рабочее время Заместитель начальника таможенного органа (начальник службы Управления) _________________________ (______________) Начальник подразделения _________________________ (______________) Согласовано: Администратор БД ________ ________________ (______________) (дата) Начальник отдела защиты информации ________ ________________ (______________) (дата) Начальник отдела защиты информации ________ ________________ (______________) (дата) От службы собственной безопасности ________ ________________ (______________) (дата)
УТВЕРЖДАЮ Заместитель начальника Управления - начальник информационно-технической службы полковник таможенной службы ______________________ Н.И. Раменских "___" ______________________ 200__ г.
КАРТОЧКА ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ N ________ ┌──────────────────────────────┬────────────────────────────────────────┐ │Фамилия, имя, отчество │ │ ├──────────────────────────────┼────────────────────────────────────────┤ │Организация (подразделение) │ │ ├──────────────────────────────┼────────────────────────────────────────┤ │Должность │ │ ├──────────────────────────────┼────────────────────────────────────────┤ │Телефон, телефакс │ │ ├──────────────────────────────┼────────────────────────────────────────┤ │Адрес электронной почты │ │ ├──────────────────────────────┼────────────────────────────────────────┤ │Идентификатор пользователя │ │ ├──────────────────────────────┼────────────────────────────────────────┤ │Наименование баз данных │ │ ├──────────────────────────────┼────────────────────────────────────────┤ │Вид подключения │ │ ├──────────────────────────────┼────────────────────────────────────────┤ │Периодичность доступа │ │ └──────────────────────────────┴────────────────────────────────────────┘ УПРАВЛЕНИЕ ДОСТУПОМ ┌───────────────────────┬─────────────────────────────────────────────────────────────────┐ │Имя базы данных │Тип доступа │ │ ├────────┬───────────┬──────────┬───────────┬────────────┬────────┤ │ │Чтение │Запись │Выполнение│Добавление │ Изменение │Удаление│ │ │ │ │ │ │ │ │ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ │Таможенное оформление│ │ │ │ │ │ │ │(GTD) │ │ │ │ │ │ │ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ │Доставка (DKD/MDP) │ │ │ │ │ │ │ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ │Автомобили (AVTO) │ │ │ │ │ │ │ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ │УВЭД │ │ │ │ │ │ │ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ │РСЦ │ │ │ │ │ │ │ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ │ИРС "Доход" │ │ │ │ │ │ │ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ │ИС "Парус" │ │ │ │ │ │ │ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ ├───────────────────────┼────────┼───────────┼──────────┼───────────┼────────────┼────────┤ ├───────────────────────┼────────┴───────────┼──────────┴───────────┼────────────┴────────┤ │Дата начала работы │"__"_____ 200 г │ Дата окончания │"__"______ 200 г │ │пользователя │ │ работы пользователя │ │ ├───────────────────────┴────────────────────┼──────────────────────┴─────────────────────┤ │СОГЛАСОВАНО │ С правилами работы ознакомлен, │ │ │ обязуюсь соблюдать │ │Начальник отдела защиты информации │ _________________________________ │ │________________________ (_____________) │ (должность пользователя) │ │ │ _________________________________ │ │Начальник отделения ведения баз данных │ (специальное звание) │ │________________________ _____________) │ __________________ (____________) │ └────────────────────────────────────────────┴────────────────────────────────────────────┘
УТВЕРЖДАЮ Заместитель начальника Управления - начальник информационно-технической службы полковник таможенной службы ______________________ Н.И. Раменских "___" ______________________ 200__ г.
ЗАЯВКА НА ПРОДЛЕНИЕ ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ
Подразделение _________________________________________________ Должность _____________________________________________________ Фамилия, имя, отчество ________________________________________ Телефоны, e-mail ______________________________________________ Сетевой идентификатор _________________________________________ Периодичность доступа Постоянный доступ Доступ в рабочее время Начальник подразделения _________________________ (______________) Согласовано: Администратор БД ________ ________________ (______________) (дата) Начальник отдела защиты информации ________ ________________ (______________) (дата)
УТВЕРЖДАЮ Заместитель начальника Управления - начальник информационно-технической службы полковник таможенной службы ______________________ Н.И. Раменских "___" ______________________ 200__ г.
ЗАЯВКА НА УДАЛЕНИЕ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ БАЗ ДАННЫХ Подразделение _________________________________________________ Должность _____________________________________________________ Фамилия, имя, отчество ________________________________________ Начальник подразделения _______________________ (_____________)
В настоящей Инструкции использованы следующие термины и определения:
1. База данных (далее - БД) - централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базами данных (далее - СУБД).
2. Информационная система с использованием БД (далее - ИСБД) - система или приложение, использующее непосредственный доступ к БД.
3. Пользователи - должностные лица таможенных органов, а также все другие лица и организации, использующие базы данных Управления либо обращающиеся к ним.
4. Администратор БД и администратор безопасности БД - должностные лица таможенного органа, уполномоченные для выполнения административных функций и обеспечивающие функционирование БД и ее безопасность соответственно.
5. ЛВС - локальная вычислительная сеть.
6. Политика информационной безопасности - комплекс организационно-технических мероприятий, правил и условий использования информационных систем Центрального таможенного управления (далее - ИС ЦТУ), определяющих нормальное функционирование систем и обеспечения безопасности информации, обрабатываемой в ИС ЦТУ, оформленных в виде нормативных документов.
7. Инструкция администратора по защите информации при работе с базами данных Управления (далее - Инструкция) определяет комплекс организационно-технических мероприятий по обеспечению безопасности информации, хранящейся в БД и обрабатываемой средствами вычислительной техники в ЛВС Управления.
8. Инструкция предназначена для обеспечения эффективной организации и управления доступом пользователей к информации, хранящейся в БД, и содержит требования по обеспечению информационной безопасности таможенных органов в части выполнения операций по организации и управлению доступом к БД.
9. Обеспечение информационной безопасности таможенных органов в части организации и управления доступом к БД основывается на требованиях следующих руководящих документов:
- Таможенного кодекса Российской Федерации;
- приказа ГТК России от 31.12.98 N 906 "О Концепции информационной безопасности таможенных органов Российской Федерации";
- приказа ГТК России от 03.09.99 N 595дсп "Об устранении недостатков, выявленных Инспекцией Гостехкомиссии России";
- приказа ГТК России от 16.06.2001 N 670 "О временном руководстве администратора безопасности по организации разграничения доступа к базам данных таможенных органов";
- приказа ГТК России от 01.10.2002 N 1164дсп "О разграничении полномочий подразделений ГТК России и об установлении их ответственности при обеспечении информационной безопасности таможенных органов";
- приказа ГТК России от 15.03.2004 N 315 "Об утверждении Положения о порядке формирования и использования информационных ресурсов таможенных органов";
- руководящих документов Гостехкомиссии России по обеспечению информационной безопасности.
10. Требования Инструкции обязательны для выполнения всеми администраторами БД и администраторами безопасности БД. Ответственность за выполнение требований Инструкции несут администратор и начальник подразделения, в котором работает данный администратор.
11. Все положения Инструкции, упоминающие подключение к БД, распространяются также и на подключение к ИСБД, если иное не оговорено явно.
12. Решение задач, связанных с организацией и управлением доступом пользователей к БД, осуществляется администратором БД совместно с администратором безопасности БД (приложение 1 к настоящей Инструкции). Для каждой БД должны быть назначены не менее 2 администраторов БД и одного администратора безопасности БД.
13. Ответственность за сохранность информации, находящейся в БД, несут администратор БД и администратор безопасности БД, действия которых фиксируются в протоколе аудита БД.
14. Технологическая модификация и удаление информации в БД должны быть регламентированы для каждой БД и утверждены начальником информационно-технической службы Управления.
15. Администратор БД организует и контролирует процесс установки и конфигурирования стандартного программного обеспечения для работы пользователей с БД. Администратор БД осуществляет сопровождение и тестирование специального программного обеспечения для доступа к БД, обеспечивает разработку дополнительных требований по обеспечению доступа к БД и доведение их до сведения пользователей и их руководителей.
16. Администратор БД и администратор безопасности БД обязаны производить административные действия со строго определенных доверенных станций, оснащенных средствами защиты от несанкционированного доступа и располагающихся в помещениях с ограниченным доступом. Все действия администратора БД должны протоколироваться и быть доступны в течение 1 года для контроля администратора безопасности БД.
17. При контактах с пользователем решение об идентификации обратившегося лица принимает администратор БД любым доступным для него способом.
18. В исключительных случаях по решению службы собственной безопасности с согласия администратора БД и администратора безопасности БД возможно отклонение от требований данной Инструкции при условии, что данное отклонение не влечет значительного риска для информационной безопасности. В таких случаях лицо, принимающее решение о допустимом риске, берет на себя ответственность за возможные последствия. Этим лицом не могут быть администратор БД и администратор безопасности БД. Все необходимые сведения заносятся в журнал допустимых рисков при работе с базами данных (приложение 2 к настоящей Инструкции).
19. Все журналы и документы по безопасности БД хранит администратор безопасности БД в электронном виде не менее трех лет, если иное не указано явно в технологической схеме, причем ежегодно и по требованию контролирующих органов должна производиться их распечатка на бумажном носителе за подписью должностных лиц информационно-технических подразделений. Копии журналов на бумажных носителях хранятся у администратора безопасности БД в течение года.
организации доступа пользователя к БД, описанной в Инструкции пользователя по защите информации при работе с базами данных Управления. Администратор БД устанавливает первоначальное значение пароля
пользователя и обеспечивает доведение его до пользователя безопасным способом. Администратор БД и администратор безопасности БД совместно разрабатывают технологию изменения паролей и доводят ее до сведения пользователей и их руководителей.
21. Администратор БД разрабатывает типовые роли для доступа к БД, определяет право роли на объекты БД и регистрирует их в журнале типовых ролей (приложение 3 к настоящей Инструкции), которые хранит администратор безопасности БД вместе с карточками пользователей в течение года.
22. При нарушениях администратором БД или администратором безопасности БД правил, связанных с информационной безопасностью, они несут ответственность, установленную действующим законодательством Российской Федерации и нормативными актами таможенных органов.
23. Администратор БД и администратор безопасности БД несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
24. К попыткам несанкционированного доступа (далее - НСД) относятся:
- сеансы работы с БД незарегистрированных пользователей, пользователей, нарушивших установленную периодичность доступа, либо срок действия полномочий которых истек, либо в состав полномочий которых не входят операции по доступу к данным или манипулирования ими;
- действия третьего лица, пытающегося получить доступ (или получившего доступ) к БД, при использовании учетной записи администратора или другого пользователя БД, в целях получения коммерческой или другой личной выгоды, методом подбора пароля или другого метода (случайного разглашения пароля и т.п.) без ведома владельца учетной записи.
25. При выявлении факта НСД администратор БД или администратор безопасности БД обязаны:
- прекратить доступ к БД со стороны выявленного участка НСД;
- доложить руководству Управления служебной запиской о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;
- известить начальника структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;
- проанализировать характер НСД;
- внести запись в журнал регистрации попыток несанкционированного доступа к базам данных (приложение 4 к настоящей Инструкции);
- известить сотрудников подразделения собственной безопасности и по их решению представить всю необходимую информацию.
Администраторы баз данных Управления:
1. Начальник отдела эксплуатации и администрирования ЛВС ИТС Управления - Иванов Дмитрий Павлович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-idp@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
2. Заместитель начальника отдела эксплуатации и администрирования ЛВС ИТС Управления - Волчанецкий Владимир Владимирович.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-vvv@mtu.customs.ru.
(095) 975-45-14; 52-23-76.
3. Начальник отделения ведения баз данных отдела эксплуатации и администрирования ЛВС ИТС Управления - Штенцов Максим Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 142А.
Asu-smn@mtu.customs.ru.
(095) 975-45-14; 52-23-77.
Администратор безопасности баз данных Управления:
Начальник отдела защиты информации ИТС Управления - Алексахин Андрей Николаевич.
Москва, Комсомольская пл., д. 1, корп. 7, к. 206.
Asu-aan@mtu.customs.ru.
(095) 975-45-93; 52-21-51.
ЖУРНАЛ ДОПУСТИМЫХ РИСКОВ ПРИ РАБОТЕ С БАЗАМИ ДАННЫХ
__________________________________________________________________ (наименование таможенного органа) 1. Наименование базы данных ______________________________________ 2. Описание риска: Степень риска осознаю, ответственность за возможные последствия принимаю на себя: _________________________________ ________________________________ (должность) (дата) _________________________________ ________________________________ (Ф.И.О.) (подпись) _________________________________ Согласовано: Администратор баз данных _________________________________________ (должность, Ф.И.О., подпись) Администратор безопасности баз данных _________________________________________ (должность, Ф.И.О., подпись)
ЖУРНАЛ ТИПОВЫХ РОЛЕЙ Наименование базы данных _________________________________________ ┌──┬───────────────────┬────────────┬───────────────────────────────────┐ │N │Наименование роли │Объект │Матрица доступа │ │ │ │ ├───────┬─────┬──────┬──────┬───────┤ │ │ │ │R │W │X │D │E │ ├──┼───────────────────┼────────────┼───────┼─────┼──────┼──────┼───────┤ ├──┼───────────────────┼────────────┼───────┼─────┼──────┼──────┼───────┤ ├──┼───────────────────┼────────────┼───────┼─────┼──────┼──────┼───────┤ ├──┼───────────────────┼────────────┼───────┼─────┼──────┼──────┼───────┤ ├──┼───────────────────┼────────────┼───────┼─────┼──────┼──────┼───────┤ ├──┼───────────────────┼────────────┼───────┼─────┼──────┼──────┼───────┤ └──┴───────────────────┴────────────┴───────┴─────┴──────┴──────┴───────┘ Администратор баз данных _________________________________________ (должность, Ф.И.О., подпись) Администратор безопасности баз данных _________________________________________ (должность, Ф.И.О., подпись)
ЖУРНАЛ РЕГИСТРАЦИИ ПОПЫТОК НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К БАЗАМ ДАННЫХ _____________________________________ (наименование таможенного органа) ┌──┬─────────┬─────────┬────────┬─────────────┬─────────────┬───────────┐ │N │Дата │Рабочая │База │Пользователь │Описание │Принятые │ │ │и время │станция │данных │ │попытки НСД │меры │ ├──┼─────────┼─────────┼────────┼─────────────┼─────────────┼───────────┤ ├──┼─────────┼─────────┼────────┼─────────────┼─────────────┼───────────┤ ├──┼─────────┼─────────┼────────┼─────────────┼─────────────┼───────────┤ ├──┼─────────┼─────────┼────────┼─────────────┼─────────────┼───────────┤ ├──┼─────────┼─────────┼────────┼─────────────┼─────────────┼───────────┤ ├──┼─────────┼─────────┼────────┼─────────────┼─────────────┼───────────┤ ├──┼─────────┼─────────┼────────┼─────────────┼─────────────┼───────────┤ └──┴─────────┴─────────┴────────┴─────────────┴─────────────┴───────────┘ Администратор баз данных _________________________________________ (должность, Ф.И.О., подпись) Администратор безопасности баз данных _________________________________________ (должность, Ф.И.О., подпись)