Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Методические рекомендации по проведению контроля состояния системы


Скачать 149.79 Kb.
НазваниеМетодические рекомендации по проведению контроля состояния системы
Дата20.10.2021
Размер149.79 Kb.
Формат файлаdocx
Имя файлаprilozhenie-metodicheskie-rekomendatsii-po-provedeniyu-kontrolya.docx
ТипМетодические рекомендации
#252177
страница7 из 11
1   2   3   4   5   6   7   8   9   10   11

Организация защиты информации, размещаемой в сети "Интернет".

  1. Выполнение требований Федерального закона Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149– ФЗ (далее ФЗ – 149).







п/п
Наименование нормативного документа
Требование нормативного документа
Рекомендации по возможной реализации требования



подпункт 1, п. 1 статьи 16 ФЗ – 149
Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

Реализация права на доступ к информации
Проверка на наличие "дублирующих" сайтов ПУ ("дублирующий" сайт – сайт, ложно или без ведома ПУ, публикующий информацию о его деятельности, замаскированный под официальный сайт ПУ или сайт, им созданный).

Рекомендуемый параметр – отсутствуют. При невозможности закрытия таких сайтов необходимо обращаться в уполномоченные органы государственной власти



подпункт 2 пункта 4 статьи 6 ФЗ – 149
Обладатель информации при осуществлении своих прав обязан принимать меры по защите информации
"Размещение информации ограниченного доступа на веб– сайте в непредназначенных для ее размещения разделах

Необходимый параметр – информация ограниченного доступа в непредназначенных для ее размещения разделах отсутствует"



Приложение №3

к методическим рекомендациям по проведению контроля состояния системы защиты информации в организациях и учреждениях, подведомственных органам исполнительной власти края

ТИПОВОЙ ПЕРЕЧЕНЬ

вопросов, рассматриваемых в ходе оценки состояния защищенности локальной вычислительной сети
Для проведения контрольных мероприятий в области защиты внутренних сетевых информационных ресурсов целесообразно рассматривать следующие исходные данные:

  • логическая схема локальной вычислительной сети учреждения, организации, подведомственного органу исполнительной власти края (далее – ПУ);

  • физическая схема локальной вычислительной сети ПУ (далее – ЛВС);

  • описание всех серверов (имя, операционная система, IP адрес, назначение);

  • перечень IP– адресов и DNS– имен всех внешних информационных ресурсов, доступных со стороны сети Интернет по веб– интерфейсу (веб– сайты);

  • перечень IP– адресов внутренней сетевой адресации ЛВС;

  • полный перечень информационных систем, используемых в ПУ, в том числе, созданных самостоятельно (архитектура, количество серверов, тип (физический, виртуальный), операционная система), описание технологического процесса обработки информации (наличие выхода в сеть Интернет, количество точек подключения, описание контрагентов (организаций, работающих с информационной системой), способ подключения к информационной системе), сведения об используемых хэш–функциях для хеширования паролей (в виде фрагмента исходного кода) (для информационных систем собственной разработки);

В ходе контрольных мероприятий проводится анализ следующих блоков:

        1. Политики безопасности паролей и блокировки учетных записей (доменные и локальные политики, Linux– серверы).


Проверяются серверы и критические приложения (например, контроллер домена, сервер управления базами данных, веб– сервер и т.п.).


№ п/п
Вопрос проверки
Результат проверки



Максимальный срок действия пароля
Рекомендуемый параметр – не более 90 дней



Минимальный срок действия пароля
Рекомендуемый параметр – не менее 60 дней



Установка требований к сложности пароля
Рекомендуемый параметр – включена, наличие верхнего, нижнего регистра, наличие цифровых значений



Минимальная длина пароля
Рекомендуемый параметр – не менее 8 символов



Ведение журнала запоминания паролей
Рекомендуемый параметр – не менее 5 последних паролей



Время до сброса счетчика блокировки

Рекомендуемый параметр – не менее 30 минут



Пороговое значение блокировки
Рекомендуемый параметр – 6 ошибок входа в систему



Продолжительность блокировки учетной записи
Рекомендуемый параметр – 30 минут



Использование блокирование сеанса при установленном тайм– ауте бездействия
Рекомендуемый параметр – 15 минут



Используемые хэш– функции (для ОC Windows)
Рекомендуемый параметр – используются NTLM– хеши, возможность использования LM– хешей отсутствует. В системном реестре ОС ключу NoLmHash ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Control\Lsa присвоено значение 1

* Проверке не подлежат устройства и системы, которые преднастроены производителем (например, системы хранения данных). Веб– приложения таких систем подлежат проверке по параметрам безопасности, встроенным в эти приложения.

        1. 1   2   3   4   5   6   7   8   9   10   11

написать администратору сайта