Утратил силу

Документ утратил силу с 13 июля 2018 года в соответствии с пунктом 1 Приказа Министерства экономики и инфраструктуры Республики Молдова от 21 июня 2018 года №309

ПРИКАЗ МИНИСТЕРСТВА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СВЯЗИ РЕСПУБЛИКИ МОЛДОВА

от 20 декабря 2010 года №106

Об утверждении Технических регламентов

На основании Закона о техническом регулировании № 420-XVI от 22.12.2006 и во исполнение Постановления Правительства "О некоторых мерах внедрения Национальной стратегии построения информационного общества - "Электронная Молдова" в 2007 году" № 606 от 1.06.2007, а также Постановления Правительства "Об утверждении распределения средств Фонда по реализации Национальной программы разработки технических регламентов" № 564 от 21.05.2007 ПРИКАЗЫВАЮ:

1. Утвердить технические регламенты:

a) Обеспечение информационной безопасности информационной инфраструктуры для органов публичной власти. Технические требования. В соответствии с Приложением № 1.

b) Обеспечение информационной безопасности баз данных при предоставлении электронных публичных услуг. Технические требования. В соответствии с Приложением № 2.

2. Технические регламенты, упомянутые в первом пункте, вступят в силу в течение трех месяцев со дня опубликования в "Monitorul Oficial al Republicii Moldova".

3. Контроль за выполнением настоящего приказа возложить на Управление технического регламентирования и стандартизации.

 

Министр информационных технологий и связи

Александру Олейник

Приложение №1

к Приказу №106 от 20 декабря 2010 года

Технический регламент

Обеспечение информационной безопасности баз данных при предоставлении электронных публичных услуг.

 

Технические требования

1.Область применения

Доступ к официальной информации и предоставление электронных публичных услуг гражданам и деловому сообществу осуществляются на основе данных баз данных (БД), располагаемых в органах публичной власти. Это требует обеспечения информационной безопасности БД для эффективного и надежного процесса функционирования органов публичной власти и для обмена информацией с гражданами и предпринимательской средой в процессе предоставления публичных услуг.

Целью настоящего регламента является определение порядка обеспечения информационной безопасности БД, обеспечивающих и поддерживающих процесс функционирования органов публичной власти.

Настоящий регламент устанавливает подходы и требования к обеспечению информационной безопасности БД органов публичной власти. Также данный документ устанавливает требования по осуществлению анализа рисков, связанных с БД, с учетом основных потенциальных угроз и уязвимостей БД в процессе предоставления публичных услуг.

Настоящий регламент распространяется на все виды БД органов публичной власти, обеспечивающих процесс предоставления публичных услуг, независимо от характера хранимой информации, способа хранения данных или от структуры организации данных.

Настоящий регламент разработан на основе следующих законодательных и нормативных актов Республики Молдова:

- Закон "О коммерческой тайне" № 171-XIII от 6.07.1994;

- Закон "О доступе к информации" № 982-XIV от 11.05.2000;

- Закон "Об информатизации и государственных информационных ресурсах" № 467-XV от 21.11.2003;

- Закон "О техническом регулировании" № 420-XVI от 22.12.2006;

- Закон "О защите персональных данных" № 17-XVI от 15.02.2007;

- Закон "О регистрах" № 71-XVI от 22.03.2007;

- Закон "Об электронных коммуникациях" № 241-XVI от 15.11.2007;

- Закон "О государственной тайне" № 245-XVI от 27.11.2008.

В настоящем регламенте применяются следующие термины:

Внешний ключ - ключевой элемент подчиненной таблицы, значение которого совпадает со значением первичного ключа главной таблицы.

Первичный ключ - главный ключевой элемент, однозначно идентифицирующий строку в таблице.

Резервное копирование баз данных - средства, обеспечивающие восстановление баз данных в случае отказа системы.

Администрирование баз данных - управление базой данных, включающее комплекс мероприятий, обеспечивающих точность, непротиворечивость, полноту, защиту и доступность данных в нужной форме, в нужном месте и в нужное время.

Объект базы данных - элемент базы данных, обладающий определенными свойствами и определенным образом реагирующий на определенные внешние события.

Владелец объектов базы данных - субъект, осуществляющий владение и пользование указанными объектами, а также обладающий полными полномочиями над объектом.

Восстановление базы данных - приведение базы данных в состояние, существовавшее незадолго до ее отказа.

Системы управления базой данных - комплекс программных средств, предназначенных для организации и ведения базы данных, для создания структуры новой базы, наполнения ее содержимым, редактирования содержимого и визуализации информации.

2. Требования к целям обеспечения информационной безопасности баз данных

БД составляют важный компонент информационной инфраструктуры органов публичной власти, с помощью которых выполняются функции обработки, хранения и манипулирования информацией. Исходя из того, что БД содержат ценную информацию, необходимо обеспечивать информационную безопасность БД, то есть конфиденциальность, целостность и доступность.

Обеспечение информационной безопасности БД должно быть направлено на достижение следующих целей:

- защита ценной информации, содержащейся в БД, от ее разглашения, утраты, утечки, искажения и уничтожения, исходя из конфиденциальности, целостности, доступности;

- защита структуры БД от ее нарушения и несанкционированного изменения;

- обеспечение наблюдаемости, направленной на обеспечение возможности фиксировать системой информационной безопасности любую деятельность, связанную с операциями БД пользователей и процессов, а также использование пассивных объектов в целях мошенничества;

- обеспечение анонимности и проверяемости (возможность проверки правильного использования информации и эффективности мер безопасности БД).

3. Требования к задачам обеспечения информационной безопасности баз данных

Для достижения поставленных целей обеспечения информационной безопасности БД должны выполняться следующие задачи:

- выявление и прогнозирование источников угроз, уязвимостей и соответствующих рисков, возникающих как следствие изменений в информационной и контрольной среде;

- осуществление оценки рисков информационной безопасности БД;

- формирование единой политики и плана обеспечения безопасности БД и разработка механизмов ее реализации;

- осуществление взаимного согласования мер обеспечения информационной безопасности БД;

- использование технических и программных средств, соответствующих требованиям безопасности БД;

- осуществление процесса управления инцидентами, связанными с нарушением информационной безопасности баз данных;

- обеспечение информированности о нарушениях безопасности БД и реализация согласованных мер для ликвидации последствий при нарушении безопасности;

- внедрение мер и средств безопасности, соответствующих уровням обнаруженных рисков и угроз.

Обеспечение информационной безопасности БД должно основываться на принципах, рассмотренных в следующих Технических регламентах:

- "Предоставление электронных публичных услуг. Технические требования" пункт 4.6 Процесс управления информационной безопасностью;

- "Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования" пункт 4.3 Принципы обеспечения информационной безопасности.

4. Требования к подходам обеспечения информационной безопасности баз данных

Для достижения целей обеспечения информационной безопасности БД должны применяться следующие подходы:

- процессный подход к обеспечению информационной безопасности;

- системный подход к обеспечению информационной безопасности;

- подход структуризации к обеспечению информационной безопасности;

- избирательный и обязательный подходы к обеспечению информационной безопасности.

Применение указанных подходов к обеспечению информационной безопасности БД должно обеспечивать получение следующих результатов:

- конфиденциальность, полнота и точность данных, содержащихся в БД;

- подтверждение, что операции точно выполнены и документированы;

- адекватные журналы аудита операций/доступа;

- требуемый уровень защищенности услуг для пользователей БД;

- эффективный учет и анализ обнаружения атак на БД, а также их предотвращение.

Концепция процессного подхода рассмотрена в техническом регламенте "Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования". Требования к обеспечению информационной безопасности БД в рамках процессного подхода определены в разделе 5.

1) Системный подход к обеспечению информационной безопасности баз данных

Для обеспечения информационной безопасности БД должен применяться системный подход, который должен определять требования информационной безопасности:

- к объектам БД;

- к основным видам рисков БД;

- к основным уязвимостям БД.

2) Подход структуризации к обеспечению информационной безопасности баз данных

Для обеспечения информационной безопасности БД должен применяться подход структуризации, который должен определять требования к следующим основным мерам и средствам обеспечения информационной безопасности БД:

- идентификация, аутентификация и авторизация в БД;

- управление доступом в БД;

- управление системами управления базами данных (СУБД) с точки зрения жизненного цикла информационного ресурса;

- управление резервным копированием и восстановлением БД;

- защита БД от вирусов и вредоносного кода;

- контроль целостности БД;

- шифрование данных в БД;

- аудит и мониторинг БД;

- распределение ответственности за обеспечение информационной безопасности БД;

- обучение персонала вопросам обеспечения информационной безопасности БД.

3) Избирательный и обязательный подходы к обеспечению информационной безопасности баз данных

Для обеспечения информационной безопасности данных для объектов БД, где к объектам БД относятся как вся БД целиком, так и любой объект внутри БД, должны применяться два общих подхода: избирательный подход и обязательный подход.

При избирательном подходе определенный пользователь должен обладать различными правами (привилегиями или полномочиями) при работе с объектами БД.

При обязательном подходе каждому объекту БД должен быть присвоен некоторый классификационный уровень, а каждый пользователь должен обладать некоторым уровнем допуска.

Для обеспечения полной и надежной безопасности БД необходимо придерживаться гибкости при выборе и сопровождении мер и средств безопасности. Данные подходы к обеспечению информационной безопасности заключаются в следующем:

- нахождение легко администрируемых и управляемых аппаратно-технических решений для защиты БД, соответствующих требованиям конкретного органа публичной власти, избегая излишней привязки к одной программной платформе или к одному поставщику;

- применение наиболее эффективных и надежных мер безопасности БД при одновременной минимизации их стоимости, а также контроль и управление ими.

5. Требования к обеспечению информационной безопасности баз данных в рамках процессного подхода

1) Требования информационной безопасности к управлению рисками

Для обеспечения информационной безопасности БД процесс управления рисками должен включать набор последовательных этапов:

- определение объектов защиты БД;

- определение и анализ угроз;

- оценка уязвимостей;

- оценка рисков;

- определение требований по защите БД;

- определение мер и средств обеспечения безопасности БД;

- внедрение мер и средств обеспечения безопасности БД;

- проведение мониторинга системы обеспечения информационной безопасности БД и ее улучшение.

2) Требования к этапу определения объектов защиты баз данных

Для обеспечения информационной безопасности БД, данный этап должен быть направлен на выделение объектов, содержащихся в БД, которые необходимо оградить от нежелательного воздействия или не допустить утечки информации, находящейся в идентифицированных объектах.

В ходе данного этапа должен быть проведен перечень следующих мероприятий:

- нахождение, составление списков и определение характеристик данных и объектов БД;

- определение границ и области проведения анализа рисков БД;

- определение критичности данных и объектов БД, основываясь на критериях конфиденциальности, целостности и доступности.

В результате идентификации всех объектов БД должно быть проведено их категорирование с точки зрения следующих критериев:

- конфиденциальность - категории данных должны соответствовать уровню защищенности информации от ее несанкционированного раскрытия в соответствии с требованиями по следующим принципам классификации информации:

a) по степеням секретности в соответствии с Законом Республики Молдова № 245-XVI от 27.11.2008 "О государственной тайне";

b) по категориям персональных данных в соответствии с Законом Республики Молдова № 17-XVI от 15.02.2007 "О защите персональных данных";

c) по объектам коммерческой тайны в соответствии Законом Республики Молдова "О коммерческой тайне" № 171-XIII от 6.07.1994;

d) по доступу к официальной информации в соответствии с Законом Республики Молдова "О доступе к информации" № 982-XIV от 11.05.2000;

e) по доступу к информации, создаваемой, обрабатываемой, хранимой в специальных системах, в соответствии с Постановлением Правительства № 735 от 11.06.2002; - целостность:

a) "высокая" - к данной категории должны относиться объекты БД, несанкционированная модификация которых может привести к нанесению значительного прямого ущерба органам публичной власти, целостность которых должна обеспечиваться гарантированными методами в соответствии с обязательными требованиями действующего законодательства;

b) "низкая" - к данной категории должны относиться объекты БД, несанкционированная модификация или удаление которых может привести к нанесению незначительного или косвенного ущерба органам публичной власти или сотрудникам;

c) "нет требований" - к данной категории должны относиться объекты БД, к обеспечению целостности которых требования не предъявляются; - доступность:

a) "беспрепятственная доступность" - доступ к объектам БД должен обеспечиваться в любое время, объект должен предоставляться постоянно, задержка получения результата не должна превышать нескольких секунд или минут;

b) "высокая доступность" - доступ к объектам БД должен осуществляться без существенных временных задержек (максимум промежутка времени, в течение которого информация не доступна, не должен превышать 2-4 часа);

c) "средняя доступность" - доступ к объектам БД может обеспечиваться с существенными временными задержками (один раз в несколько дней), задержка получения результата не должна превышать нескольких дней и это не влечет за собой нарушений нормального функционирования органов публичной власти;

d) "низкая доступность" - временные задержки при доступе к объектам БД практически не лимитированы, допустимая задержка получения результата - несколько недель и это не влечет за собой нарушений нормального функционирования органов публичной власти.

Для каждого типа объектов в зависимости от категории доступа к информации должны быть установлены различные права доступа.

На этапе определения объектов защиты БД должны быть определены:

- объекты, которые необходимо защищать;

- субъекты, которым необходимы эти объекты, и время, в течение которого необходимы объекты;

- степень сложности структуры БД;

- принципы, используемые для оценки ценности данных, хранимых в БД;

- законодательная и социальная ответственность за обеспечение безопасности БД;

- меры и средства обеспечения безопасности, необходимые для защиты данных в БД в соответствии с определенной категорией конфиденциальности, целостности и доступности.

Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:

- отсутствие формализованной ответственности администраторов БД;

- наличие организационно-уязвимых аспектов в организации функционирования компонентов информационной инфраструктуры, связанных с БД;

- случайное раскрытие или потеря данных БД;

- ошибочная и вводящая в заблуждение информация;

- отсутствие установленных стандартов обеспечения безопасности БД.

3) Требования к этапу определения и анализа угроз

Для обеспечения информационной безопасности БД должен быть проведен анализ рисков, то есть должны быть идентифицированы возможные угрозы, угрожающие обследуемой БД. Определение потенциальных угроз, направленных на БД, и их источников составляет основную задачу деятельности по определению и анализу угроз.

В рамках данного этапа должен проводиться перечень следующих мероприятий:

- должны быть определены сотрудники, имеющие доступ к уязвимым ресурсам БД;

- должны быть определены лица, несущие ответственность за изменение информации в БД;

- должна быть осуществлена проверка наличия формализованных процессов проведения контроля сотрудников, имеющих доступ к БД;

- должна быть осуществлена проверка уровня документирования и внедрения процедур;

- должна быть осуществлена проверка наличия программы подготовки и обучения персонала, имеющего доступ к ресурсам БД.

Также должен быть проведен анализ средств управления безопасностью БД, которые были внедрены или запланированы для минимизации или устранения вероятности реализации угроз, таких как:

- профилактические и детективные средства управления безопасностью БД:

a) профилактические средства управления безопасностью БД - должны включать средства управления доступом, шифрования и установления подлинности;

b) детективные средства управления БД - должны включать средства ведения журналов событий, методы обнаружения вторжений и контрольные суммы;

- технические и нетехнические методы контролей:

a) технические методы - должны включать средства управления доступом, идентификацию и механизмы аутентификации, методы шифрования, программное обеспечение обнаружения вторжений;

b) нетехнические методы - должны включать политику и планы безопасности, эксплуатационные процедуры, персонал.

Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:

- отсутствие контроля доступа к информации, содержащейся в БД;

- отсутствие следующих профилей доступа к БД:

a) профиль управляемого доступа - должны быть формализованы методы организации безопасности БД, такие как дискретный метод доступа, методы парольной аутентификации;

b) профиль уровней защищенности - профиль управляемого доступа должен расширяться, добавляя категории доступа к информации;

- отсутствие сознательного отношения к уровням защищенности БД во всей организации;

бесплатный документ

Полный текст доступен после авторизации.

ПРИКАЗ МИНИСТЕРСТВА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СВЯЗИ РЕСПУБЛИКИ МОЛДОВА Технический регламент 1.Область применения 2. Требования к целям обеспечения информационной безопасности баз данных 3. Требования к задачам обеспечения информационной безопасности баз данных 4. Требования к подходам обеспечения информационной безопасности баз данных 5. Требования к обеспечению информационной безопасности баз данных в рамках процессного подхода 7. Требования к мерам и средствам обеспечения информационной безопасности баз данных в рамках подхода структуризации Технический регламент 1. Область применения 2. Требования к классификации состава и уровней информационной инфраструктуры 3. Требования к уровням информационной инфраструктуры 4. Требования к целям и задачам обеспечения информационной безопасности информационной инфраструктуры 5. Требования к подходам обеспечения информационной безопасности информационной инфраструктуры 6. Требования к обеспечению информационной безопасности информационной инфраструктуры, как составная часть управления процессами 7. Требования информационной безопасности к процессам управления информационной инфраструктуры в рамках процессного подхода 9. Требования к мерам и средствам обеспечения информационной безопасности информационной инфраструктуры в рамках подхода структуризации

Приказ Министерства информационных технологий и связи Республики Молдова от 20 декабря 2010 года №106
"Об утверждении Технических регламентов"

О документе

Номер документа:106
Дата принятия: 20/12/2010
Состояние документа:Утратил силу
Начало действия документа:01/07/2011
Органы эмитенты: Государственные органы и организации
Утратил силу с:13/07/2018

Документ утратил силу с 13 июля 2018 года в соответствии с пунктом 1 Приказа Министерства экономики и инфраструктуры Республики Молдова от 21 июня 2018 года №309

Опубликование документа

Monitorul Oficial №46-52 статья №256 от 1 апреля 2011 года