Про затвердження правил, процедур інформаційної безпеки та призначення відповідальних осіб в Самбірській районній державній адміністрації («10» липня 2024 року Самбір №25)

Опубліковано: Середа, 10 липня 2024, 11:35

САМБІРСЬКА РАЙОННА ДЕРЖАВНА АДМІНІСТРАЦІЯ
Р О З П О Р Я Д Ж Е Н Н Я

«10» липня 2024 року Самбір №25

Про затвердження правил, процедур

інформаційної безпеки та призначення

відповідальних осіб в Самбірській

районній державній адміністрації

На виконання законів України «Про місцеві державні адміністрації», «Про захист інформації в інформаційно-комунікаційних системах», «Про основні засади забезпечення кібербезпеки України», Указу Президента України від 26 серпня 2021 року № 447/2021 «Про Стратегію кібербезпеки», розпорядження начальника Львівської обласної військової адміністрації від 14 червня 2024 року № 517/0/5-24ВА «Про підвищення стану кіберзахищеності», доручення начальника Львівської обласної військової адміністрації від 2 липня 2024 року № 38/0/6-24ВА «На виконання законів України «Про інформацію», «Про захист інформацію в інформаційно-комунікаційних системах», «Про основні засади забезпечення кібербезпеки України», Указу Президента України від 26.08.2021 № 447/2021 «Про Стратегію кібербезпеки», розпорядження начальника Львівської обласної військової адміністрації від 14.06.2024 № 517/0/5-24ВА «Про підвищення стану кіберзахищеності», з метою підвищення рівня кіберзахисту районних військових адміністрацій та впровадження рекомендацій для набуття цільового рівня зрілості кібербезпеки Львівської обласної військової адміністрації відповідно до NIST Cybersecurity Framework, що виконується в рамках проєкту USAID «Кібербезпека критично важливої інфраструктури в Україні»»

З О Б О В ’ Я З У Ю:

Затвердити:

1.1. Політику інформаційної безпеки, що додається.

1.2. Політику чистого столу та чистого екрану, що додається.

1.3. Політику управління доступом, що додається.

1.4. Парольну політику, що додається.

1.5. Політику управління інцидентами кібербезпеки, що додається.

Функції із виконання правил та процедур для забезпечення інформаційної безпеки в районній державній адміністрації, покласти на відділ цифрового розвитку, цифрових трансформацій і цифровізації районної державної адміністрації та керівників структурних підрозділів районної державної адміністрації.
Призначити відповідальною особою за виконання правил та процедур для забезпечення інформаційної безпеки у районній державній адміністрації головного спеціаліста відділу цифрового розвитку, цифрових трансформацій і цифровізації Поливку Оксану Ігорівну.
Керівників структурних підрозділів районної державної адміністрації забезпечити виконання правил та процедур для забезпечення інформаційної безпеки в районній державній адміністрації, затверджених цим розпорядженням.
Контроль за виконанням розпорядження залишаю за собою.

Голова

Іван ІЛЬЧИШИН

ЗАТВЕРДЖУЮ
розпорядження голови
районної державної адміністрації
від «10» липня 2024 року № 25

ПОЛІТИКА
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Призначення та область застосування

Політика інформаційної безпеки (далі – Політика) є офіційним документом, що визначає цілі, методи та основні вимоги до інформаційної безпеки (далі – ІБ) районної державної адміністрації, а також позицію керівництва районної державної адміністрації в питаннях ІБ.

Політика є основою для захисту інформаційних активів, забезпечення їх конфіденційності, цілісності, доступності та спостережності.

Ця Політика поширюється на всіх співробітників районної державної адміністрації, а також на всіх відповідних третіх сторін, які мають доступ до корпоративних ресурсів, і стосується обробки всієї інформації районної державної адміністрації. Дотримання цієї Політики є обов’язковим, а її недотримання може призвести до дисциплінарної відповідальності.

Відповідальні та обов’язки

Ефективна підтримка ІБ районної державної адміністрації вимагає активної підтримки та постійного залучення співробітників на всіх рівнях управління. Кожен співробітник повинен нести відповідальність за виконання вимог даної Політики в межах своїх посадових обов’язків.

Голова районної державної адміністрації несе відповідальність за:

Затвердження нормативних документів, програми навчання та підвищення обізнаності персоналу в сфері ІБ;
Забезпечення того, щоб їхні безпосередні підлеглі підпадали під дії та наслідки цієї Політики;
Призначення відповідальних осіб за перегляд політик;
Забезпечення необхідних і достатніх ресурсів (включаючи персонал і фінансування) для впровадження та підтримки ІБ.

Відповідальна особа за ІБ у районній державній адміністрації несе відповідальність за:

Інвентаризацію та класифікацію інформаційних активів;
Розробку та впровадження організаційних заходів безпеки;
Створення принципів та цілей ІБ;
Розслідування інцидентів ІБ разом з відповідною третьою стороною (за необхідністю);
Аналіз змін в інформаційних системах з точки зору ІБ;
Моніторинг подій ІБ;
Налаштувань робочих пристроїв відповідно до вимог безпеки;
Координацію та контроль за процедурою надання доступу з відповідним періодичним переглядом прав доступу користувачів інформаційної системи.

Весь персонал несе відповідальність за:

Безпеку інформації районної державної адміністрації та відповідних третіх осіб, з якими співпрацює районна державна адміністрація;
Участь в управлінні інцидентами ІБ;
Використання адекватної та релевантної інформації відповідно до цілей, для яких вона обробляється;
Нерозголошення або невикористання інформації з обмеженим доступом на власну користь або користь інших осіб.

Об’єкти та суб’єкти інформаційної безпеки
- Об'єкти ІБ

Основними об’єктами ІБ в районній державній адміністрації є:

Інформаційні ресурси, у тому числі відкрита (загальнодоступна) інформація, що представлена у вигляді документів та масивів інформації, незалежно від форми та виду її представлення;
Інфраструктура, що включає системи обробки та аналізу інформації, технічні та програмні засоби її обробки, передачі та відображення, у тому числі канали інформаційного обміну та телекомунікації, системи та засоби захисту інформації, об’єкти та приміщення, в яких розміщені чутливі компоненти автоматизованої системи;
Процеси обробки інформації в автоматизованій системі – інформаційні технології, регламенти та процедури збору, обробки, зберігання та передачі інформації, науково-технічний персонал розробників та користувачів системи та її обслуговуючий персонал.
- Суб’єкти ІБ

Суб’єктами забезпечення ІБ в районній державній адміністрації є:

Районна державна адміністрація, як власник інформаційних ресурсів;
Голова районної державної адміністрації;
Відповідальна особа за ІБ у районній державній адміністрації;
Співробітники районної державної адміністрації, відповідно до посадових обов’язків;
Треті сторони, які залучаються для надання послуг районній державній адміністрації.

Цілі та мета інформаційної безпеки

Основною метою Політики є захист суб’єктів інформаційних відносин районної державної адміністрації від можливої матеріальної, фізичної, моральної або іншої шкоди шляхом випадкового або навмисного впливу на інформацію, її носії, процеси обробки та передачі, а також мінімізація рівня операційних та інших ризиків.

Цілі заходів та вимоги ІБ визначають застосовність сервісів безпеки: доступності, цілісності, конфіденційності, спостережності – для захисту інформації, ресурсів ІТ-інфраструктури та процесів діяльності районної державної адміністрації. Вимоги ІБ мають виражатися у вигляді характеристик і параметрів, які задовольняють заходи ІБ, та встановлювати якісні та кількісні показники в системі внутрішнього контролю процесів ІБ, які мають бути забезпечені за результатами реалізації заходів ІБ.

Джерелами для формування цілей заходів та вимог ІБ можуть бути зовнішні та внутрішні фактори, що визначають діяльність районної державної адміністрації, а саме: закони України, стандарти ІБ, угоди з третіми сторонами, внутрішні нормативні документи ЛОДА, що регламентують принципи обміну та обробки інформації відповідно до її потреб.

Основні завдання Політики:

Своєчасне виявлення, оцінка та прогнозування джерел загроз безпеці, причин та умов, що сприяють нанесенню шкоди зацікавленим суб’єктам інформаційних відносин, порушенню нормального функціонування інформаційної системи районної державної адміністрації;
Забезпечення дотримання процесу оперативного реагування на інциденти ІБ;
Мінімізація та локалізація шкоди від неправомірних дій персоналу або третіх осіб, пом’якшення негативного впливу та ліквідація наслідків порушення ІБ;
Захист від втручання третіх осіб у функціонування інформаційної системи районної державної адміністрації (доступ до інформаційних ресурсів повинен надаватися тільки зареєстрованим у встановленому порядку користувачам);
Обмеження доступу користувачів до інформації, апаратних, програмних та інших ресурсів районної державної адміністрації за принципом «службової необхідності» (можливість доступу тільки до тих ресурсів і виконання операцій, які необхідні конкретним користувачам для виконання своїх службових обов’язків), захист від несанкціонованого доступу;
Забезпечення авторизації та аутентифікації користувачів, які беруть участь в інформаційному обміні (підтвердження автентичності відправника та отримувача інформації) відповідно до внутрішніх положень районної державної адміністрації;
Забезпечення реєстрації дій користувачів в системних журналах (в тому числі користувачів з привілейованими правами), що використовують ресурси, захищені інформаційною системою районної державної адміністрації, і періодичний контроль дій користувачів шляхом аналізу вмісту цих журналів;
Захист від несанкціонованої модифікації та контроль цілісності програмного забезпечення, що використовується в інформаційному середовищі районної державної адміністрації, а також захист систем від впровадження несанкціонованих програм, в тому числі шкідливих програм;
Захист інформації з обмеженим доступом від витоку соціальними або технічними каналами під час її обробки, зберігання та передачі каналами зв’язку, а також захист від несанкціонованого розголошення або модифікації такої інформації.

Вимоги до інформаційної безпеки

Районна державна адміністрація повинна забезпечити виконання наступних вимог для підтримки ІБ в належному стані та, щоб відповідати вимогам чинного законодавства та нормативно-правовим актам, міжнародним стандартам, а також контрактним зобов’язанням:

Забезпечити розробку та перегляд політик відповідно до загального напрямку діяльності районної державної адміністрації в сфері ІБ;
Забезпечити ідентифікацію активів, призначення відповідальних за їхню безпеку, а також те, щоб співробітники знали, як поводитися з ними відповідно до заздалегідь визначених рівнів класифікації;
Забезпечити використання рішень для шифрування для захисту конфіденційності, цілісності, доступності та/або спостережності інформації;
Запобігати несанкціонованому доступу до фізичних приміщень, а також захищати обладнання та устаткування від компрометації внаслідок втручання людини або природних факторів;
Забезпечити, щоб ІТ-системи, включаючи операційні системи та програмне забезпечення, були безпечними та захищеними від втрати даних;
Захищати мережеву інфраструктуру та сервіси, а також інформацію, що передається через них;
Забезпечити врахування ІБ при придбанні нових інформаційних систем або модернізації існуючих;
Забезпечити, щоб при виконанні аутсорсингових робіт постачальниками та партнерами також використовувалися відповідні засоби контролю ІБ;
Забезпечити належне інформування та обробку подій та інцидентів, пов'язаних з безпекою, з метою їх своєчасного вирішення;
Забезпечувати безперервність захисту інформації та доступність інформаційних систем під час збоїв;
Запобігати порушенням правових, законодавчих, регуляторних та договірних норм;
Забезпечити систематичне навчання співробітників районної державної адміністрації з питань ІБ.

Підтримка, оновлення та розповсюдження

Політика зберігається в електронному вигляді та є легкодоступною для персоналу та третіх сторін (за необхідності) для подальшого використання.

Відповідальність за оновлення Політики покладено на відповідальну особу за ІБ у районній державній адміністрації.

Політика переглядається щорічно для забезпечення її адекватності та відповідності потребам і цілям районної державної адміністрації або частіше, якщо це необхідно (під час внесення суттєвих змін) та погоджується з начальником управління з питань цифрового розвитку обласної державної адміністрації. Оновлена Політика подається до голови районної державної адміністрації для остаточного затвердження.

__________________________________________

ЗАТВЕРДЖУЮ
розпорядження голови
районної державної адміністрації
від «10» липня 2024 року № 25

ПОЛІТИКА
ЧИСТОГО СТОЛУ ТА ЧИСТОГО ЕКРАНУ

1. Загальне

Політика чистого столу та чистого екрану (далі – Політика) встановлює правила користування робочими пристроями та інформацією в районній державній адміністрації, з метою вдосконалення захисту інформації, зниження ризиків несанкціонованого доступу, втрати або порушення цілісності, конфіденційності, доступності та спостережності інформації протягом робочого часу та в неробочий час, під час її обробки працівниками районної державної адміністрації та третіми сторонами з використанням робочого обладнання.

Дотримання цієї Політики є обов’язковим для всіх працівників районної державної адміністрації.

2. Область застосування

Політика застосовується для:

Запобігання несанкціонованому використанню сторонніх приладів, пристроїв, обладнання;
Запобігання несанкціонованому перегляду екранів комп’ютерної техніки;
Захисту інформації на робочих місцях, де є робота з сторонніми особами та/або третіми сторонами;
Захисту інформації на паперових, електронних та інших носіях інформації;
Встановлення правил використання робочого обладнання для запобігання несанкціонованому розповсюдженню, модифікації чи втраті інформації.

3. Ролі та обов'язки

Голова районної державної адміністрації несе відповідальність за:

Впровадження цієї Політики в районній державній адміністрації;
Сприяння дотриманню цієї Політики;
Забезпечення того, щоб їхні безпосередні підлеглі підпадали під дії та наслідки цієї Політики.

Всі працівники несуть відповідальність за:

Захист інформації районної державної адміністрації та третіх сторін, з якими співпрацюють;
Використання адекватної та релевантної інформації відповідно до цілей, для яких вона обробляється;
Нерозголошення або використання чутливої інформації на власну користь або користь інших осіб.

Відповідальна особа за інформаційну безпеку (далі – ІБ) районної державної адміністрації несе відповідальність за:

Налаштування робочих пристроїв відповідно до вимог безпеки (видалення інформації з факсу/принтера/робочого столу, налаштування комп’ютерів на автоматичне блокування);
Моніторинг дій працівників в робочий час.

4. Політика чистого столу

На робочому столі працівників районної державної адміністрації мають знаходитися тільки ті предмети і засоби, які необхідні для вирішення його службових обов’язків.

Усі документи (папки, папери) та інші носії інформації (флеш накопичувачі, жорсткі магнітні диски та ін.) з чутливою інформацією під час робочого часу повинні використовуватися за необхідності. Якщо вони не використовуються у робочі та неробочі години, має забезпечуватися унеможливлення несанкціонованого ознайомлення з їх вмістом.

Надруковані документи, що містять чутливу інформацію, повинні вилучатися з принтера негайно, для зниження ризику їх втрати, копіювання, знищення та інших несанкціонованих дій сторонніми та/або третіми особами.

З метою запобігання несанкціонованого витоку інформації у кінці робочого дня працівник повинен прибрати зі столу всі носії чутливої інформації та помістити їх у сейф, шафу або інші види меблів, що замикаються або такі носії повинні бути захищені надійним паролем.

У неробочий час працівники районної державної адміністрації мають забезпечувати зберігання документів та носіїв інформації належним чином:

Паперові документи з інформацією, яка не відносяться до чутливої, повинні зберігатися у пристосованих шафах, шухлядах столу, лотках для паперу тощо;
Паперові носії інформації, що відносяться до чутливої – у відповідності до вимог внутрішніх документів районної державної адміністрації;
Ключі електронного підпису на захищених знімних флеш-накопичувачах повинні зберігатися у сейфах;
Інші носії інформації повинні зберігатися у відповідно пристосованих шафах або шухлядах столу.

Працівники районної державної адміністрації повинні недопустити можливість ознайомлення сторонніми особами та/або третіми сторонами з документами, які їх не стосуються, або винесення такими особами цих документів (навмисне чи випадкове) за межі приміщень районної державної адміністрації.

Чернетки документів, або ті документи, що містять інформацію з обмеженим доступом або чутливу інформацію, подальше використання яких непотрібне і не підлягає передачі на зберігання до архіву, в кінці кожного робочого дня необхідно знищувати за допомогою подрібнювачів паперу або у інший спосіб, що унеможливлює відновлення документів.

5. Політика чистого екрану

Щоб уникнути розголошення або витоку інформації стороннім особам та/або третім сторонам, всі працівники районної державної адміністрації повинні блокувати або вимикати свої комп’ютери (або інші пристрої з доступом до чутливої інформації), якщо вони залишають своє робоче місце.

Робочі станції (ноутбуки, комп’ютери тощо) мають вимикатися або захищатися механізмом блокування екрану та клавіатури, керованим паролем, коли вони залишаються без нагляду.

Відповідальна особа за ІБ районної державної адміністрації повинна налаштувати блокування персональних комп’ютерів за допомогою стандартних інструментів Windows при відсутності активності протягом 2-5 хвилин.

Коли робочі місця не використовуються, вони мають захищатися засобами фізичного контролю приміщення.

На робочих пристроях повинен бути налаштований запит пароля при їх запуску та виході з режиму очікування або режиму сну.

За можливості екрани комп’ютерів мають використовуватися під кутом, щоб їх не могли бачити сторонні особи. Розміщення комп’ютера з екраном, що спрямований до вікна, не рекомендується.

6. Підтримка, оновлення та розповсюдження

_______________________________________________

ЗАТВЕРДЖУЮ
розпорядження голови
районної державної адміністрації
від «10» липня 2024 року № 25

ПОЛІТИКА
УПРАВЛІННЯ ДОСТУПОМ

1. Призначення та область застосування

Політика управління доступом (далі – Політика) визначає правила та порядок доступу працівників та третіх сторін до ІТ інфраструктури районної державної адміністрації та Львівської обласної державної адміністрації (далі – ЛОДА). ІТ інфраструктура в даній Політиці включає в себе інформаційні-комунікаційних системи (далі – ІКС), сервіси, мережеве обладнання та ІТ активи.

Вимоги цієї Політики поширюються на всіх працівників районної державної адміністрації та третіх сторін, які мають доступ до ІТ інфраструктури.

2. Загальні положення

2.1. Відповідальні та обов’язки

З метою належного виконання цієї Політики, на відповідальних осіб ЛОДА покладені такі обов’язки:

- відповідальна особа за інформаційну безпеку (далі – ІБ) районної державної адміністрації несе відповідальність за:

- своєчасне оформлення заявок щодо надання та зміни прав доступу працівника;

- своєчасне оформлення заявок на деактивацію прав доступу користувачів;

- своєчасне оформлення заявок щодо надання та зміну прав доступу для третьої сторони;

- здійснення організації та контролю за дотримання вимог цієї Політики.

- забезпечення ефективного управління доступом до ІТ інфраструктури, згідно з вимогами цієї Політики.

- повідомлення керівника відповідального структурного підрозділу за забезпечення ІБ ЛОДА – начальника відділу електронного урядування адміністративного управління апарату ЛОДА про звільнення працівників, тривалу відсутність або перехід на нову посаду.

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА несе відповідальність за (для критичних ІКС, власником яких є ЛОДА):

- погодження облікових записів користувачів;

- здійснення затвердження заявок щодо надання, зміни або деактивацію доступу користувачів;

- здійснення перегляду та аналізу прав доступу;

- здійснення контролю за технологічними обліковими записами;

- своєчасність реєстрації облікових записів користувачів та виконання заявок щодо отримання, зміни або деактивації доступу;

- забезпечення контролю перегляду та аналізу прав доступу.

Працівники районної державної адміністрації, які мають доступ до ІТ інфраструктури:

- відповідають за виконання вимог цієї Політики відповідно до посадових обов’язків.

2.2. Об’єкти управління правами доступу

Доступ до ІТ інфраструктури повинен надаватись користувачам на основі наказів голови районної державної адміністрації з кадрової діяльності. Певні права доступу та повноваження повинні надаватись групі користувачів шляхом призначення групі певної ролі, за винятком тих випадків, коли відповідний функціонал не можливо реалізувати існуючими механізмами управління правами доступу або сторонніми засобами управління.

При цьому унеможливлюється призначення окремим користувачам індивідуальних ролей доступу, або користувачам та групам користувачів – окремих прав доступу. Кожній ролі присвоюються права доступу. Облікові записи користувачів об’єднують в групи користувачів, які можуть мати однакові права в системі. Після чого кожній групі надають відповідні ролі, з попередньо призначеними правами.

Повинна підтримуватись у актуальному стані Матриця ролей доступу для критичних ІКС. Підтримка Матриці ролей доступу повинна виконуватись керівником відповідального структурного підрозділу за забезпечення ІБ ЛОДА. Перелік ролей доступу має містити:

- назву ІКС;

- назву та опис ролі – яким підрозділам/працівникам надається роль;

- опис прав доступу ролі в компоненті ІКС;

- зазначення, чи є роль критичною (критичними є ролі, які надають користувачам компонентів ІТ інфраструктури адміністративні привілеї, доступ до чутливої інформації або дозволяють віддалений доступ до компонентів).

2.3. Інструктаж з управління доступом

Обов’язковий інструктаж з питань кібербезпеки (далі – КБ) має проводитись керівником відповідального структурного підрозділу за організаційну підтримку ІБ ЛОДА – начальником управління з питань цифрового розвитку ЛОДА для відповідальної особи за ІБ районної державної адміністрації (не рідше 1 разу на рік), які, в свою чергу, повинні проводити такий інструктаж для працівників районної державної адміністрації.

Інструктаж усіх працівників відбувається безпосередньо перед наданням користувачам доступу до ІТ інфраструктури та повинен охоплювати:

- огляд вимог цієї Політики, відповідно до посадових обов’язків користувача;

- ознайомлення з відповідальністю у разі недотримання вимог, що покладається на користувачів.

Управління обліковими записами

3.1. Створення та налаштування облікових записів

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА відповідальний за створення користувацьких облікових записів, за назвами яких можна однозначно ідентифікувати їхніх власників, а також до адміністративних облікових записів.

Назви адміністративних облікових записів повинні однозначно ідентифікувати користувача, не надаючи при цьому інформації про призначення облікового запису та його привілейоване використання.

3.2. Створення логіну та паролю

Створення логіну та паролю до облікових записів повинно здійснюватися, згідно з вимогами Парольної політики.

Відповідальна особа за ІБ районної державної адміністрації кожні півроку повинні проводити перевірку виконання парольних політик компонентів ІТ інфраструктури.

3.3. Автентифікація

Керівником відповідального структурного підрозділу за забезпечення ІБ ЛОДА спільно з відповідальною особою за ІБ районної державної адміністрації має бути визначено способи автентифікації користувачів критичних ІКС, що здійснюються за допомогою:

простої автентифікації: пред’явлення користувачем логіну (назви облікового запису) та паролю;
багатофакторної автентифікації: пред’явлення користувачем логіну та паролю, а також додаткового фактору автентифікації (сертифікату відкритого ключа).

Керівником відповідального структурного підрозділу за забезпечення ІБ ЛОДА має бути визначено механізми автентифікації, що залежать від таких чинників:

рівня прав доступу користувача докомпонентів ІТ інфраструктури (простий або привілейований);
характеру доступу користувача до компонентів ІТ інфраструктури.

Багатофакторна автентифікація має використовуватись у таких випадках:

для автентифікації сеансів віддаленого доступу до ІТ інфраструктури;
для автентифікації сеансів привілейованого доступу до ІТ інфраструктури, у яких реалізовано механізм багатофакторної автентифікації;
для автентифікації сеансів доступу адміністраторів системи до систем криптографічного захисту інформації.

4. Процес управління правами доступу

Процес управління правами доступу має складатись з наступних етапів:

оформлення заявки на отримання прав доступу;
виконання заявки;
періодичний перегляд та аналіз прав доступу;
деактивація доступу.

4.1. Оформлення прав доступу

Надання доступу повинна ініціювати відповідальна особа за ІБ районної державної адміністрації шляхом надання наказу про призначення працівника керівнику відповідального структурного підрозділу за забезпечення ІБ ЛОДА, який повинен надати доступ до ІКС ЛОДА відповідно до службових обов’язків користувача.

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА змінює права доступу, після отримання службової записки із зазначенням заявлених змін в правах доступу та причин цих змін.

4.2. Надання прав доступу

Надання прав доступу має виконуватись через адміністративний інтерфейс ІКС або іншими засобами, якими регулюються права доступу (шляхом надання доступу до об’єктів файлової системи, файлів та каталогів, якщо програмна прикладна система немає вбудованого механізму контролю доступу).

Доступ повинен регулюватись шляхом надання користувачу стандартної (створеної попередньо (див. пункт 2.2)) ролі доступу відповідно до його службових обов’язків. Ролі доступу мають розроблятись спільно керівником відповідального структурного підрозділу за забезпечення ІБ ЛОДА та відповідальною особою за ІБ районної державної адміністрації.

У разі необхідності видачі привілейованих прав доступу повинен проводитись аналіз сумісності цих прав із посадовими обов'язками користувача та попередньо наданими правами доступу. Під час аналізу визначається, чи не спричинить надання нових прав доступу, у комбінації з вже існуючими правами, додаткової загрози безпеці.

4.3. Аналіз та перегляд прав доступу

Аналіз прав доступу користувачів ІТ інфраструктури повинен здійснюватися в усіх її компонентах, які належать ЛОДА або орендовані нею не рідше ніж раз в рік.

Аналіз прав доступу має здійснюватися шляхом порівняння прав доступу, наданих в компонентах ІТ інфраструктури, з відповідними посадовими обов’язками та розробленою Матрицею ролей доступу.

У разі виявлення невідповідностей при аналіз прав доступу, керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен усунути виявлені відхилення протягом доби.

4.4. Деактивація доступу

Відповідальна особа за ІБ районної державної адміністрації повинна надати наказ про звільнення працівника для деактивації прав доступу працівника, не пізніше ніж у день звільнення, або закінчення роботи відповідно до договірних вимог для третіх сторін.

Під час деактивації прав доступу, керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА має блокувати обліковий запис користувача та виключати його з усіх груп доступу.

Підтримка, оновлення та розповсюдження

___________________________________________

ЗАТВЕРДЖУЮ
розпорядження голови
районної державної адміністрації
від «10» липня 2024 року № 25

ПАРОЛЬНА ПОЛІТИКА

1. Загальне.

Парольна політика (далі – Політика) є офіційним документом, який визначає набір правил та встановлює вимоги до паролів для всіх інформаційно-комунікаційних систем (далі – ІКС) у районній державній адміністрації.

Вимоги даної Політики є обов’язковими до виконання та поширюються на всіх працівників районної державної адміністрації, а також на всіх співробітників третіх сторін, які мають доступ до ІКС та корпоративних ресурсів районної державної адміністрації.

2. Ролі та обов’язки.

Голова районної державної адміністрації відповідальний за:

Затвердження правил та вимог цієї Політики.
Забезпечення адміністративного нагляду за процесом управління паролями для всіх ІКС районної державної адміністрації;
Схвалення доступу до паролів привілейованих облікових записів, які використовуються в мережі районної державної адміністрації.

Відповідальна особа за інформаційну безпеку (далі – ІБ) у районній державній адміністрації в межах свої повноважень, відповідальний за:

Сповіщення співробітників районної державної адміністрації щодо вимог структури пароля, які описані в цій Політиці;
Моніторинг та контроль дотримання співробітниками вимог щодо належного використання паролів в ІКС районної державної адміністрації;
Видачу та управління паролями до ІКС, що знаходяться під його контролем.
Сповіщення керівника відповідального структурного підрозділу за забезпечення ІБ Львівської обласної державної адміністрації (далі – ЛОДА) – начальника відділу електронного урядування адміністративного управління апарату ЛОДА та голову районної державної адміністрації про інциденти ІБ щодо підозри або факту компрометації пароля користувача.

Співробітники районної державної адміністрації/третіх сторін, відповідальні за:

Ознайомлення з вимогами даної Політики;
Розуміння відповідальності щодо прийнятного використання, зберігання та передачі паролів;
Розуміння наслідків недотримання вимог цієї Політики;
Негайне повідомлення відповідальної особи за ІБ відповідного структурного підрозділу ЛОДА щодо підозри або факту компрометації пароля користувача.

3. Вимоги до пароля.

В районній державній адміністрації визначено перелік критичних ІКС паролі доступу до яких мають бути криптографічно-стійкими, тобто тими, які для успішної атаки вимагають від зловмисника недосяжних обчислювальних ресурсів, недосяжного обсягу перехоплених відкритих і зашифрованих повідомлень чи ж такого часу розкриття, що по його закінченню захищена інформація буде вже не актуальна і т. д.

Співробітники повинні постійно захищати паролі від розголошення або несанкціонованого використання, у тому числі під час створення, розповсюдження, використання та зберігання.

Двофакторна автентифікація повинна використовуватися в усіх ІКС, де це технічно можливо реалізувати.

3.1. Вимоги до захисту паролів.

Усі коди доступу та безпеки такі, як: паролі, персональні ідентифікаційні номери («PIN») і токени безпеки, вважаються конфіденційною інформацією районної державної адміністрації та повинні підлягати захисту.

Паролі повинні бути повністю зашифровані, коли вони зберігаються, обробляються під час автентифікації або передаються мережею. Необхідно використовувати бібліотеки автентифікації та шифрування, які включають надійні механізми шифрування.

Паролі повинні бути замасковані, коли вони використовуються у вікні автентифікації або входу в систему. Це включає в себе відображення системою символів замість фактичних символів пароля, а також те, що користувач повинен гарантувати, що ніхто не зможе прочитати пароль, коли він вводить його з клавіатури.

Паролі заборонено записувати на паперових та електронних носіях (окрім систем, які призначені для зберігання паролів), тому керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА зобов’язаний забезпечити використання парольних менеджерів працівниками, що мають доступ до адміністративних облікових записів для унеможливлення несанкціонованого доступу.

Виняток: Паролі можуть передаватись відкритим текстом по телефону або електронною поштою, лише у випадку коли він є:

Випадково згенерований і надісланий індивідуально кожному користувачеві та має бути примусово змінений після першого використання;
Одноразового використання.

Паролі, що використовуються в різних ІКС (наприклад, мережевий домен, програми, мережеві пристрої) або для різних ролей і привілеїв (наприклад, звичайний користувач, супервізор або адміністратор), повинні бути різними та унікальними і не використовуватися в будь-яких інших ІКС або додатках, що не належать районній державній адміністрації.

Паролі облікових записів користувачів з привілеями системного рівня (адміністративні облікові записи) не повинні використовуватися для інших облікових записів, які не належать адміністраторам та повинні зберігатись в парольному менеджері.

Попередньо надані ключі, що використовуються для підключення до мереж Wi-Fi, повинні покладатися на облікові дані мережевого домену.

Використання паролів Microsoft Office, інструментів для створення PDF-файлів або Winzip/7zip (без шифрування) є прийнятним лише для захисту неконфіденційних документів.

3.2. Вимоги до параметрів паролів, PIN-кодів, парольних фраз.

Вимоги до параметрів паролів стосуються (за можливості технічного налаштування):

Мережевих доменних і спільних папок, персональних комп’ютерів, ноутбуків, планшетів, серверів і баз даних, зокрема доменної та локальної політики паролів;
Комутаторів, маршрутизаторів, точок доступу Wi-Fi, брандмауерів, пристроїв безпеки тощо.

Для забезпечення надійного захисту ІКС паролем, мають бути встановлені наступні параметри:

Мінімальна довжина: 8-12 символів;
Пароль повинен відповідати вимогам складності;
Повинен містити символи верхнього та нижнього регістру, числа, а також неалфавітні символи;
Не містить будь-які персональні дані;
Не містить у собі загальновживані слова;
Мінімальний термін дії пароля: 1 день;
Максимальний термін дії пароля: 30-90 днів;
Історія паролів: 10 останніх використаних паролів;
Поріг блокування облікового запису: 3 послідовних невдалих спроб введення;
Скинути лічильник блокування облікового запису через: 15 хвилин.

Вимоги до пароля для облікових записів з правами адміністратора подібні до вимог паролів користувачів, але з посиленими заходами: мінімальна довжина пароля 14 символів, термін дії 20 днів.

PIN-код має відповідати наступним вимогам:

Мінімальна довжина: 6 цифр
Максимальний термін дії пароля: 30-90 днів
Історія паролів: 5 останніх використаних паролів
Поріг блокування облікового запису: 3 спроби
Скинути лічильник блокування облікового запису через: 15 хвилин

Парольна фраза – це довша версія пароля, і тому вона більш безпечна. Парольна фраза, як правило відносно довга, складається з кількох слів, містить комбінацію великих і малих літер, цифр і розділових знаків, через це більш захищена від «словникових атак».

Приклад хорошої парольної фрази: «The*?#>*@TrafficOnThe101Was*&#!#ThisM0rning».

Всі наведені вище правила, що стосуються зміни паролів, повинні застосовуватись і до парольних фраз.

4. Підтримка, оновлення та розповсюдження

Політика переглядається щорічно для забезпечення її адекватності та відповідності потребам і цілям районної державної адміністрації або частіше, якщо це необхідно (під час внесення суттєвих змін)та погоджується з начальником управління з питань цифрового розвитку обласної державної адміністрації. Оновлена Політика подається до голови районної державної адміністрації для остаточного затвердження.

_______________________________________________

ЗАТВЕРДЖУЮ
розпорядження голови
районної державної адміністрації
від «10» липня 2024 року № 25

ПОЛІТИКА
УПРАВЛІННЯ ІНЦИДЕНТАМИ КІБЕРБЕЗПЕКИ

1. Загальне

Політика управління інцидентами кібербезпеки (далі – Політика) визначає вимоги та послідовність дій щодо виявлення, аналізу та опрацювання інцидентів кібербезпеки (далі – КБ) у районній державній адміністрації.

Метою Політики є забезпечення:

Організації оперативного виявлення, оцінки та реагування на інциденти КБ;
Мінімізації наслідків інцидентів КБ;
Запобігання інцидентам КБ в майбутньому, поліпшення впровадження та використання захисних заходів КБ;
Відповідності рівня КБ районної державної адміністрації вимогам законів України, нормативно-правових актів України та міжнародних стандартів в області КБ;
Захисту інформаційних систем ї районної державної адміністрації від порушень конфіденційності, цілісності, доступності та спостережності.

1.1. Класифікація інцидентів

За наслідками інциденти КБ повинні класифікуватись за відповідно до таблиці, яка наведена у пункті 2.2.3 даної Політики.

1.2. Види інцидентів

В цій Політиці визначені наступні види інцидентів:

Порушення цілісності інформації;
Порушення конфіденційності;
Порушення доступності;
Порушення спостережності.

2. Реагування на інциденти КБ

Етап реагування на інциденти КБ в інформаційних системах районної державної адміністрації повинен включати наступні кроки:

Підготовка;
Виявлення та аналіз;
Стримування;
Усунення;
Відновлення;
Аналіз ефективності.

2.1. Підготовка

Для забезпечення готовності районної державної адміністрації до оперативного реагування на інциденти КБ повинні бути розроблені плани реагування на окремі види інцидентів КБ, що є найбільш ймовірними для певної прикладної системи з урахуванням умов та режиму її функціонування виходячи з прогнозованих даних та експертних оцінок.

Розробка планів реагування на інциденти КБ є основою для системного підходу до процесу управління інцидентами КБ в районній державній адміністрації.

2.1.1. Етап «Створення плану реагування на інцидент КБ»

Керівник відповідального структурного підрозділу за забезпечення інформаційної безпеки (далі ІБ) Львівської обласної державної адміністрації (далі – ЛОДА) (начальник відділу електронного урядування адміністративного управління апарату ЛОДА) повинен проводити пошук інформації про аналогічні інциденти КБ, які відбувалися в минулому (див. Додаток А) та для яких розроблено типовий план реагування.

Якщо для поточного виду інциденту КБ у базі знань існує типовий план реагування, то керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА переходить до його реалізації.

Якщо подібних інцидентів КБ у базі знань немає (див. Додаток А), керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен розробити комплекс заходів, який оформлюється у вигляді плану реагування на інцидент КБ та зберігається в базі знань.

2.2. Виявлення та аналіз

2.2.1. Етапи «Виявлення та інформування про інцидент. Збір та реєстрація інформації про інцидент КБ»

У разі виявлення інциденту або слабких місць КБ працівники районної державної адміністрації або залучені треті сторони повинні повідомити про це відповідальну особу за ІБ районної державної адміністрації, який, в свою чергу, невідкладно інформує керівника відповідального структурного підрозділу за забезпечення ІБ ЛОДА.

До основних ознак інциденту відносяться наступні (невичерпний перелік):

Суттєве зниження продуктивності прикладних систем або недоступність прикладних систем;
Повідомлення антивірусного ПЗ;
Несанкціонована діяльність у мережі та прикладних системах ЛОДА;
Стрімке збільшення мережевого трафіку;
Численні повідомлення про помилки та збої;
Зафіксовані спроби підбору паролів;
Заздалегідь відома негативна подія безпеки;
Подія безпеки, що зафіксована у неробочий час;
Невідомі облікові записи;
Відключені засоби забезпечення безпеки;
Спроби застосування методів соціальної інженерії;
Відсутність засобів захисту інформації;
І т.д.

Працівник районної державної адміністрації, який виявив можливі ознаки інциденту, повинен вказати у повідомленні наступну інформацію:

Опис проблеми, що спостерігається;
Час виникнення ознак інциденту;
Інші суттєві дані щодо інциденту – у відповідь на запитання осіб відповідальних за реєстрацію та/або реагування на інцидент.

2.2.2. Етап «Аналіз інциденту»

Процедура повинна розпочинатись за фактом отримання відповідальною особою за ІБ районної державної адміністрації повідомлення про виникнення інциденту КБ.

Після отримання повідомлення про інцидент відповідальна особа за ІБ районної державної адміністрації невідкладно інформує голову районної державної адміністрації та керівника відповідального структурного підрозділу за забезпечення ІБ ЛОДА, який повинен провести класифікацію інциденту, аналіз зібраної інформацію та прийняти рішення щодо підтвердження його статусу.

2.2.3. Етап «Оповіщення про інцидент»

Оповіщення зацікавлених сторін (голова ЛОДА, заступник голови з питань цифрового розвитку, цифрових трансформацій і цифровізації (CDTO) (далі CDTO), Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України, Служба безпеки України, Національний координаційний центр кібербезпеки при РНБО України, залучені треті сторони – відповідно до договірних вимог, тощо)повинно здійснюватися керівником відповідального структурного підрозділу за забезпечення ІБ ЛОДА визначеними засобами після маркування.

Маркування повинно проводитися відповідно до наступних значень:

Мітка (колір)	Значення
рівень 0, некритичний (білий)	Кіберінцидент/кібератака не загрожує сталому, надійному та штатному режиму функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем.
рівень 1, низький (зелений)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, але не загрожує захищеності (конфіденційності, цілісності і доступності) інформації та даних, що ними обробляються.
рівень 2, середній (жовтий)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, внаслідок чого створюються передумови для порушення захищеності (конфіденційності, цілісності і доступності) інформації та даних, що ними обробляються, виникають передумови для припинення виконання функцій та/або надання послуг критичною інфраструктурою.
рівень 3, високий (помаранчевий)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, порушується захищеність (конфіденційність, цілісність і доступність) інформації та даних, що ними обробляються, внаслідок чого виникають потенційні загрози для національної безпеки і оборони, стану навколишнього природнього середовища, соціальної сфери, національної економіки та її окремих галузей, припинення виконання функцій та/або надання послуг критичною інфраструктурою. Реагування на цьому рівні може потребувати залучення сил та засобів більше ніж одного основного суб’єкта національної системи кібербезпеки.
рівень 4, критичний (червоний)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування кількох інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, порушується захищеність (конфіденційність, цілісність і доступність) інформації та даних, що ними обробляються, внаслідок чого виникають реальні загрози для національної безпеки і оборони, стану навколишнього природного середовища, соціальної сфери, національної економіки та її окремих галузей, припинення виконання функцій та/або надання послуг критичною інфраструктурою. Кіберінцидент/кібератака може мати транскордонний вплив. Реагування на цьому рівні потребує залучення сил та засобів основних суб’єктів національної системи кібербезпеки.
рівень 5, надзвичайний (чорний)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування значної кількості інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, порушується захищеність (конфіденційність, цілісність і доступність) інформації та даних, що ними обробляються, внаслідок чого виникають невідворотні загрози для повноцінного функціонування держави або загроза життю громадян України. Кіберінцидент/кібератака може мати транскордонний вплив. Реагування на цьому рівні потребує максимального залучення сил та засобів основних суб’єктів національної системи кібербезпеки та інших суб’єктів забезпечення кібербезпеки.

2.3. Стримування

2.3.1. Етап «Збір інформації для розслідування інциденту»

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА відповідно до плану реагування повинен зібрати інформацію про інцидент для проведення подальшого розслідування.

Вибір методів збору інформації залежить від виду інциденту КБ та погоджується з CDTO ЛОДА.

У випадку, коли при реалізації збору інформації про інцидент КБ планується переривання роботи інформаційно-комунікаційної системи (далі ІКС), керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА, повинен погодити таке переривання з CDTO ЛОДА.

2.3.2. Етап «Зменшення впливу інциденту»

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен обрати методи та заходи, спрямовані на зменшення впливу інциденту на процеси діяльності ЛОДА, окремо для кожного конкретного інциденту, залежно від його виду, та у відповідності з розробленим, планом реагування.

Будь-які методи, дії та порядок їхнього використання або виконання повинні погоджуватися та координуватися CDTO ЛОДА.

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен виконати оцінку можливого впливу запланованих дій на безперервність діяльності ураженої системи та проінформувати CDTO ЛОДА. За необхідності допускається ізолювання системи або роз’єднання компонентів цієї системи на період проведення повного розслідування інциденту.

2.4. Усунення інциденту та відновлення функціонування інформаційно-комунікаційної системи

З метою відновлення нормального функціонування ІКС керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА спільно з відповідальною особою за ІБ районної державної адміністрації повинен проводити заходи з усунення причин та наслідків інциденту.

Процедура усунення інциденту та відновлення функціонування залежить від виду інциденту та повинна визначатись для кожного інциденту окремо.

Після відновлення функціонування ІКС керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен перевірити відсутність ознак повторення інциденту та повідомити про завершення робіт CDTO ЛОДА.

2.5. Аналіз ефективності заходів з реагування на кіберінциденти/кібератаки

2.5.1. Етап «Розслідування інциденту»

Під час виконання робіт з розслідування інцидентів повинні використовуватись методи та засоби, що запобігають випадковому або навмисному внесенню змін в дані, що вивчаються та аналізуються.

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен з’ясувати причини інциденту та провести аналіз усіх виявлених у процесі розслідування небезпечних факторів, що призвели до відхилень:

У діях працівників районної державної адміністрації;
У роботі інформаційних ресурсів та систем;
Відхилень від норм експлуатації програмного забезпечення і обладнання;
Відхилень від вимог політик кібербезпеки із визначенням ступеня впливу цих відхилень на розвиток інциденту.

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен визначити:

Які нормативні вимоги були порушені або не виконані (з посиланням на відповідні статті, розділи, пункти нормативних актів);
Причетність до інциденту, якщо це мало місце, інших підприємств, організацій і установ із визначенням, наскільки це можливо;
Ступеня їх впливу на виникнення і перебіг інциденту.

2.5.2. Етап «Аналіз ефективності»

Після завершення розслідування керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен підготувати звіт з описом усіх проведених процедур щодо управління інцидентами КБ та закриттям інциденту КБ та надати CDTO ЛОДА, голові районної державної адміністрації, а також, за необхідності, зацікавленим сторонам.

Керівник відповідального структурного підрозділу за забезпечення ІБ ЛОДА повинен внести інформацію про закриття інциденту в журнал реєстрації інцидентів.

3. Система внутрішнього контролю

Всі співробітники районної державної адміністрації несуть відповідальність за своєчасність інформування відповідальної особи за ІБ в районній державній адміністрації у разі виявлення ознак інцидентів КБ або можливості настання інциденту КБ.

Підтримка, оновлення та розповсюдження

________________________________________________

№

Назва інциденту

План дій щодо реагування на інцидент

Дата/час виконання дій з реагування

Очікувана дата завершення всіх дій з реагування

Технічні, програмні та фінансові ресурси

Порядок збору інформаційних підтверджень та доказів

Місце збереження інформаційних підтверджень та доказів

Відповідальна за реагування особа

Статус

Коментарі

ПІБ

Посада/
Компанія

Контактний номер телефону

Не розпочато

У процесі

Завершено