МИНИСТЕРСТВО ТРУДА, ЗАНЯТОСТИ И СОЦИАЛЬНОЙ ЗАЩИТЫ РЕСПУБЛИКИ ТАТАРСТАН ТАТАРСТАН РЕСПУБЛИКАСЫ ХЕЗМӘТ, ХАЛЫКНЫ ЭШ БЕЛӘН ТӘЭМИН ИТҮ ҺӘМ СОЦИАЛЬ ЯКЛАУ МИНИСТРЛЫГЫ Волгоградская ул., д. 47, г.Казань, 420044 Волгоград ур., 47 нче йорт, Казан шәһәре, 420044 тел. (843) 557-20-01, 557-21-02; факс 523-90-74. E-mail: mtsz@tatar.ru, www.mtsz.tatarstan.ru __________________ №________________ На №_______________________________ Начальникам территориальных органов (управлений) социальной защиты, директорам и руководителям подведомственных учреждений Министерства труда, занятости и социальной защиты Республики Татарстан (по списку) Об обеспечении целостности, конфиденциальности и доступности хранящейся и передаваемой информации Министерство труда, занятости и социальной защиты Республики Татарстан (далее – Министерство) в рамках обеспечения целостности, конфиденциальности и доступности хранящейся и передаваемой информации сообщает о необходимости повысить внимание к событиям информационной безопасности в Вашем учреждении: - обеспечить использование средств антивирусной защиты и их регулярное обновление; - обеспечить регулярное обновление используемого общесистемного и специализированного программного обеспечения; - использовать двухфакторную авторизацию при удаленном доступе в сеть организации; - запретить доступ с помощью сторонних сервисов, которые подключаются через промежуточные серверы и самостоятельно проводят авторизацию и аутентификацию; - разрешить доступ в сеть Интернет только тем устройствам и учетным записям пользователей, которым это необходимо; - обеспечить ведение журналирования действий пользователей с максимально возможным периодом хранения журналов; - настроить тайм-ауты неактивных удаленных пользователей на средствах вычислительной техники внутри организации; - удалить неиспользуемые учетные записи и группы пользователей на средствах вычислительной техники внутри организации; - организовать и осуществлять в постоянном режиме антивирусную проверку сообщений электронной почты; - организовать контроль за подключением внешних устройств, в том числе usb-носителей информации; - обновить пароли всех пользователей в соответствии с парольной политикой; - привести в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты. Также Министерство сообщает, что в последнее время участились случаи рассылки мошеннических писем по электронной почте, чтобы ввести в заблуждение пользователя и заставить совершить действия, которые могут причинить ему вред. Это называется фишинг («fishing», англ. - «поймать на удочку»). Пример такого письма, а также свод правил по безопасной работе при осуществлении организации информационного взаимодействия с использованием сервисов Государственной интегрированной системы телекоммуникаций Республики Татарстан для использования в служебной деятельности прилагается. Как распознать письмо от мошенников? 1. Если в поле «Куда» указано не ваше имя – значит, это массовая безличная рассылка, когда адресаты проставляются методом перебора. 2. Если в поле «Куда» указано персонально ваше имя, однако письмо для вас непонятное, и от неизвестных источников – это также может оказаться фишинговым сообщением, наши электронные адреса доступны в сети «Интернет». 3. Если в поле «От кого» указан неизвестный вам адрес, при этом в самом письме в качестве отправителя упоминается хорошо знакомый сайт – значит, письмо пришло вовсе не от той организации, под которую подделываются мошенники. 4. Если тема, контент письма, названия файлов побуждают получателя к спешке, немедленному действию (к переходу по ссылке, к нажатию на кнопку, к открытию файла, к немедленному ответу на письмо). 5. Если письмо направлено только вам, но используются безличные обращения: например, Дорогой друг, Уважаемый пользователь – значит, отправитель не знает вашего имени, а само письмо разослано наудачу по многим адресам. 6. Если письмо пришло из организации, с которой у вас нет договорных отношений, но из содержания письма выходит, что вы обязаны совершить какиелибо действия в интересах данной организации. 7. Если в письме содержится информация о щедром рекламном предложении, внезапной акции, выигрыше в лотерею от организаций, с которыми вы не имели никаких отношений. При обнаружении фишинговых рассылок необходимо: 1. Не переходить по ссылкам в письме. 2. Не открывать и не запускать уже скачанные из данного письма файлы. 3. Переслать сообщение исполняющему обязанности начальника отдела информационных технологий, технического обслуживания и эксплуатации автоматизированных систем, обеспечения информационной безопасности Министерства Б.И. Галлямову на электронный адрес Bulat.Gallyiamov@tatar.ru. 4. Удалить у себя в почте данное сообщение. Кроме того, появились мошеннические схемы, использующие массовую рассылку подложных электронных писем с тематикой, посвященной распространению коронавирусной инфекции. Целью мошенников является внедрение на компьютеры различных вредоносных программ, которые способны осуществлять несанкционированный доступ к информации или нарушать нормальную работу информационных систем. Методические рекомендации по информационной безопасности при работе с электронной почтой прилагаются. Учитывая изложенное, Вам необходимо периодически проводить работу по информационной безопасности, а также внимательно относиться к письмам, поступающим на служебную почту. Письмо от мошенников может обернуться заражением компьютера вредоносным вирусом, уничтожением важных для Вас данных и, возможно, взломом ваших банковских карт. Приложения: 1. Пример фишинга – скриншот; 2. Свод правил по ИБ – на 4 л. в 1 экз.; 3. Методические рекомендации – на 2 л. в 1 экз.; 4. Свод правил по безопасной работе в ГИСТ – на 7 л., в 1 экз. Заместитель министра А.Р. Мубаракшин СВОД ПРАВИЛ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Правила работы при обработке персональных данных Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным регулируются Федеральным законом от 27.07.2006 №152-ФЗ (ред. от 31.12.2017) «О персональных данных» (далее – 152-ФЗ). Целью 152-ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Пользователь – это лицо, осуществляющее информационное взаимодействие с использованием автоматизированного рабочего места и сервисов Государственной интегрированной системы телекоммуникаций Республики Татарстан (далее – ГИСТ РТ). Пользователь в своей работе руководствуется следующими нормативноправовыми документами (НПА): ₋ Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; 1 ₋ Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; ₋ Приказ ФСБ России от 10.07.2014 № 378; ₋ Приказ ФАПСИ от 13.06.2001 № 152. Ключевые правила по работе с персональными данными 1. Запрещается открывать файлы и запускать программы на компьютере, переходить по ссылкам в письме, полученные от непроверенных источников. 2. При получении письма от неизвестного адресата, необходимо связаться с исполнителем и уточнить происхождение файлов. В случае невозможности установить происхождение письма, необходимо его удалить, не сохраняя и не запуская приложенные файлы. 3. Переслать сообщение исполняющему обязанности начальника отдела информационных технологий, технического обслуживания и эксплуатации автоматизированных систем, обеспечения информационной безопасности Министерства Б.И. Галлямову на электронный адрес Bulat.Gallyiamov@tatar.ru. Затем удалить у себя в почте данные сообщения. 4. Передавать свои идентификационные данные любому другому пользователю (пароли, логины). 5. Запрещается оставлять без присмотра или передавать любому другому пользователю электронную подпись. 6. Необходимо производить блокировку экрана автоматизированного рабочего места при отсутствии на рабочем месте. 7. Соблюдать требования парольной политики (Раздел «Требования к идентификаторам и паролям»). 8. Осуществлять доступ к глобальным сетям только в профессиональных и служебных целях. 9. Запрещается отключать (блокировать) средства защиты информации. 10. Запрещается использовать функции «Запомнить пароль» в любом информационном ресурсе Министерства. 2 Требования к идентификаторам и паролям Настоящие требования устанавливает порядок и правила генерации, использования, уничтожения идентификатора и пароля в информационных ресурсах Министерства труда, занятости и социальной защиты Республики Татарстан (далее – Министерство) и подведомственных учреждений Министерства. Требования к идентификаторам и паролям Министерства распространяются на всех сотрудников Министерства (далее - Пользователь) и подведомственных учреждений Министерства. Бесконтрольность в определении и использовании пароля может повлечь риск несанкционированного доступа к информации Министерства и подведомственных учреждений Министерства, что может повлечь модификацию или уничтожение информации и это может нанести вред и ущерб репутации Министерства. Требования к паролям. 1. Пароли не должны основываться на каком-либо одном слове, выданном идентификаторе, имени, кличке, паспортных данных, номерах страховок и т.д. 2. Пароли не должны основываться на типовых шаблонах и идущих подряд на клавиатуре или в алфавите символов, например, таких, как: qwerty, 1234567, abcdefgh и т.д. 3. Пароли должны содержать символы как минимум из трех следующих групп: строчные латинские буквы: abcd...xyz; прописные латинские буквы: ABCD...XYZ; цифры: 123...90; специальные символы: !%() _+ и т.д. 4. Требования к длине пароля: для обычных пользователей не менее 6 символов; для администраторов (локального\доменного) не менее 15 символов. 5. Периодичность смены пароля: каждые 180 дней. 6. Пароли не должны храниться и передаваться в незашифрованном виде по публичным сетям (интернет, электронная почта). 7. В ходе работы не должны использоваться встроенные идентификаторы. Для них должны быть назначены пароли, отличные от установленных производителем. 8. Пароли нельзя записывать на бумагу, в память телефона и т.д. Нельзя сообщать, передавать кому-либо пароль. Требования к идентификаторам. 1. Для каждого идентификатора должна быть определена следующая информация о пользователе: фамилия, имя, отчество пользователя, должность. 2. Учет идентификаторов производится в Журнале учета для идентификаторов (Приложение). Требования к идентификации. Идентификация должна осуществляться по уникальным учетным записям, которые однозначно идентифицируют пользователя. Запрещается применять учетные неидентифицируемые учетные записи, например: «user», «пользователь», «administrator», «123456» и т.д. без четкого определения принадлежности учетной записи к субъекту доступа. 3 Ответственность Виновные в нарушении условий обеспечения информационной безопасности несут ответственность в соответствии с законодательством Российской Федерации. Каждый пользователь несет персональную ответственность: 1. За свои действия в период осуществления взаимодействия с автоматизированным рабочим местом, оргтехникой и сервисами ГИСТ; 2. За соблюдение требований, установленных настоящим Сводом правил и вышеуказанными НПА. За нарушение настоящего Свода правил пользователю может быть запрещен доступ к ГИСТ РТ. Нарушение данного Свода правил, повлекшее неправомерное уничтожение, блокирование, модификацию либо копирование служебной информации, нарушение работы информационных ресурсов и систем, может повлечь дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством. 4 Методические рекомендации по информационной безопасности при работе с электронной почтой В ходе мониторинга угроз информационной безопасности в сети Интернет, осуществляемого региональными центрами Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) наблюдается постоянный рост количества, усложнение и совершенствование мошеннических схем, использующих массовые рассылки подложных электронных писем. Мошенники, используя почтовые домены, похожие на официальные адреса международных организаций, органов государственной власти Российской Федерации, пользуясь ажиотажем вокруг новостей о распространении коронавируса в мире, начали осуществлять рассылку вредоносного программного обеспечения под видом документов, якобы, содержащих статистические сведения о распространении коронавирусной инфекции или официальные рекомендации по борьбе с ней. Зафиксированы факты ложных рассылок, исходящих, якобы, от Центров по контролю и профилактике заболеваний (Centers for Disease Control and Prevention), от Всемирной организации здравоохранения (World Health Organization, WHO), а также использующих темы коронавируса (CoViD-19, SARS-CoV2). Как правило, письма, носящие вредоносный характер, имеют своей целью методами социальной инженерии склонить получателя к открытию вложенных файлов, либо к переходу по Интернет-ссылкам на сторонние ресурсы. В случае, если получатель такого письма из любопытства осуществит указанные действия, то на его компьютер внедряется вредоносная программа. Это может быть программа-троян (скрытно осуществляющая поиск в компьютере и передачу хозяину секретных паролей, реквизитов банковских карт и персональных данных жертвы), рекламная закладка (захламляющая рабочий экран рекламными сообщениями), программа-майнер (тайно осуществляющая генерацию криптовалюты), а в худшем случае - вирус-шифровальщик, осуществляющий шифрование жесткого диска с последующим вымогательством денежных средств у своей жертвы. Следует помнить, что вирусная опасность со стороны электронной почты грозит в настоящее время не только стационарному компьютеру, но и мобильным гаджетам - смартфонам и планшетам. В некоторых случаях при переходе на ложный (подконтрольный злоумышленникам) сетевой ресурс пользователь под различными предлогами (проверка мер безопасности, сбои в работе систем и т.п.) побуждается к введению своего логина и пароля доступа в систему (в личный кабинет). Преступниками для достижения своих целей используются официальная символика и логотипы известных организаций и органов государственной власти, а также предпринимаются меры по визуальной маскировке адресов электронной почты с помощью замены одной или нескольких букв или использования специальных символов (пример: tater.ru или talar.ru, вместо tatar.ru), а также изменение доменной зоны (пример: вместо tatar.ru - tatar.gov). В некоторых случаях поддельное письмо можно выявить по наличию грубых орфографических или стилистических ошибок в тексте. 2 Для минимизации риска заражения служебных и личных компьютеров, а также мобильных гаджетов при приеме и обработке электронной почты настоятельно рекомендуется: - проявлять бдительность и тщательно проверять любой факт поступления на Ваш электронный почтовый ящик информации, не относящейся к вашему основному виду деятельности, либо направленной Вам впервые; - не отвечать на запросы от имени «технических», «сервисных» и тому подобных служб любых организаций с просьбой сообщить свои логины, пароли, личные данные, реквизиты банковских карт, номера документов, время своего отсутствия в квартире, любую другую информацию о себе и своей семье, перепроверять факт запроса путем телефонного звонка официальным представителям данной организации; - не открывать вложения, полученные из неизвестных источников и не переходить по ссылкам, которые находятся в текстах таких писем, в том числе, направленных от лица, якобы, органов государственной власти, силовых и правоохранительных структур, проверять факт направления файла путем телефонного звонка. В случае невозможности установить происхождение письма, необходимо его удалить, не сохраняя и не запуская вложенные файлы; - никогда не отключать встроенные средства защиты операционной системы.
