Важным направлением деятельности РЦОИ является обеспечение информационной безопасности при работе с персональными данными и иной информацией ограниченного доступа.
РЦОИ необходимо разработать и утвердить нормативную базу, регламентирующую деятельность в области защиты информации:
иметь в трудовом договоре с руководителем РЦОИ (должностных инструкциях, приказах и т.п.) пункт о закреплении за ним ответственности за организацию работ по технической защите информации;
утвердить приказом РЦОИ перечень сведений конфиденциального характера;
утвердить приказом РЦОИ организационно-распорядительную документацию, регламентирующую порядок технической защиты информации и обработки персональных данных;
назначить приказом РЦОИ сотрудника, ответственного за выполнение работ по технической защите информации и обработке персональных данных. Назначаемый сотрудник должен иметь образование в сфере защиты информации либо пройти профессиональную переподготовку или программу повышения квалификации (сотрудник, ответственный за выполнение работ по технической защите информации, обязан руководить выполнением запланированных и согласованных с руководителем РЦОИ работ по информационной безопасности РЦОИ, подготавливать необходимые организационно-распорядительные документы, контролировать исполнение администратором безопасности требований, установленных организационно-распорядительными документами);
назначить приказом РЦОИ администратора безопасности РИС (администратор безопасности осуществляет фактическое выполнение утвержденных в РЦОИ требований по информационной безопасности в части настройки и функционирования СЗИ на средствах вычислительной техники, кроме того обеспечивает выполнение требований организационных распорядительных документов). Допустимо совмещение одним сотрудником обязанностей администратора безопасности и системного администратора;
утвердить приказом РЦОИ сотрудников, допущенных к обработке информации ограниченного доступа согласно перечню сведений конфиденциального характера;
утвердить приказом РЦОИ список доступа сотрудников в помещения ограниченного доступа РЦОИ и к средствам вычислительной техники, расположенных в них. Также рекомендуется указывать соответствие названий учетных записей определенным сотрудникам РЦОИ в целях внесения ясности на случай использования работниками обезличенных учетных записей. Организовать фактическое исполнение приказа, чтобы учетные записи, используемые для доступа на средства вычислительной техники, соответствовали списку в приказе;
утвердить приказом РЦОИ матрицу доступа субъектов доступа (сотрудников) к объектам доступа (средствам вычислительной техники), которая отражала бы их полномочия при работе с операционной системой. Кроме того, для прикладного программного обеспечения (РИС, станция сканирования и пр.) должна быть разработана и утверждена аналогичная матрица с полномочиями (ролями) сотрудников при работе с тем или иным программным обеспечением РИС, поддерживающем разграничение прав доступа. При распределении полномочий необходимо придерживаться принципа назначения минимальных привилегий, необходимых для исполнения должностных обязанностей.
Необходимо обеспечить вход сотрудников на средствах вычислительной техники в базовую систему ввода/вывода (BIOS) и в операционную систему исключительно с использованием реквизитов доступа (логин/пароль).
Необходимо обеспечить периодичность смены паролей от учетных записей в РИС техническими и организационными мерами (например, утвердить соответствующее требование в Инструкции пользователя, выполнить настройку СЗИ/доменных групповых политик). В случае если периодичность смены паролей от некоторых учетных записей невозможно обеспечить техническими средствами, администратор безопасности должен проконтролировать смену паролей в организационном порядке (рекомендуемая частота - один раз в квартал, обязательная - два раза в год - перед началом сбора баз данных и перед началом ГИА). Кроме того, необходимо определить требования к сложности паролей и обеспечить их выполнение техническими и организационными мерами.
Рекомендуется оснастить средства вычислительной техники, входящей в состав РИС (АРМ и сервера), сертифицированными средствами защиты информации с действующим сертификатом соответствия ФСТЭК России. Обязательно наличие САЗ и СЗИ от несанкционированного доступа.
Настройки САЗ должны предусматривать активные компоненты защиты файловой системы, мониторинга изменений структуры операционной системы, почтовый антивирус, проверку съемных носителей при подключении и ежедневное обновление сигнатур базы данных с единого репозитория, которым может выступать сервер РБД в данном сегменте сети или любой другой сервер.
В настройках СЗИ от несанкционированного доступа следует произвести настройки ведения всех возможных журналов учета согласно функционалу средства вычислительной техники, настроить "белый" список съемных машинных носителей информации, который бы соответствовал записям в соответствующем журнале учета, а также заблокировать аппаратные шины и компоненты, не требующиеся для функционирования конкретного средства вычислительной техники, к примеру, если АРМ не должна подключаться к сети, то нужно заблокировать сетевой адаптер.
СЗИ от несанкционированного доступа должны реализовывать блокировку сеанса работы пользователя в случае отсутствия его активности.
Для средств вычислительной техники, объединенных в сеть, рекомендуется развернуть систему централизованного управления обновлениями системного программного обеспечения.
Необходимо установить на периметре локальной вычислительной сети РЦОИ сертифицированный ФСТЭК России межсетевой экран.
Сегмент РИС должен быть отделен от основной локальной вычислительной сети либо на канальном уровне с помощью управляемого сертифицированного ФСТЭК России коммутатора, либо посредством дополнительного сертифицированного ФСТЭК России межсетевого экрана, на котором необходимо настроить взаимодействие сервера РИС с защищенным каналом ФЦТ с помощью средства защиты информации VipNet, а также взаимодействие с ППЭ через модуль связи с ППЭ, размещенный в демилитаризованной зоне.
В целях минимизации источников угроз доступ к информационно-телекоммуникационной сети "Интернет" на средствах вычислительной техники РИС необходимо исключить. Информационные ресурсы РЦОИ, доступные из информационно-телекоммуникационной сети "Интернет" (Web-сайты, информационные порталы РЦОИ), должны быть изолированы от информационных ресурсов защищенного сегмента РИС или же отделены от него (размещены в демилитаризованной зоне) с организацией разрешительной системы доступа (правил фильтрации). Рекомендуется утвердить руководством РЦОИ и поддерживать в актуальном состоянии схему информационных потоков РЦОИ, на которой отражаются правила следования трафика, через основные межсетевые экраны. Дополнительно рекомендуется разделить зоны с АРМ отдельно для ведения РИС и отдельно для обработки ЭМ в соответствии с установленными разграничениями прав доступа с учетом ролей.
Для обеспечения защищенного взаимодействия с ФЦТ и ФИС необходимо обеспечить безопасное хранение ключевой информации средства защиты информации VipNet (файл с расширением .dst).
Ввиду того, что РИС является фактическим сегментом ФИС ГИА и Приема - аттестованной государственной информационной системы - РИС также должна быть аттестована по классу не выше К3, для чего руководителю РЦОИ необходимо провести соответствующие мероприятия, результатом которых должен являться аттестат соответствия требованиям безопасности информации. В случае если для РИС не проводилось проектирование системы защиты информации по ГОСТ и не имеется соответствующей проектной документации, перед аттестацией необходимо также провести данную работу.
К общим рекомендациям в части информационной безопасности относится следующее:
использование в работе по защите информации РИС Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 г. N 17;
выполнение требований аттестата, поддержание в актуальном состоянии технического паспорта объекта информатизации;
запрет использования беспроводного доступа в сегменте РИС;
повышение осведомленности работников и пользователей в вопросах информационной безопасности (инструктажи, тренинги, регламентация прав и ответственности) перед началом сбора баз данных и перед началом ГИА;
осуществление работ, связанных с использованием съемных машинных носителей информации (учет, предоставление доступа, хранение, выдача, уничтожение);
осуществление регулярного обновления системного и прикладного программного обеспечения;
соблюдение правил доступа физических лиц в контролируемую зону РИС;
исключение просмотра информации ограниченного доступа с мониторов лицами, не имеющими доступа к такой информации;
участие в организации получения членами ГЭК ключевого носителя (токена) члена ГЭК, необходимого при использовании технологии печати полного комплекта ЭМ в ППЭ, сканировании в ППЭ бланков ответов участников экзаменов, при проведении раздела "Говорение" ЕГЭ по иностранным языкам, КЕГЭ;
участие в учете криптографических средств защиты информации (ведение соответствующих журналов приема-выдачи) и их хранении/использовании, исключающем несанкционированный доступ к ним;
разработка и утверждение руководителем РЦОИ ежегодного плана обеспечения информационной безопасности, который отражает работы по актуализации настроек средств защиты информации, контролю защищенности средств вычислительной техники, актуализации матриц доступа и организационно-распорядительной документации по технической защите информации;
уничтожение материалов ГИА по истечении срока их хранения, исключающее утечку информации, содержащейся в ЭМ.
Основные технические требования к оборудованию видеотрансляции, видеопротоколирования и хранилищ архивов видеозаписей:
в каждом помещении РЦОИ, задействованном в хранении и обработке ЭМ ГИА, необходимо установить не менее 2 видеокамер в углах помещения так, чтобы помещение просматривалось полностью, а также просматривалась вся рабочая зона сотрудников РЦОИ. Допускается использование 1 видеокамеры в одном помещении в случае, если это помещение просматривается полностью;
для хранения записи информации с видеокамер в РЦОИ используется сервер, оснащенный хранилищем архива видеозаписей. Срок хранения видеозаписи - до 1 марта следующего года. До наступления указанной даты материалы видеозаписи могут быть использованы Рособрнадзором и ОИВ с целью выявления фактов нарушения Порядка.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей