Важным направлением деятельности РЦОИ является обеспечение информационной безопасности при работе с персональными данными и иной информацией ограниченного доступа.
РЦОИ необходимо разработать и утвердить нормативную базу, регламентирующую деятельность в области защиты информации:
- иметь в трудовом договоре с руководителем РЦОИ (должностных инструкциях, приказах и т.п.) пункт о закреплении за ним ответственности за организацию работ по обеспечению информационной безопасности;
- утвердить приказом РЦОИ перечень сведений конфиденциального характера;
- утвердить приказом РЦОИ организационно-распорядительную документацию, регламентирующую порядок обеспечения информационной безопасности и обработки персональных данных;
- назначить приказом РЦОИ сотрудника, ответственного за выполнение работ по обеспечению информационной безопасности и ответственного за организацию обработки персональных данных. Назначаемый сотрудник должен иметь образование в сфере защиты информации либо пройти профессиональную переподготовку или программу повышения квалификации (сотрудник, ответственный за выполнение работ по обеспечению информационной безопасности, обязан руководить выполнением запланированных и согласованных с руководителем РЦОИ работ по обеспечению информационной безопасности РЦОИ, подготавливать необходимые организационно-распорядительные документы, контролировать исполнение администратором безопасности требований, установленных организационно-распорядительными документами);
- назначить приказом РЦОИ администратора безопасности РИС (администратор безопасности осуществляет фактическое выполнение утвержденных в РЦОИ требований по информационной безопасности в части настройки и функционирования СЗИ на средствах вычислительной техники, кроме того, обеспечивает выполнение требований организационных распорядительных документов). Допустимо совмещение одним сотрудником обязанностей администратора безопасности и системного администратора;
- утвердить приказом РЦОИ списочный состав сотрудников, допущенных к обработке информации ограниченного доступа согласно перечню сведений конфиденциального характера;
- утвердить приказом РЦОИ список доступа сотрудников в помещения ограниченного доступа РЦОИ и к средствам вычислительной техники, расположенным в них. Также рекомендуется указывать соответствие названий учетных записей определенным сотрудникам РЦОИ в целях внесения ясности на случай использования работниками обезличенных учетных записей. Организовать фактическое исполнение приказа, чтобы учетные записи, используемые для доступа на средства вычислительной техники, соответствовали списку в приказе;
- утвердить приказом РЦОИ матрицу доступа субъектов доступа (сотрудников) к объектам доступа (средствам вычислительной техники), которая отражала бы их полномочия при работе с операционной системой. Кроме того, для прикладного программного обеспечения (РИС, станция сканирования и пр.) должна быть разработана и утверждена аналогичная матрица доступа с полномочиями (ролями) сотрудников при работе с тем или иным программным обеспечением РИС, поддерживающем разграничение прав доступа. При распределении полномочий необходимо придерживаться принципа назначения минимальных привилегий, необходимых для выполнения должностных обязанностей.
Необходимо обеспечить вход сотрудников на средствах вычислительной техники в базовую систему ввода/вывода (BIOS) и в операционную систему исключительно с использованием реквизитов доступа (логин/пароль).
Необходимо обеспечить периодичность смены паролей от учетных записей в РИС техническими и организационными мерами (например, утвердить соответствующее требование в Инструкции пользователя, выполнить настройку СЗИ/доменных групповых политик). В случае если периодичность смены паролей от некоторых учетных записей невозможно обеспечить техническими средствами, администратор безопасности должен проконтролировать смену паролей в организационном порядке (рекомендуемая частота - один раз в квартал, обязательная - два раза в год - перед началом сбора баз данных и перед началом ГИА). Кроме того, необходимо определить требования к сложности паролей и обеспечить их выполнение техническими и организационными мерами.
На средствах вычислительной техники, входящей в состав РИС (АРМ и сервера) должны быть установлены сертифицированные средства защиты информации с действующим сертификатом соответствия ФСТЭК России. Обязательно наличие антивирусного программного обеспечения и СЗИ от несанкционированного доступа.
Настройки антивирусного программного обеспечения должны предусматривать активные компоненты защиты файловой системы, мониторинга изменений структуры операционной системы, почтовый антивирус, проверку съемных носителей при подключении, проверку архивных файлов и ежедневное обновление сигнатур базы данных с единого репозитория, которым может выступать сервер РБД в данном сегменте сети или любой другой сервер.
В настройках СЗИ от несанкционированного доступа следует произвести настройки ведения журналов учета согласно функционалу средства вычислительной техники, настроить "белый" список съемных машинных носителей информации, который бы соответствовал записям в соответствующем журнале учета машинных носителей информации, а также заблокировать аппаратные шины и компоненты, не требующиеся для функционирования конкретного средства вычислительной техники, к примеру, если АРМ не должна подключаться к сети, то нужно заблокировать сетевой адаптер.
СЗИ от несанкционированного доступа должны реализовывать блокировку сеанса работы пользователя в случае отсутствия его активности в течение 5 минут.
Для средств вычислительной техники, объединенных в сеть, рекомендуется развернуть систему централизованного управления обновлениями системного программного обеспечения.
Необходимо установить на периметре локальной вычислительной сети РЦОИ сертифицированный ФСТЭК России межсетевой экран.
Сегмент РИС должен быть отделен от основной локальной вычислительной сети либо на канальном уровне с помощью управляемого сертифицированного ФСТЭК России коммутатора, либо посредством дополнительного сертифицированного ФСТЭК России межсетевого экрана, на котором необходимо настроить взаимодействие сервера РИС с защищенным каналом ФЦТ с помощью средства защиты информации VipNet, а также взаимодействие с сервисами федерального портала распространения ключевой информации через модуль связи с ППЭ, размещенный в демилитаризованной зоне.
В целях минимизации источников угроз доступ к информационно-телекоммуникационной сети "Интернет" на средствах вычислительной техники РИС необходимо исключить. Информационные ресурсы РЦОИ, доступные из информационно-телекоммуникационной сети "Интернет" (Web-сайты, информационные порталы РЦОИ), должны быть изолированы от информационных ресурсов защищенного сегмента РИС или же отделены от него (размещены в демилитаризованной зоне) с организацией разрешительной системы доступа (правил фильтрации). Рекомендуется утвердить руководством РЦОИ и поддерживать в актуальном состоянии схему информационных потоков РЦОИ, на которой отражаются правила следования трафика, через основные межсетевые экраны. Дополнительно рекомендуется разделить зоны с АРМ отдельно для ведения РИС и отдельно для обработки материалов экзамена в соответствии с установленными разграничениями прав доступа с учетом ролей.
Для обеспечения защищенного взаимодействия с ФЦТ и ФИС необходимо обеспечить безопасное хранение ключевой информации СЗИ VipNet (файл с расширением .dst).
В виду того, что РИС является государственной информационной системой и взаимодействует с ФИС - аттестованной государственной информационной системой - РИС также должна быть аттестована по классу К3 или выше, для чего руководителю РЦОИ необходимо провести соответствующие мероприятия, результатом которых должен являться аттестат соответствия требованиям по защите информации.
К общим рекомендациям в части информационной безопасности относится следующее:
- использование в работе по защите информации РИС Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17;
- выполнение требований аттестата, поддержание в актуальном состоянии технического паспорта объекта информатизации;
- запрет использования беспроводного доступа в сегменте РИС;
- повышение осведомленности работников и пользователей в вопросах информационной безопасности (инструктажи, тренинги, регламентация прав и ответственности) перед началом сбора баз данных и перед началом ГИА;
- осуществление работ, связанных с использованием съемных машинных носителей информации (учет, предоставление доступа, хранение, выдача, уничтожение);
- осуществление регулярного обновления системного, прикладного и антивирусного программного обеспечения;
- соблюдение правил доступа физических лиц в контролируемую зону РИС;
- исключение просмотра информации ограниченного доступа с мониторов лицами, не имеющими доступа к такой информации;
- участие в организации получения членами ГЭК ключевого носителя (токена) члена ГЭК, необходимого при использовании технологии печати полного комплекта ЭМ в ППЭ, сканировании в ППЭ бланков ответов участников экзаменов, при проведении ЕГЭ по иностранным языкам (устная часть), КЕГЭ;
- участие в учете криптографических средств защиты информации (ведение соответствующих журналов приема-выдачи) и их хранении/использовании, исключающем несанкционированный доступ к ним;
- разработка и утверждение руководителем РЦОИ ежегодного плана обеспечения информационной безопасности, который отражает работы по актуализации настроек средств защиты информации, контролю защищенности средств вычислительной техники, актуализации матриц доступа и организационно-распорядительной документации по технической защите информации;
- актированное уничтожение материалов ГИА по истечении срока их хранения, исключающее утечку информации, содержащейся в ЭМ, с соответствующей записью в журнал об уничтожении материалов ГИА.
Основные технические требования к оборудованию видеотрансляции, видеопротоколирования и хранилищ архивов видеозаписей:
- в каждом помещении РЦОИ, задействованном в хранении и обработке ЭМ/материалов экзамена ГИА, необходимо установить не менее 2 видеокамер в углах помещения так, чтобы помещение просматривалось полностью, а также просматривалась вся рабочая зона сотрудников РЦОИ. Допускается использование 1 видеокамеры в одном помещении в случае, если это помещение просматривается полностью;
- для хранения записи информации с видеокамер в РЦОИ используется сервер, оснащенный хранилищем архива видеозаписей. Срок хранения видеозаписи до 1 марта следующего года. До наступления указанной даты материалы видеозаписи могут быть использованы Рособрнадзором и ОИВ с целью выявления фактов нарушения 4а;
- каждое помещение РЦОИ, задействованное в хранении и обработке ЭМ/материалов экзамена, должно быть обеспечено системой контроля и управления доступом.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей