Информационная безопасность

Важным направлением деятельности РЦОИ является обеспечение информационной безопасности при работе с персональными данными и иной информацией ограниченного доступа.

РЦОИ разрабатывает и утверждает нормативную базу, регламентирующую деятельность в области защиты информации. В рамках выполнения этой задачи следует:

- иметь в трудовом договоре с руководителем РЦОИ (должностных инструкциях, приказах и т.п.) пункт о закреплении за ним ответственности за организацию работ по обеспечению информационной безопасности;

- утвердить приказом РЦОИ перечень сведений конфиденциального характера;

- утвердить приказом РЦОИ организационно-распорядительную документацию, регламентирующую порядок обеспечения информационной безопасности и обработки персональных данных;

- назначить приказом РЦОИ сотрудника, ответственного за выполнение работ по обеспечению информационной безопасности и ответственного за организацию обработки персональных данных. Назначаемый сотрудник имеет образование в сфере защиты информации либо прошел профессиональную переподготовку или программу повышения квалификации (сотрудник, ответственный за выполнение работ по обеспечению информационной безопасности, обязан руководить выполнением запланированных и согласованных с руководителем РЦОИ работ по обеспечению информационной безопасности РЦОИ, подготавливать организационно-распорядительные документы, контролировать исполнение администратором безопасности требований, установленных организационно-распорядительными документами);

- назначить приказом РЦОИ администратора безопасности РИС (администратор безопасности осуществляет фактическое выполнение утвержденных в РЦОИ требований по информационной безопасности в части настройки и функционирования СЗИ на средствах вычислительной техники, кроме того, обеспечивает выполнение требований организационных распорядительных документов). Допустимо совмещение одним сотрудником обязанностей администратора безопасности и системного администратора;

- утвердить приказом РЦОИ списочный состав сотрудников, допущенных к обработке информации ограниченного доступа согласно перечню сведений конфиденциального характера;

- утвердить приказом РЦОИ список доступа сотрудников в помещения ограниченного доступа РЦОИ и к средствам вычислительной техники, расположенным в них. Также рекомендуется указывать соответствие названий учетных записей определенным сотрудникам РЦОИ в целях внесения ясности на случай использования работниками обезличенных учетных записей. Организовать фактическое исполнение приказа, чтобы учетные записи, используемые для доступа на средства вычислительной техники, соответствовали списку в приказе;

- утвердить приказом РЦОИ матрицу доступа субъектов доступа (сотрудников) к объектам доступа (средствам вычислительной техники), которая отражала бы их полномочия при работе с операционной системой. Кроме того, для прикладного программного обеспечения (РИС, станция сканирования и пр.) разрабатывается и утверждается аналогичная матрица доступа с полномочиями (ролями) сотрудников при работе с тем или иным программным обеспечением РИС, поддерживающим разграничение прав доступа. При распределении полномочий придерживаются принципа назначения минимальных привилегий, необходимых для выполнения должностных обязанностей.

Обеспечивается вход сотрудников на средствах вычислительной техники в базовую систему ввода/вывода (BIOS) и в операционную систему исключительно с использованием реквизитов доступа (логин/пароль).

Обеспечивается периодичность смены паролей от учетных записей в РИС техническими и организационными мерами (например, утвердить соответствующее требование в Инструкции пользователя, выполнить настройку СЗИ/доменных групповых политик). В случае если периодичность смены паролей от некоторых учетных записей невозможно обеспечить техническими средствами, администратор безопасности контролирует смену паролей в организационном порядке (рекомендуемая частота - один раз в квартал, обязательная - два раза в год - перед началом сбора баз данных и перед началом ГИА). Кроме того, определяются требования к сложности паролей и обеспечить их выполнение техническими и организационными мерами.

На средствах вычислительной техники, входящей в состав РИС (АРМ и сервера), устанавливаются сертифицированные средства защиты информации с действующим сертификатом соответствия ФСТЭК России. Обязательно наличие антивирусного программного обеспечения и СЗИ от несанкционированного доступа.

Настройки антивирусного программного обеспечения предусматривают активные компоненты защиты файловой системы, мониторинга изменений структуры операционной системы, почтовый антивирус, проверку съемных носителей при подключении, проверку архивных файлов и ежедневное обновление сигнатур базы данных с единого репозитория, которым может выступать сервер РБД в данном сегменте сети или любой другой сервер.

В настройках СЗИ от несанкционированного доступа следует произвести настройки ведения журналов учета согласно функционалу средства вычислительной техники, настроить "белый" список съемных машинных носителей информации, который бы соответствовал записям в соответствующем журнале учета машинных носителей информации, а также заблокировать аппаратные шины и компоненты, не требующиеся для функционирования конкретного средства вычислительной техники, к примеру, если АРМ не подключается к сети - заблокировать сетевой адаптер.

СЗИ от несанкционированного доступа реализуют блокировку сеанса работы пользователя в случае отсутствия его активности в течение 5 минут.

Для средств вычислительной техники, объединенных в сеть, рекомендуется развернуть систему централизованного управления обновлениями системного программного обеспечения.

Рекомендуется установить на периметре локальной вычислительной сети РЦОИ сертифицированный ФСТЭК России межсетевой экран.

Сегмент РИС отделяется от основной локальной вычислительной сети либо на канальном уровне с помощью управляемого сертифицированного ФСТЭК России коммутатора, либо посредством дополнительного сертифицированного ФСТЭК России межсетевого экрана, на котором настроено взаимодействие сервера РИС с защищенным каналом ФЦТ с помощью средства защиты информации VipNet, а также взаимодействие с сервисами федерального портала распространения ключевой информации через модуль связи с ППЭ, размещенный в демилитаризованной зоне.

В целях минимизации источников угроз исключается доступ к информационно-телекоммуникационной сети "Интернет" на средствах вычислительной техники РИС. Информационные ресурсы РЦОИ, доступные из информационно-телекоммуникационной сети "Интернет" (Web-сайты, информационные порталы РЦОИ), изолируются от информационных ресурсов защищенного сегмента РИС или же отделяются от него (размещаются в демилитаризованной зоне) с организацией разрешительной системы доступа (правил фильтрации). Рекомендуется утвердить руководством РЦОИ и поддерживать в актуальном состоянии схему информационных потоков РЦОИ, на которой отражаются правила следования трафика, через основные межсетевые экраны. Дополнительно рекомендуется разделить зоны с АРМ отдельно для ведения РИС и отдельно для обработки материалов экзамена в соответствии с установленными разграничениями прав доступа с учетом ролей.

Для обеспечения защищенного взаимодействия с ФЦТ и ФИС обеспечивается безопасное хранение ключевой информации СЗИ VipNet (файл с расширением .dst).

В виду того, что РИС является государственной информационной системой и взаимодействует с ФИС - аттестованной государственной информационной системой - РИС также аттестуется по классу К3 или выше, для чего руководителем РЦОИ проводятся соответствующие мероприятия, результатом которых является аттестат соответствия требованиям по защите информации.

К общим рекомендациям в части информационной безопасности относится следующее:

- использование в работе по защите информации РИС Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17;

- выполнение требований аттестата, поддержание в актуальном состоянии технического паспорта объекта информатизации;

- запрет использования беспроводного доступа в сегменте РИС;

- повышение осведомленности работников и пользователей в вопросах информационной безопасности (инструктажи, тренинги, регламентация прав и ответственности) перед началом сбора баз данных и перед началом ГИА;

- осуществление работ, связанных с использованием съемных машинных носителей информации (учет, предоставление доступа, хранение, выдача, уничтожение);

- осуществление регулярного обновления системного, прикладного и антивирусного программного обеспечения;

- соблюдение правил доступа физических лиц в контролируемую зону РИС;

- исключение просмотра информации ограниченного доступа с мониторов лицами, не имеющими доступа к такой информации;

- участие в организации получения членами ГЭК ключевого носителя (токена) члена ГЭК, используемого при применении технологии печати полного комплекта ЭМ в ППЭ, сканировании в ППЭ бланков ответов участников экзаменов, при проведении ЕГЭ по иностранным языкам (устная часть), КЕГЭ;

- участие в учете криптографических средств защиты информации (ведение соответствующих журналов приема-выдачи) и их хранении/использовании, исключающем несанкционированный доступ к ним;

- разработка и утверждение руководителем РЦОИ ежегодного плана обеспечения информационной безопасности, который отражает работы по актуализации настроек средств защиты информации, контролю защищенности средств вычислительной техники, актуализации матриц доступа и организационно-распорядительной документации по технической защите информации;

- актированное уничтожение материалов ГИА по истечении срока их хранения, исключающее утечку информации, содержащейся в ЭМ, с соответствующей записью в журнал об уничтожении материалов ГИА.