Приложение 10. Основные требования к информационной безопасности РЦОИ
ОСНОВНЫЕ ТРЕБОВАНИЯ К ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЦОИ
Для обеспечения информационной безопасности в РЦОИ необходимо:
1. Издать приказ руководителя организации о назначении ответственного за защиту информации. В приказе указать, что ответственный за защиту информации также выполняет функции ответственного за организацию обработки персональных данных. На роль ответственного за защиту информации назначается лицо, имеющее необходимые знания в области обеспечения информационной безопасности.
2. Издать приказ руководителя организации о назначении администратора безопасности. В приказе указать, что администратор безопасности непосредственно осуществляет действия по техническому обеспечению функционирования СЗИ и организационные действия в соответствии с ОРД. Допустимо возложить обязанности администратора безопасности на системного администратора. Допустимо также возложить обязанности системного администратора на администратора безопасности. На роль администратора безопасности назначается лицо, имеющее необходимые знания в области обеспечения информационной безопасности.
3. Установить на автоматизированные рабочие места (далее - АРМ) и сервер сертифицированные технические средства защиты от несанкционированного доступа (чтобы доступ пользователей был только через идентификаторы и пароли). Создать журнал учета СЗИ.
4. Утвердить список пользователей РИС. Привести в соответствие со списком допущенных пользователей РИС учетные записи на сервере/серверах и АРМ; если в локальной сети используется доменная архитектура, то привести в соответствие список доменных учетных записей.
5. Утвердить для каждого пользователя списки доступных информационных ресурсов (матрица доступа). Привести в соответствие права пользователей на доступ к ресурсам РИС. При организации доступа пользователей к информационным ресурсам РИС необходимо руководствоваться следующим принципом: пользователь РИС не должен иметь больше прав, чем ему требуется для выполнения должностных обязанностей.
6. Настроить технические средства защиты от несанкционированного доступа в соответствии с идентификаторами, первичными паролями и списками доступных информационных ресурсов.
7. Проводить постоянную работу с идентификаторами, паролями, техническими средствами защиты от несанкционированного доступа в соответствии с требованиями ОРД по защите информации. Рекомендуемая частота смены паролей на доступ к информационным системам РИС - раз в три месяца. Обязательная смена паролей на доступ к информационным системам РИС два раза в год - перед началом сбора баз данных и перед началом ЕГЭ.
8. Создать журнал учета смены паролей.
9. Повышать осведомленность пользователей в вопросах информационной безопасности (инструктажи, тренинги, регламентация прав и ответственности).
10. Издать приказ "О назначении лиц, имеющих доступ к федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории (Указать название региона)".
11. Установить и настроить межсетевой экран (экраны). Взаимодействие сервера/серверов, имеющих доступ к РИС с другими сетями, в том числе с сетями общего пользования, должно осуществляться через сертифицированный ФСТЭК межсетевой экран соответствующего класса. Например, программное обеспечение VipNet.
12. Обеспечить безопасное хранение ключевой информации ПО VipNet (файл с расширением .dst), применяемой для связи с ФЦТ.
13. Заблокировать доступ к глобальной информационно-телекоммуникационной сети "Интернет" на АРМ пользователей, имеющих доступ к РИС.
14. Информационные ресурсы, доступные из глобальной информационно-телекоммуникационной сети "Интернет" (Web-сайты, информационные порталы РИС), должны быть изолированы от информационных ресурсов защищенного сегмента РИС или же отделены от информационных ресурсов защищенного сегмента РИС с помощью сертифицированных средств межсетевого экранирования (размещены в демилитаризованной зоне) с организацией разрешительной системы доступа (правил фильтрации).
15. Установить и настроить на АРМ пользователей и сервер/серверы сертифицированное антивирусное программное обеспечение.
16. Удалить или заблокировать на АРМ (и сервере/серверах, если есть) средства беспроводного доступа.
17. Проводить эксплуатацию средств антивирусной защиты в соответствии с требованиями ОРД по защите информации. Организовать ежедневное обновление баз средств антивирусной защиты.
18. Разработать и утвердить политику обновления общесистемного и прикладного программного обеспечения, а также средств защиты информации.
19. Осуществлять регулярное обновление общесистемного и прикладного программного обеспечения, а также средств защиты информации в соответствии с разработанным регламентом.
20. Утвердить список съемных машинных носителей информации и места хранения съемных машинных носителей информации.
21. Присвоить машинным носителям информации идентификационные номера. Завести журнал учета машинных носителей информации.
22. Осуществлять работы, связанные с использованием машинных носителей информации (учет, хранение, выдача, уничтожение) согласно требованиям ОРД по защите информации.
23. Утвердить список сотрудников, допущенных в помещения, где установлены технические средства информационной системы и системы защиты. Утвердить границы контролируемой зоны, где размещены технические средства информационной системы.
24. Установить мониторы АРМ таким образом, чтобы видеоинформация была доступна для просмотра только оператору АРМ.
25. Исключить нахождение в помещениях, где идет обработка информации, в том числе персональных данных и в границах контролируемой зоны, посторонних лиц.
26. Провести мероприятия по обследованию, защите и аттестации в соответствии с требованиями безопасности информации РИС.
27. Организовать получение членами ГЭК квалифицированного сертификата электронной подписи (шифрования) (далее - Сертификат), необходимого для их применения в процессе проведения ЕГЭ 2015 года по технологиям: печать контрольных измерительных материалов в аудиториях пунктов проведения экзамена и проведение устной части иностранного языка. Выдача сертификатов производится в удостоверяющем центре Федеральной службы по надзору в сфере образования и науки в соответствии с "Регламентом выдачи квалифицированных сертификатов электронной подписи (шифрования) Удостоверяющим центром Рособрнадзора членам Государственной экзаменационной комиссии".
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей