Приложение 10

ОСНОВНЫЕ ТРЕБОВАНИЯ К ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЦОИ

Для обеспечения информационной безопасности в РЦОИ необходимо:

1. Иметь в трудовом договоре с руководителем РЦОИ пункт о закреплении за ним ответственности за организацию работ по технической защите информации.

2. Утвердить приказом РЦОИ перечень сведений конфиденциального характера.

3. Утвердить приказом РЦОИ организационную распорядительную документацию, регламентирующую порядок технической защиты информации и обработки персональных данных.

4. Назначить приказом РЦОИ ответственного за выполнение работ по технический защите информации и обработке персональных данных. Назначаемый работник должен иметь образование в сфере защиты информации либо пройти профессиональную переподготовку или программу повышения квалификации. (Работник ответственный за выполнение работ по технический защите информации обязан руководить выполнением запланированных и согласованных с руководителем РЦОИ работ по информационной безопасности РЦОИ, подготавливать необходимые организационные распорядительные документы, контролировать исполнение требований администратором безопасности).

5. Назначить приказом РЦОИ администратора безопасности РИС ГИА. (Администратор безопасности осуществляет фактическое выполнение утвержденных в РЦОИ требований по информационной безопасности в части настройки и функционирования СЗИ на средствах вычислительной техники, кроме того обеспечивает выполнение требований организационных распорядительных документов Допустимо возложить обязанности администратора безопасности на системного администратора. Допустимо также возложить обязанности системного администратора на администратора безопасности.

6. Утвердить приказом РЦОИ работников, допущенных к обработке информации ограниченного доступа согласно перечню сведений конфиденциального характера.

7. Утвердить приказом РЦОИ список доступа работников в помещения ограниченного доступа РЦОИ и к средствам вычислительной техники, расположенных в них. Организовать фактическое исполнение приказа, чтобы учетные записи на средствах вычислительной техники соответствовали списку в приказе.

8. Утвердить руководителем РЦОИ матрицу доступа субъектов доступа (работников) к объектам доступа (средства вычислительной техники), которая бы отражала полномочия в операционной системе, кроме того, для прикладного программного обеспечения (РИС, станция сканирования и пр.) разрабатывается аналогичная матрица с полномочиями (ролями) работников в том или ином программном обеспечении РИС ГИА, поддерживающем разграничение прав доступа. Необходимо придерживаться принципа назначения минимальных привилегий, необходимых для исполнения должностных обязанностей.

9. Вход работников на средства вычислительной техники в базовую систему ввода/вывода (BIOS) и в операционную систему допускается исключительно с использованием реквизитов доступа (логин/пароль). В случае, если учетные записи РИС ГИА находятся в домене, необходимо настроить в групповой политике автоматическую периодичность смены реквизитов доступа, в случае если учетные записи локальные, смену реквизитов доступа необходимо возложить на администратора безопасности (рекомендуемая частота один раз в квартал, обязательная два раза в год - перед началом сбора баз данных и перед началом ЕГЭ).

10. Средства вычислительной техники, входящей в состав РИС ГИА (АРМ и сервера) должны быть оснащены сертифицированными средствами защиты информации с действующим сертификатом соответствия ФСТЭК России. Обязательно наличие средства антивирусной защиты (САЗ) и средства защиты от несанкционированного доступа (СЗИ от НСД). Настройки САЗ должны предусматривать активные компоненты защиты файловой системы, мониторинга изменений структуры операционной системы, почтовый антивирус, проверку съемных носителей при подключении и ежедневное обновление сигнатур базы данных с единого репозитория, которым может выступать сервер РБД в данном сегменте сети или любой другой АРМ. В настройках СЗИ от НСД необходимо настроить ведение всех возможных журналов учета согласно функционалу средства вычислительной техники, настроить белый список съемных машинных носителей информации, который бы соответствовал записям в соответствующем журнале учета, а также заблокировать аппаратные шины и компоненты, не требующиеся для функционирования конкретного средства вычислительной техники, к примеру, если АРМ не подключается к сети, то блокируется сетевой адаптер. СЗИ от НСД должно реализовывать блокировку операционной системы в случае неактивности пользователя.

11. На периметре локальной вычислительной сети РЦОИ должен быть установлен сертифицированный ФСТЭК России межсетевой экран. Сегмент РИС ГИА может быть отделен от основной локальной вычислительной сети либо на канальном уровне с помощью управляемого сертифицированного ФСТЭК России коммутатора, либо посредством дополнительного сертифицированного ФСТЭК России межсетевого экрана, на котором необходимо настроить взаимодействие сервера РБД РИС ГИА с защищенным каналом ФГБУ "ФЦТ" с помощью средства защиты информации VipNet, а также взаимодействие с ППЭ. Доступ к информационно-телекоммуникационной сети "Интернет" на средствах вычислительной техники РИС ГИА необходимо исключить в целях минимизации источников угроз. Информационные ресурсы РЦОИ, доступные из информационно-телекоммуникационной сети "Интернет" (Web-сайты, информационные порталы РЦОИ), должны быть изолированы от информационных ресурсов защищенного сегмента РИС или же отделены от информационных ресурсов защищенного сегмента РИС ГИА с помощью (размещены в демилитаризованной зоне) с организацией разрешительной системы доступа (правил фильтрации).

12. Для обеспечения защищенного взаимодействия с ФГБУ "ФЦТ" и федеральной базой данных необходимо обеспечить безопасное хранение ключевой информации средства защиты информации VipNet (файл с расширением .dst)

13. Ввиду того, что РИС ГИА является фактическим сегментом ФИС ГИА и Приема, аттестованной государственной информационной системы, то РИС ГИА также должна быть аттестована по классу не выше К3, для чего руководителю РЦОИ необходимо провести соответствующие мероприятия, результатом которых должен являться аттестат соответствия требованиям безопасности информации. В случае, если для РИС ГИА не проводилось проектирование системы защиты информации по ГОСТ и не имеется соответствующей проектной документации, перед аттестацией необходимо также провести данную работу.

14. К общим рекомендациям в части информационной безопасности относится следующее:

- руководствоваться в работе по защите информации РИС ГИА "Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", утвержденных приказом ФСТЭК России от 11.02.2013 г. N 17 и приказом ФСТЭК России от 15 Приказ ФСТЭК России от 28.05.2019 N 106 "О внесении изменений в требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"

- выполнение требований аттестата, поддержание в актуальном состоянии технического паспорта объекта информатизации;

- запрет использования беспроводного доступа в сегменте РИС ГИА;

- повышение осведомленности работников и пользователей в вопросах информационной безопасности (инструктажи, тренинги, регламентация прав и ответственности) перед началом сбора баз данных и перед началом ЕГЭ;

- осуществлять работы, связанные с использованием съемных машинных носителей информации (учет, предоставление доступа, хранение, выдача, уничтожение);

- осуществлять регулярное обновление системного и прикладного программного обеспечения;

- соблюдать правила доступа физических лиц в контролируемую зону РИС ГИА;

- исключать просмотр информации ограниченного доступа с мониторов лицами, не имеющими доступа к такой информации;

- организация получение членами ГЭК ключевого носителя (токена) члена ГЭК, необходимого для их применения при использовании технологии печати полного комплекта ЭМ в ППЭ, сканировании в ППЭ бланков ответов участников экзаменов и при проведении части "Говорение" ЕГЭ по иностранным языкам.