Городская интегрированная система районных социально ориентированных информационных ресурсов должна отвечать требованиям по защите информации от НСД для АС класса 1 Г в соответствии с Руководящим документом Гостехкомиссии России "АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ".
Должны быть определены категории пользователей системы на основе функций, которые они выполняют в системе и на основе их территориального или ведомственного подчинения - т.е. пользователи системы, руководители различных уровней, издатели информации различной ведомственной подчиненности, администраторы системы и т.п.
Должны быть определены категории размещаемой в системе информации на основе ее конфиденциальности и критичности для конечных пользователей или ее владельцев.
Доступ к информации, размещаемой в системе должен предоставляться только зарегистрированным пользователям на основе разрешительной системы допуска к хранимой и обрабатываемой информации.
Допуск пользователей должен осуществляться на основе регламентов и инструкций, определяющих порядок допуска пользователей к хранимой и обрабатываемой информации, порядок регистрации пользователей в системе и ответственность пользователей при работе с защищаемой информацией.
На уровне приложений и СУБД должен быть разграничен доступ к различным категориями информационных ресурсов системы для всех имеющихся категорий пользователей.
Должен быть исключен непосредственный доступ пользователей системы к ресурсам СУБД.
Для осуществления доступа пользователей к информационным ресурсам ограниченного доступа, размещаемым в системе, должны быть предусмотрены средства, обеспечивающие надежную аутентификацию пользователей, должны быть предусмотрены средства, обеспечивающие конфиденциальность и контроль целостности информации, передаваемой по открытым сетям с использованием криптографических методов.
Должна быть обеспечена защита межузлового обмена информацией в системе, за счет построения частной виртуальной сети с аутентификацией территориальных узлов системы, контроля целостности и шифрованием сетевого трафика.
Должен осуществляться постоянный контроль взаимодействия пользователей, системы и ее территориально-распределенных узлов на основе средств межсетевого экранирования, обеспечивающих управлением доступом, контроль используемых сетевых сервисов и сокрытие внутренней структуры системы.
Должна осуществляться регистрация действий пользователей и регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемой информации. На уровне приложений и СУБД дополнительно должна осуществляться регистрация действий на основе логически законченных транзакций.
В параметрах регистрации указываются:
1. дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
2. дата и время запуска процессов;
3. результат попытки входа или запуска: успешная или неуспешная - несанкционированная;
4. идентификатор программы (процесса);
5. идентификатор субъекта доступа, предъявленный при попытке доступа;
6. код или пароль, предъявленный при неуспешной попытке.
В системе должны быть предусмотрены средства активного аудита, обеспечивающие автоматическое выявление (в реальном режиме времени) и реагирование на попытки локального и удаленного НСД, изменения параметров системного и прикладного ПО, нарушения целостности файлов и реагирование на подозрительные события (являющиеся злоумышленными в соответствии с заранее определенной политикой безопасности или нетипичными согласно принятым критериям), и средства анализа защищенности системы.
В системе должна быть предусмотрена должность администратора информационной безопасности, обеспечивающего формирование политики безопасности и контроль ее исполнения на всех уровнях системы.
Средства защиты информации (СЗИ) системы должны быть сертифицированы на соответствие требованиям руководящих документов Гостехкомиссии России по защите от НСД к информации.
Средства криптографической защиты информации (СКЗИ) должны быть сертифицированы ФАПСИ или другим уполномоченным органом на соответствие требованиям ГОСТ 28147-89, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФАПСИ к "стойкости СКЗИ и возможности использования для формирования ключей шифрования и ключей электронной подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну (в случае применения криптографических средств)".
(Абзац в редакции, введенной в действие с 1 января 2015 года постановлением Правительства Москвы от 26 декабря 2014 года N 826-ПП. - См. предыдущую редакцию)