Для подключения к ЕСПД все участники должны соответствовать требованиям, установленным Федеральным законом от 26.07.2006 N 152 "О персональных данных". Каждое учреждение, подключаемое к ЕСПД, должно выполнить следующие организационные и технические требования к информационной безопасности:
1) организационные требования:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
- учет, хранение съемных носителей информации, а также их обращение, исключающее хищение, подмену и уничтожение;
- организация физической защиты помещений и технических средств, позволяющих осуществлять обработку персональных данных;
- проведение аттестационных испытаний информационных систем персональных данных по требованиям защиты информации. Аттестация выполняется компаниями, имеющими лицензию Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК) "Техническая защита конфиденциальной информации";
2) технические требования:
- использование защищенных каналов связи (Программные продукты линейки VipNet имеют сертификат ФСБ России N СФ/115-1285 от 27 февраля 2009 г. на соответствие требованиям ФСБ России к устройствам типа межсетевые экраны 4 класса защищенности и могут использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации);
- использование средств антивирусной защиты (Актуальный реестр сертифицированных средств защиты можно посмотреть на сайте ФСТЭК по адресу: http://wwww.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls);
- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
- централизованное управление системой защиты персональных данных информационной системы;
- периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
- активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
- управление доступом к защищаемым персональным данным информационной сети;
- осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.