ОСНОВНЫЕ ТРЕБОВАНИЯ К ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЦОИ
Для обеспечения информационной безопасности в РЦОИ:
1) издается приказ руководителя организации, на базе которой организован РЦОИ, о назначении ответственного за защиту информации. В приказе указывается, что ответственный за защиту информации также выполняет функции ответственного за организацию обработки персональных данных. На роль ответственного за защиту информации назначается лицо, имеющее необходимые знания в области обеспечения информационной безопасности;
2) издается приказ руководителя организации, на базе которой организован РЦОИ, о назначении администратора безопасности. В приказе указывается, что администратор безопасности непосредственно осуществляет действия по техническому обеспечению функционирования средств защиты информации (далее именуются - СЗИ) и организационные действия в соответствии с организационно-распорядительной документацией (далее именуется - ОРД). Допустимо возложить обязанности администратора безопасности на системного администратора. Допустимо также возложить обязанности системного администратора на администратора безопасности. На роль администратора безопасности назначается лицо, имеющее необходимые знания в области обеспечения информационной безопасности;
3) устанавливаются на АРМ и сервер сертифицированные технические средства защиты от несанкционированного доступа (чтобы доступ пользователей был только через идентификаторы и пароли). Создается журнал учета средств защиты информации;
4) утверждается список пользователей РИС. Приводятся в соответствие со списком допущенных пользователей РИС учетные записи на сервере/серверах и АРМ. Если в локальной сети используется доменная архитектура, то приводится в соответствие список доменных учетных записей;
5) утверждаются для каждого пользователя списки доступных информационных ресурсов (матрица доступа). Приводятся в соответствие права пользователей на доступ к ресурсам РИС. При организации доступа пользователей к информационным ресурсам РИС необходимо руководствоваться следующим принципом: пользователь РИС не должен иметь больше прав, чем ему требуется для выполнения должностных обязанностей;
6) настраиваются технические средства защиты от несанкционированного доступа в соответствии с идентификаторами, первичными паролями и списками доступных информационных ресурсов;
7) проводится постоянная работа с идентификаторами, паролями, техническими средствами защиты от несанкционированного доступа в соответствии с требованиями ОРД по защите информации. Рекомендуемая частота смены паролей на доступ к информационным системам РИС - раз в три месяца. Обязательная смена паролей на доступ к информационным системам РИС два раза в год - перед началом сбора баз данных и перед началом ЕГЭ;
8) создается журнал учета смены паролей;
9) проводятся мероприятия по повышению осведомленности пользователей в вопросах информационной безопасности (инструктажи, тренинги, регламентация прав и ответственности);
10) издается приказ руководителя организации, на базе которой организован РЦОИ, "О назначении лиц, имеющих доступ к федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории Волгоградской области";
11) устанавливается и настраивается межсетевой экран (экраны). Взаимодействие сервера/серверов, имеющих доступ к РИС, с другими сетями, в том числе с сетями общего пользования, осуществляется через сертифицированный Федеральной службой по техническому и экспортному контролю межсетевой экран соответствующего класса. Например, программное обеспечение VipNet;
12) обеспечивается безопасное хранение ключевой информации ПО VipNet (файл с расширением .dst), применяемой для связи с ФЦТ;
13) блокируется доступ к информационно-телекоммуникационной сети "Интернет" на АРМ пользователей, имеющих доступ к РИС;
14) информационные ресурсы, доступные из информационно-телекоммуникационной сети "Интернет" (Web-сайты, информационные порталы РИС), изолируются от информационных ресурсов защищенного сегмента РИС или же отделяются от информационных ресурсов защищенного сегмента РИС с помощью сертифицированных средств межсетевого экранирования (размещены в демилитаризованной зоне) с организацией разрешительной системы доступа (правил фильтрации);
15) устанавливается и настраивается на АРМ пользователей и сервер/серверы сертифицированное антивирусное программное обеспечение;
16) удаляются или блокируются на АРМ (и сервере/серверах при наличии) средства беспроводного доступа;
17) проводится эксплуатация средств антивирусной защиты в соответствии с требованиями ОРД по защите информации. Организуется ежедневное обновление баз средств антивирусной защиты;
18) разрабатывается и утверждается политика обновления общесистемного и прикладного программного обеспечения, а также средств защиты информации;
19) осуществляется регулярное обновление общесистемного и прикладного программного обеспечения, а также средств защиты информации в соответствии с разработанным регламентом;
20) утверждается список съемных машинных носителей информации и места хранения съемных машинных носителей информации;
21) присваиваются машинным носителям информации идентификационные номера. Заводится журнал учета машинных носителей информации;
22) осуществляются работы, связанные с использованием машинных носителей информации (учет, хранение, выдача, уничтожение), согласно требованиям ОРД по защите информации;
23) утверждается список сотрудников, допущенных в помещения, где установлены технические средства информационной системы и системы защиты. Утверждаются границы контролируемой зоны, где размещены технические средства информационной системы;
24) мониторы АРМ устанавливаются таким образом, чтобы видеоинформация была доступна для просмотра только оператору АРМ;
25) исключается нахождение в помещениях, где идет обработка информации, в том числе персональных данных, и в границах контролируемой зоны посторонних лиц;