5.2. Информационная безопасность
Система цифрового государственного управления Республики Мордовия должна быть реализована в защищенном исполнении и обеспечивать защиту сведений, содержащих информацию конфиденциального характера (в том числе персональные данные).
Безопасность информации, содержащейся в системе цифрового государственного управления Республики Мордовия, достигается путем проведения комплексных правовых, организационных, технических и методических мероприятий в объеме требований, предъявляемых законодательством Российской Федерации, а также нормативно-методическими
документами ФСБ России и ФСТЭК России в области информационной безопасности. Информация, содержащая персональные данные, должна защищаться в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
С точки зрения организации доступа Технологическая инфраструктура системы ЦГУ Республики Мордовия должна содержать два контура: открытый контур взаимодействия с внешними пользователями (предприятия, граждане, внешние информационные системы) и закрытый контур взаимодействия с сотрудниками ОГВ и ОМСУ.
Доступ к системе ЦГУ Республики Мордовия внешних пользователей должен осуществляться;
- через ЕПГУ/РПГУ и поддерживаться процедурами идентификации и аутентификации на основе ЕСИАУРСИА;
- через СМЭВ/РСМЭВ для внешних информационных систем.
Доступ внутренних пользователей должен осуществляться через интерфейс единого комплекса системы реализации электронных регламентов выполнения Функционала. Авторизация должна осуществляться с помощью электронной подписи пользователя, а аутентификация - с использованием биометрических данных.
Все действия пользователей должны фиксироваться в соответствующих журналах. Механизмы подтверждения подлинности взаимодействующих сторон, обеспечивающие защиту электронных документов при внутриведомственном и межведомственном взаимодействии, а также механизмы подтверждения юридически значимых пользовательских действий при выполнении Функционала должны реализовываться с использованием электронной подписи.
Используемые в системе Электронные Помощники должны иметь доступ только к той информации, которая необходима для выполнения функций соответствующих должностной инструкции пользователя и только в том объеме, на который данный пользователем имеет соответствующие права.
Все данные, передаваемые в процессе работы системы через сети передачи данных, должны быть обезличены.
Все используемые при построении системы ЦГУ Республики Мордовия программно-аппаратные средства защиты информации (в том числе средства криптографической защиты информации, межсетевые экраны, средства антивирусной защиты, средства обнаружения вторжений, средства защиты информации от несанкционированного доступа и т.д.) должны быть сертифицированы в установленном порядке.
Требования по обеспечению безопасности информации должны уточняться и согласовываться на основе утвержденной модели угроз (модели нарушителя) и окончательно формулируются в специальном техническом задании.