Приложение 11. Основные требования к информационной безопасности РЦОИ. Приказ Министерства образования и науки Республики Калмыкия от 09.01.2017 N 3 "Об организационном обеспечении регионального центра обработки информации (РЦОИ) в 2017 году"

Приложение 11

Основные требования к информационной безопасности РЦОИ

Для обеспечения информационной безопасности в РЦОИ необходимо:

1. издать приказ руководителя организации о назначении ответственного за защиту информации;

2. издать приказ руководителя организации о назначении администратора безопасности;

3. установить на автоматизированные рабочие места (далее - АРМ) и сервер сертифицированные технические средства защиты от несанкционированного доступа (чтобы доступ пользователей был только через идентификаторы и пароли). Создать журнал учета СЗИ;

4. утвердить список пользователей РИС. Привести в соответствие со списком допущенных пользователей РИС учетные записи на сервере / серверах и АРМ;

5. утвердить для каждого пользователя списки доступных информационных ресурсов (матрица доступа). Привести в соответствие права пользователей на доступ к ресурсам РИС. При организации доступа пользователей к информационным ресурсам РИС необходимо руководствоваться следующим принципом: пользователь РИС не должен иметь больше прав, чем ему требуется для выполнения должностных обязанностей;

6. настроить технические средства защиты от несанкционированного доступа в соответствии с идентификаторами, первичными паролями и списками доступных информационных ресурсов;

7. проводить постоянную работу с идентификаторами, паролями, техническими средствами защиты от несанкционированного доступа в соответствии с требованиями ОРД по защите информации. Рекомендуемая частота смены паролей на доступ к информационным системам РИС раз в три месяца. Обязательная смена паролей на доступ к информационным системам РИС два раза в год - перед началом сбора баз данных и перед началом ЕГЭ;

8. создать журнал учета смены паролей;

9. повышать осведомленность пользователей в вопросах информационной безопасности (инструктажи, тренинги, регламентация прав и ответственности);

10. издать приказ "О назначении лиц, имеющих доступ к федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории (указать название региона)";

11. установить и настроить межсетевой экран (экраны). Взаимодействие сервера / серверов имеющих доступ к РИС с другими сетями, в том числе с сетями общего пользования, должно осуществляться через сертифицированный ФСТЭК межсетевой экран соответствующего класса. Например, программное обеспечение VipNet;

12. обеспечить безопасное хранение ключевой информации ПО VipNet (файл с расширением .dst), применяемой для связи с ФЦТ;

13. заблокировать доступ к информационно-телекоммуникационной сети "Интернет" на АРМ пользователей, имеющих доступ к РИС;

14. информационные ресурсы, доступные из информационно-телекоммуникационной сети "Интернет" (Web-сайты, информационные порталы РИС), должны быть изолированы от информационных ресурсов защищенного сегмента РИС или же отделены от информационных ресурсов защищенного сегмента РИС с помощью сертифицированных средств межсетевого экранирования (размещены в демилитаризованной зоне) с организацией разрешительной системы доступа (правил фильтрации);

15. установить и настроить на АРМ пользователей и сервер / серверы сертифицированное антивирусное программное обеспечение;

16. удалить или заблокировать на АРМ (и сервере / серверах если есть) средства беспроводного доступа;

17. проводить эксплуатацию средств антивирусной защиты в соответствии с требованиями ОРД по защите информации. Организовать еж