Приложение 10. Основные требования к информационной безопасности РЦОИ
Для обеспечения информационной безопасности в РЦОИ необходимо:
издать приказ руководителя организации о назначении ответственного за защиту информации. В приказе указать, что ответственный за защиту информации также выполняет функции ответственного за организацию обработки персональных данных. На роль ответственного за защиту информации назначается лицо, имеющее необходимые знания в области обеспечения информационной безопасности;
издать приказ руководителя организации о назначении администратора безопасности. В приказе указать, что администратор безопасности непосредственно осуществляет действия по техническому обеспечению функционирования СЗИ и организационные действия в соответствии с ОРД. Допустимо возложить обязанности администратора безопасности на системного администратора. Допустимо также возложить обязанности системного администратора на администратора безопасности. На роль администратора безопасности назначается лицо, имеющее необходимые знания в области обеспечения информационной безопасности;
установить на автоматизированные рабочие места (далее - АРМ) и сервер сертифицированные технические средства защиты от несанкционированного доступа (чтобы доступ пользователей был только через идентификаторы и пароли). Создать журнал учета СЗИ;
утвердить список пользователей РИС. Привести в соответствие со списком допущенных пользователей РИС учетные записи на сервере/серверах и АРМ. Если в локальной сети используется доменная архитектура, то привести в соответствие список доменных учетных записей;
утвердить для каждого пользователя списки доступных информационных ресурсов (матрица доступа). Привести в соответствие права пользователей на доступ к ресурсам РИС. При организации доступа пользователей к информационным ресурсам РИС необходимо руководствоваться следующим принципом: пользователь РИС не должен иметь больше прав, чем ему требуется для выполнения должностных обязанностей;
настроить технические средства защиты от несанкционированного доступа в соответствии с идентификаторами, первичными паролями и списками доступных информационных ресурсов;
проводить постоянную работу с идентификаторами, паролями, техническими средствами защиты от несанкционированного доступа в соответствии с требованиями ОРД по защите информации. Рекомендуемая частота смены паролей на доступ к информационным системам РИС раз в три месяца. Обязательная смена паролей на доступ к информационным системам РИС два раза в год – перед началом сбора баз данных и перед началом ЕГЭ;
создать журнал учета смены паролей;
повышать осведомленность пользователей в вопросах информационной безопасности (инструктажи, тренинги, регламентация прав и ответственности);
издать приказ «О назначении лиц, имеющих доступ к региональной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования на территории (указать название региона)»;
установить и настроить межсетевой экран (экраны). Взаимодействие сервера/серверов имеющих доступ к РИС с другими сетями, в том числе с сетями общего пользования, должно осуществляться через сертифицированный ФСТЭК межсетевой экран соответствующего класса. Например, программное обеспечение VipNet;
обеспечить безопасное хранение ключевой информации ПО VipNet (файл с расширением .dst), применяемой для связи с ФЦТ;
заблокировать доступ к информационно-телекоммуникационной сети «Интернет» на АРМ пользователей, имеющих доступ к РИС;
информационные ресурсы, доступные из информационно-телекоммуникационной сети «Интернет» (Web-сайты, информационные порталы РИС), должны быть изолированы от информационных ресурсов защищенного сегмента РИС или же отделены от информационных ресурсов защищенного сегмента РИС с помощью сертифицированных средств межсетевого экранирования (размещены в демилитаризованной зоне) с организацией разрешительной системы доступа (правил фильтрации);
установить и настроить на АРМ пользователей и сервер/серверы сертифицированное антивирусное программное обеспечение;
удалить или заблокировать на АРМ (и сервере/серверах если есть) средства беспроводного доступа;
проводить эксплуатацию средств антивирусной защиты в соответствии с требованиями ОРД по защите информации. Организовать ежедневное обновление баз средств антивирусной защиты;
разработать и утвердить политику обновления общесистемного и прикладного программного обеспечения, а также средств защиты информации;
осуществлять регулярное обновление общесистемного и прикладного программного обеспечения, а также средств защиты информации в соответствии с разработанным регламентом;
утвердить список съемных машинных носителей информации и места хранения съемных машинных носителей информации;
присвоить машинным носителям информации идентификационные номера. Завести журнал учета машинных носителей информации;
осуществлять работы, связанные с использованием машинных носителей информации (учет, хранение, выдача, уничтожение), согласно требованиям ОРД по защите информации;
утвердить список сотрудников, допущенных в помещения, где установлены технические средства информационной системы и системы защиты. Утвердить границы контролируемой зоны, где размещены технические средства информационной системы;
установить мониторы АРМ таким образом, чтобы видеоинформация была доступна для просмотра только оператору АРМ;
исключить нахождение в помещениях, где идет обработка информации, в том числе персональных данных и в границах контролируемой зоны, посторонних лиц;
провести мероприятия по обследованию, защите и аттестации в соответствии с требованиями безопасности информации РИС;
организовать получение членами ГЭК токена члена ГЭК, необходимого для их применения при использовании технологии печати КИМ в ППЭ, сканировании в ППЭ бланков ответов участников ЕГЭ и при проведении части «Говорение» ЕГЭ по иностранным языкам.
Приложение 11. Основные технические требования к оборудованию видео-трансляции, видео-протоколирования и хранилищ архивов видеозаписей
Организация видеонаблюдения в помещениях РЦОИ:
В каждом помещении РЦОИ, задействованном в хранении и обработке ЭМ ЕГЭ, видеонаблюдение осуществляется посредством не менее двух видеокамер. Для полноценного осуществления функций системы видеонаблюдения необходимо разместить по две видеокамеры в углах помещения так, чтобы после установки помещение просматривалось полностью и просматривалась вся рабочая зона сотрудников РЦОИ. Допускается использование1 видеокамеры в одном помещении в случае, если это помещение просматривается полностью.
Для хранения записи информации с видеокамер видеонаблюдения в РЦОИ используется сервер, оснащенный хранилищем архивов видеозаписей. Срок хранения видеозаписи экзамена – до 1 марта следующего года. До наступления указанной даты материалы видеозаписи экзамена могут быть использованы Рособрнадзором и ОИВ с целью выявления фактов нарушения порядка проведения ГИА.
Срок хранения видеозаписи экзамена, на основании которой было принято решение об остановке экзамена в ППЭ или отдельных аудиториях ППЭ, удалении обучающегося, выпускника прошлых лет с экзамена, аннулировании результатов экзамена составляет не менее трех лет со дня принятия соответствующего решения.
Образец журнала доступа к программно-аппаратному комплексу (ПАК)
Наименование субъекта Российской Федерации__________________________
Наименование помещения РЦОИ _____________________________________
№
|
Дата
|
Время
(часы, минуты)
|
Причина осуществления действий с ПАК
|
Результат осуществления действий с ПАК (выключен, включен)
|
Инициатор действия с ПАК
|
Технический специалист – оператор ПАК
|
Начало действия
|
Окончание действия
|
ФИО
|
Должность.
|
Подпись
|
ФИО
|
Должность
|
Подпись
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
1
|
|
8.00
|
8.15
|
Проверка работоспособности ПАК
|
ПАК включен, работает в стационарном режиме
|
|
|
|
|
|
|
2
|
|
9.00
|
9.02
|
Начало записи
|
Включен режим «Идет запись»
|
|
|
|
|
|
|
3
|
|
чч.мм
|
чч.мм
|
На экране отсутствует изображение
|
Прописываются действия по возврату к стационарному режиму работы ПАК
|
|
|
|
|
|
|
…
|
|
…
|
…
|
…
|
…
|
|
|
|
|
|
|
4
|
|
16.00
|
16.02
|
Окончание записи
|
Выключение режима «Идет запись»
|
|
|
|
|
|
|
5
|
|
чч.мм
|
чч.мм
|
Заявка по предоставлению записи
|
Заявка №__ дата. Произведена запись данных на usb носитель
|
|
|
|
|
|
|
Руководитель РЦОИ____________________________/ФИО
|
