Требования по защите информации при подключении пользователей к государственной информационной системе «Система межведомственного электронного взаимодействия Республики Карелия»

Требования

Меры защиты информации

Условное обозначение [2]

Реализация

Технические меры

(применение средств защиты информации)

Меры группы ИАФ

- Применение на автоматизированном рабочем месте [3] пользователя средств защиты информации от несанкционированного доступа [4]

Меры группы УПД

- Применение на АРМ пользователя СЗИ НСД;

- Применение средств криптографической защиты информации [5]: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя;

- Применение межсетевого экрана [6] на границе (периметре) локальной вычислительной сети организации или АРМ пользователя;

- Применение на АРМ пользователя средства доверенной загрузки (программно-аппаратного комплекса доверенной загрузки)[7] или выполнение компенсирующих мер, с учётом возможности их исполнения совместно с организационными мерами по физической охране помещений с АРМ пользователя

Меры группы ОПС

- Применение на АРМ пользователя СЗИ НСД

Меры группы ЗНИ

- Применение на АРМ пользователя СЗИ НСД

Меры группы РСБ

- Применение на АРМ пользователя СЗИ НСД;

- Применение на АРМ средств антивирусной защиты [8];

- Применение СКЗИ: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя

Меры группы АВЗ

- Применение на АРМ пользователя САВЗ

Меры группы АНЗ

- Применение на АРМ пользователя СЗИ НСД;

- Применение средств анализа защищенности [9] или выполнение организационных мероприятий по анализу защищенности;

- Применение на АРМ САВЗ

Меры группы ОЦЛ

- Применение на АРМ СЗИ НСД;

- Применение на АРМ САВЗ

Меры группы ЗИС

- Применение на АРМ СЗИ НСД;

- Применение СКЗИ: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя;

- Применение межсетевого экрана на границе (периметре) локальной вычислительной сети организации или на АРМ пользователя

Компенсирующие меры

Меры группы УПД

При отсутствии СДЗ, совместимых с моделью BIOS(UEFI) или материнской платы АРМ, необходимо применять следующие компенсирующие меры защиты:

- применение на АРМ пользователя программного комплекса ViPNet Client 4 (обеспечивает шифрованный трафик внутри контролируемой зоны и доступ к защищаемой информации только после ввода аутентификационных данных в ViPNet Client и установления защищенного соединения);

- запрет загрузки с внешних носителей средствами BIOS(UEFI), установка пароля на BIOS(UEFI)

Организационные меры

Меры группы ИАФ

- Утверждена и выполняется парольная политика в организации, способствующая идентификации и аутентификации пользователей и используемых ими устройств, не допускающая компрометации учётных записей пользователей;

- Утвержден перечень пользователей, допущенных к обработке информации в ГИС «РСМЭВ»;

- В адрес оператора ГИС «РСМЭВ» предоставлены заявки на работников (сотрудников) организации (внешних пользователей относительно оператора) в ГИС «РСМЭВ», однозначно определяющие полномочия таких пользователей и информацию, к которой они могут получить доступ

Меры группы ОПС

- Утвержден перечень разрешенного к использованию на АРМ пользователей программного обеспечения

Меры группы ЗНИ

- Производится учет машинных носителей информации, уничтожение (стирание) информации на машинных носителях при их передаче между пользователями и в сторонние организации

Меры группы РСБ

- Утвержден порядок мониторинга событий безопасности и реагирования на них

Меры группы АНЗ

- Утвержден перечень разрешенного к использованию на АРМ программного обеспечения и средств защиты информации;

- Утвержден порядок обновления программного обеспечения, в т.ч. средств защиты информации

Меры группы ОЦЛ

- Утвержден порядок восстановления программного обеспечения, в т.ч. средств защиты информации при возникновении нештатных ситуаций

Меры группы ЗТС

- В организации установлены границы контролируемой зоны, все технические средства обработки информации и машинные носители информации размещены в пределах контролируемой зоны;

- В организации действует пропускной режим, исключающий неконтролируемое пребывание в организации посторонних лиц (не являющихся сотрудниками), имеется действующий договор на охрану помещений;

- В организации утвержден порядок доступа в помещения пользователей ГИС «РСМЭВ», а также в помещения с технологическим оборудованием информационной системы в рабочее и нерабочие время, утвержден перечень лиц, имеющих право доступа в указанные помещения;

- Входные двери в указанные помещения оснащены надежными замками, обеспечено постоянное закрытие дверей указанных помещений на замок и их открытие только для санкционированного прохода;

- Указанные помещения оборудованы охранной сигнализацией и/или обеспечено опечатывание указанных помещений по окончанию рабочего дня;

- АРМ пользователей, с установленным СКЗИ, оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы);

- Все средства защиты информации учтены в специальных журналах

Меры группы УКФ

- Утвержден перечень пользователей, допущенных к обработке информации в ГИС «РСМЭВ» с определением полномочий таких пользователей, в том числе по внесению изменений в конфигурацию программного обеспечения и средств защиты информации;

- Утвержден перечень разрешенного к использованию на АРМ программного обеспечения и средств защиты информации

Правовые меры

ст. 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ

- Назначен ответственный за обеспечение защиты информации в организации

- Наличие утвержденных документов (приказов, распоряжений), закрепляющих выполнение в организации технических и организационных мер