Требования к защите информации от несанкционированного доступа

В Системе должен быть реализован комплекс мероприятий по обеспечению информационной безопасности:

- Защита от несанкционированного доступа. Доступ к прикладной Системе должен осуществляться с использованием средств аутентификации и авторизации самой Системы. Для аутентификации и авторизации пользователь должен ввести имя пользователя и пароль. Пользователи не должны иметь прямого доступа к БД и не иметь пароля доступа к ней. Для распределения уровней доступа и минимизации полномочий, должна быть реализована ролевая модель доступа. Роли пользователям должны назначаться администратором Системы.

- Защита от нарушения целостности и достоверности информации. Для реализации заданных характеристик безопасности информации должна быть реализована функция электронной цифровой подписи (для модуля «Данные»).

Информационная безопасность должна обеспечиваться как собственными средствами Системы, так и средствами системного программного обеспечения, ограничивающего доступ к программному обеспечению и данным сервера, на котором размещена Система.

Средства Системы должны обеспечивать хранение данных в единой информационной базе данных, с защищенными каналами на сервере Заказчика.

Система должна являться прикладным программным обеспечением. При обработке в Системе конфиденциальной информации, Заказчику необходимо обеспечить принятие организационных и технических мер, с последующей аттестацией, в соответствии с требованиями законодательства в области информационной безопасности. При этом Заказчику необходимо руководствоваться следующими нормативно-правовыми актами:

- Федеральный закон №152 от 27 июля 2006 года «О персональных данных», Постановление Правительства РФ 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказ ФСТЭК России от 18 февраля 2013 г. N 21 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» – при обработке в Системе персональных данных;

- Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Приказ ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» – при отнесении Системы, соответствующим приказом, к категории Государственных информационных систем.

Для реализации требований вышеуказанных нормативно-правовых актов, в части технической защиты конфиденциальной информации, Заказчику необходимо применять сторонние специализированные средств защиты информации, прошедшие в установленном порядке процедуру оценки соответствия (сертификации).

В случае передачи Заказчиком обработки данных и размещении Системы на серверных мощностях третьих лиц, требуется заключение договора поручения обработки данных между Заказчиком и третьим лицом. В таком случае обязанность выполнения требований возлагается на организацию, обеспечивающую размещение Системы на своих серверных мощностях.

Поиск по сайту: