Прытков А.Д. Обеспечение ИБ ГИА 2016

Организационно-технологическое
обеспечение информационной безопасности
при проведении государственной итоговой
аттестации
Обмен участников ГИА информацией ограниченного доступа
Участники ГИА обмениваются информацией ограниченного доступа
в бумажном и электронном виде
Персональные данные
КИМ, ЭР
Парольно-ключевая информация
В соответствии с законодательством РФ данная информация
подлежит обязательной защите
ФЗ «Об образовании в Российской Федерации» № 273-ФЗ
«Информация, содержащаяся в контрольных измерительных
материалах, используемых при проведении ГИА, относится к
информации ограниченного доступа»
Взаимодействие на региональном уровне
Защищенная сеть передачи данных ФГБУ «ФЦТ»
ФИС ГИА
ФГБУ ФЦТ
РИС ГИА
РЦОИ
_
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
_
ИНФОРМАЦИЯ ОГРАНИЧЕННОГО ДОСТУПА
Взаимодействие на региональном уровне
Защищенная сеть передачи данных ФГБУ «ФЦТ»
ФИС ГИА
ФГБУ ФЦТ
РИС ГИА
РЦОИ
_
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Требования по защите
информации
Информационная безопасность РЦОИ и ППЭ
МИНИМАЛЬНЫЕ БАЗОВЫЕ ТРЕБОВАНИЯ ОБЕСПЕЧЕНИЯ ИБ
ОРГАНИЗАЦИОННЫЕ
ТЕХНИЧЕСКИЕ
- Назначение ответственного за ИБ
РЦОИ и ППЭ
- Создание и поддержка системы
защиты информации РЦОИ
- Аттестация объекта
информатизации РЦОИ
- Соблюдение норм ИБ при
эксплуатации ИКТ
инфраструктуры РЦОИ и ППЭ
- Контроль защищенности РЦОИ и
ППЭ
Проблемы обеспечения ИБ в ППЭ и пути их решения
Основные проблемы
1) Отключение электроэнергии в ППЭ
2) Несанкционированный доступ к КИМ
3) Доступ в ППЭ посторонних лиц
4) Использование средств связи и справочных материалов
Пути решения
1) Использование системы резервного электроснабжения
2) Выполнение организационных мер по защите КИМ при
доставке, хранении и неавтоматизированной обработке
3) Уменьшение количества аудиторий ППЭ с офлайн
видеонаблюдением, соблюдение организаторами ППЭ порядка
проведения ГИА
4) Усиление общественного наблюдения
Типовые проблемы обеспечения ИБ РЦОИ
Основными проблемами эффективного обеспечения
информационной безопасности в РЦОИ являются:
Формальный подход лицензиата-подрядчика к аттестации РЦОИ, и
несоблюдение сотрудниками РЦОИ организационных мер по защите
информации
Нарушение требований ИБ для «удобства» эксплуатации
инфраструктуры РЦОИ
Недостаточная квалификация специалистов РЦОИ для
самостоятельной эксплуатации ИКТ и ИБ систем РЦОИ
Неосведомленность руководителя РЦОИ о реальном состоянии
информационной безопасности в РЦОИ
Комплексный подход обеспечения ИБ при проведении ГИА
Создание отраслевых стандартов ИБ с учетом региональных
особенностей
Создание отдела ИБ с квалифицированными сотрудниками по
направлению ИБ
Определение уровня квалификации сотрудников и их обучение
Построение эффективной комплексной СЗИ ГИА
- с учетом специфики и особенностей процедуры ГИА в конкретном
регионе
- с учетом технологии печати КИМ в ауд. ППЭ, сканирования КИМ и
устной части Ин. языка
Периодическая проверка состояния системы защиты информации
Осуществление дополнительного контроля готовности РЦОИ и ППЭ к
ГИА и выполнение периодического контроля защищенности РЦОИ
Нормативные правовые документы в сфере защиты персональных
данных и информации ограниченного доступа
ФЗ №152 «О персональных
данных»
ФЗ №149 «Об информации,
информационных технологиях
и защите информации»
Приказ ФСТЭК №17
ПП №755
ПП №1119
Приказ ФСТЭК №21
Базовые мероприятия по аттестации на региональном уровне
Выделен квалифицированный сотрудник, ответственный за ИБ
Проведено обследование и классификация ГИС и ИСПДн
Спроектирована комплексная система защиты информации
Разработаны организационно-технические документы
Осуществлена закупка, поставка и настройка средств защиты информации
Выполнены работы по аттестации и вводу в эксплуатацию СЗИ
Осуществлено сопровождение системы защиты информации
Выполняется ежегодный контроль защищенности