перечень по учету применяемых средств защиты информации эксплуатационной и технической документации
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (включая «Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости» и приложения (26 шт.))
5.21. Рекомендации по разработке Перечня по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним содержит перечень настроек средств защиты и документации к ним.
Пример Перечня по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
1) Быть утвержден руководителем подразделения, ответственного за обеспечение режима безопасности, или специально уполномоченным сотрудником.
2) Перечень заполняется для каждой выявленной ИСПДн.
Пример заполнения Перечня:
Антивирус настроен на:
— резидентный антивирусный мониторинг;
— ежедневное антивирусное сканирование;
— автоматизированное обновление антивирусных баз с периодичностью ____________________________.
Ключи и атрибуты доступа хранятся у _______________ в ___________ (сейф, криптографически защищенный носитель и т.п.)
Журнал настроек Межсетевого экрана хранится у ___________
Межсетевой экран НАЗВАНИЕ
— Межсетевой экран настроен на:
— фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
— регистрацию и учет запрашиваемых сервисов прикладного уровня:
— блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату.
Ключи и атрибуты доступа хранятся у _______________ в ______________ (сейф, криптографически защищенный носитель и т.п.)
Инструкция по установке и настройке от производителя.
Журнал настроек Межсетевого экрана хранится у ___________
4) В перечне можно отражать ключи и атрибуты доступа к техническим средствам ИСПДн. В таком случае доступ к Перечню должен быть ограничен, а сам перечень защищен физическими (хранение в сейфе) и / или техническими (шифрование) средствами.
Учет средств защиты информации
Регламент учета СЗИ, эксплуатационной и технической документации к ним, электронных носителей персональных данных устанавливает:
Требования настоящего Регламента распространяются на всех должностных лиц, допущенных к обработке ПДн.
2. ПОРЯДОК УЧЕТА И ХРАНЕНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Используемые или хранимые оператором СЗИ, эксплуатационная и техническая документация к ним подлежат поэкземплярному учету в журнале поэкземплярного учета СЗИ, эксплуатационной и технической документации к ним (Форма учета).
Учет СЗИ, эксплуатационной и технической документации к ним осуществляется ответственным за обеспечение безопасности ПДн, администратором безопасности или иным уполномоченным лицом.
Программные средства учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СЗИ учитываются также совместно с соответствующими аппаратными средствами.
Все экземпляры СЗИ, эксплуатационная и техническая документация к ним должны выдаваться пользователям СЗИ, несущим персональную ответственность за их сохранность под роспись в соответствующем журнале.
Эксплуатационная и техническая документация, а также электронные носители с инсталляционными файлами СЗИ должны содержаться в хранилищах (шкафах, ящиках, сейфах и др.), исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Аппаратные средства, с которыми осуществляется штатное функционирование СЗИ, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) должно быть таким, чтобы его можно было визуально контролировать.
СЗИ изымаются из употребления по решению ответственного за обеспечение безопасности ПДн, при этом вносятся необходимые изменения в журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним.
СЗИ считаются изъятыми из употребления, если исполнена предусмотренная эксплуатационной и технической документацией процедура удаления программного обеспечения СЗИ, и они полностью отключены от аппаратных средств.
3. ПОРЯДОК УЧЕТА ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
При смене делопроизводителя, составляется акт приема-сдачи носителей ПДн и всех журналов учета, который утверждается руководителем или начальником подразделения, ответственного за обеспечение безопасности ПДн.
Делопроизводитель выдает носители ПДн только сотрудникам, имеющим допуск к ПДн.
Перед записью ПДн на носитель, сотрудник передает его делопроизводителю для учета.
При получении носителей ПДн из сторонних организаций они передаются делопроизводителю для учета, после чего могут быть выданы исполнителям для работы.
На носителях ПДн проставляются следующие реквизиты:
Учет носителей ПДн производится в «Журнале учета электронных носителей персональные данные».
Движение (выдача и возврат) носителей с ПДн должно отражаться в соответствующем «Журнале учета выдачи и возврата электронных носителей персональных данных». Выдача носителей ПДн сотруднику производится под его личную роспись.
Передача носителей с ПДн другим сотрудникам, имеющим допуск к ПДн, производится только через делопроизводителя с обязательной записью в «Журнале учета выдачи и возврата электронных носителей персональных данных».
Листы журналов нумеруются, прошиваются и опечатываются.
4. ПОРЯДОК ХРАНЕНИЯ ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
Носители информации с ПДн должны храниться в служебных помещениях, в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их физическую сохранность.
Запрещается выносить носители с ПДн из служебных помещений без согласования с делопроизводителем.
Сотрудники должны после окончания работы запирать полученные носители ПДн в личный сейф, в случае его отсутствия сдавать делопроизводителю.
Проверка наличия носителей ПДн проводится один раз в год комиссией. В ходе ревизии комиссия определяет перечень носителей ПДн, которые (информацию на которых) можно уничтожить.
Проверка наличия носителей ПДн при необходимости может проводиться ответственным за обеспечение безопасности ПДн или специально уполномоченным лицом.
Уничтожение носителей ПДн (информации на них), утративших свое практическое значение и не имеющих исторической ценности, производится по акту. В учетных журналах об этом делается отметка со ссылкой на соответствующий акт.
5. ОТВЕТСТВЕННОСТЬ ЗА ВЫПОЛНЕНИЕ РЕГЛАМЕНТА
На пользователей ИСПДн, ответственных за обеспечение безопасности ПДн, администраторов безопасности, делопроизводителей возлагается персональная ответственность за выполнение всех обязанностей, возложенных на них в настоящем Регламенте.
За правонарушения, совершенные в процессе своей деятельности должностные лица несут ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
Перечень по учету применяемых средств защиты информации эксплуатационной и технической документации
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (утв. Федеральной службой по техническому и экспортному контролю от 24 июля 2017 г.)
а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
в средствах и системах информатизации;
в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
в помещениях со средствами (системами), подлежащими защите;
б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) услуги по мониторингу информационной безопасности средств и систем информатизации;
г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
средств и систем информатизации;
помещений со средствами (системами), подлежащими защите;
д) работы и услуги по проектированию в защищенном исполнении:
средств и систем информатизации;
помещений со средствами (системами), подлежащими защите;
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации технических средств защиты информации;
защищенных технических средств обработки информации;
технических средств контроля эффективности мер защиты информации;
программных (программно-технических) средств защиты информации;
защищенных программных (программно-технических) средств обработки информации;
программных (программно-технических) средств контроля защищенности информации;
Обзор документа
Составлен перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации.
Указано, какие документы должны быть в наличии, а какие имеют статус ограниченного распространения. В примечании приводится список работ.
Документы по лицензионной деятельности ФСТЭК России в области технической защиты информации
Перечень. Утвержден директором ФСТЭК России 19 апреля 2017 г.
| 282 КБ | 28924 | |
| 165 КБ | 8564 |
Директор ФСТЭК России
» ___ » апреля 2017 г.
Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79
Технические и (или) функциональные характеристики
Вид работ и (или) услуг*
Генераторы шумовых сигналов
Вид шумового сигнала:
— «белый шум» (с нормальным распределением плотности вероятности мгновенных значений);
— хаотическая импульсная последовательность.
Диапазон частот 175…5600 Гц
Низкочастотные генераторы сигналов
Диапазон частот 175…5600 Гц.
Выходное напряжение не менее 5 В
Диапазон частот 175…5600 Гц.
Выходная мощность не менее 10 Вт
Диапазон воспроизводимых частот 175 … 5600 Гц.
Уровень звукового давления на расстоянии
1 м от излучателя в свободном поле не менее 95 дБ. Неравномерность АЧХ не более ± 6 дБ
Измерители шума и вибраций (шумомеры)
Диапазон частот 175…5600 Гц.
Пределы измерения уровней сигналов 25…120дБ.
Класс точности не ниже 2-го
Диапазон частот 175…5600 Гц.
Погрешность измерения не более ± 15%
Измерительные приемники (анализаторы спектра)
Диапазон измеряемых параметров
9 кГц…1000 МГц.
Погрешность измерения не более 2 дБ
Диапазон частот 175…5600 Гц.
Погрешность измерения не более ± 15%
Диапазон частот 175…5600 Гц.
Чувствительность не хуже 10 мВ/Па.
Неравномерность АЧХ ± 1 дБ
Диапазон измеряемых частот:
по магнитной составляющей 9 кГц …
30 МГц;
по электрической составляющей 9 кГц … 1000 МГц.
Погрешность измерения не более ± 2 дБ
Диапазон частот 175…5600 Гц.
Неравномерность АЧХ не более 10%
Диапазон измеряемых параметров
9 кГц…300 МГц
Полосовые октавные фильтры со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц
Диапазон частот 175…5600 Гц.
Номинальное ослабление в полосе пропускания фильтра 0 дБ.
Класс точности 1-й или 2-й
АЧХ в соответствии с ГОСТ 17168-82
Диапазон измеряемых параметров 0 …
5 МГц
Оптические тестеры (измерители мощности)
Длина волны калибровки, нм 850, 1310, 1550.
Длина волны калибровки, нм 850, 1310, 1550.
Программные средства автоматизированного проектирования
Автоматизация проектирования объектов информатизации
Программные средства формирования и контроля полномочий доступа в информационных (автоматизированных) системах
Формирование и контроль полномочий доступа для автономных автоматизированных рабочих мест и сетей, серверов, работающих с тонкими клиентами, и компьютеров, функционирующих в распределенных сетях.
Должны иметь сертификаты соответствия ФСТЭК России
Средства поиска остаточной информации на машинных носителях информации
Поиск остаточной информации на машинных носителях информации.
Должны иметь сертификаты соответствия ФСТЭК России
Средства контроля подключения устройств
Сбор информации о подключении съемных машинных носителей информации и других устройств к средствам вычислительной техники.
Должны иметь сертификаты соответствия ФСТЭК России
Программные средства контроля целостности
Расчёт уникальных значений контрольных сумм. Документирование результатов расчёта контрольных сумм.
Должны иметь сертификаты соответствия ФСТЭК России
Средства (системы) контроля (анализа) защищенности информационных систем
Автоматизированная инвентаризация ресурсов информационных систем (сбор информации об узлах информационных систем и об используемом в них программном обеспечении), выявление уязвимостей (кода, конфигурации и архитектуры) в них, анализ и управление выявленными уязвимостями с учетом угроз.
Должны иметь сертификаты соответствия ФСТЭК России
Замкнутые среды предварительного выполнения программ («песочницы»)
Среды безопасного выполнения программ в целях анализа их влияния на безопасность информации.
Должны иметь формуляры, оформленные разработчиками (производителями) данных сред. В случае невозможности оформления формуляров разработчиками (производителями) данных сред (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии)
Средства управления информацией об угрозах безопасности информации
Автоматизированный сбор и анализ информации, поступающей из различных источников, об угрозах безопасности информации.
Должны иметь формуляры, оформленные разработчиками (производителями) данных средств. В случае невозможности оформления формуляров разработчиками (производителями) данных средств (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии)
Средства управления событиями безопасности информации
Автоматизированный сбор, анализ и корреляция данных о событиях безопасности информации, регистрируемых компонентами информационных систем, идентификация по заданным индикаторам типовых инцидентов информационной безопасности и их локализация.
Должны иметь сертификаты соответствия ФСТЭК России
Средства управления инцидентами информационной безопасности
Автоматизированная регистрация информации об инцидентах информационной безопасности информационных систем, предоставление рекомендаций по реагированию на них, формирование и модификация шаблонов инцидентов информационной безопасности, в том числе рекомендаций по реагированию на них.
Должны иметь формуляры, оформленные разработчиками (производителями) данных средств. В случае невозможности оформления формуляров разработчиками (производителями) данных средств (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии)
Средства защиты каналов передачи данных
Должны обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, используемой для управления информационной безопасностью, и информационными системами, в отношении которых осуществляется мониторинг.
Системы защиты информации информационных систем, используемых для мониторинга информационной безопасности
Системы защиты информации информационных систем, используемых для оказания услуг по мониторингу информационной безопасности информационных систем, должны соответствовать Требованиям о защите информации, не составляющей государственную тайну, содержащейся
в государственных информационных системах, утвержденным приказом
ФСТЭК России от 11 февраля 2013 г. N 17, применительно к первому классу защищенности государственных информационных систем
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
1- средствах и системах информатизации;
2- технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
3- помещениях со средствами (системами), подлежащими защите;
4- помещениях, предназначенных для ведения конфиденциальных переговоров (далее – защищаемые помещения);
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) мониторинг информационной безопасности средств и систем информатизации;
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
1- средств и систем информатизации;
2- помещений со средствами (системами), подлежащими защите;
3- защищаемых помещений;
д) проектирование в защищенном исполнении:
1- средств и систем информатизации;
2- помещений со средствами (системами), подлежащими защите;
3- защищаемых помещений;
е) установка, монтаж, испытания, ремонт средств защиты информации:
1- технических средств защиты информации;
2- защищенных технических средств обработки информации;
3- технических средств контроля эффективности мер защиты информации;
4- программных (программно-технических) средств защиты информации;
5- защищенных программных (программно-технических) средств обработки информации;
6- программных (программно-технических) средств контроля защищенности информации).
* При обнаружении ошибки в таблицах реестров необходимо направить обращение во ФСТЭК России, используя форму обратной связи на странице «Контакты»
Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации
Приказ ФСТЭК России от 31 августа 2010 г. N 489
| 177 КБ | 20821 | |
| 92 КБ | 5916 |
Зарегистрировано в Минюсте РФ 13 октября 2010 г. N 18704
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 31 августа 2010 года N 489
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ
В соответствии с пунктом 3 Постановления Правительства Российской Федерации от 18 мая 2009 г. N 424 приказываем:
Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.
1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.
2. Контроль за исполнением настоящего Приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.
Федеральной службы безопасности
и экспортному контролю
от 31 августа 2010 г. N 489
ТРЕБОВАНИЯ
О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ
Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).
2. Информационные системы общего пользования должны обеспечивать:
3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.
5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.
5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.
5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.
6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.
7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.
Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.
8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.
9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.
11. В информационных системах общего пользования должны быть обеспечены:
поддержание целостности и доступности информации;
предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;
проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;
своевременное обнаружение фактов неправомерных действий в отношении информации;
недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;
возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;
проведение мероприятий по постоянному контролю за обеспечением их защищенности;
возможность записи и хранения сетевого трафика.
12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:
определение угроз безопасности информации, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;
проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
описание системы их защиты.
13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.
14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.
15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.
16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.
17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:
17.1. В информационных системах общего пользования I класса:
осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;
обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;
осуществление регистрации действий обслуживающего персонала и пользователей;
обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;
использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);
17.2. В информационных системах общего пользования II класса:
осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;
обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;
осуществление регистрации действий обслуживающего персонала;
обеспечение частичного резервирования технических средств и дублирования массивов информации;
использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.