Госучреждения будут соблюдать минимальные требования к кибербезопасности

Требования разделены на две категории. Первая затрагивает использование информационных технологий. Так, необходимо использовать отдельные учётные записи для администрирования и для работы на уровне пользователя. Каждая учётная запись пользователя будет привязана к конкретному человеку. Пароли пользователей будут представлять собой комбинацию цифр (от 0 до 9). Запрещается хранение в электронном виде и перенос незашифрованными паролей пользователей системы. Также регламентированы процедуры резервного копирования и хранения информации (данных).

Требования второго уровня, относящиеся к повышенной кибербезопасности, предназначены для учреждений, предоставляющих услуги на основе информационных технологий и связи. Доступ к оборудованию системы в учреждениях из этой категории будет разрешён только уполномоченным лицам. Учреждение будет обязано хранить информацию о регистрации лица в системе не менее шести месяцев.

Оба уровня требований содержат и стандарты физической безопасности. К ним относятся: чёткое определение границ площадей, предназначенных для ИТ-оборудования, составление планов серверных комнат и сетей, обеспечение условий для отопления, вентиляции и энергетической безопасности.

Государственные учреждения будут нести ответственность за проведение внутренних аудитов кибербезопасности, за подготовку персонала, разработку руководства по использованию электронной почты и за иные виды деятельности, способствующие безопасной обработке и доступу к данным.

Минимальные требования к кибербезопасности необходимо будет учитывать при покупке новых информационных систем и модернизации имеющихся.

Новые требования должны быть внедрены в полном объёме во всех центральных государственных учреждениях до конца этого года.