1. Заключение (Разработка профиля защиты информации в сегменте информационной системы Безопасный город), страница 2
Описание файла
Файл "1. Заключение" внутри архива находится в следующих папках: Разработка профиля защиты информации в сегменте информационной системы Безопасный город, Дополнительные материалы. Документ из архива "Разработка профиля защиты информации в сегменте информационной системы Безопасный город", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "1. Заключение"
Текст 2 страницы из документа "1. Заключение"
В качестве объекта обследования взят региональный сегмент системы обеспечения вызова экстренных оперативных служб по единому номеру «112» Еврейской автономной области (далее – Система-112), основополагающая система в аппаратно-программном комплексе «Безопасный город» (далее – АПК БГ).
В ходе обследования информационной системы определялись:
-
Состав и структура объектов защиты;
-
Требуемый уровень защищенности ИС;
-
Конфигурация ИС;
-
Режим обработки информации;
-
Перечень лиц, участвующих в обработке информации;
-
Права доступа лиц, допущенных к обработке информации.
Данные обследования служат информационной основой для других проектных и организационно-распорядительных документов.
-
Общая информация
Система-112 - комплекс программно-аппаратных средств, предназначенных для автоматизированной обработки вызова экстренных оперативных служб по единому номеру «112».
Система предполагает создание единого номера для обращения населения в случае возникновения экстренной ситуации, обеспечение внешнего контроля за действиями экстренных служб, межведомственную координацию, создание центров обработки данных со всех критически важных объектов, мониторинг и сбор статистики по чрезвычайным ситуациям (далее – ЧС).
Система-112 создается на основании технического задания на разработку технического проекта Системы обеспечения вызова экстренных оперативных служб по единому номеру «112» Еврейской автономной области.
Автоматизированная система должна:
- ускорить процесс реагирования и взаимодействия оперативных служб в чрезвычайных ситуациях,
- позволить организовать единое информационное пространство для служб реагирования,
- позволить повысить информированность населения о возникновении ЧС, способах защиты и мер по безопасности,
- снизить затраты на осуществление деятельности по предупреждению и ликвидации ЧС.
Система будет включать в себя такие возможности, как определение номера абонента, восстановление связи в случае прерывания соединения, оповещение населения и организация по разным каналам связи, запись переговоров, ведение статистической информации и т.д.
Создание единой системы вызова оперативных службы по номеру «112» крайне необходимо, так как в случае, если человек попадает в кризисную ситуацию, он должен знать один номер вызова дежурных служб – «112». На него можно будет позвонить с любого мобильного телефона.
Система-112 – территориально-распределённая автоматизированная система, создаваемая в границах Еврейской автономной области, техническими и программными средствами которой оснащаются дежурные подразделения организаций и ведомств отвечающих за обеспечение безопасности жизнедеятельности на территории области(служба пожарной охраны, служба полиции, служба скорой медицинской помощи и т.д.). Объектами автоматизации Системы-112 являются:
- основной и резервный центры приема и обработки вызовов (ЦОВ и РЦОВ), поступающих от пользователей сетей фиксированной и мобильной телефонной связи (населения) по единому телефонному номеру «112»;
- дежурные диспетчерские службы (далее - ДДС) экстренных оперативных служб (далее - ЭОС) Еврейской автономной области, в том числе и центральные диспетчерские (при их наличии в составе службы).
Система-112 Еврейской автономной области создается по иерархическому территориально-распределенному принципу и включает два линейных уровня организации: региональный и муниципальный.
Региональный уровень Системы-112 представлен ЦОВ и РЦОВ.
Муниципальный уровень представлен ЕДДС муниципальных образований и ДДС ЭОС. В ЕДДС муниципальных образований предусматриваются автоматизированные рабочие места (АРМ) операторов приема и обработки вызовов, по ступающих с территории соответствующих муниципальных образований, а также АРМ диспетчеров, осуществляющих контроль за реагированием на происшествия.
Функционально, по технологии контроля за ходом реагирования на происшествия, муниципальный уровень представлен двумя подуровнями: диспетчерский персонал ЕДДС (верхний подуровень) и диспетчеры ДДС ЭОС (нижний подуровень).
Организационно-штатная структура должна формироваться с учетом обеспечения круглосуточной непрерывной работы Системы-112.
Основными задачами Системы-112 являются:
-
Приём оператором по номеру «112» вызовов и обеспечение психологической поддержки позвонившему лицу;
-
Анализ поступающей информации о происшествиях;
-
Передача информации о происшествиях в ДДС в соответствии с их компетенцией для организации экстренного реагирования;
-
Формирование статистических отчётов по поступившим вызовам;
-
Автоматическое определение номера позвонившего лица;
-
Автоматический дозвон до позвонившего лица в случае внезапного прерывания соединения;
-
Регистрация и документирование всех входящих и исходящих звонков по номеру «112»;
-
Ведение базы данных о происшествиях и результатах реагирования;
-
Приём вызовов на 5 иностранных языках (английский, французский, немецкий, испанский, китайский) и при необходимости дополнительных.
В своей деятельности Система-112 хранит, обрабатывает и передает данные, относящиеся к прямо или косвенно определенному или определяемому лицу, что попадает под действие Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
Правовым основанием обработки персональных данных в Системе-112 являются следующие нормативно-правовые акты:
-
Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;
-
Приказ ФСТЭК России № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
Приказ ФСТЭК России № 17 от 11.02.2013 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
-
Постановление Правительства Российской Федерации № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-
Распоряжение Правительства Российской Федерации от 03 декабря 2014 года №2446-р об утверждении Концепции построения и развития аппаратно-программного комплекса «Безопасный город»;
-
другие нормативно-правовые акты.
Региональные элементы информационной системы будут располагаться в двух зданиях – ЦОВ и РЦОВ.
ЦОВ разворачивается в административном центре Еврейской автономной области – г. Биробиджан, ул. Чапаева, 2.
РЦОВ разворачивается в г. Биробиджан, ул. Ленина 34а.
-
Параметры информационной системы
В процессе эксплуатации информационной системы в ней будет осуществляться обработка конфиденциальной информации, относящаяся к следующим типам:
– персональные данные – информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, другая информация, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
– служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
– сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации федеральными законами (тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
«Система-112» представляет собой государственную информационную систему (далее – ГИС), имеющую совокупность конфиденциальной информации, включая персональные данные, содержащиеся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
К характеристикам Системы-112 можно отнести:
– категории обрабатываемых ПДн – специальные и иные (обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и иные ПДн).
Персональные данные, обрабатываемые в Системе-112, могут включать в себя:
– персональные данные абонентов телефонных сетей, осуществляющих вызовы в Систему-112, в том числе:
– фамилия имя отчество;
– пол;
– дата и место рождения;
– семейное, социальное, имущественное положение;
– образование;
– профессия;
– доходы;
– номер телефона;
– адрес установки телефона фиксированной связи;
– данные о состоянии здоровья;
– данные о национальной принадлежности;
– данные о месте, с которого осуществлялся вызов для телефонов подвижной связи.
– принадлежность обрабатываемых ПДн и количество субъектов персональных данных - более 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
– режим обработки ПДн – многопользовательский;
– разграничение прав доступа пользователей – с разграничением прав доступа к ПДн;
– тип угроз безопасности персональных данных, актуальных для Системы-112 - 3 (третий) (т.е. актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ГИС);
– подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
– структуру Системы-112 - распределенная информационная система;
– анализ предоставленной информации позволил предварительно определить уровень защищенности персональных данных при их обработке в Системе-112 - второй (УЗ2) (для ГИС актуальны угрозы 3-го типа и Информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора);
– Система-112 находится в охраняемых помещениях с ограниченным доступом;
– наличие выхода за границу охраняемой территории (ОТ) телефонных линий, линий пожарной сигнализации и коммуникаций системы отопления;
– наличие вспомогательных технических средств и систем (ВТСС), находящихся на объекте информатизации, но не участвующие в обработке конфиденциальной информации.
Информационный обмен в ГИС «Система-112» осуществляется по каналам связи, расположенным в пределах охраняемой территории (ОТ), а также по каналам связи, выходящим за пределы ОТ.
-
Классификация информационной системы персональных данных
Состав и содержание угроз безопасности информации ограниченного доступа определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к информации ограниченного доступа.
Совокупность таких условий и факторов формируется с учетом характеристик Системы-112, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угроз.
Исходя из того, что:
– Система-112 является государственной информационной системой, имеющей региональный масштаб;
– уровень значимости обрабатываемой в системе информации является низким вследствие того, что нарушение любого одного из свойств безопасности обрабатываемой информации (конфиденциальности, целостности, доступности) может привести к незначительным негативным последствиям в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) к тому, что Система-112 и (или) оператор (обладатель информации) не смогут выполнять возложенные на них функции с достаточной эффективностью или выполнение функций будет возможно только с привлечением дополнительных сил и средств;
– в соответствии с Приказом ФСТЭК № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо обеспечить третий класс защищенности.
Помимо этого, в «Системе-112» ведется обработка персональных данных, а значит в «Системе-112» необходимо обеспечить второй уровень защищенности персональных данных в соответствии с пунктом 10 Приказа ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», т.к. для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Однако в соответствии с пунктом 27 Требований, утвержденных Приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности информационной системы персональных данных. Исходя из вышеизложенного, в Системе-112 необходимо обеспечить второй класс защищенности.
-
Состав подразделений
Наличие и состав подразделений (персонала) ЦОВ, ЕДДС муниципальных образований и ДДС ЭОС определяется соответствующими решениями органов государственной власти и местной администрации, в зависимости от размера территории, численности обслуживаемого населения, а также различных местных условий (транспортных, экономических и пр.).
Расчетное количество персонала Системы-112 Еврейской автономной области представлено в таблице 1
Таблица 1.
Тип персонала | Количество в смене | Общее количество |
Операторский персонал | 13 | 65 |
Диспетчерский персонал | 35 | 175 |
Технический персонал | 6 | 29 |
Количество операторов ЦОВ (операторского персонала) в смене выбирается из соображения достаточности (количества обслуживаемого населения, городского/сельского населения и пр). Количество технического персонала (администраторов и инженеров) определяется составом и количеством технических и программных средств Системы-112 Еврейской автономной области.