3. Аналитическое обоснование (Разработка профиля защиты информации в сегменте информационной системы Безопасный город)
Описание файла
Файл "3. Аналитическое обоснование" внутри архива находится в следующих папках: Разработка профиля защиты информации в сегменте информационной системы Безопасный город, Дополнительные материалы. Документ из архива "Разработка профиля защиты информации в сегменте информационной системы Безопасный город", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "3. Аналитическое обоснование"
Текст из документа "3. Аналитическое обоснование"
Приложение В.
Аналитическое обоснование необходимости создания системы защиты информации в сегменте информационной системы «Безопасный город»
Хабаровск, 2017 г.
СОДЕРЖАНИЕ
1. Термины и определения 3
2. Принятые сокращения 9
3. Общие положения 10
4. Сведения о системе 11
4.1 Описание объекта информатизации 12
5. Технологическая информация 14
6. Структура обработки ПДн 15
7. Режим обработки ПДн 15
8. Модель угроз безопасности ПДн и актуальные угрозы безопасности информации 17
9. Технические средства зашиты информации, предлагаемые для использования в Системе-112 19
10. Обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации 21
11. Оценка материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты 22
11.1 Затраты на технические и программные средства защиты 22
11.2 Затраты на установку и настройку средств защиты информации специалистами 22
11.3 Проведение испытаний системы защиты 23
12. Ориентировочные сроки разработки и внедрения 25
13. Мероприятия по внедрению и вводу в эксплуатацию 26
13.1 Установка и настройка технических средств и средств информационной безопасности 27
13.2 Приемочные испытания 27
13.3 Ввод Системы-112 в промышленную эксплуатацию 27
14. Приложение А. Топология ЛВС «Системы-112» 30
-
Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизированной деятельности определенного вида.
Администратор автоматизированной системы – лицо, ответственное за функционирование автоматизированной информационной системы в установленном штатном режиме работы.
Администратор защиты (безопасности) информации – лицо, ответственное за защиту автоматизированной информационной системы от несанкционированного доступа к информации.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Доступ к информации – возможность получения информации и ее использования.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Объект защиты информации - информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Система – совокупность взаимосвязанных и взаимодействующих элементов.
Средства защиты информации – технические, программные средства, вещества и (или) материал, предназначенные или используемые для защиты информации.
Средства криптографической защиты информации – аппаратные, программные и программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее.
Учетная запись пользователя – набор данных, однозначно идентифицирующих пользователя в системе, совокупность прав и привилегий доступа к объектам и набор квот системных ресурсов.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые сокращения
АВС | – | антивирусные средства |
АРМ | – | автоматизированное рабочее место |
АС | – | автоматизированная система |
ГИС | – | государственная информационная система |
ГОСТ | – | государственный стандарт |
ДСП | – | для служебного пользования |
ИБ | – | информационная безопасность |
ИСПДн | – | информационная система, обрабатывающая персональные данные |
КЗ | – | контролируемая зона |
ИТ | – | информационные технологии |
ЛВС | – | локальная вычислительная сеть |
НДВ | – | не декларированные возможности |
НЖМД | – | накопитель на жестких магнитных дисках |
НСД | – | несанкционированный доступ |
ОЗУ | – | оперативное запоминающее устройство |
ОПО | – | общесистемное программное обеспечение |
ОС | – | операционная система |
ОТСС | – | основные технические средства и системы |
ПДн | – | персональные данные |
ПК | – | программный комплекс |
ПО | – | программное обеспечение |
ПС | – | программные средства |
ПТС | – | программно-технические средства |
ПЭВМ | – | персональная электронно-вычислительная машина |
РД | – | руководящий документ |
СВТ | – | средства вычислительной техники |
СЗИ | – | система защиты информации |
СКЗИ | – | средства криптографической защиты информации |
СПО | – | специальное программное обеспечение |
СрЗИ | – | средства защиты информации |
ТЗ | – | техническое задание |
ТС | – | технические средства |
ТП | – | технический проект |
ФСБ | – | Федеральная служба безопасности |
ФСТЭК | – | Федеральная служба технического и экспортного контроля |
-
Общие положения
Необходимостью создания подсистемы обеспечения информационной безопасности информационной системы персональных данных «Система обеспечения вызова экстренных оперативных служб по единому номеру «112» Еврейской автономной области» (далее – Система-112) является обеспечение защиты персональных данных при их обработке в информационных системах персональных данных.