Продолжение таблицы 2.4

№ меры	Мера защиты информации в ГИС	Технические или организационные меры
IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ)
ОЦЛ.1	Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации	Dallas Lock 8.0-K, XSpider 7.8.24
ОЦЛ.3	Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций	Организационные меры
ОЦЛ.4	Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)	VipNet Coordinator HW
ОЦЛ.5	Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы	VipNet Coordinator HW
ОЦЛ.6	Ограничение прав пользователей по вводу информации в информационную систему	Dallas Lock 8.0-K
ОЦЛ.7	Контроль точности, полноты и правильности данных, вводимых в информационную систему	Организационные меры
X. Обеспечение доступности информации (ОДТ)
ОТД.4	Периодическое резервное копирование информации на резервные машинные носители информации	Организационные меры
ОДТ.5	Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала	Организационные меры

Продолжение таблицы 2.4

№ меры	Мера защиты информации в ГИС	Технические или организационные меры
XII. Защита технических средств (ЗТС)
ЗТС.2	Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования	Организационные меры
ЗТС.3	Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены	Организационные меры
ЗТС.4	Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр	Организационные меры
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.1	Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы	Организационные меры
ЗИС.3	Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи	VipNet Coordinator HW
ЗИС.4	Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)	Все СрЗИ, средства ОС

Продолжение таблицы 2.4

№ меры	Мера защиты информации в ГИС	Технические или организационные меры
ЗИС.7	Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода	XSpider 7.8.24
ЗИС.10	Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам	VipNet Coordinator HW
ЗИС.11	Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов	VipNet Coordinator HW
ЗИС.15	Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации	Все СрЗИ, средства ОС
ЗИС.16	Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов	VipNet Coordinator HW
ЗИС.17	Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы	VipNet Coordinator HW
ЗИС.21	Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы	Dallas Lock 8.0-K, средства ОС

Окончание таблицы 2.4

№ меры	Мера защиты информации в ГИС	Технические или организационные меры
ЗИС.23	Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями	VipNet Coordinator HW
ЗИС.28	Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы	Dallas Lock 8.0-K

1. Профиль системы защиты персональных данных

Таким образом, установка средств защиты информации производилась в соответствии со схемой, представленной на рисунке 2.1. Перечень АРМ пользователей, серверы и АРМ Администратора с указанием местоположения и необходимых для установки и настройки средств защиты информации представлен в таблице Д.1 приложения Д.

2. Рисунок 2.1 – Профиль защиты ГИС

3. Экономика. Оценка экономической эффективности внедрения системы защиты персональных данных

5. Цель выпускной квалификационной работы заключается в разработке профиля защиты информации в государственной информационной системе «МИРС 49», удовлетворяющей требованиям руководящих документов и других нормативно-правовых актов в области информационной безопасности. Профиль защиты разрабатывается для Управления по обеспечению деятельности мировых судей министерства государственно-правового развития Магаданской области, в котором обрабатываются персональных данные подсудимых и служебная тайна.

6. Задача:

• определение экономического эффекта от внедрения технического решения.

1. В первую очередь необходимо различать показатели эффекта и эффективности экономических инвестиционных вложений.

2. Экономический эффект инвестиций представляет собой полезный результат, полученный в ходе осуществления инвестиционного проекта, определяемый как разность между результатом, выраженным в стоимостном эквиваленте, и затратами, обусловившими его получение.

3. Экономическая эффективность инвестиций – это относительная величина, характеризующаяся отношением полезного результата (экономического эффекта) к инвестиционным затратам, обусловившим его получение. Экономическая эффективность выступает как мера рациональности использования материальных, трудовых и финансовых ресурсов [16].

4. Для того чтобы оценить экономическую эффективность внедрения системы защиты конфиденциальной информации, необходимо вычислить:

• общие затраты (S) – средства, необходимые на разработку, внедрение и аттестационные испытания системы защиты информации;

• выгода (R) – средства, которые удастся сохранить после ввода в эксплуатацию системы защиты информации;

• периодические затраты (З) – средства, необходимые для поддержания системы защиты информации в рабочем состоянии (продление лицензий на средства защиты информации, зарплата администратора безопасности и прочее);

• ставка дисконтирования (N) – показатель, позволяющий учесть неравноценность денежных потоков, возникающих в различные моменты времени.

1. 1. Определение затрат на внедрение и реализацию технического решения

3. Важной задачей современного финансового управления является управление затратами, т. е. своевременное принятие мер по оптимизации соотношения «затраты - результат». Затраты вместе с ценами являются одним из существенных факторов прибыльности хозяйства.

4. Основной объем затрат предприятия – это затраты на производство продукции. Затраты в сфере производства представляют собой затраты ни производственной стадии кругооборота, которые включают затраты труда и средств производства, направленные непосредственно на производство продукции.

5. Производственные затраты – это производственное потребление ресурсов, совокупность которых составляет производственную себестоимость продукции (работ, услуг).

6. Производственные затраты для целей управленческого учета четко выделяют три главных элемента:

• прямые затраты на материалы – основное сырье, материалы и комплектующие изделия;

• прямые затраты на труд – фонд оплаты труда основных производственных рабочих и персонала, связанного с производством;

1. производственные накладные расходы – косвенные затраты на материалы, косвенные затраты на труд, общепроизводственные расходы.

2. Капиталовложение (К) – средства, необходимые на разработку, внедрение и аттестационные испытания системы защиты персональных данных.

3. Общие затраты на выполнение работ по разработке, внедрению и аттестации информационной системы персональных данных (S) рассчитаем по формуле (3.1):

4. S = S_СЗ + S_А , (3.1)

5. где S_СЗ – затраты на закупку средств защиты информации;

6. S_А – затраты на оплату труда специалиста на разработку проектной документации и проведение аттестационных испытаний системы защиты информации.

7. В таблице 3.1 представлен перечень технических средств с указанием розничной цены и общих затрат на закупку данного средства. Цены взяты с официальных сайтов разработчиков и поставщиков данных средств защиты информации и являются актуальными на май 2017 года [29; 30; 31].

8. Таблица 3.1 – Перечень технических средств с указанием стоимости

   Продукт	Кол-во	Цена розничная, 1 шт., руб.	Общая стоимость, руб.
   Право на использование Средства защиты информации Dallas Lock 8.0-K. Сервер безопасности (защита 1–49 серверов/рабочих станций)	1	35000,00	35000,00
   Право на использование Средства защиты информации Dallas Lock 8.0-K. Клиент (сетевой режим работы)	50	5800,00	290000,00
   Право на использование Средства защиты информации Dallas Lock 8.0-K. (автономный режим работы) 5 ПК	4	18000	72000,00
   Дистрибутив ПО Dallas Lock 8.0-K	1	300,00	300,00
   Окончание таблицы 3.1
   Продукт	Кол-во	Цена розничная, 1 шт., руб.	Общая стоимость, руб.
   Программно-аппаратный комплекс СДЗ Dallas Lock (плата PCI) в комплекте с ключами iButton DS1992 (2 шт.)	69	11580,00	799020,00
   Право на использование XSpider 7.8.24, дополнительный хост к лицензии на 64 хоста, гарантийные обязательства в течение 1 года + дистрибутив	1	42000,00	42000,00
   Право на использование XSpider 7.8.24, дополнительный хост к лицензии на 5 хостов, гарантийные обязательства в течение 1 года + дистрибутив	4	25000,00	100000,00
   ПАК VipNet Coordinator HW1000	1	233800,00	233800,00
   ПАК VipNet Coordinator HW50	4	51500,00	206000,00
   Право на использование ПО VipNet Администратор (КС2)	1	77880,00	77880,00
   Дистрибутив ПО VipNet Администратор	1	300,00	300,00
   ИТОГО (SСЗ), руб.			1856300,00

10. В таблице 3.2 представлена стоимость работ по разработке проектной документации и проведении аттестационных испытаний по требованиям безопасности информации. Цены определены условиями контракта.

12. Таблица 3.2 – Работы, проводимые специалистами органа по аттестации

    Продукт	Кол-во	Цена розничная, 1 шт., руб.	Общая стоимость, руб.
    Предварительное обследование ГИС (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств).	1	20000,00	20000,00
    Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации.	1	10000,00	10000,00
    Анализ организационной структуры ГИС и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ.	1	10000,00	10000,00
    Разработка программы и методик аттестационных испытаний	1	15000,00	15000,00
    Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ГИС, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ГИС.	1	20000,00	20000,00
    Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ГИС (за 1 АРМ)	30	3000,00	90000,00
    Окончание таблицы 3.2
    Продукт	Кол-во	Цена розничная, 1 шт., руб.	Общая стоимость, руб.
    Контрольные испытания ГИС на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена	69	1500,00	103500,00
    Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия)	1	15000,00	15000,00
    ИТОГО (SА), руб.			328400,00

14. Таким образом, общая сумма затрат на разработку, внедрение и аттестационные испытания системы защиты информации составляет:

15. S = 1 856 300 + 328 400 = 2 184 700 рублей.

16. 1. Расчет выгоды

18. Выгода (R) – средства, которые удастся сохранить после ввода в эксплуатацию системы защиты персональных данных.

19. Выгоду составляют средства, которые удастся сэкономить от оплаты штрафов за невыполнение требований законодательства Российской Федерации в области информационной безопасности.

20. Контролирующими органами в области информационной безопасности являются: Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и Федеральная служба безопасности (ФСБ).

21. В соответствии со статьей 24 Федерального закона № 152-ФЗ «О персональных данных» [19] за нарушение требований настоящего Федерального закона несут уголовную, административную, дисциплинарную и другую ответственность, предусмотренную законодательством РФ.

22. Для расчета выгоды будем рассматривать только административную ответственность, потому что другие виды ответственности не предполагают финансовых затрат.

23. В соответствии со статьей 13.12 «Нарушение правил защиты информации» Кодекса об административных правонарушениях [8] за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, на юридических лиц налагается штраф до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации.

24. Ввиду того, что операционная система, установленная на рабочих станциях и серверах, имеет встроенные функции безопасности, то каждый используемый для обработки информации компьютер по своей сути является средством защиты информации. Такие средства подвергаются обязательной сертификации на соответствие требованиям информационной безопасности. А так как операционная система Windows компании Microsoft не является сертифицированной, то наступает ответственность по указанной статье Кодекса об административных правонарушениях [8].

25. Средняя стоимость каждого компьютера, используемого для обработки информации в УОДМС, составляет 20 тысяч рублей. Количество таких компьютеров – 62 штук. Таким образом, при конфискации всех компьютеров и наложении штрафа убытки (У1) составят:

26. У1 = 20000 * 62 + 20000 = 1260000 руб.

27. К тому же, при конфискации компьютеров УОДМС не сможет выполнять возложенные на него функции.

28. При обнаружении нарушения при обработке информации, контролирующие органы выдают постановления и предписания на устранение выявленных нарушений. Если проигнорировать предписание и не реализовать систему защиты персональных данных, наступает ответственность по статье 19.5 «Невыполнение в срок законного предписания (постановления, представления, решения) органа, осуществляющего государственный надзор (контроль)» Кодекса об административных правонарушениях [8]. Ответственность по части два указанной стати влечет наложение административного штрафа на юридических лиц в размере от 200 до 500 тысяч рублей.

29. С учетом сложности реализации системы защиты и других факторов, срок выполнения предписания в среднем составляет от четырех до шести месяцев. По истечению срока организуется повторная проверка с целью определения выполнения или невыполнения требований предписания. Если требования не выполнены – налагается повторный штраф и новое предписание с новыми сроками. И так до тех пор, пока юридическое лицо не выполнит требования предписания, причем при повторном невыполнении требований предписания сумма штрафа увеличивается.

30. Таким образом, при первой проверке УОДМС будет оштрафован на 20000 рублей и будут конфискованы компьютеры, то есть убыток составит 1260 тысяч рублей. Будет выдано предписание с требованиями устранить нарушения. Предположим, что УОДМС достал из резервов другие компьютеры и продолжает обработку информации с нарушениями, ведь если не обрабатывать данные, то невозможно производить основную деятельность. При повторной проверке через четыре месяца штраф уже будет составлять 1260000 + 200000 = 1 460 000 рублей. Еще через четыре месяца штраф будет составлять 1260000 + 500000 = 1 760 000 рублей. То есть за 2017 год УОДМС потеряет уже 1260000 + 1460000 + 1760000 = 4 480 000 рублей.

31. Штрафы продолжаются и далее. Тогда за 2018 год размер штрафов будет составлять 5 280 000 рублей. Следующие года – аналогично.

32. Более подробно и наглядно ущерб от невыполнения требований по защите персональных данных представлен в таблице 3.3.

33. Таблица 3.3 – Штрафные санкции за невыполнение требований по защите информации

    Период		2017		2018		2019		2020		2021
    Штрафные санкции	Конфискация оборудования + 1штраф		1240000 + 20000		1240000 + 500000		1240000 + 500000		1240000 + 500000		1240000 + 500000
    	Конфискация оборудования + 2штраф		1240000 + 200000		1240000 + 500000		1240000 + 500000		1240000 + 500000		1240000 + 500000
    	Конфискация оборудования + 3штраф		1240000 + 500000		1240000 + 500000		1240000 + 500000		1240000 + 500000		1240000 + 500000
    Итого		1260000		1460000		1760000		1760000		1760000

34. 1. Расчет периодических затрат

36. Периодические затраты (З) – средства, необходимые для поддержания системы защиты информации в рабочем состоянии (продление лицензий на средства защиты информации, зарплата администратора безопасности и прочее).

37. Лицензии на выбранные средства защиты информации являются бессрочными, поэтому нет необходимости тратить средства на их продление.

38. Администратор безопасности уже был в штате сотрудников, но в связи с тем, что количество его обязанностей возросло, то необходимо увеличить его заработную плату. Размер прибавки найдем по формуле (3.2):

39. П = О (1 + k) * t, (3.2)

40. где О – оклад администратора до повышения (25000);

41. k – дальневосточный и районный коэффициенты (30% и 20%);

42. t – время, потраченная на выполнение обязанностей (чел/мес).

43. Для поддержания работоспособности системы защиты администратору безопасности необходимо выполнять предусмотренные планом мероприятия по обеспечению безопасности информации. Затраты времени на выполнение мероприятий в совокупности составляют примерно один день в месяц. Исходя из того, что в месяце в среднем 22 рабочих дня, время t составит:

45. Теперь, определим П по формуле (3.2).

47. Соответственно, сумма затрат за целый год составит З = 1687,5 * 12 = 20250 рублей.

48. 1. Расчет нормы дисконта

50. Ставка дисконтирования (N) – показатель, позволяющий учесть неравноценность денежных потоков, возникающих в различные моменты времени.

51. Ставка дисконтирования без учета риска проекта рассчитывается как номинальная процентная ставка по формуле Ирвинга Фишера, связывающей номинальную, реальную ставки процента и темп инфляции, по формуле (3.3):

52. , (3.3)

53. где R – реальная процентная ставка (ставка рефинансирования) (11%);

54. I – прогноз темпа инфляции на 2016 год (10.4%).

55. Данная формула является приближенной. При высоких темпах инфляции необходимо использовать более точную формулу:

56. .

57. 1. Расчет чистого дисконтированного дохода и индекса доходности

59. Чистый дисконтированный доход (NPV, Net Present Value) – показывает эффективность вложения в проект: величину денежного потока в течение срока его реализации и приведенную к текущей стоимости (дисконтирование).

60. Инвестиционный проект считается прибыльным, если значение чистого дисконтированного дохода (NPV) является положительным.

61. Чистый дисконтированный доход рассчитывается по следующей формуле (3.4):

62. , (3.4)

63. где R – выгода;

64. З – затраты на внедрение и поддержку средства защиты информации;

65. N – ставка дисконтирования;

66. T – количество временных периодов, равных одному году.

67. Определим NPV за период с 2016 по 2020 год.

69. Теперь рассчитаем индекс доходности (PI).

70. Индекс доходности (PI, profitability index) – показатель эффективности инвестиции, представляющей собой отношение дисконтированных доходов к размеру инвестиционного капитала.

71. Инвестиции являются эффективными, если значение индекса доходности больше единицы.

72. Индекс доходности рассчитывается по следующей формуле (3.5):

73. , (3.5)

74. где R – выгода;

75. З – затраты на внедрение и поддержку средства защиты информации;

76. N – ставка дисконтирования;

77. T – количество временных периодов, равных одному году.

79. В итоге получается:

82. Таким образом, внедрение системы защиты персональных данных экономически эффективно.

83. Промежуточные расчеты представлены в таблице 3.4.

89. Таблица 3.4 – Промежуточные расчеты

90. Период		2017	2018	2019	2020	2021
    Затраты	Затраты на создание СЗИ	1302880	0	0	0	0
    	Промежуточные затраты	20250	20250	20250	20250	20250
    	Итого	1323130	20250	20250	20250	20250
    Выгода	Штрафы	2560000	3360000	3360000	3360000	3360000
    Прогноз темпа инфляции		10,4	8,6	6,8	6,2	6,5
    Ставка дисконтирования		22,544	20,546	18,548	17,882	18,215
    NPVt		1257120	155005,6	8739,957	496,1009	24,49923

92. Безопасность жизнедеятельности. Разработка мероприятий по пожарной безопасности в УОДМС

93. 1. Пожар. Фазы развития пожара. Физико-химические процессы, протекающие при пожаре

95. Пожар – неконтролируемое горение, причиняющее материальный ущерб, вред жизни и здоровью людей, интересам общества и государства.

96. Пожар делится на три фазы:

• I фаза – стадия возгорания. В течение первой фазы происходит линейное распространение огня вдоль горючего вещества или материала;

• II фаза – стадия объемного развития пожара. В течение второй фазы происходит бурный процесс развития пожара, с быстрым темпом повышения среднеобъемной температуры (до 50 ^оС в 1 мин). Огонь распространяется не поверхностно, а дистанционно, через воздушные разрывы;

• III фаза – стадия затухания. В течение третьей фазы происходит догорание в виде медленного тления.

1. Горение представляет собой сложный физико-химический процесс превращения материалов и горючих веществ в продукты горения, который сопровождается обильным выделением тепла и светового излучения.

2. В основе горения лежат химические реакции окисления горючих материалов кислородом с образованием углекислого газа.

3. Различают два основных вида горения: гомогенное и гетерогенное.

4. При гомогенном (пламенном) горении окислитель и горючее находятся в газовой фазе. Гомогенное горение имеет место при сгорании горючего газа или газовых сред, образующихся при испарении горючих жидкостей или при плавлении, разложении, испарении или выделении газообразных фракций в результате нагрева твердых веществ. Полученная любым из этих превращений газообразная среда смешивается с воздухом и горит.

5. При гетерогенном (беспламенном) горении горючее находится в твердом состоянии, а окислитель – в газообразном. Процесс горения происходит в твердой фазе и проявляется в покраснении твердого вещества в результате экзотермических реакций окисления.

6. На пожарах роль окислителя при горении чаще всего выполняет кислород воздуха, окружающего зону протекания химических реакций, поэтому интенсивность горения определяется не скоростью протекания этих реакций, а скоростью поступления кислорода из окружающей среды в зону горения.

7. 1. Мероприятия по обеспечению пожарной безопасности

9. В соответствии со ст. 1 Федерального закона от 22.07.2008 № 123-ФЗ «Технический регламент о требованиях пожарной безопасности» [17] здания образовательных учреждений, преимущественно являющихся государственным или муниципальным имуществом, имеют статус объектов защиты, что предполагает установление к ним требований пожарной безопасности для предотвращения пожара и защиты людей при пожаре.

10. Пожарная безопасность объекта защиты – состояние объекта защиты, характеризуемое возможностью предотвращения возникновения и развития пожара, а также воздействия на людей и имущество опасных факторов пожара (ст. 1 [17]).

11. В пятой статье [17] определено, что каждый объект защиты должен иметь систему обеспечения пожарной безопасности.

12. Целью создания системы обеспечения пожарной безопасности объекта защиты является предотвращение пожара, обеспечение безопасности людей и защита имущества при пожаре.

13. Система обеспечения пожарной безопасности объекта защиты включает в себя систему предотвращения пожара, систему противопожарной защиты, комплекс организационно-технических мероприятий по обеспечению пожарной безопасности.

14. Меры пожарной безопасности включают в себя мероприятия, направленные на предотвращение пожара, на обнаружение пожара в начальной стадии и оповещению людей, на обеспечение быстрой и безопасной эвакуации людей из здания, на использование первичных средств пожаротушения, ограничение распространения пожара и обеспечение деятельности пожарных подразделений, прибывших для проведения спасательных работ и тушения пожара.

15. Для исключения условий образования горючей среды необходимо произвести следующие мероприятия:

• осмотр чердачного помещения, технического этажа, подвала, венткамер на предмет соблюдения режима их содержания, уборки;

• осмотр технических помещений, бойлерных, мастерских, кладовых на предмет соблюдения порядка хранения материалов, оборудования, соблюдения режима содержания помещений, уборки от отходов и мусора;

• инвентаризация, утилизация (вывоз) списанного инвентаря, мебели, документации;

• демонтаж, замена деревянных (сгораемых) перегородок на негорючие;

• демонтаж, замена горючей отделки стен в актовом зале на негорючую отделку;

• демонтаж горючего покрытия пола на путях эвакуации, замена на негорючее покрытие (сертифицированный материал);

• организация проверки качества огнезащитной обработки (пропитки) сгораемых декораций и конструкций сцены;

• установление (контроль) порядка хранения, оборота, применения легковоспламеняющихся и горючих жидкостей для экспериментальных исследований (в учебном процессе), ограничение хранения, применения легковоспламеняющихся и горючих жидкостей для хозяйственных нужд;

• выделение специализированных (изолированных) помещений под архив, под кладовую хозяйственного инвентаря, заполнение дверных проемов архива, кладовой противопожарными дверями (сертифицированные двери) с нормируемым пределом огнестойкости;

• установление порядка уборки горючих отходов и пыли.

1. Для исключения условий образования в горючей среде (или внесения в неё) источников зажигания необходимо произвести следующие мероприятия:

• постановка на учет всех бытовых электроприборов, имеющихся в учреждении (электрочайники, микроволновые печи, телевизоры, холодильники, утюги, кондиционеры, электрорадиаторы и т.п.), определение сроков и проведение профилактического осмотра на предмет наличия негорючих подставок (электрочайники, утюги), отсутствия внешних повреждений (неисправностей), соответствия сроков эксплуатации электроприборов, срокам, установленным инструкциями по эксплуатации;

• выявление нестандартных (самодельных) нагревательных устройств, случаев использования кабелей, проводов с поврежденной или потерявшей защитные свойства изоляцией, случаев пользования поврежденными (неисправными) розетками, выключателями, рубильниками и другими электроустановочными изделиями, случаев использования штепсельных розеток для подвешивания одежды и других предметов, случаев эксплуатации электрических светильников со снятыми колпаками, случаев устройства и эксплуатация временных электросетей, случаев нового подключения различных токоприемников (электродвигателей, нагревательных приборов и т.д.) (должны производиться только после проведения соответствующих расчетов, допускающих возможность таких подключений);

• замена всего электрооборудования (проводка, выключатели, плафоны) в варочном цехе столовой на электрооборудование со степенью защиты «влагозащищенное»;

• замена всего электрооборудования в производственных мастерских на электрооборудование «пылезащищенное»;

• замена всего электрооборудования в помещениях, выделяемых под архив, под кладовую хозяйственного инвентаря на электрооборудование с соответствующей степенью защиты;

• определение порядка хранения материалов в помещениях архива, кладовой хозяйственного инвентаря (осветительная электросеть должна быть смонтирована так, чтобы светильники находились на расстоянии не менее 0,5 м от поверхности горючих материалов (тары в складских помещениях);

• установление порядка и контроль за проведением в учреждении огневых, электрогазосварочных и других пожароопасных работ, контроль за применением (установление запрета) открытого огня (спиртовки, керосиновые лампы, свечи, пиротехника, спички);

• определение и оборудование мест для курения;

• определение порядка обесточивания электрооборудования по окончании рабочего дня;

• проведение специализированной организацией профилактического осмотра силовой и осветительной электросетей и электрооборудования с последующим замером сопротивления изоляции электросетей;

1. Данные мероприятия заключаются в обеспечении своевременного обнаружения пожара и, в частности, места его возникновения. Для этого на объектах образовательных учреждений используются автоматические установки пожарной сигнализации.  Основными элементами автоматических установок являются пожарные извещатели, устанавливаемые в защищаемых помещениях, приёмно-контрольные приборы и станции, принимающие сигнал от пожарных извещателей о наличии признаков пожара, линии связи, источники питания, звуковые или световые сигнальные устройства.

2. При выборе типов пожарных извещателей, приемно-контрольных приборов и приборов управления необходимо руководствоваться задачами, для выполнения которых предназначается система пожарной автоматики как составная часть системы пожарной безопасности объекта в соответствии с ГОСТ 12.1.004 [28]:

• обеспечение пожарной безопасности людей;

• обеспечение пожарной безопасности материальных ценностей;

• обеспечение пожарной безопасности людей и материальных ценностей.

1. Технические средства обнаружения пожара и формирования сигнала управления должны формировать сигналы управления для включения средств оповещения и управления эвакуацией — за время, обеспечивающее эвакуацию людей до наступления предельных значений опасных факторов пожара.

2. Пожарные извещатели подразделяются на ручные и автоматические. В свою очередь автоматические делятся на тепловые, дымовые, световые, ультразвуковые и комбинированные.

3. Тепловые извещатели реагируют на избыточную температуру среды. Их чувствительными элементами являются биметаллические пластинки или спирали, пружинящие пластинки со спаянными легкоплавким припоем концами, терморезисторы (полупроводниковые сопротивления), термопары и др.

4. В извещателях, реагирующих на дым, чувствительными элементами являются фотоэлементы или ионизационные камеры с радиоактивными веществами. В основе действия фотоэлектрических извещателей лежит реализация эффекта отражения света от частиц дыма. Принцип действия ионизационного извещателя основан на изменении электрической проводимости среды, облучённой радиоактивным источником в результате заполнения её дымом.

5. В световых извещателях фотоэлемент реагирует на ультрафиолетовую или инфракрасную часть спектра пламени.

6. Ультразвуковые извещатели регистрируют сигналы возмущения активного ультразвукового поля в закрытом помещении при возникновении открытого пламени или турбулентных тепловых потоков.

7. Пожарные извещатели ручного действия бывают кнопочные и кодовые и в основном применяются для дублирования извещателей автоматического действия.

8. В случае возникновения пожара необходимо обеспечить выполнение установленного алгоритма (порядка) действий при пожаре.

9. Руководитель учреждения, сотрудники и обслуживающий персонал в случае возникновения пожара или его признаков (дыма, запаха горения или тления различных материалов и т.п.), а также каждый гражданин обязаны:

• немедленно сообщить об этом по телефону в пожарную охрану (при этом необходимо назвать адрес объекта, место возникновения пожара, а также сообщить свою фамилию);

• принять посильные меры по эвакуации людей и тушению пожара.

1. Оповещение и управление эвакуацией людей при пожаре должно осуществляться одним из следующих способов или их комбинацией:

• подачей звуковых или световых сигналов во все помещения здания с постоянным или временным пребыванием людей;

• трансляцией текстов о необходимости эвакуации, путях эвакуации, направлении движения и других действиях, направленных на обеспечение безопасности людей;

• трансляцией специально разработанных текстов, направленных на предотвращение паники и других явлений, усложняющих эвакуацию;

• размещением эвакуационных знаков безопасности на путях эвакуации;

• включением эвакуационных знаков безопасности;

• включением эвакуационного освещения;

• дистанционным открыванием дверей эвакуационных выходов (например, оборудованных электромагнитными замками);

• оборудованием дверей эвакуационных выходов запорами, обеспечивающими возможность свободного открывания дверей без ключа;

• обеспечением открывания дверей эвакуационных выходов (наружу по направлению выхода из здания).

1. Для обеспечения реализации задач, выполняемых системой оповещения и управления эвакуацией людей при пожаре, необходимо провести следующие организационные мероприятия:

• нормировать численность людей в учреждении по условиям безопасности их при пожаре;

• определить порядок ежедневного контроля за состоянием, содержанием эвакуационных путей (коридоры, лестничные клетки, тамбуры, фойе, холлы, вестибюли) и выходов, эвакуационных знаков пожарной безопасности (указывающих направление движения), светоуказателей «выход», эвакуационного (аварийного) освещения, ручных электрических фонарей, содержанием аварийных выходов (аварийные люки, двери, а также выходы, не отвечающие требованиям, предъявляемым к эвакуационным выходам), средств телефонной связи;

• разработать (скорректировать) и утвердить план эвакуации людей при пожаре;

• разработать (скорректировать) и утвердить инструкции о действиях персонала по эвакуации людей при пожаре.

• периодически проводить практическое занятие по отработке плана эвакуации людей при пожаре, инструкции о действиях персонала по эвакуации людей при пожаре.

1. 1. Обеспечение учреждения первичными средствами пожаротушения. Действия персонала при возникновении пожара

3. Первичные средства пожаротушения предназначены для использования работниками организаций, личным составом подразделений пожарной охраны и иными лицами в целях борьбы с пожарами и подразделяются на следующие типы:

• переносные и передвижные огнетушители;

• пожарные краны и средства обеспечения их использования;

• пожарный инвентарь;

• покрывала для изоляции очага возгорания.

1. Для оснащения объекта защиты первичными средствами пожаротушения необходимо произвести:

• выбор типа и расчет необходимого количества, определение мест расположения (огнетушителей) первичных средств пожаротушения (закрепление мест расположения в плане эвакуации, в приказе по учреждению) сколько огнетушителей на этаж, в каких местах и на каких расстояниях они должны быть установлены;

• определение лица, ответственного за приобретение, сохранность, повседневный контроль состояния огнетушителей, постоянную готовность огнетушителей к действию;

• организацию учета, проверки наличия и состояния огнетушителей (ведение журнала учета огнетушителей);

• организацию перезарядки (создание резервного фонда огнетушителей) и технического обслуживания огнетушителей в специализированных организациях (согласно требованиями, изложенными в паспортах заводов-изготовителей, и утвержденными в установленном порядке регламентами технического обслуживания огнетушителей каждого типа).

1. Расчет необходимого количества ручных огнетушителей для зданий образовательных учреждений производится по общим правилам, изложенным в приложении №1 к Правилам противопожарного режима Российской Федерации [9]. Поскольку основную горючую нагрузку в указанных зданиях составляют твердые горючие вещества, помещения необходимо обеспечивать преимущественно порошковыми огнетушителями из расчета один огнетушитель вместимостью от четырех до пяти литров на 200 кв. метров площади, либо вместимостью от двух до трех литра на 100 кв. метров площади, но не менее двух огнетушителей на этаж. Расстояние от возможного очага пожара до места размещения огнетушителя не должно превышать 20 метров.

2. Мероприятия по оборудованию объекта первичными средствами пожаротушения становятся обязательными, если они направлены на предотвращение развития пожара до значений, опасных для людей, и для применения первичных средств пожаротушения имеются необходимые резервы времени.

3. Категорически запрещается тушение водой ряда веществ и жидкостей (натрий, бензин, керосин), а также электрооборудования, находящегося под напряжением. Поэтому в химических и физических лабораториях, в производственных мастерских должны быть соответствующие средства тушения огня, например, такие как порошковый огнетушитель, асбестовая кошма, песок.

Заключение

3. Разработанный профиль защиты информации для государственной информационной системы «МИРС 49» Управления по обеспечению деятельности мировых судей в соответствии с требованиями нормативно-правовых актов, национальных стандартов и других методических документов обеспечивает безопасность информации при ее обработке.

4. Предложенные к применению технические средства и системы являются сертифицированными и соответствуют требованиям ФСТЭК и ФСБ по классу защищенности средства и уровню контроля недекларированных возможностей.

5. Таким образом, разработанные организационные и технические решения позволяют поддерживать установленный класс защищенности государственной информационной системы в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах утвержденными приказом ФСТЭК России от 11.02.2013 г. № 17 [6].

Список использованных источников

1. Меры защиты информации в государственных информационных системах // Методический документ ФСТЭК от 11.02.2014 г. // [сайт] URL: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument.

2. Требования к средствам контроля съемных машинных носителей информации // Приказ ФСТЭК от 28.07.2014 № 87.

3. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнение установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности // Приказ ФСБ от 10.07.2014 г. № 378.

4. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных // Приказ ФСТЭК №21 от 18.02.2013 г. // [сайт] URL: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21.

5. Требования к средствам доверенной загрузки // Приказ ФСТЭК от 27.09.2013 № 119.

6. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах // Приказ ФСТЭК от 11.02.2013 г. № 17. // [сайт] URL:

http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17

1. Требования к защите персональных данных при их обработке в информационных системах персональных данных от 01.11.2012 г. № 1119 // Справочная правовая система КонсультантПлюс: [сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_137356/.

2. Кодекс РФ об Административных правонарушениях. М. : Издательство «Омега-Л», 2012. 368 с.

3. О противопожарном режиме // Правила противопожарного режима в РФ от 25.04.2012 №390 // Справочная правовая система Гарант: [сайт]. URL: http://www.garant.ru/products/ipo/prime/doc/70070244/.

4. Системы противопожарной защиты. Установки пожарной сигнализации и пожаротушения автоматические. Нормы и правила проектирования // Приказ МЧС РФ от 25.03.2009 г. № 175 // Справочная правовая система Гарант: [сайт]. URL: http://base.garant.ru/195658/.

5. Системы противопожарной защиты внутренний противопожарный водопровод. Требования пожарной безопасности // Приказ МЧС от 25.03.2009 г. № 180// Справочная правовая система Гарант: [сайт]. URL: http://base.garant.ru/195653/

6. Методический документ «Методика определения угроз безопасности информации в информационных системах» // Проект ФСТЭК России // URL: http://fstec.ru/component/attachments/download/812.

7. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных // Приказ ФСБ России от 21.02.2008 г. № 149/6/6-622.

8. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации // Приказ ФСБ от 21.02.2008 г. № 149/5-144.

9. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах // Методика ФСТЭК 14.02. 2008 г.

10. Вечканов, Г.С. Макроэкономика [Текст] / Г.С. Вечканов, Г.Р. Вечканова - СПб.: Питер, 2008 – 240 с.

11. Технический регламент о требованиях пожарной безопасности ФЗ от 20.07.2008 г. № 123-ФЗ // Справочная правовая система КонсультантПлюс: [сайт]. URL: http://www.consultant.ru/ document/cons_doc_LAW_78699/.

12. Об информации, информационных технологиях и о защите информации: ФЗ от 27.07.2006 г. № 149-ФЗ // Справочная правовая система КонсультантПлюс:[сайт]. URL: http://www.consultant.ru/ document /cons_doc_LAW_61798/.

13. О персональных данных : ФЗ от 27.07.2006 г. № 152-ФЗ // Справочная правовая система КонсультантПлюс:[сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_61801/.

14. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» // Приказ Гостехкомиссии от 30.08.2002 г. №282.

15. Доктрина информационной безопасности РФ от 05.12.2016 г. № Ук-646// Банк документов на официальном сетевом ресурсе Президента России: [сайт]. URL: http://kremlin.ru/acts/bank/41460.

16. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов : РД 50-34.698-90. Введ. 27.12.1990 г.

17. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания : ГОСТ 34.601-90. Введ. 29.12.1990 г. № 3469.

18. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения : ГОСТ 34.003-90. Введ. 27.12.1990 г. № 3399.

19. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы : ГОСТ 34.602-89. Введ. 24.03.1989 г. №661.

20. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем : ГОСТ 34.201-89. Введ. 24.03.1989 № 664.

21. О пожарной безопасности ФЗ от 21.12.1994 г. № 69-ФЗ // Справочная правовая система КонсультантПлюс: [сайт]. URL:

http://www.consultant.ru/document/cons_doc_LAW_5438/.

1. Система стандартов безопасности труда. Пожарная безопасность. Общие требования : ГОСТ 12.1.004. Введ. 14.12.1991 г. № 875.

1. URL: http://www.dallaslock.ru/ – официальный сайт средства защиты от несанкционированного доступа и средства контроля съемных машинных носителей Dallas Lock компании ООО «Конфидент».

2. URL: http://www.ptsecurity.ru/ – официальный сайт средства анализа защищенности XSpider 7.8.24 компании ООО «Позитив Технолоджис».

3. URL: http://www.infotecs.ru/ – официальный сайт средства криптографической защиты и межсетевого экранирования VipNet Coordinator HW и VipNet Администратор компании ОАО «ИнфоТеКС».

1. О техническом регулировании ФЗ от 27.12.2002 г. № 184-ФЗ // Справочная правовая система КонсультантПлюс: [сайт]. URL:

http://www.consultant.ru/document/cons_doc_LAW_40241/.

Принятые сокращения

2. АРМ	–	автоматизированное рабочее место
   АС	–	автоматизированная система
   ГОСТ	–	государственный стандарт
   ИСПДн	–	информационная система, обрабатывающая персональные данные
   ГИС	–	государственная информационная система
   ЛВС	–	локальная вычислительная сеть
   НДВ	–	не декларированные возможности
   НСД	–	несанкционированный доступ
   ОС	–	операционная система
   ПДн	–	персональные данные
   ПК	–	программный комплекс
   ПО	–	программное обеспечение
   ПЭВМ	–	персональная электронно-вычислительная машина
   РД	–	руководящий документ
   СЗИ	–	система защиты информации
   СКЗИ	–	средства криптографической защиты информации
   СрЗИ	–	средства защиты информации
   ФСБ	–	Федеральная служба безопасности
   ФСТЭК	–	Федеральная служба технического и экспортного контроля

5. Приложение А

8. Заключение по результатам аудита государственной информационной системы управления по обеспечению деятельности мировых судей министерства государственно-правового развития Магаданской области «МИРС 49»

9. (выписка)

12. В информационной системе «МИРС 49» обрабатываются иные и специальные категории ПДн субъектов, не являющихся сотрудниками оператора. Защищаемая информация обрабатывается на 62 АРМ и 7 серверах.

13. ПДн хранятся централизованно на серверах БД, к которым имеют доступ ограниченный перечень лиц.

14. Параметры информационной системы «МИРС 49» представлены в таблице А.1.

15. Таблица А.1 – Параметры информационной системы «МИРС 49»

    Наименование параметра	Значение
    Структура информационной системы	Распределенная
    Архитектура информационной системы	Файл-серверная
    Взаимодействие с иными информационными системами	Осуществляется
    Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена	Имеется
    Размещение технических средств	ТС расположены в пределах нескольких контролируемых зон
    Режим обработки персональных данных	Многопользовательский
    Режим разграничения прав доступа пользователей	Система с разграничением прав доступа
    Разделение функций по управлению информационной системой	Без разделения

17. Окончание таблицы А.1

    Наименование параметра	Значение
    Сегментирование информационной системы	Система c сегментированием
    Местонахождение технических средств информационной системы	Все ТС находятся в пределах Российской Федерации
    Объем обрабатываемых персональных данных	Менее 100 тысяч субъектов персональных данных
    Категории обрабатываемых персональных данных	Иные и специальные категории ПДн

18. Размещение элементов ГИС относительно границ контролируемой зоны для каждого сегмента представлены на рисунка А.1 – А.7.

20. Рисунок А.1 – Размещение элементов ГИС относительно границ контролируемой зоны в сегменте Сусуманского городского округа

23. Рисунок А.2 – Размещение элементов ГИС относительно границ контролируемой зоны в сегменте Ягоднинского городского округа

26. Рисунок А.2 – Размещение элементов ГИС относительно границ контролируемой зоны в сегменте Омсукчанского городского округа

28. Рисунок А.3 – Размещение элементов ГИС относительно границ контролируемой зоны в сегменте Хасынского городского округа

30. Рисунок А.4 – 1 этаж сегмента г. Магадан

33. Рисунок А.5 – 2 этаж сегмента г. Магадан

35. Рисунок А.6 – 3 этаж сегмента г. Магадан

38. Рисунок А.7 – 4 этаж сегмента г. Магадан

39. Приложение Б

42. Модель угроз безопасности информации, обрабатываемой в государственной информационной системе Управления по обеспечению деятельности мировых судей Министерства государственно-правового развития Магаданской области

43. (выписка)

46. Внешние нарушители

47. Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

48. Внешний нарушитель может:

• осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

• осуществлять несанкционированные доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИС.

1. К нарушителям внешнего типа относят:

• специальные службы иностранных государств (блоков государств);

• террористические, экстремистские группировки;

• преступные группы (криминальные структуры);

• внешние субъекты (физические лица);

• конкурирующие организации;

• разработчики, производители, поставщики программных, технических и программно-технических средств;

• бывшие работники (пользователи).

1. Внутренние нарушители

2. Нарушители данного типа обладают наибольшими возможностями по реализации угроз безопасности. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

3. К внутренним нарушителям относятся:

• специальные службы иностранных государств (блоков государств);

• пользователи информационной системы;

• лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;

1. Определение видов и потенциала нарушителей

2. Согласно решению экспертов, были установлены следующие нарушители для проектируемой ГИС «МИРС 49»:

3. Таблица Б.1 – Виды нарушителей, характерные для ГИС «МИРС 49»

   Вид нарушителя	Тип нарушителя	Потенциал
   Внешние субъекты (физические лица)	внешний	Нарушители с базовым (низким) потенциалом
   Пользователи информационной системы	внутренний	Нарушители с базовым (низким) потенциалом
   Бывшие работники (пользователи)	внешний	Нарушители с базовым (низким) потенциалом

4. Таким образом, для информационной системы были определены следющие типы нарушителей:

• внешний, с низким потенциалом;

• внутренний, с низким потенциалом.

1. Приложение В

4. Аналитическое обоснование необходимости создания системы защиты информации государственной информационной системы Управления по обеспечению деятельности мировых судей Министерства государственно-правового развития Магаданской области

5. (выписка)

8. Затраты на технические и программные средства защиты

9. Ориентировочная стоимость предлагаемых к использованию сертифицированных средств защиты информации представлена в таблице В.1.

10. Таблица В.1 – Ориентировочная стоимость предлагаемых технических средств защиты информации

    Продукт	Примерная стоимость, руб.
    Средство защиты от несанкционированного доступа на 62 рабочих мест и семь серверов	1 600 000,00
    Средство анализа защищенности	120 000,00
    Средство межсетевого экранирования и криптографической защиты	1 000 000,00
    ИТОГО, руб.	3 120 000,00

12. Затраты на разработку проектных документов по созданию и внедрению СЗИ

13. К установке и настройке средств защиты информации могут привлекаться специалисты по защиты информации оператора, разработчики информационной системы и специалисты сторонних организаций, специализирующихся на защиты информации. Расчет стоимости работ по установке СЗИ приведен в таблице В.2.

15. Таблица В.2 – Затраты работа на установку и настройки СрЗИ

    № п/п	Продукт	Примерная стоимость, рублей
    	Установка и настройка средств защиты от несанкционированного доступа на 62 рабочих машин и семь серверов	50000,00
    	Установка и настройка средства анализа защищенности	5000,00
    	Установка и настройка средства межсетевого экранированиия и криптографической защиты	90000,00
    ИТОГО:			145 000,00

17. Проведение испытаний системы защиты ГИС «МИРС 49»

18. Проведение испытаний системы защиты ИС сопровождается выдачей документа, подтверждающего соответствие принятых мер защиты в соответствии с классом ГИС.

19. Проведение работ по оценке соответствия требованиям руководящих документов по защите данных в ИС может проводить организация, имеющая лицензию на право проведения работ по защиты конфиденциальной информации. Стоимость работ приведена в таблице В.3.

20. Таблица В.3 – Перечень работ по аттестации информационной системы

    Продукт	Кол-во	Цена 1 шт., рублей	Общая стоимость, рублей
    Предварительное обследование ГИС (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки данных средств).	1	20000,00	20000,00
    Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации.	1	10000,00	10000,00

23. Окончание таблицы В.3

    Продукт	Кол-во	Цена 1 шт., рублей		Общая стоимость, рублей
    Анализ организационной структуры ГИС и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ.	1	10000,00		10000,00
    Разработка программы и методик аттестационных испытаний	1	15000,00		15000,00
    Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ГИС, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ГИС.	1	20000,00		20000,00
    Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ГИС (за 1 АРМ)	69	3000,00		207000,00
    Контрольные испытания ГИС на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена	69	1500,00		103500,00
    Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия)	1	15000,00		15000,00
    ИТОГО, руб			225 000,00

26. Приложение Г

28. 		УТВЕРЖДАЮ
    		Генеральный директор АО «ЛАНИТ-ПАРТНЕР» _________________ В.Л. Ример « ___ » _______________ 2017 г. М.П.

31. Государственная информационная система

32. наименование вида объекта информатизации

34. Государственная информационная система «МИРС 49»

35. наименование объекта информатизации

37. ГИС «МИРС 49»

38. сокращенное наименование ГИС

41. ТЕХНИЧЕСКОЕ ЗАДАНИЕ

42. на создание системы защиты государственной информационной системы управления по обеспечению деятельности мировых судей министерства государственно-правового развития Магаданской области «МИРС 49»

43. (выписка)

47. Хабаровск

48. 2017 г.

49. В таблице Г.1 представлен конечный набор организационных и технических мер, которые необходимо реализовать для каждого сегмента.

50. Таблица Г.1 – Перечень мер по обеспечению безопасности информации

    Условное обозначение и номер меры	Содержание меры защиты информации в ИС
    Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
    ИАФ.1	Идентификация и аутентификация пользователей, являющихся работниками оператора
    ИАФ.2	Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
    ИАФ.3	Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
    ИАФ.4	Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
    ИАФ.5	Защита обратной связи при вводе аутентификационной информации
    Управление доступом субъектов доступа к объектам доступа (УПД)
    УПД.1	Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
    УПД.2	Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
    УПД.3	Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потокам между устройствами, сегментам информационной системы, а также между информационными системами
    УПД.4	Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
    УПД.5	Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
    УПД.6	Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
    УПД.9	Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы
    УПД.10	Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
    УПД.11	Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
    УПД.13	Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
    УПД.17	Обеспечение доверенной загрузки средств вычислительной техники

52. Продолжение таблицы Г.1

    Условное обозначение и номер меры	Содержание меры защиты информации в ИС
    III. Ограничение программной среды(ОПС)
    ОПС.1	Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения
    ОПС.2	Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения
    ОПС.3	Установка (инсталляция) только разрешенного к использования программного обеспечения и (или) его компонентов
    IV Защита машинных носителей (ЗНИ)
    ЗНИ.1	Учет машинных носителей информации
    ЗНИ.2	Управление доступом к машинным носителям информации
    ЗНИ.3	Контроль перемещения машинных носителей информации за пределы контролируемой зоны
    ЗНИ.4	Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах
    ЗНИ.7	Контроль подключения машинных носителей информации
    ЗНИ.8	Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
    V. Регистрация событий безопасности (РСБ)
    РСБ.1	Определение событий безопасности, подлежащих регистрации, и сроков их хранения
    РСБ.2	Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
    РСБ.3	Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения
    РСБ.4	Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
    РСБ.5	Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
    РСБ.6	Генерирование временных меток и (или) синхронизация системного времени в информационной системе
    РСБ.7	Защита информации о событиях безопасности
    VI. Антивирусная защита (АВЗ)
    АВЗ.1	Реализация антивирусной защиты
    АВЗ.2	Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

54. Продолжение таблицы Г.1

    Условное обозначение и номер меры	Содержание меры защиты информации в ИС
    VII. Обнаружение вторжений (СОВ)
    СОВ.1	Обнаружение вторжений
    СОВ.2	Обновление базы решающих правил
    VIII. Контроль (анализ) защищенности информации (АНЗ)
    АНЗ.1	Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
    АНЗ.2	Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
    АНЗ.3	Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
    АНЗ.4	Контроль состава технических средств, программного обеспечения и средств защиты информации
    АНЗ.5	Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе
    IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ)
    ОЦЛ.1	Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
    ОЦЛ.2	Контроль целостности информации, содержащейся в базах данных информационной системы
    ОЦЛ.3	Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций
    ОЦЛ.4	Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)
    ОЦЛ.5	Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы
    ОЦЛ.6	Ограничение прав пользователей по вводу информации в информационную систему
    ОЦЛ.7	Контроль точности, полноты и правильности данных, вводимых в информационную систему
    X. Обеспечение доступности информации (ОДТ)
    ОДТ.4	Периодическое резервное копирование информации на резервные машинные носители информации
    ОДТ.5	Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала

56. Продолжение таблицы Г.1

    Условное обозначение и номер меры	Содержание меры защиты информации в ИС
    XII. Защита технических средств (ЗТС)
    ЗТС.2	Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
    ЗТС.3	Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
    ЗТС.4	Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
    XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
    ЗИС.3	Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
    ЗИС.4	Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)
    ЗИС.7	Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода
    ЗИС.10	Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам
    ЗИС.11	Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
    ЗИС.15	Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации
    ЗИС.16	Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов
    ЗИС.21	Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы

58. Окончание таблицы Г.1

    Условное обозначение и номер меры	Содержание меры защиты информации в ИС
    ЗИС.23	Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
    ЗИС.28	Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы
    Меры в соответствии с требованиями ФСБ
    1	Осуществлять хранение съемных машинных носителей информации в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками
    2	Осуществлять поэкземплярный учет машинных носителей, который достигается путем ведения журнала учета носителей с использованием регистрационных (заводских) номеров

62. Приложение Д