3. Аналитическое обоснование (Разработка профиля защиты информации в государственной информационной системе)
Описание файла
Файл "3. Аналитическое обоснование" внутри архива находится в следующих папках: Разработка профиля защиты информации в государственной информационной системе, Приложения. Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "3. Аналитическое обоснование"
Текст из документа "3. Аналитическое обоснование"
УТВЕРЖДАЮ | ||
Генеральный директор АО «ЛАНИТ-ПАРТНЕР» _________________ В.Л. Ример « ___ » _______________ 2017 г. М.П. |
АНАЛИТИЧЕСКОЕ ОБОСНОВАНИЕ НЕОБХОДИМОСТИ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ УПРАВЛЕНИЯ ПО ОБЕСПЕЧЕНИЮ ДЕЯТЕЛЬНОСТИ МИРОВЫХ СУДЕЙ МИНИСТЕРСТВА ГОСУДАРСТВЕННО-ПРАВОВОГО РАЗВИТИЯ МАГАДАНСКОЙ ОБЛАСТИ «МИРС 49»
Хабаровск
2017 г.
СОДЕРЖАНИЕ
1. Термины и определения 3
2. Принятые обозначения и сокращения 7
3. Общие положения 8
4. Описание объекта информатизации 9
4.2. Информационная характеристика ГИС «МИРС 49» 9
5. Технологическая информация 11
5.1. Характеристика комплекса ОТСС и программного обеспечения, применяемого для обработки информации в ГИС 11
5.2. Автоматизированное рабочее место Администратора ГИС «МИРС 49» 37
6. Порядок обработки информации в ГИС «МИРС 49» 38
6.1. Режим обработки информации 39
6.2. Технологический процесс обработки информации 40
7. Актуальные угрозы безопасности информации и меры по их нейтрализации 41
8. Технические средства зашиты информации, предлагаемые для использования в ГИС Управления 44
9. Обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации 45
10. Оценка материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты ГИС Управления. 45
10.1. Затраты на технические и программные средства защиты 45
10.3. Проведение испытаний системы защиты ГИС «МИРС 49» 47
11. Ориентировочные сроки разработки и внедрения 48
12. Приложение А. Конфигурация и топология ЛВС ГИС «МИРС 49» 49
13. Приложение Б. Размещение элементов относительно границ КЗ 51
-
Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизированной деятельности определенного вида.
Администратор автоматизированной системы – лицо, ответственное за функционирование автоматизированной информационной системы в установленном штатном режиме работы.
Администратор защиты (безопасности) информации – лицо, ответственное за защиту автоматизированной информационной системы от несанкционированного доступа к информации.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Доступ к информации – возможность получения информации и ее использования.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Объект защиты информации - информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Средства защиты информации – технические, программные средства, вещества и (или) материал, предназначенные или используемые для защиты информации.
Средства криптографической защиты информации – аппаратные, программные и программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые обозначения и сокращения
АРМ |
|
БД |
|
ГИС |
|
ГИС |
|
КЗ |
|
ЛВС |
|
НСД |
|
ОС |
|
ОТСС |
|
ПДн |
|
ПО |
|
ПЭВМ |
|
СЗИ |
|
СКЗИ |
|
СрЗИ |
|
ТЗ |
|
ФСТЭК | Федеральная служба по техническому и экспортному контролю |
-
Общие положения
Необходимостью создания СЗИ государственной информационной системы Управления по обеспечению деятельности мировых судей (далее – Управление) является обеспечение требуемого уровня защищённости обрабатываемой информации в государственных информационных системах.
СЗИ представляет собой совокупность организационных и технических мер для защиты информации, обрабатываемой в информационной системе, от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней.
Система защиты должна обеспечивать:
-
защиту ГИС от вмешательства посторонних лиц в процесс её функционирования (возможность использования ГИС и доступ к её ресурсам должны иметь только зарегистрированные установленным порядком пользователи);
-
предоставление возможности доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным зарегистрированным пользователям ГИС для выполнения возложенных на них функций, то есть защиту от несанкционированного доступа к информации, циркулирующей в ГИС, средствам вычислительной техники сегментов, аппаратным и программным средствам защиты, используемым в ГИС;
-
регистрацию действий пользователей при использовании защищаемых ресурсов ГИС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;
-
контроль целостности (обеспечение неизменности) среды исполнения программ и её восстановление в случае нарушения;
-
защиту от несанкционированной модификации и контроль целостности используемых в ГИС программных средств, а также защиту системы от внедрения несанкционированных программ;
-
защиту информации, хранимой, обрабатываемой или передаваемой по каналам связи, от несанкционированного разглашения или искажения;
-
своевременное выявление источников угроз безопасности информации, причины и условия, способствующие нанесению ущерба Управлению и субъектам персональных данных, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
-
создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидацию последствий нарушения безопасности информации.
-
Описание объекта информатизации
Управление по обеспечению деятельности мировых судей (далее – УОДМС) является структурным подразделением министерства государственно-правового развития Магаданской области (далее – МГПР).