4. Техническое задание (Разработка профиля защиты информации в государственной информационной системе)
Описание файла
Файл "4. Техническое задание" внутри архива находится в следующих папках: Разработка профиля защиты информации в государственной информационной системе, Приложения. Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "4. Техническое задание"
Текст из документа "4. Техническое задание"
УТВЕРЖДАЮ | ||
Генеральный директор АО «ЛАНИТ-ПАРТНЕР» _________________ В.Л. Ример « ___ » _______________ 2017 г. М.П. |
Государственная информационная система
наименование вида объекта информатизации
Государственная информационная система «МИРС 49»
наименование объекта информатизации
ГИС «МИРС 49»
сокращенное наименование ГИС
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на создание системы защиты государственной информационной системы управления по обеспечению деятельности мировых судей министерства государственно-правового развития Магаданской области «МИРС 49»
На 45 листах
Хабаровск
2017 г.
СОДЕРЖАНИЕ
1. Термины и определения 4
2. Принятые обозначения и сокращения 8
3. Назначение и цели создания СЗИ 9
3.1. Назначение СЗИ 9
3.2. Цели создания СЗИ 9
4. Параметры информационной системы Управления 10
5. Требования к СЗИ 12
5.1 Общие требования 12
5.2 Требования для обеспечения 3 класса защищенности ГИС 14
5.3 Адаптация базового набора мер 18
5.4 Уточнение адаптированного базового набора мер 19
5.5 Дополнение уточненного адаптированного базового набора мер 31
5.6 Конечный набор мер и средств защиты информации в соответствии с актуальными угрозами 32
6. Требования к СЗИ 37
6.1 Общие требования 37
6.2 Требования к вариантам исполнения системы 38
6.3 Требования к режимам функционирования системы 38
6.4 Требования к численности и квалификации персонала, режиму его работы 38
6.4.1 Требования к квалификации администратора безопасности 38
6.4.2 Требования к квалификации пользователя ГИС 39
6.4.3 Порядок подготовки персонала, контроль знаний и навыков 39
6.5 Показатели назначения 39
6.6 Требования к надежности 39
6.7 Требования к безопасности 40
6.8 Требования к эргономике и технической эстетике 40
6.9 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗИ 40
6.10 Требования к защите информации от несанкционированного доступа 40
6.11 Требования к сохранности информации при авариях 41
6.12 Требования к защите от влияний внешних воздействий 41
6.13 Требования к патентной чистоте 41
6.14 Требования к стандартизации и унификации 41
7. Требования к видам обеспечения 42
7.1 Требования к программному обеспечению 42
7.2 Требования к средствам защиты информации 42
7.3 Требования к организационно-распорядительной документации 43
-
Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизированной деятельности определенного вида.
Администратор автоматизированной системы – лицо, ответственное за функционирование автоматизированной информационной системы в установленном штатном режиме работы.
Администратор защиты (безопасности) информации – лицо, ответственное за защиту автоматизированной информационной системы от несанкционированного доступа к информации.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Доступ к информации – возможность получения информации и ее использования.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Объект защиты информации - информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Средства защиты информации – технические, программные средства, вещества и (или) материал, предназначенные или используемые для защиты информации.
Средства криптографической защиты информации – аппаратные, программные и программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые обозначения и сокращения
АРМ |
|
БД |
|
ГИС |
|
ГИС |
|
КЗ |
|
ЛВС |
|
НСД |
|
ОС |
|
ОТСС |
|
ПДн |
|
ПО |
|
ПЭВМ |
|
СЗИ |
|
СКЗИ |
|
СрЗИ |
|
ТЗ |
|
ФСТЭК |
|
-
Назначение и цели создания СЗИ
-
Назначение СЗИ
Назначением СЗИ является обеспечение безопасности информации, обрабатываемой в государственной информационной системе управления по обеспечению деятельности мировых судей министерства государственно-правового развития Магаданской области «МИРС 49» (далее – Управление).
СЗИ призвана обеспечить конфиденциальность, целостность и доступность информации при ее обработке в ГИС.
Объектом защиты является ГИС «МИРС 49», параметры и структурно-функциональные характеристики которой описаны в разделе 4 настоящего ТЗ.
-
Цели создания СЗИ
Целями создания СЗИ являются:
-
обеспечение защищенности ГИС в процессе обработки и хранения информации, обеспечение конфиденциальности информации при ее обработке, а также целостности и доступности;
-
обеспечение установленного уровня защищенности информации, обрабатываемой в ГИС;
-
соответствие «Требованиям к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 01.11.2012 № 1119;
-
соответствие требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и выполнение мер в соответствии с «Методическим документом: Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК 11.02.2014;
-
соответствие «Требованиям о защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах», утвержденных приказом ФСТЭК России от 11.02.2013№ 17;
-
соответствие Федеральному закону Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
В результате СЗИ должна обеспечивать:
-
защиту от вмешательства в процесс функционирования ГИС посторонних лиц (возможность использования сегментов ГИС и доступ к их ресурсам должны иметь только зарегистрированные установленным порядком пользователи);
-
разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам ГИС, то есть защиту от несанкционированного доступа: к информации, циркулирующей в ГИС, к средствам вычислительной техники сегментов ГИС, программным средствам защиты, используемым в ГИС;
-
регистрацию действий пользователей при использовании защищаемых ресурсов ГИС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;
-
защиту информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
-
своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба Управлению и субъектам персональных данных, создание механизма оперативного реагирования на угрозы безопасности информации;
-
снижение вероятности реализации актуальных угроз информационной безопасности информации;
-
отслеживание действий субъектов информационных отношений.
Критериями оценки достижения поставленных целей по созданию СЗИ являются:
-
соответствие требованиям по обеспечению безопасности информации ограниченного доступа, в том числе ПДн соответствующего уровня защищенности, определенному в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 № 1119;
-
выполнение мер, определенных Методическим документом «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК 11.02.2014, и «Требованиями о защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах», утвержденными приказом ФСТЭК России от 11.02.2013 № 17;
-
выполнение требований настоящего ТЗ.
-
Параметры информационной системы Управления
ГИС «МИРС 49» представляет собой сегментированную информационную систему, в состав которой входят 62 АРМ и 7 серверов, расположенных в пределах различных контролируемых зон.