4. Техническое задание (Разработка профиля защиты информации в государственной информационной системе), страница 2
Описание файла
Файл "4. Техническое задание" внутри архива находится в следующих папках: Разработка профиля защиты информации в государственной информационной системе, Приложения. Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "4. Техническое задание"
Текст 2 страницы из документа "4. Техническое задание"
В ГИС обрабатываются персональные данные и служебная тайна. В информационной системе одновременно обрабатываются данные менее, чем 100 тысяч субъектов персональных данных.
В ГИС «МИРС 49» обработка информации происходит следующим образом:
-
при поступлении административного дела в участок мирового суда, помощники мировых судий вносят персональные данные граждан в ГИС «МИРС 49»;
-
в случае изменения в ПДн граждан, помощники мировых судий приводят персональные данные в ГИС в актуальное состояние;
-
ввод информации осуществляется с материальных бумажных носителей;
-
обработка информации осуществляется на 62 АРМ и 7 серверах в следующих программных комплексах :Microsoft Office Word (или MS Office Excel), «АМИРС», «Судимость-2008»;
-
учет съемных машинных носителей не организован.
Программные комплексы «АМИРС» и «Судимость-2008» установлены на серверах в каждом сегменте. На АРМах пользователей установлены клиентские приложения ГИС «МИРС 49» представляет собой распределенную информационную систему, подключенную к сетям связи общего пользования и сетям международного информационного обмена.
Между сегментами ГИС осуществляется обмен конфиденциальной информацией с использованием средств информационного и телекоммуникационного обмена. Так же осуществляется передача информации в сторонние организации.
По режиму обработки информации ГИС является многопользовательской, с разграничением прав доступа пользователей.
Аутентификация пользователей ПЭВМ, на которых обрабатывается информация, осуществляется с помощью персонального логина и пароля. Сложность пароля соответствует требованиям безопасности обработки информации конфиденциального характера. Пользователи имеют одинаковые полномочия группы «Пользователи». Пользователи получают доступ к информации только после прохождения авторизации на собственных АРМ в ОС и специализированном ПО. Согласно доменным политикам, пользователи на своих АРМ ограничены в правах настройки и установки стороннего программного обеспечения.
На сервере БД данные архивируются 1 раз в месяц вручную. Срок хранения каждого архива – 1 месяц.
Параметры информационной системы Управления представлены в таблице 4.1.
Таблица 4.1 – Параметры ГИС «МИРС 49» Управления
Наименование параметра | Значение |
Структура информационной системы | Распределенная |
Архитектура информационной системы | Файл-серверная с использованием выделенных каналов связи |
Взаимодействие с иными информационными системами | Осуществляется |
Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
Размещение технических средств | ТС расположены в пределах нескольких контролируемых зон |
Режим обработки персональных данных | Многопользовательский |
Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
Разделение функций по управлению информационной системой | Без разделения |
Сегментирование информационной системы | Система c сегментированием |
Местонахождение технических средств информационной системы | Все ТС находятся в пределах Российской Федерации |
Объем обрабатываемых персональных данных | Менее 100 тысяч субъектов персональных данных |
Категории обрабатываемых персональных данных | Иные и специальные категории ПДн |
Актуальные угрозы ИБ, которым подвержена ГИС Управления определены и обоснованы в Модели угроз безопасности информации при её обработке в государственной информационной системе Управления, разработанной на основании «Методики определения угроз безопасности информации в информационных системах» и других нормативно-методических документов ФСТЭК России и ФСБ России.
-
Требования к СЗИ
-
Общие требования
-
Архитектура СЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ГИС, в том числе при проведении технического обслуживания и ремонта.
Эффективность СЗИ должна достигаться комплексным применением различных средств и методов.
Приводимые в настоящем документе требования по обеспечению безопасности информации должны обеспечивать установленный уровень защищенности информации, соответствующий требованиям, установленными:
-
«Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 № 1119;
-
Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
-
Федеральным законом от 27.12.2002 N 184-ФЗ «О техническом регулировании»
-
приказ ФСТЭК России от 11.02.2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах».
Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:
-
идентификацию и аутентификацию субъектов доступа и объектов доступа;
-
управление доступом субъектов доступа к объектам доступа;
-
ограничение программной среды;
-
защиту машинных носителей информации;
-
регистрацию событий безопасности;
-
антивирусную защиту;
-
обнаружение (предотвращение) вторжений;
-
контроль (анализ) защищенности информации;
-
целостность информационной системы и информации;
-
доступность информации;
-
защиту среды виртуализации;
-
защиту технических средств;
-
защиту информационной системы, ее средств, систем связи и передачи данных.
-
Требования для обеспечения 3 класса защищенности ГИС
В соответствии с приказом ФСТЭК России от 11.02.2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах» определен базовый набор мер, применяемых для обеспечения 3 класса защищенности ГИС. Перечень мер защиты представлен в таблице 5.1.
Таблица 5.1 – Базовый набор мер защиты информации в ГИС
Условное обозначение и номер меры | Содержание меры защиты информации в ИС |
| |
ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора |
ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
ИАФ.5 | Защита обратной связи при вводе аутентификационной информации |
ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| |
УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потокам между устройствами, сегментам информационной системы, а также между информационными системами |
УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств |
УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
III. Ограничение программной среды(ОПС) | |
ОПС.3 | Установка (инсталляция) только разрешенного к использования программного обеспечения и (или) его компонентов |
IV Защита машинных носителей (ЗНИ) | |
ЗНИ.1 | Учет машинных носителей информации |
ЗНИ.2 | Управление доступом к машинным носителям информации |
ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
V. Регистрация событий безопасности (РСБ) | |
РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения |
РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
РСБ.7 | Защита информации о событиях безопасности |
VI. Антивирусная защита (АВЗ) | |
АВЗ.1 | Реализация антивирусной защиты |
АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
VIII. Контроль (анализ) защищенности информации (АНЗ) | |
АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации |
АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) | |
ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
XI. Защита среды виртуализации (ЗСВ) | |
ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре |
ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
XII. Защита технических средств (ЗТС) | |
ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |
ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе |
ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе |