4. Техническое задание (Разработка профиля защиты информации в государственной информационной системе), страница 5
Описание файла
Файл "4. Техническое задание" внутри архива находится в следующих папках: Разработка профиля защиты информации в государственной информационной системе, Приложения. Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "4. Техническое задание"
Текст 5 страницы из документа "4. Техническое задание"
Архитектура СЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ГИС Управления, в том числе при проведении технического обслуживания и ремонта.
Эффективность СЗИ должна достигаться комплексным применением различных средств и методов.
СЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений.
Приводимые в настоящем документе требования по обеспечению безопасности информации должны обеспечивать уровень защищенности информации, соответствующий требованиям, установленными:
-
«Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утверждены приказом ФСТЭК от 11.02.2013 г. № 17;
-
«Методическим документом: Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК 11.02.2014 г.;
-
«Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119;
-
Приказом ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
-
Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
-
Федеральным законом Российской Федерации от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
-
Требования к вариантам исполнения системы
СЗИ должна строиться для всех типов объектов, на которых присутствует или будет присутствовать информация, подлежащая защите. Необходимый набор мер и средств защиты определяется на основании модели угроз и класса защищенности ГИС.
-
Требования к режимам функционирования системы
В разработанной СЗИ должны быть реализованы следующие режимы функционирования:
-
режим установки и конфигурирования;
-
режим отладки;
-
рабочий режим.
Режим конфигурирования должен быть предназначен для первичной настройки СЗИ и должен выполняться на этапе пуско-наладочных работ. В этом режиме должно происходить настраивание СЗИ путем создания правил, создания, редактирования и применения политик, шаблонов, настроек необходимых видов доступа. Режим установки и конфигурирования должен подразумевать работы по установке и начальной настройке установленного программного обеспечения.
Режим отладки должен быть предназначен для отладки СЗИ и должен выполняться на этапе ввода в эксплуатацию после режима конфигурирования. В этом режиме должно происходить журналирование отработки необходимых компонент СЗИ, отлаживание реакций, видов и методов реагирования компонент на происходящие воздействия.
Рабочий режим должен быть единственным допустимым режимом штатного функционирования системы. В рабочий режим система должна переводиться после режима отладки, когда становится ясно, что система функционирует верно, корректно отрабатываются необходимые политики, правила и шаблоны.
-
Требования к численности и квалификации персонала, режиму его работы
-
Требования к квалификации администратора безопасности
-
Сотрудники, имеющие высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по направлению «Информационная безопасность».
Квалификация специалистов должна быть достаточной для осуществления ими настройки общесистемных, прикладных и сетевых сервисов ГИС, а также эксплуатации средств защиты.
Специалисты должны осуществлять обслуживание и эксплуатацию ГИС по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности ГИС Управления.
-
Требования к квалификации пользователя ГИС
Квалификация и численность пользователей ГИС должна быть достаточной для осуществления ими обработки конфиденциальной информации в соответствии с инструкциями пользователей ГИС.
-
Порядок подготовки персонала, контроль знаний и навыков
Регулярное обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними с принятием зачетов.
-
Показатели назначения
Системно-технические решения СЗИ должны обеспечить минимизацию вероятности реализации актуальных угроз, описанных в Модели угроз безопасности информации при их обработке в информационной системе Управления.
Экономический эффект от создания СЗИ должен проявляться в снижении вероятной величины материального и морального ущерба по отношению к субъектам и оператору ГИС.
-
Требования к надежности
Аппаратно-программные компоненты СЗИ должны быть рассчитаны для функционирования в режиме круглосуточной работы и позволять осуществлять выполнение процедур резервирования и восстановления системы после сбоев.
-
Требования к безопасности
В процессе обслуживания и эксплуатации оборудования СЗИ должна обеспечиваться безопасность персонала.
Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.
Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.
-
Требования к эргономике и технической эстетике
Для обработки информации использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности, по санитарным нормам, предъявляемым к мониторам ПЭВМ, например, ГОСТ 29216-91, ГОСТ Р 50948-2001, ГОСТ Р 50949-2001, СанПиН 2.2.2/2.4.1340-03.
-
Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗИ
Условия и регламент (режим) эксплуатации, виды и периодичность обслуживания технических средств системы в соответствии с эксплуатационной документацией.
Физический доступ неуполномоченных лиц к компонентам СЗИ должен быть запрещен.
Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗИ.
-
Требования к защите информации от несанкционированного доступа
Проведение мероприятий, направленных на предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права доступа к ней.
Своевременное обнаружение фактов несанкционированного доступа к информации.
Недопущение воздействия на технические средства автоматизированной обработки информации, в результате которого может быть нарушено ее функционирование.
Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней.
-
Требования к сохранности информации при авариях
Перечень событий, при которых должна быть обеспечена сохранность информации в системе: пожар в здании; взрыв; просадка грунта с частичным обрушением здания. Отказ элементов ГИС и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования.
Механизмы обеспечения сохранности информации могут уточняться на этапе проектирования СЗИ.
-
Требования к защите от влияний внешних воздействий
Защита информации, обрабатываемой в ГИС, от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах размещения СВТ ГИС.
-
Требования к патентной чистоте
При создании СЗИ должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.
-
Требования к стандартизации и унификации
Решения по использованию технических средств и ПО в СЗИ должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.
Должна обеспечиваться совместимость технических средств и ПО СЗИ с техническими средствами и ПО, используемыми в ГИС.
Требования по стандартизации и унификации могут уточняться на этапе проектирования СЗИ.
-
Требования к видам обеспечения
-
Требования к программному обеспечению
-
Предлагаемое к использованию программное обеспечение должно быть лицензионным.
Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.
В процессе эксплуатации СЗИ лицензии на применяемое ПО должны поддерживаться в актуальном состоянии.
Средства защиты информации, входящие в состав СЗИ, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России.
Требования к программному обеспечению могут уточняться на этапе проектирования СЗИ.
-
Требования к средствам защиты информации
Решения по использованию технических средств должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данных ТС.
В составе СЗИ должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные на соответствие требованиям руководящих документов ФСТЭК России.
В соответствии с Требованиями о защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах, утвержденными приказом ФСТЭК России от 17.02.2013 г. №17 (в ред. Приказа ФСТЭК России от 15.02.2017 № 27) в информационных системах 3 класса защищенности применяются:
-
средства защиты информации 6 класса;
-
средства вычислительной техники не ниже 5 класса.
В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом ФСБ России от 10.07.2014 г. №378, при использовании средств криптографической защиты (СКЗИ), сертифицированных по требованиям безопасности для обеспечения защиты ГИС 3 класса применяются СКЗИ класса КС2.
В соответствии с Требованиями к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28.07.2014 №87, при необходимости обеспечения 3 класса защищенности информационных систем, применяются средства контроля съемных машинных носителей, соответствующие 4 классу защиты.
В соответствии с методическим документом «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014 г. для реализации меры ИАФ.1 в государственных информационных системах класса защищенности К3 должна быть реализована многофакторная (двухфакторная) аутентификация с использованием аппаратных идентификаторов.
Требования к техническому обеспечению могут уточняться на этапе проектирования СЗИ.
-
Требования к организационно-распорядительной документации
В соответствии с требованиями нормативно-правовых актов в области защиты конфиденциальной информации, обрабатываемой в ГИС Управления должна включать в себя перечень разработанных организационно-распорядительных, эксплуатационных и технических документов, регламентирующих вопросы организации обеспечения безопасности информации и эксплуатации системы защиты.
Перечень разрабатываемых документов должен включать в себя:
-
План мероприятий по обеспечению защиты информации в информационных системах;
-
Перечень должностей сотрудников, допущенных к обработке конфиденциальной информации;
-
Правила обработки конфиденциальной информации;
-
Политику обработки конфиденциальной информации;
-
Инструкцию по организации антивирусной защиты;
-
Инструкцию по организации парольной защиты ИС;
-
Инструкцию пользователя ИС;
-
Политику информационной безопасности конфиденциальной информации, циркулирующей в ИС;
-
Инструкцию лица, ответственного за обеспечение безопасности информации;
-
Инструкцию администратора информационной безопасности ИС;
-
Инструкцию администратора ИС;
-
Инструкцию по использованию сети Интернет;
-
Инструкцию по резервированию и восстановлению работоспособности технических средств, программного обеспечения баз данных и средств защиты информации;
-
Инструкцию по порядку учета и хранения машинных и съемных носителей информации;
-
Инструкцию по работе с СКЗИ, сертификатами ключей подписи, открытыми и закрытыми ключами электронной цифровой подписи (ЭЦП);
-
Инструкция по работе со средствами криптографической защиты информации в ИС;
-
Перечень лиц, допущенных к техническому обслуживанию ИС;
-
Перечень защищаемых ресурсов в ИС;
-
Перечень регистрируемых событий безопасности в ИС;
-
Перечень персональных данных;
-
Матрицу разграничения доступа ИС;
-
Журнал учета и выдачи персональных идентификаторов (ПИ);
-
Журнал учета мероприятий по контролю за соблюдением режима защиты конфиденциальной информации;
-
Журнал учета съемных носителей информации (СНИ), содержащих конфиденциальную информацю;
-
Журнал учета проведения инструктажа пользователя, допущенного к работе с СКЗИ;
-
Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
-
Журнал поэкземплярного учета СрЗИ, эксплуатационной и технической документации к ним, ключевых документов;
-
Журнал периодического тестирования средств защиты информации;
-
Журнал учета мероприятий по контролю за соблюдением режима защиты;
-
Журнал учета обращений субъектов персональных данных;
-
Журнал проверок электронных журналов.
ТЗ ГИС «МИРС 49»
код ТЗ
СОСТАВИЛ
Наименование организации, предприятия | Должность исполнителя | Фамилия, имя, отчество | Подпись | Дата |
ДВГУПС | Студент группы 25К | Резников А.Г. |