Архитектура СЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ГИС Управления, в том числе при проведении технического обслуживания и ремонта.

Эффективность СЗИ должна достигаться комплексным применением различных средств и методов.

СЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений.

Приводимые в настоящем документе требования по обеспечению безопасности информации должны обеспечивать уровень защищенности информации, соответствующий требованиям, установленными:

• «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утверждены приказом ФСТЭК от 11.02.2013 г. № 17;

• «Методическим документом: Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК 11.02.2014 г.;

• «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119;

• Приказом ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

• Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• Федеральным законом Российской Федерации от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

1. Требования к вариантам исполнения системы

СЗИ должна строиться для всех типов объектов, на которых присутствует или будет присутствовать информация, подлежащая защите. Необходимый набор мер и средств защиты определяется на основании модели угроз и класса защищенности ГИС.

1. Требования к режимам функционирования системы

В разработанной СЗИ должны быть реализованы следующие режимы функционирования:

• режим установки и конфигурирования;

• режим отладки;

• рабочий режим.

Режим конфигурирования должен быть предназначен для первичной настройки СЗИ и должен выполняться на этапе пуско-наладочных работ. В этом режиме должно происходить настраивание СЗИ путем создания правил, создания, редактирования и применения политик, шаблонов, настроек необходимых видов доступа. Режим установки и конфигурирования должен подразумевать работы по установке и начальной настройке установленного программного обеспечения.

Режим отладки должен быть предназначен для отладки СЗИ и должен выполняться на этапе ввода в эксплуатацию после режима конфигурирования. В этом режиме должно происходить журналирование отработки необходимых компонент СЗИ, отлаживание реакций, видов и методов реагирования компонент на происходящие воздействия.

Рабочий режим должен быть единственным допустимым режимом штатного функционирования системы. В рабочий режим система должна переводиться после режима отладки, когда становится ясно, что система функционирует верно, корректно отрабатываются необходимые политики, правила и шаблоны.

1. Требования к численности и квалификации персонала, режиму его работы

   1. Требования к квалификации администратора безопасности

Сотрудники, имеющие высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по направлению «Информационная безопасность».

Квалификация специалистов должна быть достаточной для осуществления ими настройки общесистемных, прикладных и сетевых сервисов ГИС, а также эксплуатации средств защиты.

Специалисты должны осуществлять обслуживание и эксплуатацию ГИС по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности ГИС Управления.

1. Требования к квалификации пользователя ГИС

Квалификация и численность пользователей ГИС должна быть достаточной для осуществления ими обработки конфиденциальной информации в соответствии с инструкциями пользователей ГИС.

1. Порядок подготовки персонала, контроль знаний и навыков

Регулярное обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними с принятием зачетов.

1. Показатели назначения

Системно-технические решения СЗИ должны обеспечить минимизацию вероятности реализации актуальных угроз, описанных в Модели угроз безопасности информации при их обработке в информационной системе Управления.

Экономический эффект от создания СЗИ должен проявляться в снижении вероятной величины материального и морального ущерба по отношению к субъектам и оператору ГИС.

1. Требования к надежности

Аппаратно-программные компоненты СЗИ должны быть рассчитаны для функционирования в режиме круглосуточной работы и позволять осуществлять выполнение процедур резервирования и восстановления системы после сбоев.

1. Требования к безопасности

В процессе обслуживания и эксплуатации оборудования СЗИ должна обеспечиваться безопасность персонала.

Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.

Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.

1. Требования к эргономике и технической эстетике

Для обработки информации использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности, по санитарным нормам, предъявляемым к мониторам ПЭВМ, например, ГОСТ 29216-91, ГОСТ Р 50948-2001, ГОСТ Р 50949-2001, СанПиН 2.2.2/2.4.1340-03.

1. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗИ

Условия и регламент (режим) эксплуатации, виды и периодичность обслуживания технических средств системы в соответствии с эксплуатационной документацией.

Физический доступ неуполномоченных лиц к компонентам СЗИ должен быть запрещен.

Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗИ.

1. Требования к защите информации от несанкционированного доступа

Проведение мероприятий, направленных на предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права доступа к ней.

Своевременное обнаружение фактов несанкционированного доступа к информации.

Недопущение воздействия на технические средства автоматизированной обработки информации, в результате которого может быть нарушено ее функционирование.

Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней.

1. Требования к сохранности информации при авариях

Перечень событий, при которых должна быть обеспечена сохранность информации в системе: пожар в здании; взрыв; просадка грунта с частичным обрушением здания. Отказ элементов ГИС и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования.

Механизмы обеспечения сохранности информации могут уточняться на этапе проектирования СЗИ.

1. Требования к защите от влияний внешних воздействий

Защита информации, обрабатываемой в ГИС, от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах размещения СВТ ГИС.

1. Требования к патентной чистоте

При создании СЗИ должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.

1. Требования к стандартизации и унификации

Решения по использованию технических средств и ПО в СЗИ должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.

Должна обеспечиваться совместимость технических средств и ПО СЗИ с техническими средствами и ПО, используемыми в ГИС.

Требования по стандартизации и унификации могут уточняться на этапе проектирования СЗИ.

1. Требования к видам обеспечения

   1. Требования к программному обеспечению

Предлагаемое к использованию программное обеспечение должно быть лицензионным.

Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.

В процессе эксплуатации СЗИ лицензии на применяемое ПО должны поддерживаться в актуальном состоянии.

Средства защиты информации, входящие в состав СЗИ, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России.

Требования к программному обеспечению могут уточняться на этапе проектирования СЗИ.

1. Требования к средствам защиты информации

Решения по использованию технических средств должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данных ТС.

В составе СЗИ должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные на соответствие требованиям руководящих документов ФСТЭК России.

В соответствии с Требованиями о защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах, утвержденными приказом ФСТЭК России от 17.02.2013 г. №17 (в ред. Приказа ФСТЭК России от 15.02.2017 № 27) в информационных системах 3 класса защищенности применяются:

• средства защиты информации 6 класса;

• средства вычислительной техники не ниже 5 класса.

В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденным приказом ФСБ России от 10.07.2014 г. №378, при использовании средств криптографической защиты (СКЗИ), сертифицированных по требованиям безопасности для обеспечения защиты ГИС 3 класса применяются СКЗИ класса КС2.

В соответствии с Требованиями к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28.07.2014 №87, при необходимости обеспечения 3 класса защищенности информационных систем, применяются средства контроля съемных машинных носителей, соответствующие 4 классу защиты.

В соответствии с методическим документом «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014 г. для реализации меры ИАФ.1 в государственных информационных системах класса защищенности К3 должна быть реализована многофакторная (двухфакторная) аутентификация с использованием аппаратных идентификаторов.

Требования к техническому обеспечению могут уточняться на этапе проектирования СЗИ.

1. Требования к организационно-распорядительной документации

В соответствии с требованиями нормативно-правовых актов в области защиты конфиденциальной информации, обрабатываемой в ГИС Управления должна включать в себя перечень разработанных организационно-распорядительных, эксплуатационных и технических документов, регламентирующих вопросы организации обеспечения безопасности информации и эксплуатации системы защиты.

Перечень разрабатываемых документов должен включать в себя:

• План мероприятий по обеспечению защиты информации в информационных системах;

• Перечень должностей сотрудников, допущенных к обработке конфиденциальной информации;

• Правила обработки конфиденциальной информации;

• Политику обработки конфиденциальной информации;

• Инструкцию по организации антивирусной защиты;

• Инструкцию по организации парольной защиты ИС;

• Инструкцию пользователя ИС;

• Политику информационной безопасности конфиденциальной информации, циркулирующей в ИС;

• Инструкцию лица, ответственного за обеспечение безопасности информации;

• Инструкцию администратора информационной безопасности ИС;

• Инструкцию администратора ИС;

• Инструкцию по использованию сети Интернет;

• Инструкцию по резервированию и восстановлению работоспособности технических средств, программного обеспечения баз данных и средств защиты информации;

• Инструкцию по порядку учета и хранения машинных и съемных носителей информации;

• Инструкцию по работе с СКЗИ, сертификатами ключей подписи, открытыми и закрытыми ключами электронной цифровой подписи (ЭЦП);

• Инструкция по работе со средствами криптографической защиты информации в ИС;

• Перечень лиц, допущенных к техническому обслуживанию ИС;

• Перечень защищаемых ресурсов в ИС;

• Перечень регистрируемых событий безопасности в ИС;

• Перечень персональных данных;

• Матрицу разграничения доступа ИС;

• Журнал учета и выдачи персональных идентификаторов (ПИ);

• Журнал учета мероприятий по контролю за соблюдением режима защиты конфиденциальной информации;

• Журнал учета съемных носителей информации (СНИ), содержащих конфиденциальную информацю;

• Журнал учета проведения инструктажа пользователя, допущенного к работе с СКЗИ;

• Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;

• Журнал поэкземплярного учета СрЗИ, эксплуатационной и технической документации к ним, ключевых документов;

• Журнал периодического тестирования средств защиты информации;

• Журнал учета мероприятий по контролю за соблюдением режима защиты;

• Журнал учета обращений субъектов персональных данных;

• Журнал проверок электронных журналов.

ТЗ ГИС «МИРС 49»

код ТЗ

СОСТАВИЛ

Наименование организации, предприятия	Должность исполнителя	Фамилия, имя, отчество	Подпись	Дата
ДВГУПС	Студент группы 25К	Резников А.Г.