Аналитиеское обоснование (1209868)
Текст из файла
Приложение В.
| УТВЕРЖДАЮ Ректор, профессор __________________ Ю.А. Давыдов м.п. «___»_____________ 2017 г. |
Аналитическое обоснование необходимости модернизации учебной информационной системы общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения»
Хабаровск, 2017 г.
Содержание
1 Термины и определения 4
2 Принятые сокращения 9
3 Общие положения 10
4 Сведения об организации 11
4.1 Описание объекта информатизации 12
5 Технологическая информация 14
5.1 Автоматизированные рабочие места пользователей (студентов, слушателей) Учебной ИСОП и преподавателей 14
5.2 Автоматизированное рабочее место системного администратора Учебной ИСОП 22
5.3 Автоматизированное рабочее место администратора безопасности информации Учебной ИСОП 23
6 Структура обработки информации 24
7 Режим обработки информации 24
8 Модель угроз безопасности информации и актуальные угрозы безопасности информации 27
9 Технические средства зашиты информации, предлагаемые для использования в Учебной ИСОП 29
10 Обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации 30
11 Оценка материальных, трудовых и финансовых затрат на модернизацию Учебной ИСОП 30
11.1 Затраты на технические и программные средства защиты 30
11.2 Затраты на установку и настройку средств защиты информации специалистами 30
11.3 Проведение испытаний Учебной ИСОП 31
12 Ориентировочные сроки модернизации 31
13 Приложение А. Конфигурация и топология ЛВС Учебной ИСОП 32
14 Приложение Б. Размещение элементов Учебной ИСОП относительно границ контролируемой зоны 34
-
Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизированной деятельности определенного вида.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Администратор автоматизированной системы – лицо, ответственное за функционирование автоматизированной информационной системы в установленном штатном режиме работы.
Администратор защиты (безопасности) информации – лицо, ответственное за защиту автоматизированной информационной системы от несанкционированного доступа к информации.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора.
Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Основные технические средства и системы – технические средства и системы, предназначенные для передачи, приема, обработки, хранения и отображения категорированной информации, а также их соединительные линии.
Общедоступная информация – общеизвестные сведения и иная информация, доступ к которой не ограничен.
Доступ к информации – возможность получения информации и ее использования.
Информационная система общего пользования – информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приёма, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации.
Объект защиты информации – информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Система – совокупность взаимосвязанных и взаимодействующих элементов.
Информационная система – система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации.
Пользователь информационной системы – лицо (группа лиц, организация), пользующееся услугами информационной системы для получения информации или решения других задач.
Средства защиты информации – технические, программные средства, вещества и (или) материал, предназначенные или используемые для защиты информации.
Средства криптографической защиты информации – аппаратные, программные и программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее.
Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Учетная запись пользователя – набор данных, однозначно идентифицирующих пользователя в системе, совокупность прав и привилегий доступа к объектам и набор квот системных ресурсов.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Доступность информации [ресурсов информационной системы] – состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Контролируемая зона – территория (либо здание, группа помещений, помещение), на которой исключено неконтролируемое пребывание лиц и транспортных средств, не имеющих постоянного или разового допуска.
-
Принятые сокращения
| АРМ | – | автоматизированное рабочее место |
| ИСОП | – | информационная система общего пользования |
| КЗ | – | контролируемая зона |
| ФСБ | – | Федеральная служба безопасности |
| ФСТЭК | – | Федеральная служба по техническому и экспортному контролю |
| СЗИ | – | средства защиты информации |
| ТС | – | технические средства |
| ОТСС | – | основные технические средства и системы |
| ПО | – | программное обеспечение |
| ЛВС | – | локальная вычислительная сеть |
| ОС | – | операционная система |
| ПЭВМ | – | персональная электронно-вычислительная машина |
| АПКШ | – | аппаратно-программный комплекс шифрования |
| МЭ | – | межсетевой экран |
-
Общие положения
Учебная ИСОП была создана в 2008 г. Вследствие интенсивного развития информационных технологий, появления таких технологий как гипервизоры, тонкие клиенты, мобильные устройства, беспроводные технологии, виртуализация, облачные вычисления и т.д., и появления новых угроз безопасности информации, средства защиты информации, используемые в информационной системе в учебных целях, устарели, не соответствуют новым требованиям по защите информации и не позволяют проводить обучение в соответствии с новыми информационными технологиями и связанными с ними угрозами безопасности информации. Поэтому необходимо провести модернизацию учебной ИСОП для замены старых СЗИ, используемых в учебных целях, новыми, соответствующими требованиям руководящих документов по защите информации. Это позволит обучаемым получить навыки работы с современными средствами защиты информации, которые обеспечивают защиту от современных угроз безопасности информации, и выполнять трудовые функции, определенные профессиональными стандартами.
В соответствии с Федеральным государственным образовательным стандартом высшего образования по специальности 10.05.03 Информационная безопасность автоматизированных систем (уровень специалитета) минимально необходимый для реализации программы специалитета перечень материально-технического обеспечения должен включать в себя лабораторию в области защищенных автоматизированных систем. Также в соответствии с примерными программами профессиональной переподготовки и повышения квалификации специалистов в области информационной безопасности, разработанными ФСТЭК России Учебная ИСОП должна быть оборудована аттестованными по требованиям безопасности информации автоматизированными рабочими местами для занятий по учебным дисциплинам. Таким образом, с учетом Требований о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России, ФСТЭК России от 31 августа 2010 г. № 416/489 необходимо в рамках модернизации Учебной ИСОП создать ее в защищенном исполнении для обеспечения целостности и доступности защищаемой информации.
Информационная система в защищенном исполнении – информационная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации.
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
