Заключение (1209873)
Текст из файла
Приложение А.
| УТВЕРЖДАЮ Ректор, профессор __________________ Ю.А. Давыдов м.п. «___»_____________ 2017 г. |
Заключение по результатам аудита учебной информационной системы общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения»
Хабаровск, 2017 г.
Содержание
1 Термины и определения 3
2 Принятые сокращения 8
3 Общая информация 10
4 Параметры информационной системы 15
5 Классификация информационной системы 16
6 Технологическая информация 16
6.1 Автоматизированные рабочие места пользователей (студентов, слушателей) учебной ИСОП и преподавателей 16
6.2 Автоматизированное рабочее место системного администратора Учебной ИСОП 24
7. Структура обработки информации 27
8. Режим обработки информации 28
9. Существующие меры защиты информации 31
10. Приложение А. Конфигурация и топология ЛВС Учебной ИСОП 33
11. Приложение Б. Размещение элементов Учебной ИСОП относительно границ контролируемой зоны 35
-
Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизированной деятельности определенного вида.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Администратор автоматизированной системы – лицо, ответственное за функционирование автоматизированной информационной системы в установленном штатном режиме работы.
Администратор защиты (безопасности) информации – лицо, ответственное за защиту автоматизированной информационной системы от несанкционированного доступа к информации.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора.
Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Основные технические средства и системы – технические средства и системы, предназначенные для передачи, приема, обработки, хранения и отображения категорированной информации, а также их соединительные линии.
Общедоступная информация – общеизвестные сведения и иная информация, доступ к которой не ограничен.
Доступ к информации – возможность получения информации и ее использования.
Информационная система общего пользования – информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приёма, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации.
Объект защиты информации – информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Система – совокупность взаимосвязанных и взаимодействующих элементов.
Информационная система – система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации.
Пользователь информационной системы – лицо (группа лиц, организация), пользующееся услугами информационной системы для получения информации или решения других задач.
Средства защиты информации – технические, программные средства, вещества и (или) материал, предназначенные или используемые для защиты информации.
Средства криптографической защиты информации – аппаратные, программные и программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее.
Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Учетная запись пользователя – набор данных, однозначно идентифицирующих пользователя в системе, совокупность прав и привилегий доступа к объектам и набор квот системных ресурсов.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Доступность информации [ресурсов информационной системы] – состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Контролируемая зона – территория (либо здание, группа помещений, помещение), на которой исключено неконтролируемое пребывание лиц и транспортных средств, не имеющих постоянного или разового допуска.
-
Принятые сокращения
| АРМ | – | автоматизированное рабочее место |
| ИСОП | – | информационная система общего пользования |
| КЗ | – | контролируемая зона |
| ФСБ | – | Федеральная служба безопасности |
| ФСТЭК | – | Федеральная служба по техническому и экспортному контролю |
| СЗИ | – | средства защиты информации |
| ТС | – | технические средства |
| ОТСС | – | основные технические средства и системы |
| ПО | – | программное обеспечение |
| ЛВС | – | локальная вычислительная сеть |
| ОС | – | операционная система |
| ПЭВМ | – | персональная электронно-вычислительная машина |
| АПКШ | – | аппаратно-программный комплекс шифрования |
| МЭ | – | межсетевой экран |
Обследование проведено студентом группы 25К специальности «Информационная безопасность автоматизированных систем» Бойко Евгением в рамках разработки дипломного проекта на тему «Разработка проекта модернизации учебной информационной системы общего пользования».
Обследование проводилось 20 декабря 2016 года на территории Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения» (далее – Университет) на учебно-лабораторной базе ДВУНЦ ауд. 3517.
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
