Техническое задание (1209880)
Текст из файла
Приложение Г.
| УТВЕРЖДАЮ Ректор, профессор __________________ Ю.А. Давыдов м.п. «___»_____________ 2017 г. |
Информационная система
наименование вида
Учебная информационная система общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения»
наименование объекта информатизации
Учебная ИСОП
сокращенное наименование объекта информатизации
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на модернизацию учебной информационной системы общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения»
На 86 листах
Хабаровск, 2017
Содержание
1. Термины и определения 4
2. Принятые сокращения 9
3. Назначение и цели модернизации Учебной ИСОП 10
3.1. Назначение Учебной ИСОП 10
3.2. Цели модернизации Учебной ИСОП 10
4. Параметры информационной системы 11
5. Меры по обеспечению безопасности информации 12
5.1. Определение базового набора мер защиты информации 12
5.2. Адаптация базового набора мер защиты информации 42
5.3. Уточнение адаптированного базового набора мер защиты информации 52
5.4. Конечный набор мер защиты информации 69
5.5. Меры защиты информации, дополнительно реализуемые в ходе проведения практических занятий 75
6. Требования к Учебным СЗИ 76
7. Требования к системе ЗИ 76
7.1. Общие требования 76
7.2. Требования к режимам функционирования 77
7.3. Требования к вариантам исполнения системы 78
7.4. Требования к численности и квалификации персонала системы и режиму его работы 78
7.4.1 Требования к квалификации администратора (преподавателя) учебной ИСОП с правами администратора безопасности информации 78
7.4.2 Требования к квалификации пользователя учебной ИСОП 79
7.4.3 Порядок подготовки персонала, контроль знаний и навыков 79
7.5. Показатели назначения 79
7.6. Требования к надежности 79
7.7. Требования безопасности 79
7.8. Требования к эргономике и технической эстетике 79
7.9. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы ЗИ 80
7.10. Требования к защите информации от несанкционированного доступа 80
7.11. Требования к сохранности информации при авариях 80
7.12. Требования к защите от влияния внешних воздействий 81
7.13. Требования к патентной чистоте 81
7.14. Требования по стандартизации и унификации 81
7.15. Требования к видам обеспечения 81
7.15.1 Требования к программному обеспечению 81
7.15.2. Требования к техническому обеспечению 82
7.16. Требования к организационно-распорядительной документации 83
-
Термины и определения
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизированной деятельности определенного вида.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Администратор автоматизированной системы – лицо, ответственное за функционирование автоматизированной информационной системы в установленном штатном режиме работы.
Администратор защиты (безопасности) информации – лицо, ответственное за защиту автоматизированной информационной системы от несанкционированного доступа к информации.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора.
Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Основные технические средства и системы – технические средства и системы, предназначенные для передачи, приема, обработки, хранения и отображения категорированной информации, а также их соединительные линии.
Общедоступная информация – общеизвестные сведения и иная информация, доступ к которой не ограничен.
Доступ к информации – возможность получения информации и ее использования.
Информационная система общего пользования – информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приёма, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации.
Объект защиты информации – информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Система – совокупность взаимосвязанных и взаимодействующих элементов.
Информационная система – система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации.
Пользователь информационной системы – лицо (группа лиц, организация), пользующееся услугами информационной системы для получения информации или решения других задач.
Средства защиты информации – технические, программные средства, вещества и (или) материал, предназначенные или используемые для защиты информации.
Средства криптографической защиты информации – аппаратные, программные и программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее.
Учетная запись пользователя – набор данных, однозначно идентифицирующих пользователя в системе, совокупность прав и привилегий доступа к объектам и набор квот системных ресурсов.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Доступность информации [ресурсов информационной системы] – состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Контролируемая зона – территория (либо здание, группа помещений, помещение), на которой исключено неконтролируемое пребывание лиц и транспортных средств, не имеющих постоянного или разового допуска.
-
Принятые сокращения
| АРМ | – | автоматизированное рабочее место |
| ИС | – | информационная система |
| ОС | – | операционная система |
| ФГОС | – | Федеральный государственный образовательный стандарт |
| ИСОП | – | информационная система общего пользования |
| КЗ | – | контролируемая зона |
| ФСБ | – | Федеральная служба безопасности |
| ФСТЭК | – | Федеральная служба по техническому и экспортному контролю |
| ПАК | – | программно-аппаратный комплекс |
| УБИ | – | угроза безопасности информации |
| СЗИ | – | средства защиты информации |
| НСД | – | несанкционированный доступ |
| НДВ | – | недекларированные возможности |
| СВТ | – | средства вычислительной техники |
| ТС | – | технические средства |
| ПО | – | программное обеспечение |
| ЛВС | – | локальная вычислительная сеть |
| ОС | – | операционная система |
| ПЭВМ | – | персональная электронно-вычислительная машина |
| СКЗИ | – | средства криптографической защиты информации |
| АПКШ | – | аппаратно-программный комплекс шифрования |
| МЭ | – | межсетевой экран |
-
Назначение и цели модернизации Учебной ИСОП
-
Назначение Учебной ИСОП
Учебная ИСОП предназначена для повышения профессионального уровня образования студентов и слушателей Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения» (далее – Университет), приобретения ими дополнительных знаний и навыков в области информационной безопасности, что позволит им выполнять трудовые функции, определенные профессиональными стандартами.
-
Цели модернизации Учебной ИСОП
Целями модернизации учебной ИСОП являются:
-
замена устаревших СЗИ новыми, соответствующими новым требованиям по защите информации и имеющими действующий сертификат на соответствие требованиям руководящих документов ФСТЭК России, ФСБ России;
-
создание информационной системы в защищенном исполнении;
-
соответствие требованиям о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ, ФСТЭК России от 31 августа 2010 г. № 416/489;
-
возможность проведения аттестации рабочих мест по требованиям безопасности информации на основании требований примерных программ профессиональной переподготовки и повышения квалификации специалистов в области информационной безопасности, разработанных ФСТЭК России.
-
соответствие федеральному государственному образовательному стандарту высшего образования по специальности 10.05.03 информационная безопасность автоматизированных систем (уровень специалитета)
-
Параметры информационной системы
В информационной системе обрабатывается общедоступная информация, которая обрабатывается на 4 серверах и 10 АРМ. Информационный ресурс включает в себя:
-
Учебно-методическую документацию:
-
Учебно-методические комплексы;
-
Учебные пособия;
-
Методические рекомендации;
-
Методические указания;
-
Руководства пользователей и администраторов для используемых СЗИ;
-
Нормативно-правовую базу в области безопасности информации.
Информация хранится на жестких дисках файловых серверов.
Параметры информационной системы представлены в таблице 4.1.
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
