1. Заключение (1209992), страница 2
Текст из файла (страница 2)
Обследование проводилось с 23 по 25 января 2017 года на территории Муниципального Казенного Учреждения "Комитет по содержанию объектов муниципальной собственности" (далее – ЦОД).
В ходе обследования информационной системы определялись:
-
Структурно функциональные характеристики, информационные технологии, условия эксплуатации ИС;
-
Состав и структура объектов защиты;
-
Требуемый уровень защищенности ИС;
-
Конфигурация МИС;
-
Режим обработки информации;
-
Перечень лиц, участвующих в управлении ИС;
-
Права доступа лиц, участвующих в управлении ИС;
-
Существующие меры защиты информации.
Проводимое обследование служит информационной основой для других проектных и организационно-распорядительных документов.
-
Общая информация
Центр обработки данных (ЦОД) это вычислительная инфраструктура (набор взаимосвязанных программных и аппаратных компонент, организованных процедур, мест локализации и персонала), предназначенная для безопасной централизованной обработки, хранения и предоставления данных, сервисов, приложений, и обладающая высокой степенью виртуализации своих ресурсов.
Главная задача центра обработки данных – хранение, обработка и передача критически важной для заказчика информации, поэтому в инфраструктуру ЦОД входит множество сложных и резервируемых инженерных систем высокой надёжности. Одной из важнейших характеристик ЦОД является надежность системы. В эту характеристику включены множество факторов: надёжность здания, электроснабжение, инженерные системы и коммуникации, установленное оборудование.
В настоящее время существуют несколько видов ЦОД. Корпоративные ЦОД, которые работают в отдельной корпоративной компании и обеспечивает их потребности. Коммерческие ЦОД, предоставляющие услуги пользователям на условиях аренды. Надежная работа ЦОД будет гарантировать бесперебойное предоставление услуг клиентам в случае коммерческого ЦОД и бесперебойную работу собственной IT-инфраструктуры компании, эксплуатирующей корпоративный ЦОД.
Поставщиком "облачных" услуг может быть организация, которая соответствует установленным требованиям, в частности:
-
к финансовой устойчивости и социальной ответственности;
-
к размещению систем и данных, используемых в системе центров обработки данных при разработке, поддержке и актуализации "облачных" услуг;
-
к наличию необходимых лицензий, в том числе Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю.
Выделяют следующие основные предпосылки для централизации государственных и муниципальных информационных ресурсов на базе "облачных" технологий:
-
активная информатизация в области государственного управления и оказания государственных услуг;
-
рост российского рынка услуг центров обработки данных, включая сегмент "облачных" вычислений;
-
недостаточные пропускная способность и уровень резервирования и надежности телекоммуникационных и информационных систем органов государственной власти и местного самоуправления, особенно в удаленных регионах Российской Федерации;
-
необходимость импортозамещения и обеспечения национальной безопасности, в том числе информационной;
-
законодательно предусмотренная необходимость хранения и обработки персональных данных граждан Российской Федерации на территории Российской Федерации;
-
высокая капиталоемкость строительства новых центров обработки данных;
-
необходимость обеспечения технологической независимости Российской Федерации.
Основной целью обеспечения защиты информации в информационной системе центров обработки данных является исключение неправомерного доступа к информации, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации, а также обеспечение бесперебойной работы центров обработки данных в штатном режиме, при котором происходит выполнение основных функций центров обработки данных.
Обеспечение защиты информации в информационной системе центров обработки данных является одной из ключевых частей работ по созданию и эксплуатации центров обработки данных и обеспечивается на всех этапах их создания и в ходе эксплуатации путем принятия в рамках системы защиты информации организационных и технических мер, направленных на нейтрализацию угроз безопасности информации.
Защита информации в информационной системе центров обработки данных достигается:
-
своевременным обнаружением угроз и уязвимостей в центрах обработки данных;
-
реализацией мер и средств защиты информации и обеспечением их соответствия требованиям уполномоченных федеральных органов исполнительной власти;
-
реализацией единого подхода к обеспечению информационной безопасности в рамках информационной системы центров обработки данных как совокупности центров обработки данных, отвечающих требованиям информационной безопасности;
-
реализацией мероприятий по периодическому внутреннему и внешнему контролю состояния обеспечения информационной безопасности в рамках системы центров обработки данных как совокупности центров обработки данных.
Защита информации в ходе проектирования и использование системы центров обработки данных должна быть обеспечена в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, установленными Федеральной службой по техническому и экспортному контролю в пределах компетенции. Защита информации с использованием криптографических шифровальных средств защиты информации должна обеспечиваться в соответствии с требованиями Федеральной службы безопасности Российской Федерации.
Система защиты информации в рамках информационной системы центров обработки данных должна:
-
обеспечивать нейтрализацию угроз безопасности информации в информационной системе центров обработки данных;
-
принимать во внимание организационные и юридические аспекты защиты информации;
-
иметь аттестацию на соответствие требованиям по защите информации;
-
проходить внутренний и внешний контроль состояния защиты информации.
Также необходимо реализовать мероприятия, направленные на обеспечение устойчивости и защищенности сетей связи общего пользования, в том числе от компьютерных атак.
Центр обработки данных поселка Ванино находится в распоряжении Муниципального Казенного Учреждения "Комитет по содержанию объектов муниципальной собственности". Серверная находится в распоряжении юридической организации, отвечающей за техническое состояние здания.
Основными задачами ЦОД являются:
-
Эффективное хранение и обработка данных.
-
Исполнение конституционных прав граждан Российской Федерации на получение информации.
-
Удовлетворение информационных потребностей пользователей информационной системы.
-
Создание единого информационного пространства.
-
Предоставление пользователям прикладных сервисов.
-
Обеспечение бесперебойного функционирования корпоративных приложений
-
Обеспечение информационной безопасности предоставляемых услуг.
Правовым основанием обработки данных в ЦОД являются следующие нормативно-правовые акты:
-
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
-
"Трудовой кодекс РФ" от 30.12.2001 г. №197-ФЗ;
-
"Гражданский кодекс РФ";
-
Конституция Российской Федерации
-
Федеральный закон от 27.07.2006 г. №152-ФЗ "О персональных данных";
-
другие нормативно-правовые акты.
В МИС ЦОД обрабатываются следующие виды информации:
-
ПДн (сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность);
-
служебная тайна;
-
коммерческая тайна;
-
сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д);
-
сведения, составляющие тайну следствия и судопроизводства;
-
государственный информационный ресурс;
Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
В ЦОД обрабатывается информация, доступ к которой ограничен федеральными законами:
-
Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
-
Указ Президента от 6.03.1997 №188
-
Постановление Правительства РФ от 3.11.94г. № 1233
-
ФЗ "Об основах государственной службы Российской Федерации"
-
146-ФЗ "Налоговый кодекс РФ"
-
126-ФЗ "О связи"
-
Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"
-
Конституция РФ
МИС ЦОД обрабатывает информацию, не составляющую государственную тайну, содержащеюся в государственных информационных системах.
Элементы МИС ЦОД расположены в одном здании, находящимся по адресу: 682860, Россия, Хабаровский край, Ванинский район, поселок городского типа Ванино, пл. Мира, 1
ЦОД, посёлка Ванино
Рис. 3.1.1 – Местоположение центра обработки данных в пределах улицы
-
Параметры МИС ЦОД
В муниципальной информационной системе обрабатываются государственные информационные ресурсы различных категорий субъектов. Информация обрабатывается и хранится на серверах в пределах одной контролируемой зоны. Информация обрабатывается на 127 АРМ и 6 серверах.
Информация субъектов муниципальной информационной системы хранится распределено, на серверах БД и на жёстких дисках АРМ пользователей, к которым имеет доступ ограниченный перечень лиц.
Параметры информационной системы ЦОД представлены в таблице 4.1.
Таблица 4.1 – Параметры информационной системы ЦОД
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы |
|
| Используемые ИТ | Системы на основе виртуализации |
| Взаимодействие с иными информационными системами | Подключенная через выделенную инфраструктуру |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположенные в пределах одной контролируемой зоны |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Разделение функций по управлению информационной системой | Без разделения |
| Сегментирование информационной системы | Система без сегментирования |
| Объем обрабатываемых персональных данных | Менее 100 тысяч субъектов персональных данных |
| Масштаб информационной системы | Объектовый |
-
Классификация муниципальной информационной системы
Данный ЦОД предоставляет вычислительные ресурсы отдельным информационным системам, находящимся в здании администрации.
В ходе обследования был определен перечень орагнизаций, использующих вычислительные ресурсы ЦОД:
-
Администрация муниципального района;
-
Комитет по приватизации и управлению имуществом;
-
Контрольно-счетная палата Ванинского муниципального района Хабаровского края;
-
Муниципальное Казенное Учреждение "Централизованная бухгалтерия администрации и муниципальных учреждений (МКУ "ЦБАиМУ")";
-
Муниципальное Казенное Учреждение "Централизованная бухгалтерия учреждений образования";
-
Отдел по делам опеки и попечительства по Ванинскому муниципальному району;
-
Ванинский районный совет ветеранов войны и труда;
Каждое юридическое лицо при заключении договора на обработку информации указало свой класс защищенности информационной системы. Исходя из данных информационных систем наивысший классом защищенности для муниципальной информационной системы ЦОД является 2 класс защищённости ИС.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
