Государственный комитет по размещению государственных заказов республики хакасия

Вид материала

Документация об аукционе

Подобный материал:

• Государственный комитет по размещению государственных заказов республики хакасия извещение, 327.23kb.
• Уг в целях осуществления предусмотренных законодательством Российской Федерации полномочий, 531.03kb.
• Приглашение, 443.9kb.
• Республики Хакасия председатель правительства Республики Хакасия В. Зимин в своем доклад, 35.9kb.
• Республики Хакасия Председатель Правительства Республики Хакасия В. Зимин Приложение, 2553.59kb.
• Вдополнение к письму от 13., 15.33kb.
• Правительство республики хакасия постановление от 8 июня 1998 г. N 97 о комиссии, 63.48kb.
• Ли и условия предоставления в 2012 году государственной поддержки на развитие агропромышленного, 1408.44kb.
• Государственным и муниципальным, 53.96kb.
• Правительству Республики Хакасия на период действия указанной Программы осуществлять, 690.84kb.

Общая характеристика «КСОБЖН»

В системе обрабатывается информация ограниченного распространения, не содержащая сведений, составляющих государственной тайны (конфиденциальная информация) в составе:

• служебная тайна;
  
• персональные данные (ПДн).
  

В соответствии с Приказом от 13 февраля 2008 г. ФСТЭК России №55, ФСБ России № 86, Министерства информационных технологий и связи РФ №20 «Об утверждении порядка проведения классификации информационных систем персональных данных», обрабатываемые в системе ПДн относятся ко 2 категории, то есть позволяют однозначно идентифицировать субъекта ПДн и получить о нем дополнительную информацию.

В соответствии с нормативными документами «КСОБЖН» является специальной информационной системой персональных данных (ИСПДн), определение класса системы должно осуществляться на основании модели угроз и нарушителя.

Требования к системе

Общие требования к системе и принципы создания СЗИ

СЗИ должна обеспечивать предотвращение и нейтрализацию всех атак, способы которых определяются в модели угроз и нарушителя.

Безопасность информации должна обеспечиваться на всех этапах жизненного цикла (установка и наладка технических средств, эксплуатация, модернизация, вывод из эксплуатации). Безопасность информации в ЛВС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования технических средств.

СЗИ должна контролировать доступ к защищаемой информации, обрабатываемой в системе, реализовывать разграничение доступа пользователей к ресурсам в зависимости от их полномочий и блокировать НСД. Средства защиты от НСД к информации не должны существенно ухудшать основные характеристики программно-технических средств.

Требования по обеспечению информационной безопасности должны быть уточнены в ходе проектирования при анализе модели угроз и нарушителя.

В общем случае к системе предъявляются следующие требования.

Требования к составу СЗИ «КСОБЖН»

В общем случае, в состав СЗИ должны входить следующие основные подсистемы:

• подсистема контроля доступа;
  
• подсистема регистрации и учета;
  
• подсистема контроля целостности;
  
• подсистема криптографической защиты;
  
• подсистема антивирусной защиты;
  
• подсистема обнаружения и предотвращения вторжений;
  
• подсистема анализа защищенности;
  
• подсистема резервирования;
  
• подсистема управления.
  

Перечень подсистем может быть пересмотрен и должен быть обоснован по результатам разработки модели угроз и нарушителя. Модель угроз и нарушителя согласовывается Государственным заказчиком на этапе проектирования.

Требования к подсистеме управления доступом

Подсистема управления доступом должна обеспечить выполнение требований, определенных РД Гостехкомиссии «РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» для класса 1Г и РД ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных» для класса К3.

Компоненты подсистемы управления доступом должны обеспечивать:

• идентификацию и аутентификацию субъектов доступа при входе в систему по идентификатору и паролю условно-постоянного действия;
  
• инициирование периодической смены идентифицирующей и аутентифицирующей информации;
  
• защиту от подбора идентифицирующей и аутентифицирующей информации;
  
• контроль доступа субъектов к защищаемым ресурсам.
  

Требования к подсистеме регистрации и учета

Подсистема регистрации и учета должна обеспечить выполнение требований, определенных РД Гостехкомиссии «РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» для класса 1Г и РД ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных» для класса К3.

Компоненты подсистемы регистрации и учета должны обеспечивать:

• регистрацию входа (выхода) субъектов доступа в систему (из системы), либо регистрацию загрузки и инициализации операционной системы (ОС) и ее программного останова;
  
• регистрацию результата попытки входа (успешная или неуспешная) в систему;
  
• регистрацию запуска (завершения) программ, процессов, задач, предназначенных для обработки защищаемых файлов;
  
• регистрацию попыток доступа программных средств (программ, процессов, задач) к защищаемым файлам, каталогам, записям, полям записей.
  

Требования к подсистеме контроля целостности

Подсистема контроля целостности должна обеспечить выполнение требований, определенных РД Гостехкомиссии «РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» для класса 1Г и РД ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных» для класса К3.

Компоненты подсистемы контроля целостности должны обеспечивать:

• целостность программных средств СЗИ;
  
• неизменность программной среды «КСОБЖН»;
  
• целостность защищаемых данных.