Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект "инфоград")




НазваниеПостановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект "инфоград")
страница14/16
Дата конвертации11.02.2016
Размер1.78 Mb.
ТипПостановление
источникhttp://www.svetlovka.ru/kollegam/doc/bibl/m670.rtf
1   ...   8   9   10   11   12   13   14   15   16

Причинами нарушения целостности информации в системно-технических средствах системы могут стать:

1. Ошибки или небрежность администраторов, приводящие к раскрытию информации ограниченного доступа, потере данных при обработке и хранении, потере логической структуры дисков серверов и рабочих станций системы, нарушению целостности ПО и БД, включая нарушение целостности ПО активного сетевого оборудования.

2. Эффект воздействия внедренного ПО (например, вирусов для платформы MS Windows) в результате небрежных действий с информацией, приходящей из внешних источников, нарушений регламентов обработки информации и несвоевременного обновления системного программного обеспечения.

3. НСД злоумышленников на серверы и рабочие станции системы за счет получения информации о структуре информационной системы и наличия уязвимостей как в системном, так и прикладном ПО.

4. Нарушение целостности передаваемой по каналам связи информации со стороны поставщика услуг либо в результате аварий на каналах связи и оборудовании поставщика, либо в результате злонамеренных действий персонала поставщика.

5. Нарушение целостности передаваемой по каналам связи информации со стороны злоумышленников.

6. Физический выход из строя технических средств - дисков серверов и рабочих станций, долговременной памяти активного сетевого оборудования либо в результате скрытых дефектов в оборудовании и ошибок в ПО, либо в результате техногенных аварий.

Причинами нарушения доступности информации системы могут стать:

1. Действия внешних злоумышленников по блокированию работоспособности сервисов системы (в том числе проведение внешних атак "отказ в обслуживании" - DoS-атак).

2. Неквалифицированные или злонамеренные действия обслуживающего персонала по конфигурированию и настройке компонентов системы.

3. Нарушения целостности системной инфраструктуры системы - ОС, ПО, БД, управляющей информации, приводящие к невозможности выполнения функций системы по хранению, обработке и передаче информации, связанной с предоставлением информационных сервисов.

4. Внедрение программно-технических закладок в СВТ.

5. Разрушение технических и информационных компонентов инфраструктуры системы вследствие:

- выхода из строя отдельных компонентов системы - серверов, маршрутизаторов, коммутаторов, процессоров, оперативной памяти, блоков питания, жестких дисков, сетевых элементов и т.д.;

- нарушения электропитания компонентов системы;

- аварий на площадках размещения оборудования системы;

- аварии на оборудовании поставщика сетевых услуг;

- террористических актов.


7.3. Требования к информационной безопасности


Городская интегрированная система районных социально ориентированных информационных ресурсов должна отвечать требованиям по защите информации от НСД для АС класса 1 Г в соответствии с руководящим документом Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".

Должны быть определены категории пользователей системы на основе функций, которые они выполняют в системе, и на основе их территориального или ведомственного подчинения - т.е. пользователи системы, руководители различных уровней, издатели информации различной ведомственной подчиненности, администраторы системы и т.п.

Должны быть определены категории размещаемой в системе информации на основе ее конфиденциальности и критичности для конечных пользователей или ее владельцев.

Доступ к информации, размещаемой в системе, должен предоставляться только зарегистрированным пользователям на основе разрешительной системы допуска к хранимой и обрабатываемой информации.

Допуск пользователей должен осуществляться на основе регламентов и инструкций, определяющих порядок допуска пользователей к хранимой и обрабатываемой информации, порядок регистрации пользователей в системе и ответственность пользователей при работе с защищаемой информацией.

На уровне приложений и СУБД должен быть разграничен доступ к различным категориями информационных ресурсов системы для всех имеющихся категорий пользователей.

Должен быть исключен непосредственный доступ пользователей системы к ресурсам СУБД.

Для осуществления доступа пользователей к информационным ресурсам ограниченного доступа, размещаемым в системе, должны быть предусмотрены средства, обеспечивающие надежную аутентификацию пользователей, должны быть предусмотрены средства, обеспечивающие конфиденциальность и контроль целостности информации, передаваемой по открытым сетям с использованием криптографических методов.

Должна быть обеспечена защита межузлового обмена информацией в системе за счет построения частной виртуальной сети с аутентификацией территориальных узлов системы, контроля целостности и шифрованием сетевого трафика.

Должен осуществляться постоянный контроль взаимодействия пользователей системы и ее территориально распределенных узлов на основе средств межсетевого экранирования, обеспечивающих управление доступом, контроль используемых сетевых сервисов и сокрытие внутренней структуры системы.

Должна осуществляться регистрация действий пользователей и регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемой информации. На уровне приложений и СУБД дополнительно должна осуществляться регистрация действий на основе логически законченных транзакций.

В параметрах регистрации указываются:

1. Дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы.

2. Дата и время запуска процессов.

3. Результат попытки входа или запуска: успешная или неуспешная - несанкционированная.

4. Идентификатор программы (процесса).

5. Идентификатор субъекта доступа, предъявленный при попытке доступа.

6. Код или пароль, предъявленный при неуспешной попытке.

В системе должны быть предусмотрены средства активного аудита, обеспечивающие автоматическое выявление (в реальном режиме времени) и реагирование на попытки локального и удаленного НСД, изменения параметров системного и прикладного ПО, нарушения целостности файлов и реагирование на подозрительные события (являющиеся злоумышленными в соответствии с заранее определенной политикой безопасности или нетипичными согласно принятым критериям), и средства анализа защищенности системы.

В системе должна быть предусмотрена должность администратора информационной безопасности, обеспечивающего формирование политики безопасности и контроль ее исполнения на всех уровнях системы.

Средства защиты информации (СЗИ) системы должны быть сертифицированы на соответствие требованиям руководящих документов Гостехкомиссии России по защите от НСД к информации.

Средства криптографической защиты информации (СКЗИ) должны быть сертифицированы ФАПСИ или другим уполномоченным органом на соответствие требованиям ГОСТ 28147-89, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФАПСИ к "стойкости СКЗИ и возможности использования для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну (в случае применения криптографических средств)".


7.4. Варианты обеспечения информационной безопасности


Возможная реализации подсистемы информационной безопасности определяется архитектурой системы проекта "Инфоград", структурой информационных потоков, категорий обрабатываемой информации и обеспечением доступности сервисов проекта "Инфоград" максимальному количеству социальных слоев населения города Москвы.

В этом случае максимальный набор сервисов информационной безопасности должен быть заложен непосредственно в самой системе. Использование надежной аутентификации при доступе к порталу проекта "Инфоград" пользователей на основе криптографических методов защиты информации может рассматриваться только как перспектива развития ПИБ.

В то же время должно быть обеспечено подтверждение авторства размещенной органами государственной власти информации методами криптографической защиты (в соответствии с Указом Президента РФ N 611 от 12 мая 2004 г.). Это может быть осуществлено несколькими путями:

1. Организацией VPN между источниками информации и системой (что позволяет аутентифицировать узлы информационного обмена и обеспечить автоматический обмен информацией, но требует наличия единых средств организации VPN с обеих сторон).

2. Организацией на прикладном уровне надежной аутентификации и подтверждения транзакций по размещению информации электронной цифровой подписью на уровне веб-интерфейса (наиболее защищенный вариант информационного обмена, требующий однако утяжеления обычно тонкой клиентской части системы и не обеспечивающий высокого уровня автоматизации процессов публикации информации, если при этом не используется пакетная пересылка документов).

3. Использованием электронной цифровой подписи в размещаемых документах на прикладном уровне обработки документов (защищенный вариант информационного обмена, требующий утяжеления клиентской и серверной частей программного обеспечения).

4. Пересылкой информации по каналам электронной почты с использованием ЭЦП (наиболее простой метод реализации, имеющий тот недостаток, что серьезно снижает автоматизацию обработки документов).

Окончательный выбор механизмов подтверждения авторства должен быть сделан на стадии проектирования системы на основе анализа принятой технологии обработки информации и реализованных информационных потоков.

Обеспечение контроля доступа к ресурсам проекта "Инфоград", целостности и доступности информационных ресурсов системы может быть обеспечено как на основе встроенных механизмов безопасности приложений системы (аутентификации и авторизации пользователей на уровне веб-сервера и серверов приложений, журналирования действий всех категорий пользователей, использования процедур и триггеров для заданных категорий пользователей и модификации информации, избыточности данных и т.п.), так и с использованием наложенных механизмов защиты (программно-технических средств ПИБ).

Контроль доступа, в первую очередь, должен ограничить набор используемых пользователями прикладных сервисов - HTTP, SMTP и направлений информационного обмена (в особенности в части возможности модификации информации). Ограничивается доступ к технологическим системам для размещения информации. Скрывается топология сети проекта "Инфоград".

Реализация таких механизмов осуществляется с использованием межсетевых экранов. Возможно использование как МЭ, осуществляющих только фильтрацию сетевых соединений, так и МЭ, обеспечивающих, кроме фильтрации трафика на сетевом уровне, фильтрацию на уровне приложений (т.е. с учетом команд используемых протоколов). Последний вариант обеспечивает более полный и эффективный контроль над пользователями, но может снизить производительность системы (или потребует более высокопроизводительного оборудования для установки МЭ).

Если для массового доступа пользователей (речь идет о миллионах запросов) добиться контроля на прикладном уровне без потери производительности не удастся, то необходимо говорить о разделении общедоступных и технологических сервисов на физическом и логическом уровне с разной политикой контроля для запросов к общедоступной информации (уровень фильтрации на сетевом уровне и доступ только к пользовательскому порталу) и выполнения технологических и административных функций (уровень фильтрации на прикладном уровне) при публикации информации и управлении системой.

При этом МЭ должен обеспечить сетевую трансляцию адресов для технологического сегмента системы в целях сокрытия топологии системы и дополнительную аутентификацию внешнего пользователя при доступе к ресурсам системы.

Целостность и доступность системы обеспечиваются на разных уровнях системы:

1. За счет резервирования системно-технической платформы системы (либо за счет горячего, либо за счет холодного резервирования).

2. За счет резервного копирования данных системы.

3. За счет применения средств обнаружения вторжений (активного аудита и антивирусной защиты), обеспечивающих контроль за системой в режиме реального времени.

Применение средств обнаружения вторжений не является обязательным для информационных систем, в то же время, учитывая, что к системе будут иметь доступ миллионы пользователей, а сама система будет иметь выход в Интернет, имеется 100% вероятность того, что система будет подвержена атакам со стороны внешних злоумышленников.

Применение средств обнаружения вторжений позволяет уже на ранней стадии обнаруживать деятельность злоумышленников по сканированию и выявлению структуры и уязвимостей системы.

Несмотря на то что эффективных средств защиты от сетевых атак типа DoS практически нет, своевременное обнаружение такой атаки позволяет совместно с поставщиками телекоммуникационных услуг снизить ущерб от возможной атаки или даже заблокировать атакующий сетевой трафик или непосредственно злоумышленника.

Использование средств обнаружения вторжений позволяет эффективно бороться с попытками НСД к ресурсам системы, но требует больших затрат.

Сами средства обнаружения вторжений могут контролировать:

1. Входящий внешний трафик.

2. Трафик внутри защищаемого сегмента за межсетевым экраном.

3. Активность на узлах системы - серверах и рабочих станциях.

4. Вирусную активность:

а) на серверах и рабочих станциях;

б) при передаче почтовых сообщений или HTTP и FTP трафика.

В целях экономии средств состав контролируемых узлов и сегментов сети определяется после детальной проработки архитектуры и структуры системы и выделения наиболее критичных ресурсов.

Уровень антивирусной защиты может быть снижен за счет применения решений на основе UNIX-серверов и рабочих мест пользователей на основе бездисковых терминалов.

Конкретные решения по применению средств обнаружения вторжений должны быть определены на этапе проектирования подсистемы информационной безопасности.


7.5. Этапность создания ПИБ


Подсистема информационной безопасности создается в несколько этапов:

1. Уточнение требований к информационной безопасности на основе структуры системы и информационных потоков информационного обмена.

2. Разработка технического проекта ПИБ.

3. Разработка рабочей документации.

4. Развертывание и сдача в эксплуатацию ПИБ.

5. Сопровождение ПИБ.


8. Варианты построения системы


Проект "Инфоград" разрабатывается в рамках подпрограммы раздела 1.4 "Преодоление информационного неравенства: обеспечение возможностей использования ИКТ всеми жителями города". Из определенных ранее целей и задач следует, что "Инфоград" является социально ориентированным проектом и не несет за собой коммерческой прибыли. При этом затраты на его реализацию могут предусматривать рекламу в средствах массовой информации, Интернете и иные способы информирования населения о работе системы. Его окупаемость не может иметь прямого финансового выражения и оценивается ростом доступности для горожан и степенью использования информации, необходимой для их повседневной жизни.

При реализации проекта "Инфоград" в городе Москве возможны альтернативные варианты построения системы. Подсистема распределенного сбора и редакторской обработки информации включает централизованную редакцию и может содержать систему собственных районных информационных агентств или опираться на внешних по отношению к создаваемой системе информационных поставщиков. Кроме того, система может быть исключительно социально направленной, а может содержать и коммерческую составляющую. Все остальные подсистемы должны быть реализованы как единый информационный комплекс технических и программных средств.
1   ...   8   9   10   11   12   13   14   15   16

Похожие:

Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconПравительство российской федерации распоряжение от 20 июля 2011 г. N 1275-р
Одобрить прилагаемую Концепцию создания и развития государственной интегрированной информационной системы управления общественными...
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconЛабораторная работа №1 Знакомство с интегрированной средой разработки Borland Delphi
Цели: Ознакомиться с интегрированной средой разработки приложений Borland Delphi Научится создавать и настраивать проект консольного...
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") icon"дмитровский район" московской области постановление от 4 ноября 2004 г. N 4446-п о внесении изменений в постановление n 3224-п от 16. 08. 2004
В целях упорядочения учетной документации по местоположению садоводческих объединений
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconО концепции веб-портала «Культурное наследие Архангельского Севера»
Библиотеки субъектов Российской Федерации также становятся участниками и инициаторами создания таких веб-ресурсов, рассматривая интернет-пространство...
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconС. А. Афанасьева в современных условиях перед российскими библиотеками стоят задачи повышения качества создаваемых и предлагаемых информационных продуктов и услуг; высококачественного профильного обслуживания пользова
В связи с этим политика рмбиц в области качества направлена на обеспечение гарантированного высокого качества информационно-библиотечных,...
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconВыпускная работа по «Основам информационных технологий»
...
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconКурсовой проект имеет целью закрепление материала курса и получение практических навыков анализа и оценки состояния природных ресурсов территории и картографирования их на основе методов аэрокосмической съемки.
Экологическими последствиями разработки земных недр. Охрана природных комплексов при разработке минеральных ресурсов
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconПостановление от 17 сентября 2007 г. N 252 "о перечне муниципальных услуг, по которым должен производиться учет потребности в их предоставлении"
В соответствии с Программой реформирования муниципальных финансов мо «Хоринский район», утвержденной решением Совета депутатов мо...
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconАкимат города усть-каменогорский усть-каменогорска городской маслихат постановление решение
Закона Республики Казахстан от 23 января 2001 года «О местном государственном управлении и самоуправлении в Республике Казахстан»,...
Постановление от 28 сентября 2004 г. N 670-пп о концепции создания городской интегрированной системы районных социально ориентированных информационных ресурсов и услуг (проект \"инфоград\") iconПостановление Правительства Республики Казахстан от 30 сентября 2011 года №1114 Об утверждении Соглашения между Правительством Республики Казахстан и Правительством Китайской Народной Республики об охране качества вод трансграничных рек
Постановление Правительства Республики Казахстан от 30 сентября 2011 года №1114
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©kzdocs.docdat.com 2012
обратиться к администрации
Документы
Главная страница