Доклад ИБ
.docxМинистерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Национальный исследовательский университет «МИЭТ» |
Доклад на тему: |
«Классификация информационных систем. Требования по защите ИС общего пользования» |
|
|
|
|
Цели и задачи: 1.Выяснить, какие требования существуют к защите ОИС 2.Разобраться в классификации ИС
Информационная система— это взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели. ИС общего пользования должны обеспечивать: сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее - целостность информации); беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее - доступность информации); защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих, в том числе к уничтожению, модификации и блокированию информации (далее - неправомерные действия).
Тип информационной системы зависит от того, чьи интересы она обслуживает и на каком уровне управления. Классификация информационных систем способствует выявлению наиболее характерных черт, присущих информационным системам. Классификация проводится по определенным признакам.
Классификация ИС по признаку структурированности задач:
структурированные (формализуемые) задачи, где известны все ее элементы и взаимосвязи между ними, удается выразить ее содержание в форме математической модели, имеющей точный алгоритм решения.
неструктурированные (неформализуемые) задачи – задачи, в которых невозможно выделить элементы и установить между ними связи. Решение таких задач из-за невозможности создания математического описания и разработки алгоритма связано с большими трудностями.
частично структурированные задачи – известна часть элементов и связей между ними.
По характеру представления и логической организации хранимой информации:
фактографические информационные системы – накапливают и хранят данные в виде множества экземпляров одного или нескольких типов структурных элементов (информационных объектов), которые отражают сведения по какому-либо факту, событию и пр., отделенному от других сведений.
документальные информационные системы – единичным элементом информации является документ и информация на вводе (входной документ). При создании информационной базы процесс структуризации не производится или производится в ограниченном виде
геоинформационные информационные системы – данные организованы в виде отдельных информационных объектов, привязанных к общей электронной топографической основе (электронной карте).
По выполняемым функциям и решаемым задачам:
справочные информационные системы, которые предоставляют пользователям получать определенные классы объектов (телефоны, адреса, литературу и пр.) – электронные справочники, картотеки, программные или аппаратные электронные записные книжки и т. д.;
информационно-поисковые информационные системы, которые дают пользователям возможность поиска и получения сведений по различным поисковым образам на неком информационном пространстве;
расчетные информационные системы, которые производят обработку информации по определенным расчетным алгоритмам, например вычисление определенных статистических характеристик;
технологические информационные системы, функции таких систем заключаются в автоматизации всего технологического цикла или отдельных его компонент производственной или организационной структуры, например, автоматизированные системы управления, системы автоматизации документооборота и пр.
По характеру использования информации:
информационно-поисковые системы производят ввод, систематизацию, хранение, выдачу информации по запросу пользователя без сложных преобразований данных (информационно-поисковая система в библиотеке, в железнодорожных кассах);
информационно-решающие системы осуществляют все операции переработки информации по определенному алгоритму, выделяют управляющие и советующие системы
Гипертекстовые системы
Классификация по степени автоматизации:
Ручные
Автоматические
Автоматизированные
Требования к защите ИС общего пользования
В целях обеспечения права пользователей информацией на доступ к этой информации государственные органы, органы местного самоуправления принимают меры по защите информации о своей деятельности в соответствии с законодательством Российской Федерации (ч.3. ст.10 [1]). 1.2. При подключении информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, операторы этих систем обязаны обеспечить защиту информации, содержащейся в информационных системах общего пользования, от уничтожения, изменения и блокирования доступа к ней (п.1а [2]).
Таким образом, операторы государственных, муниципальных информационных порталов, Web-сайтов, размещенных в сети Интернет обязаны выполнить требования и мероприятия направленные на обеспечение безопасности своих информационных ресурсов. Совместный приказ ФСБ России и ФСТЭК России №416/№484 от 31 августа 2010 года «Об утверждении требований о защите информации, содержащихся в информационных системах общего пользования» установил классификацию информационных систем общего пользования (ИСОП) в зависимости от значимости содержащейся в них информации и требований к ее защите. В соответсвии с этим ИСОП разделяются на два класса:
«5.1 К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.»
«5.2 Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.»
При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:
В информационных системах общего пользования I класса:
использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;
использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;
использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;
использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;
осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность;
обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;
осуществление регистрации действий обслуживающего персонала и пользователей;
обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;
использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);
осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.
В информационных системах общего пользования II класса:
использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);
использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;
обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;
осуществление регистрации действий обслуживающего персонала;
обеспечение частичного резервирования технических средств и дублирования массивов информации;
использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);
осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.