Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
· заражение клиентской рабочей станции компьютерным вирусом или другой вредоносной программой через сообщения электронной почты;
· несанкционированное копирование конфиденциальной информации;
· уничтожение информации на серверах и рабочих станциях;
· внесение нерегламентированных изменений в данные и программное обеспечение;
· кража носителей конфиденциальной информации;
· кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.
Возможности утечки информации по техническим каналам
В ИВС Росстата существует возможность утечки информации по следующим техническим каналам:
· побочные электромагнитные излучения информативного сигнала от технических средств;
· наводки информативного сигнала;
· радиоизлучение;
· электрические сигналы или радиоизлучения, обусловленные воздействием на АС высокочастотных сигналов, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т. п.), и модуляцией их информативным сигналом (облучение, «навязывание»);
· радиоизлучения или электрические сигналы от внедренных специальных электронных устройств перехвата информации;
· акустическое излучение информативного речевого сигнала;
· просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
· воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации.
Защита от утечки по перечисленным техническим каналам осуществляется организационными и техническими мерами. Решение о необходимости принятия мер принимается после проведения специальных исследований, а также на основе анализа соотношения критичности информации и стоимости средств.
Основные положения обеспечения информационной безопасности
Организация обеспечения информационной безопасности
Для реализации единой политики защиты информации в Росстате создана базовая структура управления информационной безопасностью – отдел защиты информации, которому делегированы функции разработки, внедрения, координации и контроля организационных и технических мероприятий комплексной защиты информации в системе Росстата. Для реализации требований информационной безопасности Росстата в территориальных органах назначаются специалисты по защите информации.
В Росстате поддерживается безопасность информации посредством управленческих процессов и утверждения обязанностей по обеспечению информационной безопасности. При этом должно быть обеспечено:
· подтверждение того, что цели информационной безопасности установлены, соответствуют организационным требованиям и включены в соответствующие процессы деятельности Росстата;
· контроль эффективности мер безопасности информации;
· четкое руководство и управленческая поддержка инициатив по безопасности;
· наличие ресурсов, необходимых для успешной организации информационной безопасности;
· назначение конкретных ролей и обязанностей по информационной безопасности в системе Росстата;
· инициирование планов и программ поддержания осведомленности сотрудников по информационной безопасности;
· координация внедрения средств управления информационной безопасностью в системе Росстата.
Представителям подразделений Росстата с соответствующими ролями и рабочими функциями следует координировать деятельность по обеспечению защиты информации в пределах своей ответственности.
Координация обеспечения информационной безопасности должна включать взаимодействие и сотрудничество руководства, пользователей, администраторов, разработчиков приложений. В процессе данной деятельности необходимо:
· убедиться, что меры безопасности выполняются в соответствии с требованиями руководящих документов;
· утверждать методологии и процессы организации информационной безопасности;
· определять значимые изменения угроз и моменты, когда информация и средства ее обработки подвергаются угрозам;
· эффективно поддерживать в масштабах Росстата обучение и осведомленность в области информационной безопасности;
· оценивать информацию, полученную в результате отслеживания и обработки инцидентов безопасности, а также рекомендовать приемлемые меры в ответ на установленные инциденты информационной безопасности.
Все обязанности по обеспечению информационной безопасности следует определить исходя из функциональных обязанностей сотрудников.
При внедрении новых программных средств обработки информации в Росстате необходимо определить процедуру их санкционирования.
В процедуре санкционирования должно быть обеспечено:
· согласование с руководителем пользователя и с руководителем, ответственным за информационную безопасность ЛВС;
· проверка совместимости с аппаратным и программным обеспечением компонентов системы.
Необходимо провести пересмотр обязательств о соблюдении требований конфиденциальности сотрудниками Росстата, отражающим требования защиты информации.
Обязательство о соблюдении конфиденциальности должно включать следующие элементы:
· определение защищаемой информации;
· срок действия соглашения;
· ответственность лиц, подписывающих соглашение;
· права на использование конфиденциальной информации для лица, подписывающего обязательство;
· порядок оповещения и отчета о несанкционированных разглашениях или нарушениях конфиденциальности;
· меры в случае нарушения соглашения.
Требования к обязательствам о соблюдении конфиденциальности и неразглашении следует периодически пересматривать и в случае необходимости вносить изменения.
Для проверки состояния информационной безопасности в Росстате необходимо проводить независимый аудит с планируемыми интервалами, или когда в реализации безопасности происходят существенные изменения.
Такие исследование выполняют органы внешнего аудита, независимые от области исследования и имеющие надлежащий опыт. При этом в ИВС Росстата следует внедрить средства управления по защите информационных систем в ходе аудита. Также необходима защита целостности информационных ресурсов и предотвращение неправомерного использования инструментов аудита.
Результаты независимого исследования документируются и направляются в виде отчета руководителю Росстата.
Если независимым аудитом установлено, что подход и реализация управления безопасностью неадекватны или не соответствуют нормам информационной безопасности, то их необходимо откорректировать.
Взаимодействие с внешними организациями
Перед предоставлением доступа внешней организации необходимо определить риски по отношению к информации и средствам ее обработки, а также внедрить приемлемые средства защиты информации.
До определения угроз, относящихся к доступу внешних организаций, следует выполнить нижеследующее:
· классифицировать средства обработки информации, к которым требуется доступ внешней организации;
· определить тип доступа внешней организации к информации и средствам ее обработки (физический доступ, логический доступ, сетевое соединение между сетями Росстата и внешней организации и др.);
· определить, предоставляется ли доступ на месте эксплуатации или вне его;
· определить ценность и закрытость задействованных информационных ресурсов;
· определить персонал внешнего контрагента, участвующий в обработке информации Росстата;
· определить способ идентификации внешней организации;
· определить требования, относящиеся к внешней организации, которые следует принимать во внимание;
· учесть, как соглашения о взаимодействии с внешней организацией повлияют на интересы других заинтересованных сторон.
Не следует предоставлять доступ внешней организации к информации Росстата до тех пор, пока не будут внедрены соответствующие средства контроля и подписан договор, определяющий условия доступа. Все требования безопасности, вытекающие из сотрудничества с внешней организацией, как правило, должны быть отражены в договоре (соглашении) с внешней стороной.
Сотрудники подведомственных организаций, обслуживающие ИВС Росстата, должны выполнять требования обеспечения защиты информационных ресурсов Росстата.
Организации-участники конкурсов и аукционов должны выполнять требования по обеспечению обмена информацией в соответствии с требованиями действующего законодательства Российской Федерации.
Управление информационными ресурсами
Все основные информационные ресурсы Росстата должны быть учтены и закреплены за ответственными владельцами.
Учет информационных ресурсов помогает обеспечивать необходимый уровень их защиты. Необходимо идентифицировать владельцев всех основных информационных ресурсов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Осуществление мероприятий по управлению информационной безопасностью может быть делегировано, но ответственность всегда должна оставаться за назначенным владельцем информационного ресурса.
Вопросы безопасности, связанные с персоналом
Обязанности по соблюдению требований безопасности информации включаются в государственные контракты (трудовые договоры).
Все сотрудники и представители третьей стороны, использующие средства обработки информации Росстата, должны подписывать обязательства о конфиденциальности.
Сотрудников, которым предоставляется доступ к информационным системам, следует ознакомить под роспись с требованиями руководящих документов по обеспечению защиты информации Росстата.
Должностные инструкции сотрудников Росстата должны содержать конкретные обязанности по соблюдению требований безопасности и ответственность за их нарушение.
Назначение прав и полномочий сотрудникам для работы со сведениями ограниченного распространения в ИВС Росстата производят администраторы соответствующих информационных систем на основании решения непосредственных начальников.
Пользователей ИВС Росстата необходимо постоянно обучать процедурам безопасности и правильному использованию средств обработки и защиты информации для того, чтобы свести к минимуму возможные риски безопасности по причине «человеческого фактора».
Руководители структурных подразделений Росстата несут персональную ответственность за соблюдение режима информационной безопасности сотрудниками своих подразделений. Необходимо внедрить процедуры по периодическому мониторингу действий сотрудников Росстата со стороны вышестоящих руководителей в течение всего периода работы сотрудников.
При увольнении и перемещении сотрудников Росстата определяется порядок, который должен предусматривать обеспечение возврата всех материальных носителей информации и отзыв всех прав доступа.
Физическая безопасность и безопасность окружения
В Росстате принимаются меры по предотвращению несанкционированного физического доступа, повреждения и воздействия на помещения и информационные ресурсы.
Средства обработки информации размещаются в контролируемых зонах, защищенных четко определенным периметром и оборудованных средствами контроля физического доступа.
Следует применять политику «чистого стола» в отношении бумажных документов и сменных носителей информации, а также политику «чистого экрана» в отношении средств обработки информации с тем, чтобы уменьшить риски НСД, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе.
Обеспечиваемая защита охраняемых зон должна быть адекватна установленным рискам.
Проводятся работы по предотвращению потерь, повреждений и компрометации информационных ресурсов, а также перебоев в функционировании оборудования ИВС Росстата.
Оборудование необходимо размещать так, чтобы обеспечить защиту от угроз его безопасности и воздействий окружающей среды. Защита оборудования (в том числе используемого за пределами объекта) необходима для уменьшения риска НСД к информации и для его защиты от потери или повреждения.
Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев.
Силовые и телекоммуникационные кабельные сети, по которым передаются данные или осуществляются другие информационные услуги, необходимо защищать от перехвата информации или повреждений.
Использование оборудования для обработки информации (включая все типы персональных компьютеров, ноутбуков) вне помещений ЦА Росстата и ТОГС должно быть санкционировано соответствующими руководителями. Уровень информационной безопасности при этом должен быть эквивалентен уровню безопасности в отношении оборудования, используемого с аналогичной целью в помещениях Росстата, а также с учетом рисков работы на стороне.
Управление коммуникациями и операциями
Операционные процедуры и обязанности
Для обеспечения уверенности в надлежащем и безопасном функционировании информационных систем Росстата должны быть определены обязанности и процедуры по управлению и функционированию всех средств обработки информации. Они должны включать разработку соответствующих инструкций с описанием процедур реагирования на инциденты информационной безопасности.
С целью минимизации риска при неправильном использовании систем вследствие небрежности или злого умысла следует разделять полномочия пользователей ИВС Росстата.
Принцип разграничения обязанностей необходимо применять как способ уменьшения неавторизованного или неправильного использования информации, а также при разделении сред разработки, тестирования и промышленной эксплуатации.
Для минимизации риска возникновения сбоев и отказов информационные системы Росстата должны быть спроектированы с учетом предполагаемой нагрузки и потребности в вычислительных мощностях.
Следует определить, документально зафиксировать и протестировать основные функциональные требования к внедряемым системам перед их установкой и введением в эксплуатацию.
Защита от вредоносного программного обеспечения
Для обеспечения защиты целостности программного обеспечения и информационных ресурсов Росстата необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения.
Пользователи ИВС Росстата должны быть осведомлены об опасности использования неавторизованного программного обеспечения, а отдел защиты информации должен обеспечить внедрение специальных средств контроля с целью обнаружения и/или предотвращения проникновения подобных программ.
Защита от вредоносного программного обеспечения должна предусматривать документированную политику, требующую:
· использования на серверах и рабочих станциях сертифицированного по требованиям безопасности антивирусного программного обеспечения;
· соблюдения лицензионных соглашений на использование антивирусного программного обеспечения;
· принятия мер защиты при проверке файлов на носителях информации сомнительного или неавторизованного происхождения;
· проверки любых вложений электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения до их использования;
· установления процедур и обязанностей, связанных с защитой от вирусов.
Резервное копирование
Для поддержания целостности и доступности информационных ресурсов в ИВС Росстата регулярно должно проводиться резервное копирование информации и программного обеспечения.
Средства резервирования должны быть адекватны для обеспечения уверенности в том, что вся важная статистическая информация и программное обеспечение могут быть восстановлены после аварии, сбоя оборудования или стихийного бедствия.
При проведении мероприятий по резервному копированию информационных ресурсов Росстата необходимо руководствоваться следующим:
· минимально необходимый объем резервной информации во избежание любого повреждения должен храниться в достаточно отдаленном месте от здания ЦА Росстата, ТОГС;
· резервная информация должна быть обеспечена гарантированным уровнем физической защиты и защиты от воздействий окружающей среды;
· оборудование резервного копирования должно регулярно подвергаться тестированию;
· процедуры восстановления следует регулярно актуализировать и тестировать для обеспечения уверенности в их эффективности;
следует определять периоды хранения информации, а также учитывать требования к архивным копиям долговременного хранения.
Управление сетевой безопасностью
Для обеспечения требуемого уровня безопасности компьютерных сетей ИВС Росстата и его поддержки необходимо обеспечить внедрение средств защиты информации.
При проведении мероприятий по управлению безопасностью сетей Росстата необходимо:
· распределять ответственность за поддержание сетевых ресурсов;
· устанавливать процедуры и обязанности по управлению удаленным оборудованием, включая оборудование, установленное у конечных пользователей;
· внедрять специальные средства контроля для обеспечения конфиденциальности и целостности данных, проходящих по общедоступным сетям, а также для защиты подключенных систем;
· действия по управлению необходимо тщательно соизмерять как с требованиями производственной деятельности Росстата, так и с общими требованиями к обеспечению безопасности ИВС Росстата.
Безопасность носителей информации
С целью защиты документов, компьютерных носителей информации от НСД, повреждений и хищения необходимо разработать и утвердить соответствующие инструкции.
Инструкции по использованию и защите документов, носителей информации должны быть разработаны исходя из категории информации, типа носителей и с учетом следующих мер безопасности:
- все носители информации, документы и их копии необходимо маркировать и учитывать в соответствующих журналах; носители информации следует хранить в надежном и безопасном месте; при передаче съемных носителей информации многократного использования за пределы Росстата их содержимое должно быть уничтожено; уничтожение носителей информации должно производиться на основании соответствующего решения; об уничтожении должна быть сделана запись в регистрационном журнале.
Обмен информацией с внешними организациями
Обмен информацией должен происходить на основе соглашений между Росстатом и внешними организациями. Требования безопасности в соглашениях должны учитывать:
· степень важности информации, являющейся предметом обмена;
· обязанности и процедуры по контролю и уведомлению о передаче, отправке и получении информации;
· технические требования при обмене пакетами данных и программным обеспечением;
· использование согласованной системы маркировки информации;
· требования к курьерской службе;
· ответственность и обязательства в случае потери данных.
· Мероприятия по защите информации при передаче информации между Росстатом и внешними организациями должны предусматривать:
· использование услуг специальной фельдъегерской почтовой связи при передаче документов ограниченного распространения;
· применение СКЗИ и средств ЭЦП в системах электронного документооборота.
Безопасность электронной почты
При определении правил безопасного использования электронной почты следует учитывать:
· уязвимость сообщений по отношению к возможности НСД или модификации, а также к отказу в обслуживании;
· перечень информации, при передаче которой не следует пользоваться электронной почтой;
· необходимость защиты вложений в сообщения электронной почты;
· возможность использование криптографических методов для защиты конфиденциальности и целостности электронных сообщений;
· необходимость хранения сообщений.
Управление доступом
Требования Росстата по управлению доступом
Доступ к информационным ресурсам и ИВС Росстата должен быть контролируемым с учетом требований производственных процессов и информационной безопасности.
Требования к контролю доступа должны быть определены и документально оформлены.
Управление доступом пользователей
Для предотвращения НСД и осуществления контроля за предоставлением прав доступа к информационным ресурсам и ИВС Росстата необходимо наличие формализованных процедур.
Процедуры должны быть документированы и должны охватывать все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным ресурсам и ИВС Росстата.
Доступ к ИВС Росстата должен быть контролируемым посредством формализованного процесса регистрации пользователей, который должен включать:
· использование уникальных ID (идентификаторов или имен) пользователей;
· уровень предоставляемого доступа должен соответствовать производственной необходимости;
· ведение формализованного учета всех пользователей ИВС Росстата;
· изменение или отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из Росстата;
· периодическую проверку и удаление избыточных пользовательских ID и учетных записей.
Особое внимание следует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.
Для поддержания эффективного контроля доступа к информационным ресурсам и ИВС Росстата необходимо периодически осуществлять формализованный процесс пересмотра прав доступа пользователей.
Обязанности пользователей ИВС Росстата должны формироваться исходя из необходимости предотвращения НСД, компрометации или кражи информации и средств ее обработки.
Для эффективного управления доступом пользователи ИВС Росстата должны быть ознакомлены со своими обязанностями.
Управление сетевым доступом
Пользователям ИВС Росстата предоставляется непосредственный доступ к внешним сетям путем авторизации в соответствие с их должностными обязанностями. При этом должно быть обеспечено:
· наличие интерфейсов между ИВС Росстата и внешними сетями;
· применение механизмов аутентификации пользователей;
· контроль доступа пользователей к информационным ресурсам и сервисам.
Управление доступом к операционным системам
Для предотвращения неавторизованного доступа к операционным системам должны использоваться сертифицированные по требованиям безопасности СЗИ от НСД. Эти средства должны обеспечивать:
· идентификацию и аутентификацию пользователей;
· регистрацию событий при работе в системе;
· аварийное оповещение при нарушениях требований безопасности системы;
· блокировку компьютера пользователя после определенного периода времени его бездействия.
Необходимо исключить использование системных утилит, позволяющих обходить СЗИ от НСД.
Управление доступом к приложениям
Управление доступом к приложениям в ИВС Росстата должно осуществляться с целью предотвращения НСД к информации, содержащейся в информационных системах.
Доступ к прикладному программному обеспечению следует ограничить и предоставлять только зарегистрированным пользователям. Необходимо обеспечить:
· управление правами доступа пользователей к информации и прикладным системным функциям;
· защиту от внедрения любых утилит, способных подавлять или обходить системные или прикладные средств управления;
· исключение компрометации других информационных систем, с которыми совместно используются информационные ресурсы Росстата.
Переносные устройства и удаленная работа
Для предотвращения НСД к ИВС Росстата необходимо обеспечить безопасность информации при использовании пользователями переносных устройств и средств удаленной работы.
При использовании переносных устройств (ноутбуков, портативных компьютеров и т. д.) пользователями ИВС Росстата необходимо принимать специальные меры защиты информации, включающие:
- требования по физической защите, контролю доступа, использованию СКЗИ и ЭЦП, резервированию и защите от вирусов;
- информирование сотрудников, использующих переносные устройства, о дополнительных рисках и необходимых мероприятиях обеспечения информационной безопасности, связанных с этим способом работы.
Мониторинг защищенности ИВС Росстата
Для проверки эффективности применяемых мер по обеспечению информационной безопасности в ИВС Росстата проводится работа по систематическому сбору информации о параметрах (мониторингу) защищенности информационной системы. Мониторинг должен проводиться администраторами информационной безопасности специальными программно-аппаратными средствами и охватывать все потенциально опасные каналы утечки информации.
Для регистрации инцидентов нарушения информационной безопасности следует создавать журналы аудита и хранить их в течение согласованного периода времени. Для обеспечения контроля правомерности действий пользователей ИВС Росстата необходимо определить процедуры мониторинга использования средств обработки информации.
Результаты мониторинга следует регулярно анализировать и доводить до сведения руководства Росстата.
Приобретение, разработка и обслуживание информационных систем
Требования к безопасности информационных систем
Требования к безопасности информационных систем Росстата следует формулировать на стадии определения задач проекта, а также обосновывать, согласовывать и документировать в рамках общего проекта по внедрению информационной системы.
В Росстате должно быть обеспечено использование сертифицированных по требованиям безопасности СЗИ.
Планирование мероприятий по обеспечению информационной безопасности на стадии проектирования системы позволяет существенно снизить затраты на их внедрение и поддержку по сравнению с разработкой соответствующих мероприятий во время или после внедрения системы.
Управление СКЗИ и ключами ЭЦП
Применение криптографических методов защиты информации ИВС Росстата обеспечивает решение основных задач информационной безопасности.
В Росстате должен быть установлен порядок использования СКЗИ, средств ЭЦП и управления ключами шифрования.
В ИВС Росстата должны применяться лицензионные СКЗИ отечественного производства, сертифицированные по требованиям безопасности информации.
В ИВС Росстата СКЗИ применяются для:
· шифрования всего информационного трафика, передающегося по открытым каналам передачи данных;
· шифрования информации, представленной в виде файлов или хранящейся в базе данных.
Средства ЭЦП обеспечивают юридическую значимость, целостность и достоверность документов:
· в системе электронного документооборота Росстата;
· в системах сбора статистической отчетности в электронном виде;
· в системах криптографической аутентификации пользователей ИВС Росстата.
При обращении с ключами ЭЦП пользователи ИВС Росстата должны соблюдать установленный порядок их безопасного хранения и использования.
С целью упорядочения обращения с ключами ЭЦП в ЦА Росстата и ТОГС решением руководства функции удостоверяющего центра Росстата возложены на УЦ ГМЦ Росстата. Основными функциями УЦ Росстата являются:
- формирование сертификатов открытых ключей (далее – сертификаты) владельцев ключей подписи; формирование и поддержание в актуальном состоянии списка отозванных сертификатов; хранение эталонной базы сертификатов и списков отозванных ключей; хранение регистрационных данных владельцев ключей подписи, запросов на сертификаты и пользовательских сертификатов;
Для управления ключами ЭЦП в системе сбора статистической отчетности в электронном виде организуется сеть доверенных УЦ Росстата.
Безопасность в процессах разработки и поддержки
Работники подведомственных организаций Росстата, сопровождающие работу прикладных систем, должны проводить анализ всех предложенных изменений ИВС Росстата и исключать возможность компрометации системы безопасности и среды промышленной эксплуатации.
Чтобы свести к минимуму повреждения ИВС Росстата, следует строго контролировать внедрение изменений.
В Росстате должна использоваться среда, в которой пользователи тестируют новое программное обеспечение и которая отделена от среды разработки и среды промышленной эксплуатации. При этом обеспечивается возможность контроля нового программного обеспечения и дополнительная защита информации, используемой в процессе тестирования.
Управление инцидентами информационной безопасности
Обнаружение пользователями событий и слабых мест информационной безопасности, связанных с информационными системами, должно гарантировать возможность принятия своевременных корректирующих действий.
В Росстате внедряется формальный порядок сообщения о событиях и порядок их эскалации. Всех пользователей ИВС Росстата (сотрудников Росстата, контрагентов и пользователей внешних организаций) следует проинформировать о порядке сообщений о различных типах событий, которые могут иметь воздействие на безопасность информационных ресурсов Росстата. Пользователи ИВС Росстата обязаны незамедлительно сообщать о любых событиях информационной безопасности, используя определенную точку контакта.
В Росстате необходимо обеспечить применение последовательного и эффективного подхода к управлению инцидентами информационной безопасности.
Следует внедрить обязанности и порядок эффективной безотлагательной обработки событий и уязвимостей информационной безопасности. В качестве реакции на них следует применять процесс непрерывного улучшения, отслеживания, оценки и управления инцидентами информационной безопасности.
Для обеспечения соответствия юридическим требованиям следует собирать доказательства.
Управление непрерывностью деятельности
В ИВС Росстата следует обеспечить противодействие прерываниям деятельности и защиту критичных процессов от воздействия сбоев информационных систем и аварий, а также гарантирование своевременного возобновления работы данных систем.
Для минимизации отрицательного воздействия на ИВС Росстата и восстановления потерь информационных ресурсов (потери могут быть результатом, например, стихийных бедствий, несчастных случаев, отказа оборудования и умышленных действий) до приемлемого уровня, следует внедрить процесс управления непрерывностью деятельности, сочетая профилактические и восстановительные средства управления. В этом процессе следует установить критичные процессы и объединить требования непрерывности по управлению информационной безопасностью с другими требованиями непрерывности, касающимися таких вопросов, как операции, персонал, материалы, транспорт и оборудование.
Последствия бедствий, сбоев безопасности, потеря обслуживания и доступности обслуживания подлежат анализу. Для гарантирования своевременного возобновления основных операций следует разработать и внедрить планы обеспечения непрерывности. Информационная безопасность должна быть неотъемлемой частью общего процесса обеспечения непрерывности деятельности и других процессов управления в Росстате.
Управление непрерывностью деятельности Росстата должно включать средства управления, устанавливающие и снижающие риски, в дополнение к общему процессу определения рисков, ограничивать последствия ущерба инцидентов и гарантировать доступность информации, требуемой для процессов бизнеса.
4.2.2. Организация в ИВС Росстата защищенных сетей передачи данных и защиты информационных систем персональных данных
Организация в ИВС Росстата защищенных сетей передачи данных и защиты информационных систем персональных данных предусматривает:
· развертывание защищенных сетей на основе существующей инфраструктуры ведомственной сети Росстата и внедрения сертифицированных средств защиты ViPNet при информационном обмене между Центральным аппаратом (далее - ЦА) Росстата, Главным межрегиональным центром обработки и распространения статистической информации Росстата (далее – ГМЦ Росстата) и территориальными органами государственной статистики (далее - ТОГС);
· повышение производительности и надежности функционирования шлюзов защищенной сети на основе внедрения новых программно-аппаратных комплексов защиты информации по открытым каналам связи (далее - ПАК), а также интеграция ПАК с имеющимся программным обеспечением ViPNet Coordinator, ViPNet Client;
· формирование в ЦА, ГМЦ Росстата и ТОГС Росстата выделенных защищенных сетей, внутри которых будет осуществляться передача конфиденциальной информации, в том числе персональных данных.
Рис. 4. Схема организации защищенных сетей Росстата
В рамках развертывания защищенной сети федерального уровня проводится следующие работы:
1. Установку оборудования и настройку параметров двух ПАК федерального уровня в ЦА и ГМЦ Росстата вместо установленных программных комплексов ViPNet Coordinator 2.8, в том числе:
· Установку ПАК и настройку параметров IP- адресации;
· Настройку ПАК федерального уровня в качестве криптошлюзов в существующей ViPNet-сети № 000 для защиты информации при передаче данных в корпоративной сети Росстата.
2. Обновление версии существующего программного обеспечения ViPNet Coordinator до версии 3.х[1] в восьмидесяти двух ТОГС Росстата.
3. Установку и настройку ста (100) комплектов ПО ViPNet Client версии 3.x в ЦА, ГМЦ Росстата.
4. Обновление ПО ViPNet Client до версии 3.x на АРМ Администратора безопасности в ЦА Росстата.
5. Конфигурирование ViPNet-сети № 000, в том числе настройку взаимодействия восьмидесяти двух ViPNet Coordinator 3.х. в ТОГС Росстата с ПАК федерального уровня в ЦА и ГМЦ Росстата в соответствии с требованиями Заказчика.
В рамках развертывания ViPNet-сетей регионального уровня, расположенных в восьмидесяти двух (82) ТОГС, проводятся следующие работы:
1. Установка (обновление) нового ПО ViPNet Coordinator версии 3.x – 82 (восемьдесят два) комплекта в ТОГС Росстата.
2. Установка (обновление) ПО ViPNet Client версий 3.x, ПО ViPNet Administrator версий 3.x на АРМ Администраторов безопасности в каждом ТОГС - всего восемьдесят два (82) комплекта ПО.
3. Настройка конфигурации восьмидесяти двух (82) ViPNet-сетей в ТОГС Росстата с учётом требований Заказчика.
4. Настройка межсетевого взаимодействия между региональными ViPNet-сетями ТОГС и ViPNet-сетью федерального уровня в соответствии с требованиями Заказчика, всего – 82 (восемьдесят два) межсетевого взаимодействия.
Установка ПО ViPNet Client версий 3.x пользователям защищенной сети регионального уровня производится специалистами ТОГС после прохождения соответствующего обучения.
В рамках развертывания новых логически изолированных ViPNet-сетей АСУКР и АСУФ, проводятся следующие работы:
1. Передача Росстату неисключительных прав пользования на один комплект программного обеспечения ViPNet Administrator 3.х.
2. Настройка программного обеспечения и параметров IP - адресации на восьмидесяти трёх (83) ПАК регионального уровня в ТОГС и ЦА Росстата для сети АСУКР.
3. Настройка программного обеспечения и параметров IP - адресации на восьмидесяти трёх (83) ПАК регионального уровня в ТОГС и ЦА Росстата для сети АСУФ.
4. Установка и подключение в качестве криптошлюзов двух (2) ПАК федерального уровня в ViPNet-сеть АСУКР и АСУФ в ЦА Росстата.
5. Установка и подключение в качестве криптошлюзов восьмидесяти трёх (83) ПАК регионального уровня в ViPNet-сеть АСУКР в ЛВС ТОГС и ЦА для защиты каналов связи, проходящих через КСПД ЗАО "Синтерра".
6. Установка и подключение в качестве криптошлюзов восьмидесяти трёх (83) ПАК регионального уровня в ViPNet-сеть АСУФ в ЛВС ТОГС и ЦА для защиты каналов связи, проходящих через КСПД ЗАО "Синтерра".
7. Установка и настройка ПО ViPNet Administrator версии 3.x в ЦА Росстата.
8. Настройка конфигурации ViPNet-сети АСУКР/АСУФ.
Критерием успешности выполняемых работ является организация работы всех 166 защищенных подключений с помощью ПО ViPNet Custom, ПАК федерального уровня и ПАК регионального уровня, а также организация отказоустойчивой схемы защищённых каналов связи между ТОГС, ГМЦ Росстата, ЦА Росстата.
4.2.2. Программно-аппаратный комплекс федерального уровня
Программно-аппаратный комплекс (далее ПАК) федерального уровня должен удовлетворять требованиям, указанным в таблице ниже:
Таблица 1 Требования к ПАК федерального уровня
|
Характеристика |
Требование |
|
Программно-аппаратный комплекс |
Программно-аппаратный комплекс выполняющий функции криптошлюза и межсетевого экрана |
|
Сертификация |
Межсетевые экраны должны быть сертифицированы по 4-ому (либо выше) классу защищенности в соответствии с требованиями руководящих документов ФСТЭК России. Поставляемые с программно-аппаратными комплексами СКЗИ должны быть сертифицированы ФСБ России по требованиям к СКЗИ класса не ниже КС3 для криптографической защиты (шифрование IP-трафика, вычисление имитовставки) информации, не содержащей сведений, составляющих государственную тайну. |
|
Источник питания |
Не более 200W |
|
Размеры |
19” Rack 1U (для установки в стойку глубиной от 480 мм и не более 432х43х355 (ШхВхГ) |
|
Число сетевых портов |
Не менее 3х Ethernet 100/1000 Mbit; |
|
Совместимость с инфраструктурой Росстата |
C любыми VPN-продуктами из решения ViPNet CUSTOM 3.x (ViPNet Administrator, ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Client) |
|
Протоколы туннелирования |
По технологии ViPNet (инкапсуляция любого IP-трафика приложений в IP#241 и UDP) |
|
Шифрование/ Аутентификация |
Шифрование по ГОСТ 28147бит), Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора |
|
Производительность шифрования |
UDP-, TCP-трафик – до 250 Мбит/сек. |
|
Число одновременно поддерживаемых защищенных соединений |
Без ограничений |
|
Инфраструктура ключей |
Парные симметричные ключи шифрования, обеспечивающие гарантированно высокую стойкость шифрования. Симметричная ключевая структура не должна требовать дополнительных открытых процедур синхронизации для формирования ключей, что должно повышать помехозащищенность системы, исключать задержки в обработке любых сетевых протоколов, обеспечивать мгновенную (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN. Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации. |
|
Маршрутизация |
Статическая маршрутизация; Прозрачность для NAT - устройств (для защищенного трафика); Поддержка DHCP; Помимо основных функций по туннелированию трафика между локальными сетями и с удаленным сетевым оборудованием, должна быть возможность выполнять функции сервера доступа для удаленных VPN - клиентов с ПО ViPNet Client . Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов; Возможность работы при изменении собственных IP-адресов, IP-адресов NAT - устройств, возможность работы за устройствами с динамическими правилами NAT; Технология назначения виртуальных IP - адресов для любых удаленных узлов; Функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в открытую сеть/Интернет). |
|
Фильтрация |
Пакетная фильтрация по IP - адресу (диапазон IP ) источника и назначения, номерам портов и типа протокола, типам и кодам сообщений ICMP, направлению пакетов, по типу TCP –соединения (клиент или сервер); Контроль фрагментированных пакетов, предотвращение DoS - атак; Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов); Поддержка раздельной фильтрации для открытого IP - трафика (функция межсетевого экрана) и шифруемого IP - трафика (функция криптошлюза); Антиспуфинг. |
|
Настройка и управление |
Удаленная/локальная настройка через специализированную консоль ViPNet; Удаленная настройка базовых параметров через ViPNet Administrator; Поддержка SNMP trap для удаленного оповещения о событиях; Удаленный запрос журнала IP - пакетов (через Windows - продукты ViPNet Coordinator и Client ); Мониторинг текущего состояния; Ведение syslog на удаленном компьютере. |
|
Поддержка QoS |
IP TOS-мапирование поверх зашифрованных IP-пакетов (IP#241 или UDP), при шифровании приоритезация трафика, выполненная какими-либо сетевыми устройствами, сохраняется. |
|
Доступность и надежность |
Специальная архитектура файловой системы должна предотвращать возможность порчи образа операционной системы и ПО ViPNet при сбоях по питанию. Использование в качестве устройства хранения данных (ОС, ПО ViPNet и настроек) RAID-массива уровня 1. Возможность реализации на базе данного продукта отказоустойчивого решения (failover). |
|
Обновление ПО модуля |
Централизованное удаленное обновление ПО ViPNet. |
4.2.3.Программно-аппаратный комплекс регионального уровня
ПАК регионального уровня должен удовлетворять требованиям, указанным в таблице ниже:
Таблица 2 Требования к ПАК регионального уровня
|
Характеристика |
Требование |
|
Программно-аппаратный комплекс |
Программно-аппаратный комплекс выполняющий функции криптошлюза и межсетевого экрана |
|
Сертификация |
Межсетевые экраны должны быть сертифицированы по 4-ому (либо выше) классу защищенности в соответствии с требованиями руководящих документов ФСТЭК России. Поставляемые с программно-аппаратными комплексами СКЗИ должны быть сертифицированы ФСБ России по требованиям к СКЗИ класса не ниже КС3 для криптографической защиты (шифрование IP-трафика, вычисление имитовставки) информации, не содержащей сведений, составляющих государственную тайну. |
|
Условия эксплуатации |
t - 0..+60 °С, влажность 0..90% |
|
Размеры |
Не более 170х123х56 мм (ШхВхГ) |
|
Операционная система |
Адаптированная ОС Linux |
|
Число сетевых портов |
2 x RJ 45 Ethernet 10/100 |
|
Совместимость с инфраструктурой Росстата |
C любыми VPN-продуктами из решения ViPNet (ViPNet Administrator, ViPNet Coordinator, ViPNet Coordinator Failover, ViPNet Client) |
|
Протоколы туннелирования |
По технологии ViPNet (инкапсуляция любого IP - трафика приложений в IP #241 и UDP ) |
|
Шифрование/ Аутентификация |
Шифрование по ГОСТ 28147бит), Аутентификация для каждого зашифрованного IP-пакета на основе технологии симметричного распределения ключей ViPNet и уникального идентификатора |
|
Производительность шифрования |
20 Мбит/с (TCP) |
|
Инфраструктура ключей |
Парные симметричные ключи шифрования, обеспечивающие гарантированно высокую стойкость шифрования. Симметричная ключевая структура не должна требовать дополнительных открытых процедур синхронизации для формирования ключей, что должно повышать помехозащищенность системы, исключать задержки в обработке любых сетевых протоколов, обеспечивать мгновенную (по первому поступившему IP-пакету) организацию любых сетевых подключений других участников VPN. Автоматическое распределение симметричной ключевой информации при появлении в сети новых пользователей, задании в Центре управления сетью новых связей или удалении существующих связей, компрометации ключей или штатных процедурах смены ключевой информации. |
|
Маршрутизация |
Статическая маршрутизация; Прозрачность для NAT - устройств (для защищенного трафика); Поддержка DHCP; Помимо основных функций по туннелированию трафика между локальными сетями и с удаленным сетевым оборудованием, должна быть возможность выполнять функции сервера доступа для удаленных VPN - клиентов с ПО ViPNet Client. Автоматическая регулировка параметров MSS в TCP-сессиях для исключения излишней фрагментации трафика, которая может возникать при передаче длинных пакетов; Возможность работы при изменении собственных IP-адресов, IP-адресов NAT - устройств, возможность работы за устройствами с динамическими правилами NAT; Технология назначения виртуальных IP - адресов для любых удаленных узлов; Функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в открытую сеть/Интернет). |
|
Фильтрация |
Пакетная фильтрация по IP - адресу (диапазон IP ) источника и назначения, номерам портов и типа протокола, типам и кодам сообщений ICMP, направлению пакетов, типу TCP - соединении (клиент или сервер)., Контроль фрагментированных пакетов, предотвращение DoS - атак; Поддержка режима открытых инициативных соединений (режим невидимости для внешних хостов); Поддержка раздельной фильтрации для открытого IP - трафика (функция межсетевого экрана) и шифруемого IP - трафика (функция криптошлюза); Антиспуфинг. |
|
Настройка и управление |
Удаленная/локальная настройка через специализированную консоль ViPNet; Удаленная настройка базовых параметров через ViPNet Administrator; Поддержка SNMP trap для удаленного оповещения о событиях; Удаленный запрос журнала IP - пакетов (через Windows - продукты ViPNet Coordinator и Client ); Мониторинг текущего состояния; Ведение syslog на удаленном компьютере. |
|
Поддержка QoS |
IP TOS - мапирование поверх зашифрованных IP - пакетов ( IP #241 или UDP ), то есть должна сохраняться классификации трафика для защищенных пакетов, приоритетная обработка трафика голоса и видео. |
|
Доступность и надежность |
Специальная архитектура файловой системы должна предотвращать возможность порчи образа операционной системы и ПО ViPNet при сбоях по питанию. Использование в качестве устройства хранения данных (ОС, ПО ViPNet и настроек) flash - диска с расширенным температурным диапазоном. Безвентиляторное исполнение с использованием корпуса в качестве пассивного радиатора охлаждения. |
|
Обновление ПО модуля |
Централизованное удаленное обновление ПО ViPNet. |
4.2.3.Сертифицированный электронный ключ
Сертифицированный электронный ключ должен удовлетворять требованиям, указанным в таблице ниже:
Таблица 3 Требования к Сертифицированному электронному ключу
|
Характеристика |
Требование |
|
Применимость |
Сертифицированный электронный ключ должен представлять собой защищенное устройство, предназначенное для строгой аутентификации, безопасного хранения данных, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами |
|
Сертификация |
Поставляемые электронные ключи должны быть сертифицирован ФСТЭК России как программно-аппаратные средства аутентификации и хранения ключевой информации пользователей в автоматизированных системах, обрабатывающих конфиденциальную информацию, соответствовать руководящему документу «Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля и иметь возможность использования при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 1 класса включительно. Поставляемые сертифицированные электронные ключи должны иметь уровень доверия ОУД 2 в соответствии с руководящим документом «Безопасность информационных технологий» |
|
Форм-фактор |
USB-ключ |
|
Аппаратная платформа |
Сертифицированный электронный ключ должен быть построен на платформе с характеристиками не хуже указанных ниже: · Микросхема смарт-карты Atmel AT90SC25672RCT-USB или аналог · Объем защищенной памяти не менее 72 КБ |
|
Поддерживаемые интерфейсы и стандарты |
Должны поддерживаться следующие интерфейсы и стандарты: · PKCS#11: v2.01, · Спецификация ISO: ISO 7816-3, 7816-4 · CAPI, · PC/CS (команды APDU), · хранение сертификатов X.509 v3, · SSL v3, · IPSec/IKE; · Microsoft CCID; · Microsoft Smartcard Minidriver |
|
Аппаратно реализованные алгоритмы |
· RSA 1024/2048, · DES, · Triple DES, · SHA1 · DH в соответствии с RFC 4357 |
|
Надежность |
· Ресурс EEPROM-памяти - не менее 500,000 циклов чтения/записи. · Срок хранения данных в памяти: не менее 10 лет · Среднее время наработки на отказ электронных компонентов не менее 10 лет. |
|
Поддерживаемые операционные системы |
· Microsoft Windows 2000/2003/XP/Vista/2008/2008 R2/7 (32 и 64-битные версии); · Linux. |
#Type=Exercise;CompletePercent=75;AttemptCount=0 Тесты к разделу 4 «Вычислительная и сетевая инфраструктура. Защита статистических данных»
@
S В систему хранения данных входят:
N - серверы баз данных
N+ сервер резервного копирования
N - серверы баз данных и сервер резервного копирования
@
S В составе оборудования для создания Интернет-сайтов входит
межсетевой экран :
N - Cisco Catalyst 2960
N+ Cisco ASA 5510
N - Cisco 2821
@
S Программно-аппаратный комплекс регионального уровня, выполняющего функции криптошлюза и межсетевого экрана имеет производительность шифрования:
N+ 20 Мбит/с
N - 200 Мбит/с
N - 250 Мбит/с
@
S Является ли объектом защиты открытая (общедоступная) информация:
N+ Да
N - Нет
@
S Защита от утечки информации осуществляется:
N - Организационными мерами
N - Техническими мерами
N+ Организационными и техническими мерами
@
S Назначение прав и полномочий сотрудникам для работы со сведениями ограниченного распространения производит:
N - Непосредственный начальник
N - Руководитель ТОГС
N+ Администратор информационных систем
@
S Надо ли периодически пересматривать права доступа пользователей к информационным ресурсам:
N+ Да
N - Нет
Термины и определения
Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аккредитация – акт признания соответствия Претендентом требованиям, содержащимся в порядке аккредитации ДУЦ, утвержденном Росстатом;
Головной удостоверяющий центр Сети ДУЦ (ГУЦ)– удостоверяющий центр, определенный Росстатом для формирования Сети доверенных УЦ путем их аккредитации, обеспечивающий проверку подлинности территориальными органами Росстата выданных ДУЦ ключей ЭЦП уполномоченных должностных лиц, участников ТССО;
Доверенный удостоверяющий центр (ДУЦ) – удостоверяющий центр, прошедший аккредитацию в соответствии с требованиями, установленными в Сети доверенных УЦ;
Доступ к информации – ознакомление с информацией, ее обработка, в том числе: копирование, модификация или уничтожение информации.
Документированная информация - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Единое пространство доверия сертификатам ключей подписей – информационное пространство, в котором организационными и техническими мерами обеспечивается доверие сертификатам ключей подписей удостоверяющих центров;
Извещение о получении – электронный документ, формируемый получателем для отправителя, информирующий отправителя о получении электронного документа.
Информационная инфраструктура – совокупность информационных центров, подсистем, банков данных и знаний, систем связи, центров управления, аппаратно-программных средств и технологий обеспечения сбора, хранения, обработки и передачи информации для обеспечения доступа потребителей к информационным ресурсам.
Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем).
Информационная вычислительная система Росстата (ИВС Росстата) - единая информационная телекоммуникационная система Росстата, состоящая из информационной инфраструктуры и информационных ресурсов центрального аппарата, территориальных органов и подведомственных организаций Росстата.
Информация ограниченного доступа - информация, для которой установлен специальный режим сбора, хранения, обработки, распространения и использования.
Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Несанкционированный доступ (НСД) - доступ к информации, нарушающий установленные правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники.
Первичные статистические данные - документированная информация, получаемая от респондентов по формам федерального статистического наблюдения, утвержденным Росстатом в установленном порядке.
Претендент – удостоверяющий центр, претендующий на включение в Сеть ДУЦ в качестве доверенного удостоверяющего центра;
Реестр доверенных УЦ (Реестр ДУЦ) – электронный список сертификатов уполномоченных лиц доверенных удостоверяющих центров;
Респондент – юридическое лицо или индивидуальный предприниматель, осуществляющий деятельность без образования юридического лица, предоставляющие первичные статистические данные по формам федерального статистического наблюдения.
Риск – опасность возникновения убытков или ущерба в результате реализации угрозы информационной безопасности.
Сеть доверенных УЦ (Сеть ДУЦ) – совокупность доверенных удостоверяющих центров образующих единое пространство доверия сертификатам ключей подписей, организатором которой является головной удостоверяющий центр Сети доверенных удостоверяющих центров Росстата;
Специализированный оператор связи (далее – оператор) – организация, предоставляющая услуги по обмену открытой и конфиденциальной информацией между органами государственной статистики и респондентами, в том числе гарантирующая доставку электронных документов в границах своей зоны ответственности, установленной соглашениями с территориальными органами государственной статистики и договорами с респондентами.
Средства защиты от несанкционированного доступа (СЗИ от НСД) – программные, технические или программно-технические средства, предназначенные для предотвращения или существенного затруднения несанкционированного доступа.
Средства криптографической защиты информации (СКЗИ) – аппаратные, программно-аппаратные и программные средства, которые обеспечивают безопасность информации путем ее криптографических преобразований, а также изготовление и использование ключевых документов.
Средства шифрования – аппаратные и/или программные криптографические средства, обеспечивающие конфиденциальность информации путем реализации шифрования и последующего расшифровывания информации.
Средства ЭЦП - аппаратные и/или программные средства, реализующие следующие функции: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи; подтверждение с использованием открытого ключа подлинности электронной цифровой подписи, содержащейся в электронном документе; создание закрытых и открытых ключей ЭЦП;
ТССО – технология сбора статистической отчетности в территориальных органах Росстата от респондентов в электронном виде с электронной цифровой подписью.
ТКС – телекоммуникационные каналы связи.
Уведомление о приеме в обработку – электронный документ, формируемый ТОГС, подписанный ЭЦП ТОГС и подтверждающий, что первичные статистические данные по формам федерального статистического наблюдения приняты в обработку.
Уведомление об уточнении – электронный документ, формируемый ТОГС, подписанный ЭЦП ТОГС и содержащий информацию о выявленных ошибках в формах федерального статистического наблюдения.
Уведомление о несоответствии формату – электронный документ, формируемый ТОГС, подписанный ЭЦП ТОГС и содержащий информацию о несоответствии представленных форм федерального статистического наблюдения установленному формату.
Удостоверяющий центр (УЦ) – юридическое лицо, выполняющее функции удостоверяющего центра в соответствии с Федеральным законом от 10 января 2002 г. №1‑ФЗ «Об электронной цифровой подписи»;
Угроза - потенциальная причина нежелательного инцидента, который может причинить вред информационной системе или организации.
Унифицированный формат – формат описания форм федеральных статистических наблюдений в XML-формате, утвержденный Росстатом, включающий описание контролей, нормативно-справочной информации.
Уполномоченное лицо удостоверяющего центра – физическое лицо, являющееся сотрудником УЦ и наделенное полномочиями по заверению сертификатов ключей подписей и списков отозванных сертификатов;
Участники электронного документооборота – респонденты, ТОГСы, операторы.
Уязвимость - слабое место в информационной системе, которое может привести к нарушению безопасности.
XML-шаблон- электронная версия формы федерального статистического наблюдения, подготовленная в соответствии с унифицированным форматом, содержащая описание показателей, контролей первичных статистических данных, нормативно – справочной информации.
Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Электронная цифровая подпись территориального органа государственной статистики (далее – ЭЦП ТОГС) – электронная цифровая подпись, владельцем сертификата ключа которой является специалист ТОГС, уполномоченный использовать средства электронной цифровой подписи в рамках системы сбора первичных статистических данных по формам федерального статистического наблюдения от респондентов в электронном виде с ЭЦП.
Электронная цифровая подпись респондента (далее – ЭЦП респондента) – электронная цифровая подпись, владельцем сертификата ключа которой является лицо, уполномоченное предоставлять первичные статистические данные по формам федерального статистического наблюдения от имени респондента.
Условные сокращения
|
OLAP |
Online Analytical Processing (аналитическая обработка в реальном времени) |
|
XML |
eXtensible Markup Language – расширяемый язык разметки |
|
XML-шаблон |
Электронная версия формы федерального статистического наблюдения в XML-формате, содержащая описание показателей, контроли первичных статистических данных, нормативно-справочную информацию, используемую Респондентом при заполнении отчета |
|
АРМ |
автоматизированное рабочее место |
|
АС |
Автоматизированная система |
|
БД |
База данных |
|
ВВП |
валовой внутренний продукт |
|
ВОЗ |
Всемирная организация здравоохранения |
|
ВРП |
валовой региональный продукт |
|
ВРП-Ф |
ПО для консолидации предварительных региональных расчетов ВРП и проведения расчетов ВРП на федеральном уровне |
|
ГМЦ |
Главный межрегиональный вычислительный центр Росстата |
|
ГС |
Генеральная совокупность объектов наблюдения |
|
ГУЦ |
Головной удостоверяющий центр Сети ДУЦ |
|
ДИС ПДНС |
Двухуровневая интегрированная система подготовки данных для формирования показателей национальных счетов |
|
ДУЦ |
Доверенный удостоверяющий центр |
|
ЕДН |
Естественное движение население |
|
ЕМИСС |
Единая межведомственная информационная статистическая система |
|
ЕССО |
Единая система сбора и обработки статистической информации |
|
ЗАГС |
Записи актов гражданского состояния |
|
ИВС |
Информационно-вычислительная система |
|
КВС |
Корпоративный Web-система |
|
КИЕС |
Классификатор институциональных единиц по секторам экономики |
|
КСП |
Каталог статистических показателей |
|
МВФ |
Международный валютный фонд |
|
МКБ-10 |
Международная статистическая классификация болезней и причин смерти 10 пересмотра |
|
МН |
Миграция населения |
|
НСД |
Несанкционированный доступ |
|
НСИ |
Нормативно-справочная информация |
|
ОБ |
Операционная база |
|
ОБСД |
Отраслевая база статистических данных |
|
ОКВЭД |
Общероссийский классификатор видов экономической деятельности |
|
ОКПД |
Общероссийский классификатор продукции по видам экономической деятельности |
|
ООН |
Организация Объединенных Наций |
|
Отчет-ЭВФ |
Электронная версия формы статистической отчетности с данными в XML-формате, предоставляемая Респондентом в ТОГС |
|
ОФАП |
Отраслевой фонд алгоритмов и программ Росстата |
|
ОЭСР |
Организация экономического сотрудничества и развития |
|
ПК |
программный комплекс |
|
ПК ГД-ПТК |
программный комплекс, обеспечивающий создание гармонизированных данных по производству, труду и капиталу на микро - и макроуровне |
|
ПМИ |
Программа и методика испытаний |
|
ПО |
Программное обеспечение |
|
Покупатель |
Фонд «Бюро экономического анализа» - Группа реализации проекта «Развитие системы государственной статистики России – 2» |
|
Получатель услуг |
Росстат - Получатель услуг по данному проекту |
|
Поставщик |
Исполнитель работ по проекту «Создание системы подготовки экономических описаний» |
|
РБСД |
Региональная база статистических данных |
|
Респондент |
Юридическое лицо, обособленное подразделение или индивидуальный предприниматель, осуществляющий деятельность без образования юридического лица, представляющие первичные статистические данные в территориальные органы государственной статистики в соответствии с действующим законодательством |
|
Росстат |
Федеральная служба государственной статистики |
|
РСГС |
проект «Развитие системы государственной статистики» |
|
РСГС-2 |
Проект «Развитие системы государственной статистики-2» |
|
РФ |
Российская Федерация |
|
СДС |
Система дистанционного сбора статистической информации в формате телеграмм |
|
СДСФ |
Система дистанционного сбора статистической информации в формате файлов |
|
СЗИ |
Средства защиты информации |
|
СКЗИ |
Средства криптографической защиты информации |
|
СНС |
Система национальных счетов |
|
СНС-БП |
Единый информационно-аналитический банк показателей СНС |
|
СНС-СВ |
ПО для подготовки к публикации и распространению данных СНС, в т. ч. для подготовки сборников и заполнения вопросников |
|
СПЭЭО |
Автоматизированная система подготовки электронных экономических описаний, представляющая собой комплекс программных средств и нормативных документов, предназначенных для автоматизированного создания, проверки корректности, хранения и изменения электронных экономических описаний, а также статистических метаданных. |
|
ССиОД |
Система сбора и обработки данных |
|
ССО |
Система сбора и обработки статистической информации |
|
СУБД |
Система управления базами данных |
|
ТОГС |
Территориальный орган Федеральной службы государственной статистики и его обособленные подразделения в районах и городах, ответственные за сбор первичных статистических данных по формам федерального статистического наблюдения от Респондентов, осуществляющих деятельность на территории Субъекта Российской Федерации. |
|
ТОП |
территориально-обособленное подразделение (юридического лица) |
|
ТП |
технический проект |
|
ТТ |
технические требования |
|
УЦ |
Удостоверяющий центр |
|
Участник |
Участник конкурса на право заключить контракт на выполнение работ по проекту «Создание системы подготовки экономических описаний» |
|
ФЦП |
Федеральная целевая программа |
|
ХД |
Хранилище данных |
|
ХДРУ |
Хранилище данных регионального уровня |
|
ХДФУ |
Хранилище данных федерального уровня |
|
ЦА |
Центральный аппарат Росстата |
|
ЦБСД |
Центральная база статистических данных |
|
ЭВФ |
Электронная версия формы |
|
ЭО |
Экономическое описание |
|
ЭОД |
Электронная обработка данных |
|
ЭЦП |
Электронная цифровая подпись |
[1] Здесь и далее версия 3.х – последняя версия ПО ViPNet версии 3, рекомендуемая для установки производителем на момент проведения работ
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
