В качестве основных мер по обеспечению информационной безопасности необходимо реализовать:

На основании анализа данных должны быть определены уровни и механизмы защиты информации для ПТС различных компонентов сегмента, а также уровень защиты информации в каналах связи в зависимости от конкретных условий.

В случае необходимости ПТС, используемые в компонентах Системы, должны пройти в установленном порядке специальные проверки и специальные исследования.

Все применяемые в Системе не криптографические средства защиты информации должны быть сертифицированы на соответствие требованиям действующего законодательства и нормативных правовых документов МВД РТ.

В состав средств защиты от НСД должны входить современные аппаратные и программные комплексы, ориентированные на применение новых методов обеспечения информационной безопасности (с использованием принципов криптографии, технологии «гальванической развязки» и др.). Объектами защиты в Системе должны являться:

?автоматизированные рабочие места,

?серверное оборудование,

?вычислительные сети,

? каналы связи и телекоммуникационное оборудование.


Требования по защите информации от НСД

Для обеспечения защиты информации от несанкционированного доступа Система должна удовлетворять следующим требованиям:

НЕ нашли? Не то? Что вы ищете?
          аутентификация доступа к Системе должна производиться с использованием имени учётной записи пользователя в Системе и паролю. Должны определяться требования к минимальной длине и сложности пароля, частоте смены пароля; для разграничения доступа пользователям должны назначаться роли. Функциональные роли должны применяться для предоставления прав на совершение определенных действий с теми или иными классами информационных объектов Системы (документов и справочников). Организационные роли должны применяться для предоставления прав доступа к определенным экземплярам информационных объектов (к отдельным записям справочников); по умолчанию все действия для вновь создаваемых пользователей Системы должны быть запрещены; в Системе должна существовать возможность входа под главной административной учетной записью, которая предоставляет право на совершение любых предусмотренных функционалом Системы действий в любых разделах Системы; регистрация действий пользователей и централизованное хранение журналов регистрации.

ППО должно обеспечивать защиту от несанкционированного доступа и проводить идентификацию и авторизацию пользователей, обеспечивать разграничение доступа на уровнях:

    доступ к конкретному документу и объекту учета; доступ к конкретной функциональности; к справочному режиму; к почте; к сигнальной системе; к работе с экранными формами первичных документов; к режимам работы (поиск, ввод, корректировка, удаление). доступ к средствам администратора ИБД; доступ к формам специального пользовательского интерфейса (СПИ).

Кроме этого, каждая запись БД должна иметь служебное поле – «уровень доступа». Такой же параметр должны иметь все пользователи ИБД. Пользователь получает доступ к записи БД в том случае, если его «уровень доступа» соответствует значению поля «уровень доступа» записи БД.

При выполнении операции – «удалить» запись не должна физически удаляться из БД, содержимое служебных полей должно указывать состояние записи – «удалена».


Требования по защите информации от утечки по техническим каналам связи

Для защиты охраняемых параметров (сведений) и устранения демаскирующих признаков должны быть разработаны и реализованы мероприятия, исключающие получение охраняемых параметров (сведений):

            при проведении монтажных, пуско-наладочных работ; во время испытаний и штатной эксплуатации; при использовании штатных и привлекаемых средств обеспечения.

Требования к организационным мероприятиям по защите информации:

Для объектов автоматизации должны быть: 

    разработана политика безопасности (совокупность норм и правил, регламентирующих взаимодействие субъектов и объектов Системы, в т. ч. объекты доступа, субъекты доступа, разрешающие и запрещающие правила взаимодействия, матрица доступа пользователей к ресурсам и др.); разработаны должностные инструкции пользователей по информационной безопасности;
    проведено обучение пользователей; 
    разработаны правила эксплуатации технических и программных средств защиты информации и правила работы с конфиденциальной информацией; процедуры управления доступом, включая все стадии жизненного цикла управления доступом от начальной регистрации до удаления учётных записей пользователя.  Организационные мероприятия по защите информации должны разрабатываться и проводиться с учетом требований действующего законодательства Республики Таджикистан и нормативно-правовых документов МВД РТ.

ТРЕБОВАНИЯ ПО СОХРАННОСТИ ИНФОРМАЦИИ ПРИ АВАРИЯХ

Сохранность информации должна быть обеспечена в случае возникновения следующих событий (аварий, отказов и т. п.):

?отказ аппаратуры сервера;

?отключение питания на рабочем месте и/или на сервере баз данных;

?отказ оборудования рабочей станции;

?отказ линий связи.

Для обеспечения сохранности информации Системой должно использоваться:

?резервное копирование;

?восстановление данных в непротиворечивое состояние при программно-аппаратных сбоях, влекущих внеплановую остановку специального программного обеспечения или его компонент, таких как остановка Системы при отключении электрического питания, сбоях Операционной системы и других;

- восстановление данных в непротиворечивое состояние при сбоях в работе

сетевого, программного и аппаратного обеспечения.

Резервное копирование, архивирование и восстановление данных должно осуществляться с использованием стандартных средств СУБД и сервера приложений в соответствии с утвержденным регламентом.

Контроль над функционированием Системы, проведение плановых и внеплановых регламентных работ, устранение отказов и сбоев должны осуществляться эксплуатационным персоналом, входящим в состав соответствующих подразделений МВД РТ.


ТРЕБОВАНИЯ К ПАТЕНТНОЙ ЧИСТОТЕ

Проектные решения построения Системы должны отвечать требованиям по патентной чистоте согласно действующему законодательству и распорядительным документам, регламентирующим создание Системы.

Уточнение требований по патентной чистоте должно производиться в договорах на проведение работ по созданию компонентов Системы. При этом разработчикам необходимо привести сведения о наличии лицензий на используемые инструменты разработки программного обеспечения, СУБД и другие программные продукты третьих сторон. В случае использования собственных разработок необходимо указывать наличие документальных свидетельств на владение интеллектуальной собственностью и авторскими правами.

Все программно-технические средства общего программного обеспечения, обеспечивающее работоспособность Системы должны иметь разрешение на использование (лицензию) с требуемым количеством пользователей. 


ТРЕБОВАНИЯ ПО СТАНДАРТИЗАЦИИ И УНИФИКАЦИИ Общие требования:

В процессе разработки Системы должна быть сформирована система показателей, устанавливающая требуемую степень использования стандартных унифицированных методов реализации функций (задач) Системы, а также поставляемых программных средств, типовых математических методов, типовых проектных решений, унифицированных форм документов, общегосударственных классификаторов и классификаторов других категорий в соответствии с областью их применения и требованиями к типовым структурным компонентам.

Оборудование Системы, предполагаемое к установке,        должно иметь необходимые сертификаты соответствия от ответственных служб и министерств РТ.

Все оборудование должно соответствовать стандартам РТ и международным стандартам.

Система должна использовать стандартные, унифицированные методы реализации функций (задач) системы:

?поддержка современных транспортных протоколов: TCP/IР;

?поддержка наиболее распространенных форматов документов: HTML, XML

и т. д.;

?поддержка в области повышения отказоустойчивости и надежности Системы;

? поддержка кластерных решений, взаимоувязанных с информационной инфраструктурой ОВД и МВД РТ;

?поддержка распределенного поиска информации;

?поддержка распределенного доступа к информации;

?возможность функционирования на различных аппаратных платформах.


Требования к использованию унифицированных форм представления отчетных документов

В        процессе        создания        Системы        необходимо        разработать        и утвердить унифицированный формат отчетных документов. Отчетные документы, формируемые Системой, должны иметь унифицированное содержание и форму предоставления для каждого вида отчета.

Унифицированный формат отчетных форм должен поддерживать возможность экспорта и импорта форм в подсистемы Системы с целью:

?визуализации;

?составления сводной отчетности;

?ведения базы отчетности.

В унифицированном формате должны быть предусмотрены:

?правила контроля числовой и символьной информации (контрольные суммы, длина символьной строки);

?правила ведения версионности и истории формы;

?правила оформления реквизитов отправителя и получателя отчетной формы.


Требования к использованию типовых классификаторов

Система кодирования и классификации должна отвечать требованиям классификации и атрибутирования документов, принятых в МВД РТ, а также учитывать зарубежный опыт создания подобных систем.

В составе Системы должны быть применены типовые общегосударственные и ведомственные классификаторы.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16