16.4.Мероприятия по изменению объекта автоматизации
Дополнительных мероприятий, которые необходимо осуществить в объекте автоматизации, не требуется.
Приложение 1
ЗАДАНИЕ ПО БЕЗОПАСНОСТИ
АРХИТЕКТУРА ПОСТРОЕНИЯ И ПРИНЦИПЫ ВЗАИМОДЕЙСТВИЯ ПОДСИСТЕМ, ВХОДЯЩИХ В СИСТЕМУ
В результате выполнения работ должна быть реализована распределенная структура Системы, в состав которой входят:
Экземпляр Системы, располагаемый на инфраструктуре Министерства экономического развития Российской Федерации, предназначенный для сбора консолидированной отчетности;
Репозиторий унифицированных услуг;
Экземпляр Системы, располагаемый на инфраструктуре УМФЦ;
Экземпляр Системы, располагаемый на инфраструктуре МФЦ.
Для обеспечения информационного обмена, компоненты Системы должны работать в составе единой вычислительной сети, построенной по технологии Интернет/интранет.
В качестве базового протокола сетевого и межсетевого взаимодействия должен использоваться TCP/IP (сокращение от английского Transfer Control Protocol / Internet Protocol, протокол управления передачей/протокол-Интернет) – стек протоколов Интернет.
Обмен данными между экземпляром Системы Министерства экономического развития и экземплярами Системы УМФЦ должен производиться при помощи web-сервисов. Обмен данными между Репозиторием унифицированных услуг и пользовательскими экземплярами Системы должен производиться при помощи web-сервисов. Обмен данными между экземпляром Системы УМФЦ и экземплярами Системы МФЦ должен производиться при помощи web-сервисов.
ОПИСАНИЕ ВОЗМОЖНЫХ НАРУШЕНИЙ ЦЕЛОСТНОСТИ, УСТОЙЧИВОСТИ ФУНКЦИОНИРОВАНИЯ И БЕЗОПАСНОСТИ СИСТЕМЫ
Под целостностью понимается способность взаимодействия входящих в состав Системы компонентов, при которой становится возможным выполнение функций по обработке информации.
Под устойчивостью функционирования понимается способность сохранять свою целостность при отказе части компонентов системы, а также в условиях внутренних и внешних деструктивных информационных воздействий и возвращаться в исходное состояние.
Под безопасностью понимается способность противостоять попыткам несанкционированного доступа к техническим и программным средствам Системы и преднамеренным дестабилизирующим внутренним или внешним информационным воздействиям, следствием которых может быть нарушение функционирования Системы.
К возможным нарушениям целостности, устойчивостью функционирования и безопасности Системы относятся:
сбои технических средств ЛВС;
сбои в электроснабжении серверов и рабочих станций;
сбои в электроснабжении обеспечения сети (поломка сети);
поломка технических средств серверов и рабочих станций;
сбои программного обеспечения серверов и рабочих станций;
действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
неправомерное отключение оборудования или изменение режимов работы устройств и программ;
порча носителей информации;
запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
заражение компьютера вирусами, аппаратными "спецвложениями", программными "закладками", то есть такими участками программ, которые не нужны для осуществления заявленных функций, но позволяют преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования Системы;
действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;
игнорирование организационных ограничений (установленных правил) при работе в системе;
вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
ввод ошибочных данных;
повреждение каналов связи.
отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);
перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);
несанкционированное копирование носителей информации;
незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя;
несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;
вскрытие шифров криптозащиты информации.
ОПИСАНИЕ ПОДСИСТЕМЫ БЕЗОПАСНОСТИ
Описание целевых функций
Показателем устойчивости функционирования Системы является коэффициент готовности, который определяется как вероятность того, что система окажется в работоспособном состоянии в произвольный момент времени ее функционирования (за исключением времени, в течение которого применение Системы по назначению не предусматривается).
При выявлении несоответствия эксплуатационного значения коэффициента готовности технической норме должны проводиться мероприятия, направленные на определение причин выявленного несоответствия, и их устранение.
Оценка надежности и устойчивости функционирования Системы должна проводиться с использованием следующих основных показателей надежности (ГОСТ 24.701-86 и ГОСТ 27.003-90):
коэффициента готовности;
среднего времени восстановления;
вероятности доставки сообщений.
Оценка надежности системы должна проводиться по следующим группам отказов:
Отказы первой группы - отказы с длительностью времени на восстановление работоспособности системы или её компонентов, не превышающей допустимого времени технологических простоев в производственном процессе, в том числе:
самоустраняющиеся отказы (сбои) программного и технического обеспечения;
отказы, для восстановления работоспособности системы, после которых достаточно перезагрузки системы;
отказы, для восстановления работоспособности системы, после которых достаточно перенастройки установочных параметров компонентов системы;
Отказы второй группы - отказы с длительностью времени на восстановление работоспособности системы или её компонентов, превышающей допустимое время технологических простоев в производственном процессе, требующие внешнего вмешательства для замены или ремонта компонентов системы.
Приведенные требования по интенсивности отказов и длительности перерыва действительны при условии надлежащей численности и квалификации обслуживающего персонала, соблюдении ими технологических инструкций, а также при использовании установленных в настоящем документе видов технического и общесистемного программного обеспечения.
Измерение показателей надежности должно производиться обслуживающим персоналом в ходе опытной эксплуатации системы путем регистрации возникающих отказов в рабочих журналах.
Расчетное значение коэффициента готовности, определяемое при проектировании, и эксплуатационное (оценочное) значение коэффициента готовности должно составлять не менее 0,95.
Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.
Требования к длительности перерыва в работе не распространяются на случаи выхода из строя технических средств.
Требования к надежности могут уточняться (корректироваться) на стадиях техно-рабочего проектирования и опытной эксплуатации и согласовываться соответствующим протоколом.
Описание механизмов и используемых средств защиты
Целостность Системы должна обеспечиваться совместимостью протоколов взаимодействия (функциональной совместимостью) и совместимостью интерфейсов технических средств (физической совместимостью). Функциональная и физическая совместимость технических и программных средств Системы должна обеспечиваться выполнением требований, устанавливаемых в технической и эксплуатационной документации на Систему.
Надежность и устойчивость системы в целом должна обеспечиваться техническими средствами аппаратной платформы, общесистемного программного обеспечения и СУБД.
Надежность и устойчивость технического обеспечения должна определяться характеристиками надежности вычислительных и сетевых средств и другого электронного оборудования в соответствии с ГОСТ 22056-76.
При разработке системы должны быть предусмотрены меры по сохранению и восстановлению СУБД при аварийных ситуациях и сбоях программного обеспечения. Допускается использование стандартных средств восстановления баз данных из состава СУБД и операционных систем.
Устойчивость функционирования Системы должна обеспечиваться:
разработкой мер при проектировании Системы, направленных на выполнение требований к показателям надежности;
соблюдением условий эксплуатации, установленных в технической и эксплуатационной документации соответствующих технических и программных средств Системы;
выполнением требований к Системе в части технического обслуживания его технических и программных средств;
выполнением требований к управлению Системой в части контроля функционирования и анализа технических неисправностей.
Безопасность Системы должна обеспечиваться разработкой мер при ее проектировании и эксплуатации, направленных на выполнение требований к безопасности этой информационной системы общего пользования.
Система должна обеспечить сохранность данных в следующих ситуациях:
импульсные помехи, сбои и перерывы в электропитании;
нарушение или выход из строя каналов связи локальной сети структурного подразделения;
полный или частичный отказ технических средств, включая сбои и отказы накопителей на жестких магнитных дисках;
сбой общесистемного ПО, отдельного АРМ, сервера БД;
некорректные действия пользователей.
Сохранность СУБД должна обеспечиваться за счет процедуры резервного копирования. Резервное копирование заключается в периодическом сохранении текущей структуры и информационного наполнения СУБД в виде резервных копий на внешних носителях информации. Резервное копирование должно осуществляться как в ручном, так и в автоматическом режимах. Должна быть обеспечена возможность создания резервных копий как с не эксплуатируемых экземпляров БД, так и с находящихся в эксплуатации, т.н. «холодное» и «горячее» резервное копирование.
Сохранность информации в случае кратковременных сбоев электропитания или отказов одного из носителей данных должна обеспечиваться за счет:
централизованного хранения данных на отказоустойчивом оборудовании;
программных решений по обеспечению целостности баз данных при сбоях в проведении транзакций;
организации бесперебойного электропитания серверов, взаимодействующих с ПО системы.
Должен быть предусмотрен комплекс мер, направленных на обеспечение сохранности информации в случае потери работоспособности при сбоях, ошибках или отказах программно-технических средств.
Аварии любого вида и характера на отдельных рабочих местах и прочих терминальных устройствах не должны приводить к утрате и/или повреждению обрабатываемой прикладным программным обеспечением информации, за исключением утраты данных, непосредственно вводившихся оператором в момент аварии (сбоя). Если в момент аварии оператором АРМ выполнялась операция редактирования какой-либо информации, существовавшей в прикладном программном обеспечении, системы должна обеспечивать возврат базы данных к состоянию до редактирования (откат незавершенной транзакции).
Аварии на любом автоматизированном рабочем месте не должны отражаться на работоспособности остальных АРМ (в т. ч. однотипных или связанных с аварийным в рамках технологического процесса) и серверной части.
Аварии на сетях связи не должны приводить к утрате работоспособности серверной части и автоматизированных рабочих мест, не использующих для связи аварийный сегмент сети. После устранения неполадок в сетях связи функциональность прикладного программного обеспечения должна автоматически восстанавливаться в полном объеме (за исключением случаев, когда устранение неполадок потребовало изменение схемы адресации или маршрутизации).
Регламент работы системы должен предусматривать создание резервных копий баз данных и сопутствующей информации. Процесс создания резервных копий должен быть автоматизирован с минимальными функциями оператора и удобным пользовательским интерфейсом.
Выход из строя любого из компонентов технического обеспечения серверной части, кроме основного дискового накопителя, не должен приводить к выходу из строя всего комплекса и утрате (повреждению) хранящихся и обрабатываемых в системе данных. При выходе из строя дискового накопителя должна обеспечиваться возможность восстановления прикладного программного обеспечения из резервной копии.
При отказах основного электропитания серверной части источники резервного питания должны обеспечивать поддержание работоспособности ключевых компонентов в течение времени, достаточного для завершения начатых в момент отказа электропитания транзакций и выполнения безопасного завершения работы прикладного программного обеспечения. Должна предусматриваться возможность автоматической инициации завершения работы по информации, поступающей от контроллеров резервных источников питания.
Эксплуатационная документация должна содержать обоснованные регламенты резервного копирования, обеспечивающие восстановление программного обеспечения и баз данных в пределах, определяемых ее показателями назначения.
Для хранения сменных носителей информации и резервных копий на технической площадке, где размещается серверная часть прикладного программного обеспечения, должны предусматриваться контейнеры (шкафы), обеспечивающие физическое ограничение доступа к носителям и их защиту от воздействия электромагнитных полей.
Перечень защищаемых компонентов
К объектам защиты относятся:
технические средства;
программные средства;
информация (в любой форме ее представления), содержащая охраняемые сведения;
регламенты и процедуры работы ПО;
помещения, предназначенные для обработки и хранения информации.
К защищаемым компонентам Системы относятся:
информационная учетно–процессная подсистема;
экспертная подсистема поддержки принятия решения;
подсистема информационного обмена данными;
аналитическая подсистема;
подсистема хранения архивных данных;
отчетная подсистема;
Экспертная подсистема.
Система защиты информации
В отношении Системы должен быть разработан комплекс организационно-технических мер (Система защиты информации), отвечающий следующим требованиям:
Должны использоваться фильтрации и блокирования сетевого трафика, в том числе средства межсетевого экранирования, сертифицированные ФСБ России и (или) ФСТЭК России с учетом их компетенции.
Должны использоваться системы обеспечения гарантированного электропитания (источники бесперебойного питания).
Должно обеспечиваться резервирование технических и программных средств и дублирование массивов информации.
Должна обеспечиваться защита от воздействий на технические и программные средства, в результате которых нарушается их функционирование, и защита от несанкционированного доступа к помещениям, в которых размещены данные средства.
В Системе осуществляться регистрация действий обслуживающего персонала.
Должны использоваться средства защиты информации от неправомерных действий, сертифицированные ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению).
Должны использоваться средства контроля доступа к информации, в том числе средства обнаружения компьютерных атак, сертифицированные ФСБ России и (или) ФСТЭК России с учетом их компетенции.
Должно быть обеспечено регулярное выполнение рекомендаций Министерства труда и социального развития РФ, изложенных в Постановлении от 23 июля 1998 г. «Об утверждении межотраслевых типовых норм времени на работы по сервисному обслуживанию ПЭВМ и оргтехники и сопровождению программных средств».
При вводе Системы в эксплуатацию устанавливается регламент резервного копирования информации для обеспечения ее сохранности в случае сбоев оборудования.
Должна быть предусмотрена возможность создания резервных копий информационного наполнения Системы и конфигурации серверов приложений с частотой 2 раза в неделю с возможностью восстановления в случае сбоев.
Должна быть предусмотрена возможность создания резервных копий информационного наполнения Системы и конфигурации серверов приложений при обновлении ПО и настроек Системы.
В случае возникновения сбоев, аварий и отказов на отдельных рабочих станциях должна быть сохранена возможность дальнейшего ввода данных, их обработки, а также формирования отчётных документов на других рабочих станциях.
В случае возникновения сбоев, аварий и отказов на серверном оборудовании Системы либо на используемых каналах связи должна быть предоставлена возможность выполнения основных автономных функций Системы с использованием АРМ.
В целях обеспечения надёжного функционирования программное обеспечение Системы должно предусматривать:
контроль целостности данных на уровне СУБД (система управления базами данных);
сохранение целостности данных при нештатном завершении программы в случае отказа рабочей станции;
сохранение работоспособности программного обеспечения при некорректных действиях пользователя;
резервное копирование информации с возможностью ее оперативного восстановления.
В случае возникновения устойчивого отказа программной среды, препятствующего дальнейшей работе, система должна допускать её восстановление с дистрибутивных носителей без потери накопленных данных (за исключением данных последних незавершенных транзакций) силами системного администратора.
Защита информации (ЗИ) от несанкционированного доступа (НСД) должна быть обеспечена стандартными средствами используемых операционных систем, СУБД, а также специальными средствами защиты информации (СЗИ). При этом должны быть реализованы функции:
регистрации и учета пользователей;
управления доступом (идентификация пользователя, управление информационными потоками);
целостности программных средств и информации (наличие средств восстановления данных).
Система должна быть построена с учетом циркуляции в ней потоков информации различной степени конфиденциальности.
Применение средств защиты информации должно осуществляться обслуживающим персоналом системы в соответствии ведомственными нормативными актами и регламентами.
В соответствии с нормативными актами с применением внешних средств обслуживающим персоналом Системы должна быть обеспечена защита от НСД на всех уровнях системы: АРМ, БД, ЛВС.
Система должна обеспечивать идентификацию и аутентификацию пользователей, программных средств, рабочих станций, серверов и другого сетевого оборудования, обратившихся для получения доступа к функциям системы.
При применении внешних технических и программных средств обслуживающим персоналом системы должно быть обеспечено межсетевое экранирование для безопасного подключения узлов. При этом должно быть обеспечено безопасное соединение и гарантирована целостность передаваемой информации между:
БД системы;
компонентами транспортной среды;
между АРМ, БД и компонентами транспортной среды системы.
Система должна фиксировать в журнале событий безопасности события доступа к функциям подсистем.
Система антивирусной защиты программных средств
Должны использоваться сертифицированные Федеральной службой безопасности Российской Федерации антивирусные средства и средства обнаружения иного вредоносного программного обеспечения в соответствии с порядком, определенным их производителем.
Должно быть обеспечено регулярное выполнение требований ГОСТ 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов.
ПОЛИТИКА БЕЗОПАСНОСТИ
Правила разграничения доступа
Персонал должен состоять из специалистов, осуществляющих эксплуатацию Репозитория. В состав персонала, необходимого для обеспечения эксплуатации Репозитория, должны входить:
Клиент Репозитория;
Модератор Репозитория;
Администратор Репозитория.
Согласно функциональным обязанностям этих групп, в Системе предусмотрены роли, которые назначаются сотрудникам МФЦ и сотруднику Минэкономразвития. Каждая роль имеет собственные права на выполнение задач в Репозитории.
Порядок действий в нештатной ситуации
При обнаружении нарушений порядка доступа к информации оператор Системы должен организовать работы по выявлению причин нарушений и устранению этих причин. Подсистема безопасности должна обеспечивать восстановление информации, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации.
|
