Смекни!
smekni.com
Остальные рефераты

Данное пособие предназначено для специалистов системы Росстата, занимающихся внедрением и эксплуатацией информационных технологий сбора, обработки, хранения и (стр. 34 из 37)

Для регистрации инцидентов нарушения информационной безопасности следует создавать журналы аудита и хранить их в течение согласованного периода времени. Для обеспечения контроля правомерности действий пользователей ИВС Росстата необходимо определить процедуры мониторинга использования средств обработки информации.

Результаты мониторинга следует регулярно анализировать и доводить до сведения руководства Росстата.

Приобретение, разработка и обслуживание информационных систем

Требования к безопасности информационных систем

Требования к безопасности информационных систем Росстата следует формулировать на стадии определения задач проекта, а также обосновывать, согласовывать и документировать в рамках общего проекта по внедрению информационной системы.

В Росстате должно быть обеспечено использование сертифицированных по требованиям безопасности СЗИ.

Планирование мероприятий по обеспечению информационной безопасности на стадии проектирования системы позволяет существенно снизить затраты на их внедрение и поддержку по сравнению с разработкой соответствующих мероприятий во время или после внедрения системы.

Управление СКЗИ и ключами ЭЦП

Применение криптографических методов защиты информации ИВС Росстата обеспечивает решение основных задач информационной безопасности.

В Росстате должен быть установлен порядок использования СКЗИ, средств ЭЦП и управления ключами шифрования.

В ИВС Росстата должны применяться лицензионные СКЗИ отечественного производства, сертифицированные по требованиям безопасности информации.

В ИВС Росстата СКЗИ применяются для:

· шифрования всего информационного трафика, передающегося по открытым каналам передачи данных;

· шифрования информации, представленной в виде файлов или хранящейся в базе данных.

Средства ЭЦП обеспечивают юридическую значимость, целостность и достоверность документов:

· в системе электронного документооборота Росстата;

· в системах сбора статистической отчетности в электронном виде;

· в системах криптографической аутентификации пользователей ИВС Росстата.

При обращении с ключами ЭЦП пользователи ИВС Росстата должны соблюдать установленный порядок их безопасного хранения и использования.

С целью упорядочения обращения с ключами ЭЦП в ЦА Росстата и ТОГС решением руководства функции удостоверяющего центра Росстата возложены на УЦ ГМЦ Росстата. Основными функциями УЦ Росстата являются:

  • формирование сертификатов открытых ключей (далее – сертификаты) владельцев ключей подписи;
  • формирование и поддержание в актуальном состоянии списка отозванных сертификатов;
  • хранение эталонной базы сертификатов и списков отозванных ключей;
  • хранение регистрационных данных владельцев ключей подписи, запросов на сертификаты и пользовательских сертификатов;

Для управления ключами ЭЦП в системе сбора статистической отчетности в электронном виде организуется сеть доверенных УЦ Росстата.

Безопасность в процессах разработки и поддержки

Работники подведомственных организаций Росстата, сопровождающие работу прикладных систем, должны проводить анализ всех предложенных изменений ИВС Росстата и исключать возможность компрометации системы безопасности и среды промышленной эксплуатации.

Чтобы свести к минимуму повреждения ИВС Росстата, следует строго контролировать внедрение изменений.

В Росстате должна использоваться среда, в которой пользователи тестируют новое программное обеспечение и которая отделена от среды разработки и среды промышленной эксплуатации. При этом обеспечивается возможность контроля нового программного обеспечения и дополнительная защита информации, используемой в процессе тестирования.

Управление инцидентами информационной безопасности

Обнаружение пользователями событий и слабых мест информационной безопасности, связанных с информационными системами, должно гарантировать возможность принятия своевременных корректирующих действий.

В Росстате внедряется формальный порядок сообщения о событиях и порядок их эскалации. Всех пользователей ИВС Росстата (сотрудников Росстата, контрагентов и пользователей внешних организаций) следует проинформировать о порядке сообщений о различных типах событий, которые могут иметь воздействие на безопасность информационных ресурсов Росстата. Пользователи ИВС Росстата обязаны незамедлительно сообщать о любых событиях информационной безопасности, используя определенную точку контакта.

В Росстате необходимо обеспечить применение последовательного и эффективного подхода к управлению инцидентами информационной безопасности.

Следует внедрить обязанности и порядок эффективной безотлагательной обработки событий и уязвимостей информационной безопасности. В качестве реакции на них следует применять процесс непрерывного улучшения, отслеживания, оценки и управления инцидентами информационной безопасности.

Для обеспечения соответствия юридическим требованиям следует собирать доказательства.

Управление непрерывностью деятельности

В ИВС Росстата следует обеспечить противодействие прерываниям деятельности и защиту критичных процессов от воздействия сбоев информационных систем и аварий, а также гарантирование своевременного возобновления работы данных систем.

Для минимизации отрицательного воздействия на ИВС Росстата и восстановления потерь информационных ресурсов (потери могут быть результатом, например, стихийных бедствий, несчастных случаев, отказа оборудования и умышленных действий) до приемлемого уровня, следует внедрить процесс управления непрерывностью деятельности, сочетая профилактические и восстановительные средства управления. В этом процессе следует установить критичные процессы и объединить требования непрерывности по управлению информационной безопасностью с другими требованиями непрерывности, касающимися таких вопросов, как операции, персонал, материалы, транспорт и оборудование.

Последствия бедствий, сбоев безопасности, потеря обслуживания и доступности обслуживания подлежат анализу. Для гарантирования своевременного возобновления основных операций следует разработать и внедрить планы обеспечения непрерывности. Информационная безопасность должна быть неотъемлемой частью общего процесса обеспечения непрерывности деятельности и других процессов управления в Росстате.

Управление непрерывностью деятельности Росстата должно включать средства управления, устанавливающие и снижающие риски, в дополнение к общему процессу определения рисков, ограничивать последствия ущерба инцидентов и гарантировать доступность информации, требуемой для процессов бизнеса.

4.2.2. Организация в ИВС Росстата защищенных сетей передачи данных и защиты информационных систем персональных данных

Организация в ИВС Росстата защищенных сетей передачи данных и защиты информационных систем персональных данных предусматривает:

· развертывание защищенных сетей на основе существующей инфраструктуры ведомственной сети Росстата и внедрения сертифицированных средств защиты ViPNet при информационном обмене между Центральным аппаратом (далее - ЦА) Росстата, Главным межрегиональным центром обработки и распространения статистической информации Росстата (далее – ГМЦ Росстата) и территориальными органами государственной статистики (далее - ТОГС);

· повышение производительности и надежности функционирования шлюзов защищенной сети на основе внедрения новых программно-аппаратных комплексов защиты информации по открытым каналам связи (далее - ПАК), а также интеграция ПАК с имеющимся программным обеспечением ViPNet Coordinator, ViPNet Client;

· формирование в ЦА, ГМЦ Росстата и ТОГС Росстата выделенных защищенных сетей, внутри которых будет осуществляться передача конфиденциальной информации, в том числе персональных данных.

Рис. 4. Схема организации защищенных сетей Росстата

В рамках развертывания защищенной сети федерального уровня проводится следующие работы:

1. Установку оборудования и настройку параметров двух ПАК федерального уровня в ЦА и ГМЦ Росстата вместо установленных программных комплексов ViPNet Coordinator 2.8, в том числе:

· Установку ПАК и настройку параметров IP- адресации;

· Настройку ПАК федерального уровня в качестве криптошлюзов в существующей ViPNet-сети № 355 для защиты информации при передаче данных в корпоративной сети Росстата.

2. Обновление версии существующего программного обеспечения ViPNet Coordinator до версии 3.х[1] в восьмидесяти двух ТОГС Росстата.

3. Установку и настройку ста (100) комплектов ПО ViPNet Client версии 3.x в ЦА, ГМЦ Росстата.

4. Обновление ПО ViPNet Client до версии 3.x на АРМ Администратора безопасности в ЦА Росстата.

5. Конфигурирование ViPNet-сети № 355, в том числе настройку взаимодействия восьмидесяти двух ViPNet Coordinator 3.х. в ТОГС Росстата с ПАК федерального уровня в ЦА и ГМЦ Росстата в соответствии с требованиями Заказчика.

В рамках развертывания ViPNet-сетей регионального уровня, расположенных в восьмидесяти двух (82) ТОГС, проводятся следующие работы:

1. Установка (обновление) нового ПО ViPNet Coordinator версии 3.x – 82 (восемьдесят два) комплекта в ТОГС Росстата.

 
назад
читать дальше
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
НАПИШИТЕ НАМ
Copyright © Smekni.com. All rigths reserved.