О требованиях фстэк россии и фсб россии к гис, испдн, асуп и асутп. Государственные информационные системы (ГИСы): практические вопросы защиты информации Требования к гис

  • 1. Понятие информационных технологий и информационных систем. Современные концепции, идеи и проблемы развития информационных технологий. Роль и задачи информационных технологий в развитии общества.
  • 2. Понятие об информации, сообщении, сигнале, кодировании и модуляции. Обобщенная система передачи информации и назначение ее основных элементов.
  • 3. Преобразование непрерывных сигналов в дискретные, их передача в виде цифровых сигналов.
  • 4. Ряд Фурье для периодической последовательности импульсов и его мощность. Амплитудно-частотная (ачх) и фазо-частотная (фчх) характеристики периодической последовательности импульсов.
  • 5. (Спектральная плотность s(w)) для непериодического сигнала. Прямое и обратное преобразование Фурье.
  • 6. Дискретизация сигналов по времени. Теорема Котельникова.
  • 8. Абсолютный метод определения координат в спутниковых технологиях. Засечка по псевдодальности. Точность абсолютного метода. Геометрические факторы dop.
  • 33.Модель взаимодействия открытых систем (Open System Interconnection, osi). Стандартные стеки коммуникационных протоколов. Реализация межсетевого взаимодействия средствами тср/ip.
  • 34.Коммуникационные устройства информационной сети. Среда передачи данных. Стандартные технологии построения локальных и глобальных сетей.
  • 35.Методы коммутации в информационных сетях (коммутация каналов, коммутация пакетов, коммутация сообщений).
  • 36. Уровень межсетевого взаимодействия (Network layer), его назначение, функции и протоколы. Принципы маршрутизации в составных сетях.
  • 37. Корпоративная информационная система (кис). Требования к корпоративным ис. Проблемы внедрения. Примеры кис.
  • 38. Обеспечение информационной безопасности в современных корпоративных сетях. Методы защиты от несанкционированного доступа. Технологии: Intranet , Extranet и vpn.
  • 13. Защита приложений и баз данных. Структура «пользователь (группа) – право». Ролевая модель организации прав доступа. Организация доступа в субд «клиент-сервер».
  • 14. Системы засекреченной связи. Общая структура, принцип функционирования. Стойкость алгоритма шифрования. Теория Шеннона.
  • 15. Криптографические методы защиты информации, их классификация. Требования к криптографическому закрытию информации. Стандарт на шифрование (общее описание алгоритма des).
  • 16. Концепция криптосистем с открытым ключом. Электронная цифровая подпись. Структурная схема построения эцп.
  • 17. Разрушающие программные средства: компьютерный вирус (классификация, признаки заражения, методы обнаружения и обезвреживания вируса).
  • 18. Методы защиты ис от несанкционированного доступа на логическом, физическом и юридическом уровнях. Российское законодательство в области защиты информации.
  • 19. Защита информации в сетях Internet. Назначение экранирующих систем. Требования к построению экранирующих систем. Организация политики безопасности в сетях Internet.
  • 23. Интерфейсы ис. Пользовательский интерфейс ис.
  • 24. Надежность ис. Факторы, влияющие на надежность ис. Методы повышения надежности ис.
  • 25. Структурный подход к проектированию информационных систем ис.
  • 26. Жизненный цикл программного обеспечения (жц по), модели жц.
  • 27. Case-технологии, как новые средства для проектирования ис. Case-пакет фирмы platinum, его состав и назначение. Критерии оценки и выбора case-средств.
  • 28. Стандарт idef, его основные составляющие.
  • 29. Принципы системного структурного анализа, его основные аспекты.
  • 30. Инструментальная среда bpWin, ее назначение, состав моделей, возможности пакета. Состав отчетов (документов) проектируемой модели в среде bpWin.
  • 31. Инструментальная среда erWin, ее назначение и состав решаемых задач.
  • 32. Унифицированный язык моделирования uml, его назначение, состав решаемых задач с его помощью.
  • 39. Базы данных (бд). Основные этапы разработки баз данных. Методы создания структуры базы данных. Типы данных. Структурированные данные.
  • 40. Модели данных, применяемых в базах данных. Связи в моделях. Архитектура баз данных. Реляционная, иерархическая и сетевая модели данных. Типы и форматы данных.
  • 41. Системы управления базами данных (субд). Назначение, виды и основные функциональные возможности субд. Обзор существующих субд. Состав субд, их производительность.
  • 43.Стандарт sql-языка запросов. Sql-запросы для получения информации из бд. Основные принципы, команды и функции построения sql-запросов.
  • 44.Модификация данных с помощью sql-языка запросов. Создание и изменение структуры таблиц. Добавление и редактирование данных. Поиск и сортировка данных на основе sql.
  • 45.Нормализация данных. Первая, вторая, третья нормальные формы. Порядок приведения данных к нормальной форме.
  • 46.Дать понятия первичный ключ (pk), внешний ключ (fk), альтернативный ключ, инверсный вход. Типы и организация связей между таблицами.
  • 49.Системы искусственного интеллекта (ии). Классификация основных направлений исследований в области ии.
  • 1.2.3. Разработка естественно-языковых интерфейсов и машинный перевод (natural language processing)
  • 1.2.4. Интеллектуальные роботы (robotics)
  • 1.2.5. Обучение и самообучение (machine learning)
  • 1.2.6. Распознавание образов (pattern recognition)
  • 1.2.7. Новые архитектуры компьютеров (new hardware platforms and architectures)
  • 1.2.8. Игры и машинное творчество
  • 50.Экспертные системы (эс), состав эс. Классификация эс, их структурный состав. Инструментальные средства разработки эс.
  • 51.Модели представления знаний (продукционная, фреймовая, сетевая модель).
  • 52.Классификация систем, основанных на знаниях.
  • 2.2.1. Классификация по решаемой задаче
  • 64.Цифровые модели местности (цмм), цифровые модели ситуации и рельефа, цифровые модели карты и плана. Слои цмм. Назначение и использование цифровых и электронных карт и планов.
  • 65.Растровая и векторная форма представления данных. Форматы этих данных. Регистрация растровых изображений в картографических системах.
  • 67.Современные технологии создания цифровых и электронных карт и планов. Классификация типов объектов при оцифровке (векторизации) карт. Классификаторы топографической информации.
  • 68.Программы – векторизаторы, их характеристики, принципы работы и возможности. Методы и точность векторизации. Анализ качества векторизации. Контроль топологической структуры цифровой карты.
  • 53.Сущность и основные понятия геоинформатики. Области применения геоинформатики.
  • 55.Топологическая концепция гис. Геореляционная модель связи объектов и их атрибутов.
  • 57.Инструментальные средства создания гис (MapEdit, MapInfo, GeoMedia и др.). Основные функции, характеристики и возможности гис – оболочек. Средства расширения гис- оболочек и создания приложений.
  • 58.Федеральные, региональные и муниципальные гис. Требования к программному и информационному обеспечению гис.
  • 60. Пространственный (географический) анализ. Буферные зоны, оверлеи. Создание тематических карт на основе гис – технологий.
  • 61.Способ поверхностей для создания тематических карт. Интерполяция на основе нерегулярной сети треугольников tin и среднего взвешенного idw.
  • 53.Сущность и основные понятия геоинформатики. Области применения геоинформатики.
  • 63.Геоинформационное моделирование. Основы сетевого анализа.
  • 64.Системы автоматизированного проектирования (cad – MicroStation, AutoCad и др.). Основные концепции двухмерного (2d) и трехмерного (3d) проектирования. Связь гис с cad – системами.
  • 21. Повышение надежности систем путем резервирования. Виды и способы резервирования.
  • 62.3D карты. Способы создания и использования трехмерных карт.
  • 9.Дифференциальный способ определения координат. Типы каналов передачи дифференциальных поправок. Способы дифференциальной коррекции. Система дифференциальной коррекции waas. Точность dgps.

58.Федеральные, региональные и муниципальные гис. Требования к программному и информационному обеспечению гис.

ФГИС, МГИС, РГИС – предназначены для решения опер. и расчетных задач связанных с обработкой пространственных данных ГИС при управлении, планирование инвентаризации мониторинга, анализа и прогнозирования. пространственные данные используемые в ГИС должны охватывать:

1для ФГИС – все территории РФ, включая прибрежные акватории и приграничные районы.

2 для РГИС – территории крупных природных и экологических регионов субъектов РФ, фед. округов включая районы природоохраняемых зон, районы кризисных ситуаций.

3 для МГИС – территории городов, городских районов, пригородных зон

Требования к ПО и ИО для ГИС

Для формирования БД,Ф,Р, МГИС, ГИС: 1) базовую цифровую модель местности (для ФГИС – цтк м – 1: 1000000; для РГИС цтк масштаба 1:50000 – 1:200000 и цтг масштаба 1:500 – 1:1000 для МГИС цтг масштаба 1:500 – 1:10000). 2) цифровая тематическая специфика карты. 3) аэро и космоснимки в цифровом формате. 4) тематические данные. 5) атрибутивные данные. 6) метаданные. 7) нормативная информация. В техническом задании на конкретную ГИС устанавливаются требования к ИО по: 1. составу, структуре, способам организации данных систем. 2. к качеству данных (полноте, достоверности, актуальности). 3. наличию сертификату соответствия.4. совместимость существенных и созданных компонентов. 5. применению СУБД. 6.органнизация информационного обмена с другим базами. 7. процессы сбора обработки и передачи информации 8. контролю, хранению и обновлению восстановления для. 9. обеспечивает управление документирования

10.процедура придания юридическими средствами ПО ГИС должно включать следующее: - операционная система. - текстовые и графические редакторы. –состав специального ПО. – библиотека программных средств, совокупность прикладных программ.

ПО поддерживает основные под системы ГИС.

Сбор, ввод данных; - хранение.

59.Основные этапы создания гис – проектов. Источники данных для формирования графической и атрибутивной (неграфической) информации.

Основные этапы:

1.Разработка и согласование бизнес-плана (тут оговаривается финансово-экономическое аспекты, ожидаемый результат, источники финансирования, сроки, стоимости). 2.Заключение договора (тут протокол согласования договорной цены). 3.Разработка технического задания это документ в котором содерфатся требования, которые б. д. реальными. 4.Утверждение.

5.Техническое проектирование (нахождение технического решения)

Постановка задач (вход выход информации). -Разработка концептуальной модели (нарисовать информацию модель каждой задачи). -Технические решения (алгоритм). 5.Разработка рабочей документации -Эксплуатационное документирование как пользоваться системой -Сетевая схема. -Проекты БД.

Разработка программ и методики предварительных испытаний.

7.Три стадии испытания системы: 1.Предварительное испытание-проверка работоспособности системы, проводятся на базе разработки. Разработчик должен поставить вывод работает: - система или нет. -можно ли систему передавать на следующую стадию или нет. 2.Опытная эксплуатация. Определение количественных характеристик системы, длится не менее 6 мес. Чтобы провести опытную эксплуатацию составляют специальную программу, проводится на базе задачника. опытную эксплуатацию проводят пилот – проект. Это производственная работа в которой будут получены производственные результаты, но они будут выполнятся в ограничениях: территории, по функциям. В журнале мы видим каждодневные записи: какие задачи решены, сбои, сработала ли программа или нет. На этой стадии происходят исправления по ходу. В конце пишется акт сверки выполнена ли стадия на основе журнала. Вывод: -считать ли опытную эксплуатацию завершенной. -можно ли передавать систему на следующий этап. 3.Приемочное испытание проводят испытания заказчика, комиссия как правило берется со стороны. Цель: соответствие ТЗ может частично соответствовать ТЗ. После этих стадии составляют акт приемки системы постоянной эксплуатации. Вывод: Система в целом соответствует ТЗ. Если соответствует, то система м.б. передана в постоянную эксплуатацию или нет. После запуска система переходит в фазу функционирования. Здесь происходит 3 главных процесса: -Выполнение административных работ по обеспечению системы. -Введение БД. -Решение пространственных задач конечным пользователем. Источники данных: топографо-геодезические данные;

координаты пунктов; результаты измерений; ЦММ;

картографические материалы (бумажные карты, аэроснимки, космоснимки);

атрибутивная информация (характеристика объектов, кадастровые данные)

На основе анализа проблем, связанных с повышением безопасности объ­ектов НТК, сформулированы общие требования к разработке ГИС. Эти требо­вания учитывают пространственно-временные факторы, разнородность мето­дического и информационного обеспечения технологию создания и возмож­ность развития системы.

Общие требования к разработке ГИС целесообразно разделить на группы и обосновать, исходя из перечня основных ЧС; масштабов воздействия и тяже­сти последствий; характера поражающего воздействия; содержания задач обес­печения безопасности объектов и поддержки принятия решений; технологиче­ских, функциональных и экономических требований.


Учитывая, что нормативные документы СП 11-107-98 и СП 11-113-2002 требуют комплексного анализа рисков для персонала объектов и рядом распо­ложенного населения, кратко сформулируем содержание требований к разра­ботке ГИС по группам.

Основные ЧС. С помощью ГИС в первую очередь должна проводиться оценка тех событий, которые могут привести к гибели людей или большому ущербу. Исходя из этого условия, к таким событиям следует отнести ЧС техно­генного характера в результате аварий на объектах: пожаровзрывоопасных; га­зопроводах; нефтепроводах; химически опасных; радиационно-опасных; гидро­технических сооружениях.

К гибели людей приводят также ЧС природного характера: наводнения; землетрясения; ураганы и сильные ветры; снежные лавины; сели; лесные пожа­ры; цунами.

Масштабы воздействия и тяжесть последствий. В соответствии с По­ложением о классификации ЧС природного и техногенного характера, утвер­жденным постановлением Правительства РФ от 13.09.1996 г. № 1094, по степе­ни тяжести ЧС разделяются на локальные; местные, территориальные; регио­нальные; федеральные; трансграничные.

В Постановлении правительства № 240 от 15.07.2002 г. отмечается, что разливы нефти и нефтепродуктов классифицируются как ЧС. В зависимости от объема и площади разлива нефти и нефтепродуктов на местности и во внутрен­них водоемах выделяются ЧС следующих категорий: локального, муниципаль­ного, территориального, регионального и федерального значений.

В соответствии с этими масштабами в ГИС должна включаться картогра­фическая информация с различным уровнем детальности: мир, страны, регионы (провинции, субъекты, районы и т.п.), города, объекты.

В зависимости от масштаба воздействия и тяжести последствий ­местности и элементов риска.


Характер поражающего воздействия. Исходя изразличной природы источников и полей поражающих факторов, в состав ГИС должны быть вклю­чены математические модели, позволяющие рассчитывать воздушные ударные волновые, сейсмические, тепловые, химические, радиационные поля воздейст­вия (модели воздействия). Блок математических моделей должен включать также процедуры, позволяющие определять зоны, характеризующие степени разрушения, поражения, ущерба и риска. Эти модели описывают сопротивле­ние элементов риска воздействию. Оценки показателей должны базироваться на единой научно-методической основе.

Состав задач повышения безопасности объектов и поддержки приня­тия решений. В состав задач можно включить аналитические компоненты ин­формационного обеспечения: прогнозные модели, включая заблаговременные оценки объемов аварийных разливов, масштабов ущерба, показателей послед­ствий и определение рисков; оптимизационные модели - распределение ресур­сов, организация эффективного управления; оперативные модели - оценка об­становки, расчет сил и средств, показателей жизнеобеспечения по факту собы­тия. Каждая модель дает возможность решать определенные типы задач под­держки принятия решений как до события, так и по факту его возникновения.

Функциональные требования. Программные средства ГИС должны со­ответствовать требованиям:

оперативности, информационности, многофункциональности;

наглядности отображения ситуации;

масштабированности картографической основы;

обеспечения пространственной и временной привязок событий и инфор­мации;

возможности ввода, редактирования и импорта информации;

обеспечения выбора и просмотра информации произвольно или по адрес­ным признакам;

возможности включения или выключения слоев;

обеспечения картографического представления информации, полученной с использованием расчетных моделей, документирования результатов.

Технологические требования. К технологическим требованиям можно отнести:

блочность построения структуры ГИС;

возможность развития системы;

использование при разработке системы "классических" в теории ГИС по­нятий;

использование совместимых форматов и пакетов программ для создания и управления базами данных;

возможность использования мониторинговой информации в автоматизи­рованном режиме;

сопрягаемость расчетных моделей с картографической и семантической базами данных;

возможность использования математических и статистических моделей;

ориентация на имеющиеся технические средства (по объему памяти, бы­стродействию, внешние устройства);

ограниченные сроки решения задач.

Экономические требования. Геоинформационные системы являются важной компонентой информационных технологий, обеспечивающих в составе других мероприятий - инженерно-технических и организационных - повыше­ние безопасности объектов, уменьшение и смягчение последствий ЧС. При раз­работке ГИС следует учитывать стоимостные затраты на систему. При этом, в совокупности с другими мероприятиями, общие затраты, включая затраты на разработку ГИС, не должны превосходить предотвращенный ущерб.

Приведем обобщенную технологическую структуру ГИС. Система вклю­чает следующие основные блоки (рисунок З.1.):

блок базы данных, состоящий из структурированных массивов цифровой картографической и семантической информации;

систему управления базами данных;

блок математических моделей;

блок тематического картографирования и документирования; пользовательский интерфейс - средство эффективного управления всеми блоками ГИС.

Рисунок 3.1- Структурная схема ГИС

Лекция 5. Требования к структуре и содержанию базы данных.

Учебные вопросы: Требования к картографической информации. Требования к содержанию картографической информации. Требования к масштабам карт. Требования к форматам картографической информации. Требования к семантической информации.

Блок базы данных служит для накопления информации и ее структуриза­ции.

Двумя основными типами информации для ГИС являются картографиче­ская (векторная или растровая) и семантическая (описательная). Картографиче­ская информация содержит координаты и очертание границ географических объектов. Семантическая информация описывает количественные и качествен­ные характеристики объектов и связей между ними. Картографическая и семан­тическая информации в базе данных структурно объединены в группы.

О требованиях ФСТЭК России и ФСБ России к ГИС, ИСПДн, АСУП и АСУТП

В ходе проведения консультаций с Заказчиками ООО «Эйснет», а также при непосредственном выполнении работ, приходится сталкиваться с первичным определением или формированием требований к будущей (создаваемой) государственной информационной системе (ГИС), информационной системе персональных данных (ИСПДн) или автоматизированной системе управления производственными (АСУ П) и технологическими процессами (АСУ ТП).

Подчас сразу сложно ответить, какие требования должны быть реализованы в той или иной системе. Для этого предлагается использовать к государственным информационным системам, информационным системам персональных данных и автоматизированным системах управления производственными и технологическими процессами, в которой наглядно приведены (для обсуждения) все необходимые требования.

Для понимания вопроса рассмотрим, какие основные нормативные документы регуляторов в области защиты информации действуют для данных информационных систем.

Государственные информационные системы

  • ­«Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Приказ ФСТЭК России от 11.02.2013г. N 17 (Зарегистрировано в Минюсте России 31.05.2013г. N 28608);
  • Методический документ. Меры защиты информации в государственных информационных системах», Приказ ФСТЭК России от 11 февраля 2014г.

Информационные системы персональных данных

  • ­«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Утверждена ФСТЭК России, 15 февраля 2008г.;
  • ­«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Утверждена ФСТЭК России, 14 февраля 2008г.;
  • ­«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказ ФСТЭК России от 18.02.2013г. N 21 (Зарегистрировано в Минюсте России 14.05.2013г. N 28375). Примечание: Приказом N 21 отменено действие «Положения о методах и способах защиты информации в информационных системах персональных данных», приказ ФСТЭК России от 5 февраля 2010г. N 58 (зарегистрирован Минюстом России 19 февраля 2010г., регистрационный N 16456);
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», Утверждены ФСБ России 21 февраля 2008г. № 149/54-144;
  • ­ «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», Утверждены ФСБ России 21 февраля 2008г. № 149/6/6-622;
  • Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», Приказ ФСБ России от 10 июня 2014г. N 378, (зарегистрировано в Минюсте России 18 августа 2014г. N 33620).

Системы управления производственными и технологическими процессами

«Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», Приказ ФСТЭК России от 14.03.2014г. N 31 (Зарегистрировано в Минюсте России 30.06.2014г. N 32919).

Документы регуляторов общие для систем ИС, ИСПДн, АСУ, в том числе для ИС общего пользования - СОП

  • ­«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), Утверждены приказом Гостехкомиссии России от 30 августа 2002г. № 282;
  • ­«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», решение Председателя Гостехкомиссии России от 30 марта 1992 года;
  • ­«Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи» (вместе с «Правилами использования усиленной квалифицированной электронной подписи органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой», «Требованиями к обеспечению совместимости средств электронной подписи при организации электронного взаимодействия органов исполнительной власти и органов местного самоуправления между собой»), Постановление Правительства РФ № 111 от 09 февраля 2012г.;
  • О видах электронной подписи, использование которых допускается при обращении за получением государственных муниципальных услуг», Постановление Правительства Российской Федерации № 634 от 25 июня 2012г.
  • ­«Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», Приказ ФСБ России от 9 февраля 2005г. N 66;
  • ­«Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», Приказ ФАПСИ при Президенте РФ от 13.06.2001 года № 152;
  • ­«Требований к средствам электронной подписи и требований к средствам удостоверяющего центра», Приказ ФСБ России № 796 от 27 декабря 2011г.;
  • Об аккредитации удостоверяющих центров», Приказ Минкомсвязи Российской Федерации № 203 от 21 августа 2012г.;
  • ­ГОСТ Р 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения»;
  • ­ГОСТ Р 51624-2000. «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования»;
  • ­ГОСТ РО 0043-003-2012. «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • ­ГОСТ РО 0043-004-2013. «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;
  • ­ГОСТ 51275- 2006 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения».
  • ­РД 50-34.698-90. «Методические указания. Информационная технология. Автоматизированные системы. Требования к содержанию документов».

Особенности требований к различным системам

Примечание: В документах ФСТЭК России и ФСБ России на системы не рассматриваются вопросы обеспечения безопасности защищаемых данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну

Особенности требований к информационным системам персональных данных (ИСПДн)

  • ­Требования распространяются на обработку персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
  • ­Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • ­Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Установлены четыре уровня защищенности персональных данных . Самый низкий уровень - четвертый, самый высокий - первый.

Особенности требований к государственным информационным системам

  • ­ГИС имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
  • ­ГИС имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
  • ­ГИС имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
  • ­Требования к ГИС являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении. Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации.
  • ­При обработке в государственной информационной системе информации, содержащей персональные данные, Требования к ГИС применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
  • ­По решению обладателя информации (заказчика) или оператора Требования к ГИС могут применяться для защиты информации, содержащейся в негосударственных информационных системах.

Установлены четыре класса защищенности государственной информационной системы , определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - четвертый, самый высокий - первый.

Особенности требований к системам управления производственными и технологическими процессами

  • ­Требования направлены на обеспечение функционирования АСУ в штатном режиме, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения целевых функций АСУ в условиях воздействия угроз безопасности информации, а также на снижение рисков незаконного вмешательства в процессы функционирования АСУ критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов, безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.
  • ­Распространяются на АСУ, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами (в том числе системы диспетчерского управления, системы сбора (передачи) данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением).
  • ­АСУ, как правило, имеют многоуровневую структуру:
    • уровень операторского (диспетчерского) управления (верхний уровень);
    • уровень автоматического управления (средний уровень);
    • уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).
  • ­ Автоматизированная система управления может включать:
    • на уровне операторского (диспетчерского) управления: операторские (диспетчерские), инженерные автоматизированные рабочие места, промышленные серверы (SCADA-серверы) с установленным на них общесистемным и прикладным программным обеспечением, телекоммуникационное оборудование (коммутаторы, маршрутизаторы, межсетевые экраны, иное оборудование), а также каналы связи;
    • на уровне автоматического управления: программируемые логические контроллеры, иные технические средства с установленным программным обеспечением, получающие данные с нижнего (полевого) уровня, передающие данные на верхний уровень для принятия решения по управлению объектом и (или) процессом и формирующие управляющие команды (управляющую (командную) информацию) для исполнительных устройств, а также промышленная сеть передачи данных;
    • на уровне ввода (вывода) данных (исполнительных устройств): датчики, исполнительные механизмы, иные аппаратные устройства с установленными в них микропрограммами и машинными контроллерами.

В АСУ объектами защиты являются:

  • ­информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
  • в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

Установлены три класса защищенности автоматизированной системы управления , определяющие уровни защищенности АСУ. Самый низкий класс - третий, самый высокий - первый.

Для всех приведенных систем, для обеспечения защиты информации, проводятся следующие типовые мероприятия:

  • ­ формирование требований к защите информации, содержащейся в ГИС (ИСПДн, АСУ);
  • ­ разработка системы защиты информации ГИС (ИСПДн, АСУ);
  • ­ внедрение системы защиты информации ГИС (ИСПДн, АСУ);
  • ­ аттестация ГИС (ИСПДн, АСУ) и ввод ее в действие;
  • ­ обеспечение защиты информации в ходе эксплуатации аттестованной ГИС (ИСПДн, АСУ);
  • ­ обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС (ИСПДн, АСУ) или после принятия решения об окончании обработки информации.

Для всех систем (ГИС, ИСПДн, АСУ) определены базовые наборы мер защиты информации и требования к их реализации , которые необходимо выбирать в зависимости от класса или уровня защищенности системы, определяемой обязательно с учетом Модели угроз (включая модель нарушителя) безопасности информации.

Таким образом, рассмотрев особенности и различия в трех системах (ГИС, ИСПДн, АСУ) и используя Сравнительную таблицу требований ФСТЭК России будет не сложно объяснить Заказчику или должностному лицу ведомства, не ознакомленных с различиями в системах, что необходимо реализовать в той или иной системе.

Введение

Геоэкологический прогноз, а также создание системы мониторинга в районах интенсивного техногенного воздействия требуют привлечения и комплексного анализа разнообразной информации как природного, так и социально-экономического характера. Для этого необходима организация системы автоматизированного сбора, обработки и анализа природной информации, построенной на базе современных ЭВМ и автоматических устройствах ввода-вывода информации. Возможность оперативной обработки больших объемов геоэкологической информации, включая картографическую, наиболее существенна при оценке состояния геосистем регионального уровня, а также для территориального планирования и управления ресурсами окружающей среды. В современных условиях планирования народного хозяйства с обязательным проведением геоэкологических экспертиз природоохранная информация приобретает качество особого вида ресурса (информационного) со всеми специфическими требованиями к методам ее получения и обработки. Такая оценка информации требует принципиально нового подхода к организационным структурам производства и переработки данных об окружающей среде на базе современной промышленной технологии.

Этой цели служат геоинформационные системы (ГИС).

ГИС - это компьютерные системы сбора, хранения, выборки, анализа и отображения пространственных данных. Создание автоматизированных систем природной информации входит в круг задач геоэкоинформатики - научного направления, разрабатывающего теорию, методы и технологию информационного обеспечения и автоматизации биосферных и геоэкологических исследований в целях рационализации природопользования и охраны природы.

ГИС является эффективным средством для изучения интегральных эффектов антропогенного воздействия на окружающую среду, поскольку она аккумулирует и обрабатывает данные за длительный период времени для крупных географических регионов.

Одна из важнейших проблем создания ГИС - это информационное обеспечение региональных геоэкологических моделей, включающее как выбор источников для формирования базы данных, определение точности поступающей информации, так и определения набора параметров, необходимых и достаточных для изучения динамики геосистем различного иерархического уровня.

Требования к ГИС

Принципы организации ГИС

Геоинформационная технология зародилась в начале 60-х годов для автоматизации ряда операций по обработке географических данных. Первые системы создавались при отсутствии программного обеспечения, наличии примитивной вычислительной техники и устройств ввода-вывода графических данных.

Развитие информационных систем шло как по пути увеличения обрабатываемых объемов данных, так и усложнения структуры хранящейся информации. Поэтому информационные массивы, предназначенные для обработки на ЭВМ, организуются в базы данных (БД). Для обеспечения достаточно сложных операций по поиску и выборке данных в БД, их объединению в информационные массивы требуемой структуры разрабатываются системы управления базами данных.

В настоящий момент ГИС представляют собой сложную информационную систему, включающую мощную операционную систему, интерфейс пользователя, системы ведения без данных, отображения графической информации.

Наряду с ГИС широкое распространение получила организация проблемно-ориентированных БД, предназначенных для картографирования природных и социально-экономических явлений. Такие БД называются картографическими банками данных (КБД).

Важнейшая функция КБД заключается в автоматизированном картопостроении, выполняемой автоматизированной картографической системой (АКС), которая является неотъемлемой частью также ГИС.

В последние годы при создании информационных систем (ИС) в географии повышенное внимание уделяется построению экспертных систем (ЭС). Под ЭС понимается система логического вывода, основывающаяся на фактах (знаниях) и эвристических приемах (эмпирических правилах) обработки данных. Основные составляющие части ЭС: 1) база знаний (БЗ) - организованные наборы фактов и 2) механизм логического решения поставленной задачи.

Появление в последние годы массового интереса к построению ГИС требует выработки принципов оценки создаваемых информационных систем, их классификации, определения потенциальных возможностей. В определенной мере это возможно при выработке требований к идеальной ГИС:

1. Возможность обработки массивов покомпонентной гетерогенной пространственно-координированной информации.

2. Способность поддерживать базы данных для широкого класса географических объектов.

3. Возможность диалогового режима работы пользователя.

4. Гибкая конфигурация системы, возможность быстрой настройки системы на решение разнообразных задач.

5. Способность «воспринимать» и обрабатывать пространственные особенности геоэкологических ситуаций.

Разработка ГИС включает этап проектирования структуры, определения целей и задач, потенциальных пользователей. Проектирование ГИС, как сложной информационной системы, требует использования методов системного анализа, с помощью которых решаются следующие задачи :

Построение концептуальной модели ГИС, определение ее подсистем, характера взаимосвязи между ними;

Структуризация географической информации с учетом специфики обработки, хранения и представления на ЭВМ и автоматических устройствах;

Определение этапов преобразования и обработки поступающей природной и социально-экономической информации;

Создание человеко-машинных систем для математического моделирования природных и социально-экономических процессов в структуре ГИС.

Использование информационной технологии в геоэкологии предполагает автоматизацию процессов сбора и анализа параметров геосистем. Получение и обработка информации рассматриваются как единый процесс, включающий ряд последовательных этапов (табл. 1).

Этапы информационной технологии в создании и эксплуатации ГИС включают следующие стадии: сбор первичных данных, ввод и хранение данных, анализ данных, анализ сценариев и принятие решений. Необходимо отметить, что выделенные этапы являются наиболее общими и повторяются при создании конкретных ГИС, различаясь в деталях, связанных с целями и задачами ГИС, а также техническими возможностями системы.

Очевидно, что источники информации, процедура ее получения, методы анализа должны рассматриваться как этапы единого технологического процесса, объединяемого общностью целей и задач построения и эксплуатации ГИС. Это означает, что в основу проектирования и создания ГИС должна быть положена единая методология. Поскольку ГИС можно рассматривать как средство машинного представления данных и знаний комплекса наук о Земле, то в качестве методологической основы ГИС должно быть выбрано направление их построения как инструментария познания закономерностей структуры и организации геосистем при помощи средств информатики, включающего математическое моделирование и машинную графику.

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем . Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин , эксперт по защите информационных систем, «Контур-Безопасность»

Похожие материалы

Чит коды для скайрим Код на вещи в skyrim
Частые вопросы

Чит коды для скайрим Код на вещи в skyrim

Конфиг убирает разброс в кс 1
Частые вопросы

Конфиг убирает разброс в кс 1

Сюжетная линия Улучшение Collectible Finder
Частые вопросы

Сюжетная линия Улучшение Collectible Finder