Предварительная классификация и формирование требований к подсистеме обеспечения информационной безопасности
В основу формирования требований информационной безопасности должна быть положена риск-ориентированная модель, а также рассмотрение всех аспектов технологического процесса обработки различных категорий информации.
Для определения набора методов и способов защиты информации необходимо будет провести классификацию системы «Электронный бюджет». Классификация должна быть проведена с учетом нижеизложенных положений.
Согласно утвержденным требованиям к защите информации, содержащейся в информационных системах общего пользования (Приказ ФСБ РФ и ФСТЭК РФ от 31 августа 2010г. «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования») система «Электронный бюджет» предварительно может быть отнесена ко II классу, т.к. нарушение целостности и доступности информации, содержащейся в ней, не приведет к возникновению угроз безопасности Российской Федерации.
В системе «Электронный бюджет» помимо обеспечения конфиденциальности персональных данных, необходимо обеспечить их целостность и доступность. Класс системы «Электронный бюджет» должен быть определен на основе модели угроз безопасности персональных данных в соответствии с методическими документами ФСТЭК и ФСБ (в части касающейся). Должна быть рассмотрена возможность обезличивания ПДн в системе «Электронный бюджет» (или возможность сделать часть данных общедоступными) с приведением ее в целом или отдельных подсистем к 4-му классу.
Так как система «Электронный бюджет» является государственной информационной системой общего пользования, то к ее подсистеме обеспечения информационной безопасности должны применяться следующие требования:
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
размещение технических средств, позволяющих осуществлять обработку информации, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку информации;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок, использование средств антивирусной защиты;
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности информации;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность.
В связи с тем, что администрирование серверных площадок будет осуществляться в удаленном режиме, должен быть реализован контроль удаленного доступа обслуживающего персонала к информационным ресурсам, программным средствам управления системой «Электронный бюджет», программным средствам обработки (передачи) и защиты информации.
Должно быть реализовано централизованное управление ПОИБ.
Детальные требования к подсистеме обеспечения информационной безопасности в целом и к отдельным ее компонентам должны быть выработаны в ходе проектирования путем моделирования угроз безопасности и определения мер по их преодолению.
Модель угроз и модель нарушителя должны учитывать:
в целом наличие угроз несанкционированного доступа, целостности и доступности данных;
внешние угрозы, обусловленные использованием каналов связи общего пользования (каналов международного информационного обмена) для передачи информации;
внешние угрозы, обусловленные наличием электронного взаимодействия с ИС других ведомств и организаций, чья информационная инфраструктура либо не аттестовалась, либо аттестована по требованиям безопасности информации по классу ниже, чем система «Электронный бюджет»;
внутренние угрозы, обусловленные случайными и/или целенаправленными действиями пользователей, направленными на ИТ-инфраструктуру и систему «Электронный бюджет»;
внутренние угрозы, обусловленные случайными и/или целенаправленными действиями пользователей, направленных на обрабатываемые данные;
дополнительные угрозы, обусловленные спецификой использования среды виртуализации.
- 1.Введение
- 2.Список терминов и сокращений
- 3.Цели, задачи и принципы создания системы «Электронный бюджет»
- 4.Подходы к формированию общей архитектуры
- 5.Схема функциональной структуры
- 5.1.Подсистема ведения реестров Назначение
- Автоматизированные функции
- 5.2.Подсистема бюджетного планирования Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.2.1.1.Определение объемов бюджетных ассигнований
- 5.2.1.2.Формирование планового реестра расходных обязательств, обоснований бюджетных ассигнований, сводных показателей государственных (муниципальных) заданий
- 5.2.1.3.Обеспечение сбалансированности бюджета
- 5.2.1.4.Составление бюджета
- 5.2.1.5.Ведение сводной бюджетной росписи, бюджетных росписей
- 5.2.1.6.Управление проектами
- Интеграция и информационное взаимодействие
- 5.3.Подсистема управления доходами Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.3.1.1.Прогнозирование доходов
- 5.3.1.2.Ведение договоров
- 5.3.1.3.Администрирование доходов
- 5.3.1.4.Распределение поступлений
- Интеграция и информационное взаимодействие
- 5.4.Подсистема управления расходами Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.4.1.1.Ведение реестра расходных обязательств
- 5.4.1.2.Распределение бюджетных ассигнований и лимитов бюджетных обязательств
- 5.4.1.3.Формирование и ведение планов финансово-хозяйственной деятельности и бюджетных смет
- 5.4.1.4.Формирование и ведение перечня публичных нормативных обязательств, субсидий, соглашений
- 5.4.1.5.Формирование действующих расходных обязательств
- 5.4.1.6.Учет денежных обязательств
- Интеграция и информационное взаимодействие
- 5.5.Подсистема управления закупками Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.5.1.1.Планирование закупок
- 5.5.1.2.Формирование закупочной документации
- 5.5.1.3.Ведение реестра контрактов
- 5.5.1.4.Исполнение контракта
- 5.5.1.5.Учет расчетов с поставщиками и подрядчиками
- Интеграция и информационное взаимодействие
- 5.6.Подсистема управления долгом и финансовыми активами Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.6.1.1.Формирование программы заимствований
- 5.6.1.2.Учет операций по заимствованиям, в том числе учет кредитных договоров и выпуска ценных бумаг
- 5.6.1.3.Учет операций по погашению долговых обязательств, в том числе в части обслуживания долга
- 5.6.1.4.Формирование программы размещения средств бюджета
- 5.6.1.5.Учет операций по размещению средств бюджета (кредиты, ссуды, размещение на банковских депозитах)
- 5.6.1.6.Учет операций со средствами Резервного фонда и Фонда национального благосостояния
- 5.6.1.7.Осуществление операций по размещению средств бюджета
- 5.6.1.8.Взыскание задолженности по размещенным средствам бюджета
- Интеграция и информационное взаимодействие
- 5.7.Подсистема управления нефинансовыми активами Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.7.1.1.Поступление нефинансовых активов
- 5.7.1.2.Регистрация операций по движению основных средств и нематериальных активов
- 5.7.1.3.Регистрация операций по движению материальных запасов
- 5.7.1.4.Управление и обслуживание основных средств и нематериальных активов
- 5.7.1.5.Управление материальными запасами
- Интеграция и информационное взаимодействие
- 5.8.Подсистема управления кадровыми ресурсами Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.8.1.1.Планирование штатного расписания
- 5.8.1.2.Учет кадров
- 5.8.1.3.Учет рабочего времени
- 5.8.1.4.Расчет затрат на персонал
- 5.8.1.5.Учет расчетов с персоналом
- Интеграция и информационное взаимодействие
- 5.9.Подсистема управления денежными средствами Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.9.1.1.Ведение кассового плана
- 5.9.1.2.Управление ликвидностью
- 5.9.1.3.Предоставление краткосрочных бюджетных кредитов
- 5.9.1.4.Осуществление платежей
- 5.9.1.5.Обработка банковской выписки
- Интеграция и информационное взаимодействие
- 5.10.Подсистема учета и отчетности Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.10.1.1.Ведение журнала операций и Главной книги
- 5.10.1.2.Закрытие финансового года
- 5.10.1.3.Формирование отчетности
- Интеграция и информационное взаимодействие
- 5.11.Подсистема финансового контроля Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.11.1.1.Планирование и ведение мероприятий по внутреннему контролю
- 5.11.1.2.Планирование и ведение мероприятий по внешнему контролю
- 5.11.1.3.Регистрация информации о проверках, ревизиях, выявленных нарушениях предписаний
- 5.11.1.4.Регистрация предписаний
- 5.11.1.5.Мониторинг результатов устранения выявленных нарушений
- Интеграция и информационное взаимодействие
- 5.12.Подсистема информационно-аналитического обеспечения Назначение
- Автоматизированные функции
- Совокупность действий, выполняемых при реализации автоматизированных функций
- 5.12.1.1.Накопление, сопоставление и анализ информации
- 5.12.1.2.Прогнозирование и моделирование
- 5.12.1.3.Мониторинг и оценка результативности и эффективности деятельности публично-правовых образований
- Интеграция и информационное взаимодействие
- 6.Схема автоматизации
- 6.1.Основные решения программной архитектуры
- Основные решения логических уровней представления информации и клиентского приложения
- Основные решения логического уровня интеграции и управления бизнес-процессами
- 6.1.1.1.Система электронных формуляров
- 6.1.1.2.Процессный подход организации работы пользователей и взаимодействия подсистем
- 6.1.1.3.Обеспечение специфики финансово-хозяйственной деятельности публично-правовых образований и отдельных организаций сектора государственного управления
- 6.1.1.4.Интеграция функциональных подсистем
- 6.1.1.5.Взаимодействие с внешними информационными системами
- Основные решения логического уровня бизнес-логики функциональных подсистем
- Основные решения логического уровня хранения данных функциональных подсистем
- 6.2.Основные решения по созданию ит- инфраструктуры Основные элементы ит-инфраструктуры
- Основные требования к ит-инфраструктуре
- Основные решения по проектированию ит-инфраструктуры
- Сервисная инфраструктура системы «Электронный бюджет»
- 6.3.Решения по обеспечению требуемого уровня эксплуатационных характеристик
- 6.4.Обеспечение информационной безопасности
- Предварительная классификация и формирование требований к подсистеме обеспечения информационной безопасности
- Архитектура подсистемы обеспечения информационной безопасности
- 6.4.1.1.Защита информации в цод
- 6.4.1.2.Защита информации при подключении внешних информационных систем и рабочих мест конечных пользователей к системе «Электронный бюджет»
- 6.4.1.3.Защита информации в интеграционных компонентах
- 6.5.Обеспечение юридической значимости электронного документооборота
- 6.6.Обеспечение управления эксплуатацией
- 2. Средства мониторинга и управления, обеспечивающие:
- 7.Заключение