План проведения и тематика учебно-методических семинаров по вопросам региональной информатизации на 2010 год 8 материалы межрегионального семинара 10 icon

План проведения и тематика учебно-методических семинаров по вопросам региональной информатизации на 2010 год 8 материалы межрегионального семинара 10


Смотрите также:
План проведения и тематика учебно-методических семинаров по вопросам региональной информатизации...
План проведения и тематика учебно-методических семинаров по вопросам региональной информатизации...
План проведения и тематика учебно-методических семинаров по вопросам региональной информатизации...
План проведения и тематика учебно-методических семинаров по вопросам региональной информатизации...
План проведения и тематика учебно-методических семинаров по вопросам региональной информатизации...
План проведения и тематика учебно-методических семинаров по вопросам региональной информатизации...
Концепция региональной информатизации до 2010 года Положение о Совете региональной...
План по организации методических семинаров на базе ресурсных центров с использованием...
Семинара
Семинара
Семинара
План подготовки учебно-методических указаний литературы на 2008 год план мф по подготовке...



Загрузка...
скачать


Межведомственная рабочая группа по вопросам сокращения различий между субъектами Российской Федерации по уровню информационного развития Совета при Президенте Российской Федерации

по развитию информационного общества


МЕЖРЕГИОНАЛЬНЫЙ СЕМИНАР


«Обеспечение информационной безопасности информационных систем органов исполнительной власти субъектов Российской Федерации»


Серия материалов межрегиональных учебно-методических семинаров по вопросам региональной информатизации за 2010 год


ВЫПУСК 3


Москва, 2010

ОГЛАВЛЕНИЕ


ВВЕДЕНИЕ 6

^ ПЛАН ПРОВЕДЕНИЯ И ТЕМАТИКА УЧЕБНО-МЕТОДИЧЕСКИХ СЕМИНАРОВ ПО ВОПРОСАМ РЕГИОНАЛЬНОЙ ИНФОРМАТИЗАЦИИ НА 2010 ГОД 8

МАТЕРИАЛЫ МЕЖРЕГИОНАЛЬНОГО СЕМИНАРА 10

^ «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ СУБЪЕКТОВ РФ» 10

ТЕМАТИКА ДОКЛАДОВ И ВЫСТУПЛЕНИЙ УЧАСТНИКОВ МЕЖРЕГИОНАЛЬНОГО СЕМИНАРА «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ СУБЪЕКТОВ РФ». 18

1. Организация работы в органах исполнительной власти города Москвы по защите информационных систем, обрабатывающих персональные данные 18

2. Идентификация пользователей и сервисов в сети Интернет 22

3. Технология создания информационных ресурсов ограниченного доступа: подходы к защите персональных данных 27

4. О работах по созданию инфраструктуры электронного правительства 32

5. Практические вопросы защиты персональных данных в информационных системах органов исполнительной власти города Москвы. Опыт Kraftway 39

6. Технологические решения Microsoft для защиты персональных данных 43

7. Технология защиты в гетерогенных сетях «Diamond ACS» 51

8. Вопросы подготовки специалистов органов исполнительной власти субъектов РФ в области защиты информационных систем 55



ВВЕДЕНИЕ



Органами государственной власти субъектов Российской Федерации в целом и города Москвы в частности накоплен значительный опыт решения задач региональной информатизации, созданы и используются эффективные программно-технические решения. Этот опыт необходимо изучать и передавать другим регионам.

С целью изучения лучших практик, их внедрения и обмена передовым опытом в области региональной информатизации принято решение о проведении межрегиональных семинаров, посвященных вопросам региональной информатизации.

Эту работу было решено осуществить в рамках деятельности Межведомственной рабочей группы по вопросам сокращения различий между субъектами Российской Федерации по уровню информационного развития Совета при Президенте Российской Федерации по развитию информационного общества. Организаторами семинаров выступили Международная Ассамблея столиц и крупных городов (МАГ) и Управление информатизации Правительства города Москвы.

На 2010 год было запланировано проведение цикла семинаров по проблемным вопросам информатизации.


Перед вами третий выпуск из серии материалов межрегиональных учебно-методических семинаров по вопросам региональной информатизации за 2010 год.


^

ПЛАН ПРОВЕДЕНИЯ И ТЕМАТИКА УЧЕБНО-МЕТОДИЧЕСКИХ СЕМИНАРОВ ПО ВОПРОСАМ РЕГИОНАЛЬНОЙ ИНФОРМАТИЗАЦИИ НА 2010 ГОД






Дата и место проведения

Тема мероприятия

1.

Москва 17.03.2010

Перевод государственных услуг в электронный вид. Задачи регионов. Автоматизация систем документооборота в региональных органах власти.


2.

Москва

16.04.10

Электронный регион: Организация работ по подготовке и реализации планов мероприятий по развитию информационного общества и формированию электронного правительства


3.

Москва 21.04.2010

Обеспечение информационной безопасности информационных систем органов исполнительной власти субъектов Российской Федерации.


4.

Судак

23.05.2010

Автоматизированные информационные системы с открытым программным кодом в работе органов исполнительной власти.


5.

Москва

23.06.2010

Обеспечение межведомственного информационного взаимодействия при выполнении государственных функций и предоставлении услуг населению.


6.

Москва 18.08.2010

Использование продуктов коммерческих компаний для обеспечения региональной информатизации.


7.

Москва 15.09.2010

Организация процессов разработки, эксплуатации и утилизации программно-аппаратных средств органов исполнительной власти субъектов Российской Федерации.


8.

Москва 20.10.2010

Электронный город будущего. Тиражирование программно-технических решений.




^

МАТЕРИАЛЫ МЕЖРЕГИОНАЛЬНОГО СЕМИНАРА

«ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ СУБЪЕКТОВ РФ»

Безопасность информации должна стоять на первом месте. Это необходимо всем: президенту страны, губернаторам, депутатам, банковским и финансовым структурам, службам безопасности, милиции, армии и каждому человеку в его жизни и деятельности. Поэтому специалисты по защите информации – на вес золота. В их задачи входит реализация мер по противодействию этим угрозам и их надежной нейтрализации.

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.

На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.

Распространение успешного опыта обеспечения информационной безопасности информационных систем органов исполнительной власти лидирующих субъектов Российской Федерации в масштабах всей страны видится сегодня одной из наиболее приоритетных задач, включающей большой объем подготовительных работ. Необходимо выбрать оптимальные из существующих решений, которые могли бы быть рекомендованы как типовые. Необходимо обеспечить адекватную нормативную поддержку, которая стимулировала бы процесс распространения типовых решений между различными органами государственной власти и субъектами РФ. Необходимо, в том числе, повысить общий уровень осведомленности представителей регионов о наиболее актуальных и перспективных технологиях, применение которых может обеспечить переход на качественно новый уровень работы органов государственной власти.

В работе семинара приняли участие 35 специалистов. Среди них представители администраций и компаний разработчиков регионов РФ: Алтайский край, Чеченская Республика, Республика Татарстан, Московская область, Тульская область, Республика Дагестан, Рязанская область, Воронежская область, Тюменская область, Республика Башкортостан, Удмуртская Республика, Москва, Санкт-Петербург и др.

Активное участие в работе семинара, обсуждении вопросов приняли представители ИТ-компаний: Ростелеком, Майкрософт Россия, Энвижн Груп, ЦентрТелеком Сервис, Армада-Софт, Системы и Проекты, ООО "КИР", ЗАО «Крафтвэй корпорэйшн ПЛС» и др.

Рассмотрение вышеперчисленных вопросов вызвало живой интерес среди организаций-разработчиков программных решений для органов исполнительной власти.

Цель проводимого семинара - рассмотрение различных подходов к использованию продуктов коммерческих компаний для обеспечения региональной информатизации.

С докладами выступили Р.Н.Василенко (Управление информатизации города Москвы), Габриель Владимир (Майкрософт Россия), П.В.Плотников (Корпорация «Электронный Архив»), А.В.Платицын (ОАО «Ростелеком»), Е.Ю.Лунин (ЗАО «Крафтвэй корпорэйшн ПЛС»), В.Мамыкин (Майкрософт Россия), А.Н.Атаманов (ООО «ТСС»), Д.И.Зарипова (НОУ «Академия Информационных Систем»). Краткое содержание и презентации их докладов представлены в сборнике.

При составлении данного сборника использованы материалы, предоставленные участниками семинара и опубликованные на сайте region-it.ru.


^ Дата проведения семинара

21 апреля 2010 г.

Место проведения семинара

г. Москва (технологический центр корпорации «Microsoft»)


Список докладчиков и темы:

Р.Н.Василенко

Управление информатизации города Москвы

«Организация работы в органах исполнительной власти города Москвы по защите информационных систем, обрабатывающих персональные данные»



^ Владимир Габриель,

Майкрософт Россия

«Идентификация пользователей и сервисов в сети Интернет»

П.В.Плотников

Корпорация «Электронный Архив»

«Технология создания информационных ресурсов ограниченного доступа: подходы к защите персональных данных»


А.В.Платицын

ОАО «Ростелеком»

«О работах по созданию инфраструктуры электронного правительства»


Е.Ю.Лунин

ЗАО «Крафтвэй корпорэйшн ПЛС»

«Практические вопросы защиты персональных данных в информационных системах органов исполнительной власти города Москвы. Опыт Kraftway»

В.М.Сентин

^ ОАО «БИТК»

«Нормативно-правовые аспекты защиты конфиденциальной информации и персональных данных»

В.Мамыкин

Майкрософт Россия

«Технологические решения Microsoft для защиты персональных данных»

А.Н.Атаманов

^ ООО «ТСС»

«Технология защиты в гетерогенных сетях «Diamond ACS»

Д.И.Зарипова

НОУ «Академия Информационных Систем»

«Вопросы подготовки специалистов органов исполнительной власти субъектов РФ в области защиты информационных систем»


^ Список участников семинара



Ф.И.О.

Регион

Должность



Атаманов А.Н.

Москва

^ ООО «ТСС»



Бузин Тимофей Владимирович

Москва

Департамент семейной и молодежной политики города Москвы главный специалист



^ Василенко Роман Николаевич

Москва

Управление информатизации города Москвы, советник



^ Габриель Владимир

Москва

Майкрософт Россия



Григорян Артур Георгиевич

Москва

BCC



Данилов Алексей Олегович

Администрация города Рязани

главный специалист, отдел АСОИУ



^ Дрожжинов Владимир Иванович

Алтайский край

ВНИИПВТИ, консультант



Духонина Ольга Валентиновна

Москва

ЛАНИТ



Жуковский Сергей Иванович

Москва

Управление информатизации города Москвы, начальник отдела



^ Зарипова Дэлия Ильдусовна

Москва

Руководитель проектов
НОУ «Академия Информационных Систем»



^ Калинин Виталий Ярополкович

Администрация г. Курска

начальник управления информатизации и печати



^ Карпов Евгений Андреевич

Администрация города Тулы

главный специалист отдела информационных технологий



^ Кирюхин А.А.

Москва

руководитель отдела Минкомсвязи России



Костюкова А.Н.

Москва






Лунин Е.Ю.

Москва

ЗАО «Крафтвэй корпорэйшн ПЛС»



Малкин Дмитрий Викторович

Москва

ОАО «Ростелеком»



Мальцев Алексей Владимирович

Удмуртская Республика

Город Ижевск

Ведущий специалист-эксперт сектора безопасности информации



^ Мамыкин Владимир

Москва

директор по информационной безопасности Майкрософт Россия



^ Маркина Л.Н.





заместитель руководителя - начальник отдела приоритетных проектов управления информатизации и связи



^ Матурин Рустам Фуатович

Республика Татарстан (Татарстан)

Казань

ООО "КИР" Корпоративные информационные рутины. Ведущий специалист службы главного инженера



^ Некрасов Р.В.

Администрация городского округа город Воронеж

Главный специалист отдела информатизации



^ Олейников Сергей Иванович

Администрация г. Курска

начальник отдела автоматизации систем управления



^ Пивовар Вячеслав Борисович

Москва

Управление информатизации города Москвы, заведующий сектором по работе с регионами



^ Платицын Андрей Васильевич

Москва

ОАО «Ростелеком», начальник отдела информационной безопасности систем проекта Офиса управления проектом «Электронное правительство»



^ Плотников Павел Викторович

Москва

Директор по развитию Корпорации ЭЛАР



Рудзевич Мария Владимировна

город Тюмень

Управление информатизации Тюменской области, начальник



^ Селимханов Магомед Саламович

Чеченская Республика

город Грозный

Администрация Президента и Правительства ЧР: Заместитель Председателя Правительства ЧР - Руководитель Администрации Президента и Правительства ЧР



Сентин В.М.

Москва

^ ОАО «БИТК»





Сусин Александр Андреевич

Администрация города Иванова

управляющий делами Главы города



^ Уланов Олег Николаевич

город Омск

заместитель директора, начальник отдела телекоммуникаций муниципального учреждения города Омска «Управление информационно-коммуникационных технологий»



^ Уляшкина Елена Сергеевна


Москва

Информационно-аналитический центр Департамента образования города Москвы



^ Шамсивалеев Марсель Гусманович

Республика Татарстан (Татарстан)

Компания "Корпоративные информационные рутины (КИР)" Главный инженер



^ Шахвердиев А.В.

Республика Дагестан

Махачкала

Управление информационно-аналитического обеспечения Минэкономики РД, начальник Управления



Эпов П.Г.


Москва

Информационно-аналитический центр Департамента образования города Москвы



^ Юдин Сергей Анатольевич

Москва

МЧС России заместитель начальника управления


ТЕМАТИКА ДОКЛАДОВ И ВЫСТУПЛЕНИЙ УЧАСТНИКОВ МЕЖРЕГИОНАЛЬНОГО СЕМИНАРА «ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ СУБЪЕКТОВ РФ».




^

1. Организация работы в органах исполнительной власти города Москвы по защите информационных систем, обрабатывающих персональные данные


Роман Василенко (Управление информатизации города Москвы)
см. презентацию доклада (на вкладке)


^ Два пути организации защиты ПДн:

1. Организация защиты персональных данных как продолжение защиты информации ограниченного доступа (Конфиденциальной информации)

2. Организация защиты информации с «нуля»


Общность организации защиты информации ограниченного доступа и персональных данных:

  • Традиционные требования по защите конфиденциальной информации (СТР-К):

-ЧТЗ, ТЗ, модель нарушителя, модель угроз;

-Сертифицированные СЗИ;

-Аттестованные объекты информатизации;

-Организационно-распорядительная и эксплуатационная документация на АСЗИ;

-Наличие квалифицированных специалистов.

  • Дополнительные требования (мет.документы по ПДн):

-Идентификация и классификация ИСПДн;

-Частная модель угроз – оптимизация системы ЗИ;

-Доп.организационно-распорядительная документация;

-Возможна модернизация СЗИ (ИСПДн К1), а также доп.СЗИ.


^ Управлением информатизации организованы следующие мероприятия:

-разработан подробный опросный лист о системах, обрабатывающих персональные данные и методика его заполнения;

-разработан и направлен в органы исполнительной власти города Москвы «Типовой план мероприятий органов исполнительной власти города Москвы», а также формы отчетности о выполнении данного Плана;

-разработаны прототипы Частных технических заданий на создание (модернизацию) подсистем информационной безопасности для информационных систем, обрабатывающих персональные данные органов исполнительной власти города Москвы;

-создана рабочая группа по оказанию практической помощи в выполнении организационных мероприятий, в разработке методических документов, регламентирующих работу ОИВ по защите персональных данных, выработке рекомендаций по дальнейшему развитию работ для каждого органа исполнительной власти;

-разработан и доведен до органов исполнительной власти сборник действующих нормативных документов по вопросам информационной безопасности.

-на этапе разработки находятся методические рекомендации органам исполнительной власти по организации работы и реализации требований действующего законодательства в части защиты конфиденциальной информации.


^ Ключевые требования по защите ПДн:

Должны быть выполнены необходимые организационные и технические мероприятия в зависимости от класса ИСПДн;

-Средства защиты информации должны быть сертифицированы;

-Программное обеспечение должно пройти проверку на отсутствие недекларированных возможностей для ИСПДн класса К1 (К2 и К3 по решению оператора);

-ИСПДн К1, К2 (К3) должны быть аттестованы по требованиям безопасности информации.


^ Как оптимизировать бюджет:

-оптимизация состава обрабатываемых ПДн;

-обоснованная классификация ИСПДн, снижение класса систем организационными мерами;

-правильное моделирование угроз безопасности ПДн;

-оптимизация структуры ИСПДн и процессов обработки ПДн, в том числе локализация ПДн в защищённом сегменте ИСПДн, разделение ИСПДн на сегменты разных классов;

-оптимизация состава применяемых организационных и технических мер обеспечения безопасности ПДн, разработка типовых решений;

-унификация состава применяемых СЗИ.

^ Дальнейшие направления работы:

Разработка единых принципов взаимодействия и единой городской технической политике по информационной безопасности;

-Комплексный подход к защите информационных систем, обрабатывающих персональные данные, переход от защиты отдельных систем к защите периметра нескольких систем;

-Выработка типовых решений по защите ИСПДн разных классов.

^

2. Идентификация пользователей и сервисов в сети Интернет


Владимир Габриель (Microsoft Россия)




см. презентацию доклада (на вкладке)


Сервис идентификация и аутентификация обеспечивает аутентификацию участников коммуникации и аутентификацию источника данных.

Сервис целостности предотвращает преднамеренное или случайное несанкционированное изменение данных, в том числе их ввод, уничтожение или модификацию (изменение, сокращение или дополнение), в процессе передачи по сети. Для гарантирования целостности система должна обнаруживать несанкционированную модификацию информации. Цель получателя информации - убедиться в том, что данные при передаче не были изменены.

Сервис конфиденциальности обеспечивает защиту от несанкционированного получения информации: разрешает доступ к конфиденциальным данным только пользователям, имеющим соответствующие права, и предотвращает несанкционированное раскрытие информации не имеющими полномочий пользователями или процессами.

Различают следующие виды конфиденциальности:

- конфиденциальность данных при взаимодействии с установлением соединения;

- конфиденциальность данных при взаимодействии без установления соединения;

- конфиденциальность отдельных полей данных (избирательная конфиденциальность);

- конфиденциальность трафика (защита информации, которую можно получить, анализируя трафик).

К основным сервисам безопасности, помимо перечисленных выше, международный стандарт X.800 (Recommendation X.800) относит также и сервис неотказуемости. Строго говоря, сервис неотказуемости является сервисом, он предоставляет лишь электронные доказательства времени подписания или передачи данных и аутентификации источника данных, которые в случае возникновения спора между сторонами могут быть учтены или оспорены во время судебного разбирательства. При принятии решения о неправомерных действиях одной из сторон более важен человеческий фактор, нежели результат процедуры, выполняемой автоматически. Поэтому сервис неотказуемости рассматривается в главе, которая посвящена сервисам.

Идентификация и аутентификация

Идентификацией субъекта называется процесс сопоставления введенной им своей характеристики с некоторым идентификатором, хранимым системой. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий. Аутентификацией субъекта называется процедура проверки принадлежности идентификатора субъекту. Аутентификация осуществляется на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система.

Обычный способ идентификации - ввод имени пользователя при входе в систему. Для аутентификации пользователей, то есть проверки подлинности их личности, чаще всего используются пароли. При аутентификации источника данных подтверждается подлинность источника отдельной порции данных. Функция не обеспечивает защиты против повторной передачи данных.

Аутентификация обычно находит применение в двух основных контекстах: идентификации субъекта и идентификации источника данных.

Идентификация субъекта служит просто для распознавания субъекта независимо от его последующих действий. Очевидно, что одной идентификации недостаточно, поскольку субъект, как правило, не только называет себя, но и желает получить возможность выполнять некоторые действия. На практике результат идентификации субъекта позволяет ему связываться с другими субъектами или выполнять определенные виды активности. Например, в результате идентификации субъект может получить секретный ключ, которым он затем может воспользоваться для расшифрования файла, а также для установления защищенной связи с другим субъектом. Идентификационные данные субъекта, который прошел аутентификацию, также могут быть связаны с некоторыми полномочиями доступа, на основании которых принимаются решения по контролю доступа.

Все приведенные замечания были сделаны вовсе не для того, чтобы преуменьшить важность идентификации субъекта. Защищенная система не может существовать без строгого механизма аутентификации. Аутентификация - это критически важный и необходимый шаг к работе защищенной системы, но это только первый шаг. Аутентификация сама по себе не является конечной целью.


^

3. Технология создания информационных ресурсов ограниченного доступа: подходы к защите персональных данных


Павел Плотников (Корпорация «Электронный Архив»)


см. презентацию доклада (на вкладке)


ЭЛАР сегодня - это российский и мировой лидер в создании электронных архивов, внедрении передовых информационных систем.

ЭЛАР - единственное в России и крупнейшее в Европе специализированное предприятие по созданию, комплексному оснащению и наполнению электронных архивов, внедрению передовой техники, информационных технологий и решений.

ЭЛАР обладает 18-летним опытом выполнения объемных и сложных проектов национального масштаба.

В ходе их реализации производственные подразделения Корпорации перевели в форматы электронных баз данных и архивов около ¼ млрд. бумажных и микрографических документов.


^ Требования к безопасности региональных информационных систем:

  • Безопасность автоматизированной информационной системы — состояние защищенности АИС, при котором обеспечиваются: конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов

  • Конфиденциальность информации на всех этапах:
    от ввода в систему до фазы длительного хранения

  • Невозможность несанкционированного случайного изменения или подлога – гарантия аутентичности (подлинности)

  • Гарантированная целостность информации на всех стадиях обработки

  • Регламентированная доступность информации для уполномоченных пользователей и внешних ИС

  • Обеспечение контроля над использованием информации


Требования к обеспечению безопасностипри оцифровке:

  • Лицензии ФСБ Россиина производство работ, связанныхс использованием сведений, составляющих государственную тайну

  • Использование оборудования, прошедшего специальные проверкии исследования

  • Проведение работ в аттестованных помещениях

  • Использование сертифицированного технологического ПО

  • Оформление допусков на работу с информацией ограниченного распространения для операторов


Использование технологии электронного хранилища в деятельности органов власти региона на примере службы «Одного окна» города Москвы:

  • ИР органов исполнительной власти Москвы, документы соответствующих ведомств, учреждений и организаций

  • Документы архивного фонда ГлавАрхива города Москвы:

- фонды 7 центральных архивов

- фонды 11 архивов кадровой документации

  • Документы системы научно–технической информации (ГСНТИ),

  • Документы подведомственных организаций города:

- градостроительный комплекс,

- имущественный комплекс,

- культура и др.




см. презентацию доклада (на вкладке)

^

4. О работах по созданию инфраструктуры электронного правительства



Андрей Платицын (ОАО «Ростелеком»)





Концепция e-government, в русском переводе - "электронное правительство", появилась на Западе в конце 1990-х гг. как идея широкого внедрения современных информационных, компьютерных технологий в работу государственных структур с целью повышения эффективности и прозрачности работы государственного аппарата. Эта концепция сопровождалось другой - идеей сервисно-ориентированного государства, то есть государства как организации, предоставляющей услуги своим гражданам. Для решения этих задач во всем мире стали появляться соответствующие целевые программы: e-Europe, e-Austria, Indonesia National e-Strategy и т.п.

Под электронным правительством в России понимается новая форма организации деятельности органов государственной власти, обеспечивающая за счет широкого применения информационно-коммуникационных технологий (ИКТ) качественно новый уровень оперативности и удобства получения организациями и гражданами государственных услуг и информации о результатах деятельности государственных органов.

Сейчас в России действует ФЦП «Электронная Россия» в редакции, утвержденной Постановлением Правительства РФ от 10.09.2009г. № 721. Главная цель программы – создание инфраструктуры электронного правительства, обеспечивающего доступ к информации о деятельности и услугах органов государственной власти в электронном виде, межведомственное электронное взаимодействие и единый контроль результативности деятельности ОГВ. Самое главное – электронное правительство должно быть ориентировано в первую очередь на предоставление услуг населению.


^ В основные задачи программы входит:

- проектирование инфраструктуры электронного правительства;

- создание технологической платформы инфраструктуры электронного правительства на базе единого национального оператора инфраструктуры электронного правительства;

- создание функциональных элементов инфраструктуры электронного правительства;

- развитие внутриведомственного и межведомственного информационного взаимодействия, обеспечение интеграции государственных информационных систем на базе технологической платформы инфраструктуры электронного правительства;

- создание единой государственной системы контроля результативности деятельности органов государственной власти по обеспечению социально-экономического развития Российской Федерации на базе технологической платформы инфраструктуры электронного правительства;

- организационное и методическое обеспечение формирования инфраструктуры электронного правительства

Под электронным правительством понимается новая форма организации деятельности органов государственной власти, обеспечивающая за счет широкого применения информационно-коммуникационных технологий (ИКТ) качественно новый уровень оперативности и удобства получения организациями и гражданами государственных услуг и информации о результатах деятельности государственных органов.

В рамках реализации главной цели ФЦП Электронная Россия – выбран единственный исполнитель работ в части проектирования и создания инфраструктуры, а так же в части работ по эксплуатации систем электронного правительства. Им стало ОАО «Ростелеком».

ОАО «Ростелеком» выполняет работы по созданию и эксплуатации систем «Электронного правительства» в рамках федеральных органов власти, мероприятия, относящиеся к «Электронному правительству» на региональном уровне – перешли в компетенцию самих регионов.


^ Инфраструктура Электронного правительства РФ:

Выделяются следующие базовые уровни инфраструктуры электронного правительства:

- базовая технологическая инфраструктура (базовая технологическая платформа);

- прикладная инфраструктура, включающая инфраструктуру доступа к услугам, оказываемым в электронном виде, и сервисам электронного правительства, обеспечивающую и вспомогательную инфраструктуры.


^ Базовая технологическая инфраструктура ЭП включает:

- телекоммуникационную инфраструктуру;

- систему центров обработки данных;

- система обеспечения информационной безопасности;

- система обеспечения электронного информационного взаимодействия информационных систем ЭП;

- система мониторинга использования ИС и сервисов, предоставляемых на базе инфраструктуры ЭП и расчета затрат на их эксплуатацию.


^ Прикладная инфраструктура электронного правительства включает:

- Единый портал государственных и муниципальных услуг;

- Центры общественного доступа

- Центры телефонного обслуживания

Система реализации государственных закупок и продаж в электронном виде

Информационно-платежный шлюз

ОАО «Ростелеком» отвечает за создание и эксплуатацию: базовой технологической и прикладной инфраструктур.

Что собой представляет инженерная инфраструктура Электронного правительства?


Для обеспечения реализации модели, представленной на предыдущем слайде ОАО «Ростелеком» уже располагает следующими инженерными и инфраструктурными решениями, такими как:

Каналы связи по всей стране

Территориально распределенные центры обработки данных

Магистральную защищенную транспортную сеть, построенную на технологии IP/MPLS с иерархической кольцевой топологией

Внутреннюю защищенную сеть интранет


^ В рамках построения Электронного правительства в 2010 году планируется:

  • Увеличить число центров обработки данных

  • Создать подсистему информационной безопасности Электронного правительства

  • Создать государственную защищенную сеть электронного правительства

Кроме работ по созданию инфраструктуры Электронного правительства на 2010 год планируются работы по интеграции существующих с создаваемых элементов, в часности:

Планируется построение единого пространства доверия Электронного правительства на основе технологий ЭЦП.

Создание прозрачной системы аутентификации и авторизации позволит повысить уровень удобства пользования сервисами ЭП как гражданам, так и служащим.

Система мониторинга использования ИС позволит в будущем получать статистику, на основе которой будут совершенствоваться механизмы и регламенты ЭП.

Построение системы межведомственного взаимодействия переведет электронные гос услуги на новый уровень как в плане качества, так и в плане удобства использования и скорости их предоставления.


В подсистему прикладной инфраструктуры на сегодняшний день входят следующие компоненты:

  • Единый портал госуслуг

  • Сводный реестр госуслуг

  • Центры общественного доступа

  • Система реализации государственных закупок и государственных продаж в электронном виде

Стоит отметить, что ОАО «Ростелеком» является оператором и производит только техническое и сервисное сопровождение Электронного правительства, все контентное сопровождение и информационное наполнение осуществляют Федеральные органы государственной власти и Органы местного самоуправления.


^

5. Практические вопросы защиты персональных данных в информационных системах органов исполнительной власти города Москвы. Опыт Kraftway


Е.Ю.Лунин («ЗАО «Крафтвэй корпорэйшн ПЛС»»)


см. презентацию доклада (на вкладке)


Kraftway — крупнейшая российская производственная компания в сфере информационных технологий. Успешно работая с 1993 г., Kraftway заслуженно пользуется репутацией одного из признанных технологических лидеров компьютерного рынка России. Спектр выпускаемой продукции под торговой маркой Kraftway чрезвычайно широк и включает персональные компьютеры для бизнеса и дома, рабочие станции, терминальные системы, серверы, системы хранения данных, активные контрольно-кассовые машины, мониторы, компьютерную периферию.

Компания имеет прямые соглашения с ведущими мировыми производителями компонентов и программного обеспечения, что позволяет Kraftway интегрировать в свои продукты самые последние технологические достижения.

С момента создания компания ориентировалась на работу со стратегическими заказчиками — крупнейшими государственными структурами, промышленными предприятиями, банками и местными органами власти многих субъектов Федерации.

В последнее время Kraftway начал активно расширять свое присутствие на рынке. Как следствие, был дан старт долгосрочной программе, нацеленной на активное освоение сегмента среднего и малого бизнеса.

Отдельное место в деятельности компании стало занимать направление по производству компьютеров для домашнего использования, которые предлагаются потребителям как через партнерскую сеть компании, так и через розничные сети.

Взяв стратегический курс на технологические инновации, Kraftway ежегодно подтверждает свой лидерский статус реальными достижениями.Новейшие продукты и сложные инфраструктурные решения разрабатываются и апробируются в Центре исследований и экспертизы, который объединяет уникальные исследовательские и экспертные лаборатории. Интеллектуальный потенциал компании, умноженный на большие инвестиции в исследования и разработки, позволяет Kraftway на равных конкурировать с международными грандами.

Чтобы обеспечить высочайшее качество техники под своей торговой маркой, Kraftway инвестировал 20 млн. долл. в создание новых производственных мощностей в г. Обнинск Калужской области, на которых уже сегодня компания может выпускать до миллиона единиц продукции в год.

Для выполнения своих обязательств перед клиентами Kraftway создал широкую сервисную сеть, включающую более 260 сервисных центров во всех уголках страны. Круглосуточная работа Центра поддержки пользователей, длительные сроки гарантии и доступность качественного обслуживания во всех субъектах РФ стали фирменным стилем компании.

В 2010 году на территории завода Kraftway был организован специализированный участок сертифицированного производства программно-технических средств защиты информации на базе оборудования и программного обеспечения Cisco , мирового лидера в области разработки и производства сетевого и телекоммуникационного оборудования. Все работы проводились в рамках Генерального оглашения, подписанного компаниями Cisco и Kraftway.

Созданные на заводе Kraftway условия для выпуска сертифицированной продукции полностью удовлетворяют требованиям ФСТЭК. Компания Kraftway имеет все необходимые сертификаты и лицензии от государства на организацию процесса сертификации, при этом сам производственный процесс находится под постоянным контролем ФСТЭК России. Отличительной особенностью проекта является сертификация самого процесса производства, а не отдельных партий продукции, что позволяет Kraftway организовать серийный выпуск средств защиты информации с требуемыми по закону сертификатами. При выборе партнера руководители Cisco отметили высокую культуру производства на заводе в Обнинске. Изделия, выходящие с российского завода Kraftway, имеют такой же гарантированно высокий уровень качества, какой принят на производстве Cisco в других странах.

Немаловажным преимуществом Kraftway является отсутствие аффилированности компании с каким-либо игроком российского рынка, что гарантирует всем его участникам равный доступ к использованию сертифицированного оборудования в интеграционных проектах.

Преимущества для потребителей продукции Cisco:

Существенное сокращение сроков сертификации (в некоторых случаях до 2-х недель), а, следовательно, и сроков реализации проектов с использованием оборудования Cisco.

Гарантия соответствия продукции требованиям российского законодательства в области информационной безопасности.

Проведение работ в промышленных условиях.

Отлаженность всех бизнес-процессов, удовлетворяющих как ФСТЭК, так и Cisco.

Комплектация устройств подробным руководством пользователя, включающим информацию о безопасных настройках на русском языке.

Дополнительная техническая поддержка выпускаемого оборудования силами специалистов Московского сервисного центра Kraftway.

На сегодняшний день определен перечень оборудования, на базе которого на заводе Kraftway будет развернуто производство сертифицированных средств защиты информации, включает. Этот перечень включает:

Маршрутизаторы ISR серий 1800, 2800 и 3800.

Коммутаторы серий 3700 и 6500

Межсетевой экран PIX серии 500

Устройства адаптивной защиты ASA серии 5500

В рамках работ, выполняемых на сертифицированном производстве, была создана система обновлений версий и технической поддержки сертифицированного оборудования Cisco.

На целый ряд наиболее востребованных моделей уже получены сертификаты на производство. Среди них:

Система защиты информации коммутатор Cisco 3750

Система защиты информации коммутатор Cisco 6509

Система защиты информации маршрутизатор Cisco 1841

Система защиты информации маршрутизатор Cisco 2811

Система защиты информации маршрутизатор Cisco 3825

Система защиты информации Cisco ASA 5510

Эти устройства уже доступны российским потребителям. В ближайших планах Kraftway и Cisco — расширение перечня сертифицируемого оборудования с включением в него новых перспективных моделей и целых линеек.

Опыт сотрудничества Kraftway и Cisco по развертыванию сертифицированного производства еще раз подтверждает тот факт, что лучшие российские производители способны организовать выпуск сложной сертифицированной техники на уровне мировых стандартов.


^

6. Технологические решения Microsoft для защиты персональных данных


Владимир Мамыкин («Microsoft Россия»)





см. презентацию доклада (на вкладке)


Стратегия создания защищенных информационных систем продолжает оставаться самой приоритетной стратегией для Майкрософт. Анонсированная более шести лет назад, она представляет собой взгляд на комплексное обеспечение информационной безопасности. Ключевыми моментами, определяющими успешность создания защищенных систем, являются сотрудничество с государством и выполнение национальных требований, предъявляемых для обеспечения безопасности критически важных элементов информационной структуры.

Microsoft продолжает работать над выпуском продуктов с повышенным уровнем защищенности. Высокое качество наших новых продуктов подтверждается, в частности, тем, что в соответствии с данными наиболее уважаемого в области отслеживания уязвимостей независимого сайта http://secunia.com продукты Microsoft имеют минимальное число обнаруженных уязвимостей среди продуктов своего класса.

В 2002 году Майкрософт разработала программу Government Security Program (GSP), в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт. Россия является первой страной в мире, подписавшей с Майкрософт Соглашение GSP. Это Соглашение было подписано в 2002 году между Майкрософт и ФГУП НТЦ «Атлас» и согласовано с ФАПСИ. После преобразования ФАПСИ Соглашение было переподписано с ФГУП НТЦ «Атлас» и согласовано с ФСБ. Соглашение действует и по настоящее время. Структура Соглашения позволяет иметь доступ к исходным кодам продуктов Майкрософт не только ФСБ, но и ФСТЭК, Министерству обороны, Министерству атомной промышленности, и другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

ФГУП НТЦ «Атлас» является Центром по предоставлению доступа к исходным кодам продуктов Майкрософт. В нем организованы специальные помещения, где специалисты проводят анализ исходных кодов не только для целей сертификации продуктов Майкрософт на соответствие российским требования по безопасности информации, но и для решения других государственных задач. Майкрософт активно поддерживает эти работы, постоянно расширяя список доступных для исследования исходных кодов, и предоставляя необходимую технологическую и консультационную поддержку по вопросам функционирования продуктов.

Сотрудничество Майкрософт с российскими организациями в области сертификации имеет долгую историю. Еще в 1998 году Windows NT 4.0 и SQL Server 6.5 были сертифицированы в Гостехкомиссии России.

В настоящее время Майкрософт продолжает сотрудничать в области сертификации с ФСТЭК и с ФСБ, и готово начать сертификацию с системе сертификации Министерства обороны.

^ В настоящее время во ФСТЭК (бывшая Гостехкомиссия России) сертифицированы следующие продукты Microsoft:

  • клиентская операционная система Windows XP Professional русская версия (включая ОЕМ производство)

  • клиентская операционная система Windows Vista (Business, Enterprise, Ultimate) русская версия (включая ОЕМ производство)

  • серверная операционная система Windows Server 2003 (Standard Edition и Enterprise Edition) русские версии

  • серверная операционная система Windows Server 2003 R2 (Standard Edition и Enterprise Edition) русские версии

  • система управления базами данных SQL Server 2000 (Standard Edition и Enterprise Edition) английские версии

  • система управления базами данных SQL Server 2005 (Standard Edition и Enterprise Edition) русские версии

  • платформа приложений Office 2003 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003

  • платформа приложений Office 2007 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003

  • межсетевой экран ISA Server 2006 (Standard Edition) русская версия – сертификаты получены как на соответствие Общим Критериям, так и на соответствие Руководящим документам «СВТ. Межсетевые экраны…» - по третьему классу защищенности

  • линейка антивирусных продуктов Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client)

  • сервер управления почтовыми сообщениями Exchange Server 2007

  • сервер для документооборота Office SharePoint Server 2007

  • сервер для управления бизнес-процессами BizTalk Server 2006 R2.

В соответствии с полученными сертификатами ФСТЭК указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. В настоящее время в России организовано массовое производство всех сертифицированных версий продуктов Майкрософт. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация выходящих ежемесячно новых патчей к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям законодательства.

^ В настоящее время в ФСБ сертифицированы следующие продукты Microsoft:

  • клиентская операционная система Windows XP Professional русская версия

  • серверная операционная система Windows Server 2003 Enterprise Edition русская версия

Сертификаты ФСБ удостоверяют, что указанные продукты соответствуют требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2.

В ФСБ также получено положительное заключение экспертной организации по результатам сертификационных испытаний Удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с требованиями ФСБ.

Продукты Майкрософт, сертифицированные во ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Майкрософт. Программная реализация продуктов Майкрософт позволила получить соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов. Так как в соответствии с законодательством государство проверяет каждый экземпляр сертифицированного продукта на его идентичность экземпляру, прошедшему сертификацию, с выдачей соответствующих документов, и ведет поэкземплярный учет каждой копии сертифицированного продукта, то :

Каждый экземпляр сертифицированнго продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, которая идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Дополнительно к этому каждая организация, купившая сертифицированный продукт, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления.

Продукты Майкрософт, сертифицированные в ФСБ, кроме обычного лицензионного продукта Майкрософт содержат дополнительное программное обеспечение, разработанное российскими организациями для того, чтобы данные продукты Майкрософт могли удовлетворять требованиям, предъявляемым ФСБ к программным продуктам. Дополнительные программые продукты называются «Service Pack Rus для Windows XP», «Service Pack Rus для Windows Server» и «Service Pack Rus для Удостоверяющего центра» соответственно. Эти дополнительные программные продукты содержат и крипто-сервис провайдеры компании Крипто-Про, которые позволяют зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.

Таким образом, сертифицированные в ФСБ продукты состоят из:

  • Обычного лицензионного продукта Майкрософт, и

  • Дополнительного «Service Pack Rus» для этого продукта.

Наши долгосрочные планы сотрудничества включают в себя сертификацию всех продуктов, которые необходимо сертифицировать в соответствии с российским законодательством. Это позволит нашим клиентам, при построении своих решений использовать полностью сертифицированную платформу продуктов Майкрософт.

В настоящее время к сертификации во ФСТЭК готовятся следующие продукты:

Система управления операциями в информационной системе System Center Operations Manager 2007

Система управления индентификацией в гетерогенных средах Identity Lifecycle Manager 2007 v.2

Сервер виртуализации Hyper-V

Система управления политиками безопасности Forefront Stirling

Серверная операционная система Windows Server 2008

Система управления базами данных SQL Server 2008

А также другие продукты, необходимые нашим клиентам.

В ФСБ продолжаются работы по разработке удовлетворяющей требованиям ФСБ системы защищенного документооборота, построенной с использованием таких продуктов Майкрософт, как Windows Server 2003, Windows XP, SQL Server 2005, SharePoint Server 2007, и других.


^

7. Технология защиты в гетерогенных сетях «Diamond ACS»


А.Н. Атаманов (ООО «ТСС»)





см. презентацию доклада (на вкладке)


При создании СЗКИ (систем защиты конфиденциальной информации) на объекте информатизации должны быть обеспечены легальность пользователя и легальность программного обеспечения, а так же отсутствие в нем средств разработки и отладки ПО. Этот вопрос решается путем:

  • надежного разделения контуров различной степени конфиденциальности и открытых сетей (систем);

  • применением средств контроля и разграничения доступа к СВТ, их ресурсам и сетевым ресурсам;

  • организации контролируемой зоны и исключения несанкционированного подключения к линиям связи.


При построении СЗКИ и ПД необходимо выполнение следующих требований:

  • криптографическое разделение каналов связи – построение виртуальных частных сетей;

  • применение сертифицированных ФСБ средств криптографической защиты;

  • выполнение требований по межсетевому экранированию – внедрение сертифицированного по требованиям безопасности МЭ как многокомпонентного устройства;

  • требований по анализу и обнаруже нию вторжений;

  • требования по анализу защищенности;

  • требований по контролю защищенности;

  • требований по антивирусной защите.


Возможности модуля:

  • контроль доступа при входе в СВТ;

  • поддержка различных идентификаторов с интерфейсом USB, в том числе eToken Pro, MsKey, Diamond Key USB;

  • возможность физического разделения до 3 контуров (SATA HDD);

  • собственная высокопроизводительная вычислительная подсистема на базе 32-битного процессора;

  • возможность осуществления доверенных вычислений в изолированной (функционально замкнутой) среде;

  • осуществление вычислений параллельно с основным процессором СВТ;

  • реализация модулей антивирусной защиты на отдельном устройстве.

Для защиты от несанкционированного доступа в автоматизированных системах необходимо обеспечить выполнение требований по защите от несанкционированного доступа, в том числе разграничение доступа к конфиденциальной информации и персональным данным, регистрацию и учет попыток доступа, контроль целостности.


^ Объекты доступа:

  • локальные ресурсы – файлы, базы данных, отчуждаемые носители;

  • сетевые ресурсы – сетевые файловые системы, базы данных, сервера приложений.



Субъекты доступа – локальные и сетевые пользователи, процессы.

Основные функции системы Diamond ACS:

  • Выполнение требований по защите от НСД в гетерогенных сетях – в том числе разграничение доступа к сетевым ресурсам.

  • Реализация концепции разделения контуров различных уровней конфиденциальности.

  • Возможность централизованного управления безопасностью, осуществления мониторинга и аудита ИБ.

  • Поддержка большого количества платформ.

Возможности системы:

  • реализация функциональности VPN концентратора для рабочих групп;

  • поддержка единого носителя ключевой и идентифицирующей информации с интерфейсом USB, в том числе eToken Pro, MsKey, Diamond Key USB;

  • реализация межсетевого экрана как распределенного многокомпонентного устройства;

  • поддержка единой системы управления безопасностью, мониторинга и аудита.



см. презентацию доклада (на вкладке)

^

8. Вопросы подготовки специалистов органов исполнительной власти субъектов РФ в области защиты информационных систем


Дэлия Зарипова («Академия Информационных Систем»)



Закон №152-ФЗ «О персональных данных» устанавливает деление ИС по заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, на типовые и специальные (п. 8 Порядка классификации).

При этом к типовым ИС относятся информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных, а к специальным - ИС, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Согласно ч. 1 ст. 19 федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Т.е. закон устанавливает необходимость обеспечения для всех ИС ПДн кроме конфиденциальности и других характеристик безопасности – в том числе их защиту от модификации и др. (Например, в ИС кадрового органа любой организации требуется обеспечить защиту ПДн от модификации, хотя бы для того, чтобы правильно обеспечить выплату работникам зарплаты и социальных пособий. То же касается ИС общеобразовательных школ и ВУЗов, где необходимо обеспечить защиту данных об успеваемости обучаемых от модификации и т.д. и т.п.)

Отсюда следует, что согласно этого Порядка классификации все ИС, в которых осуществляется обработка персональных данных, должны быть отнесены к специальным ИС, а типовых ИС согласно Закону быть не может.

Алгоритм определения класса ИС ПДн установлен только для типовых ИС (п. 14 и 15 Порядка), а для специальных ИС класс должен устанавливаться на основании модели угроз (п. 16 Порядка классификации). Однако ни в этом документе, ни в других документах ФСТЭК России, определяющих требования по защите ПДн («Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и др.), никакого алгоритма (критериев) отнесения специальных систем к тому или иному классу не приводится.

Вывод: типовых ИС ПДн быть не может, а критерии и порядок классификации специальных ИС ПДн не установлены. Таким образом, механизм классификации в настоящее время реализовать на практике невозможно.






Скачать 442,84 Kb.
оставить комментарий
Дата04.03.2012
Размер442,84 Kb.
ТипДокументы, Образовательные материалы
Добавить документ в свой блог или на сайт

Ваша оценка этого документа будет первой.
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

Рейтинг@Mail.ru
наверх