Общи изисквания за разработване на специализирани ГИС. Държавни информационни системи (ГИС): практически въпроси на информационната сигурност Изисквания за ГИС

• 1. Концепцията за информационните технологии и информационните системи. Съвременни концепции, идеи и проблеми на развитието на информационните технологии. Ролята и задачите на информационните технологии в развитието на обществото.
• 2. Понятия за информация, съобщение, сигнал, кодиране и модулация. Обобщена система за предаване на информация и предназначението на нейните основни елементи.
• 3. Преобразуване на непрекъснати сигнали в дискретни, предаването им под формата на цифрови сигнали.
• 4. Ред на Фурие за периодична последователност от импулси и неговата мощност. Амплитудно-честотни (AFC) и фазово-честотни (PF) характеристики на периодична последователност от импулси.
• 5. (Спектрална плътност s(w)) за непериодичен сигнал. Директно и обратно преобразуване на Фурие.
• 6. Времева дискретизация на сигнали. Теорема на Котелников.
• 8. Абсолютен метод за определяне на координати в сателитните технологии. Псевдоаранжево нарязване. Точност на абсолютния метод. Геометрични фактори доп.
• 33. Модел на взаимодействие на отворени системи (Open System Interconnection, osi). Стекове от стандартни комуникационни протоколи. Внедряване на работа в мрежа чрез TCP/IP.
• 34. Комуникационни устройства на информационната мрежа. Среда за предаване на данни. Стандартни технологии за изграждане на локални и глобални мрежи.
• 35. Методи за комутация в информационни мрежи (комутация на канали, комутация на пакети, комутация на съобщения).
• 36. Мрежов слой, неговото предназначение, функции и протоколи. Принципи на маршрутизация в композитни мрежи.
• 37. Корпоративна информационна система (КИС). Изисквания към корпоративния ИС. Проблеми с внедряването. Примери за кисело
• 38. Осигуряване на информационна сигурност в съвременните корпоративни мрежи. Методи за защита срещу неоторизиран достъп. Технологии: Интранет, Екстранет и VPN.
• 13. Защитете приложенията и базите данни. Структура „потребител (група) – вдясно“. Ролеви модел за организиране на правата за достъп. Организация на достъпа до клиент-сървърната подбаза данни.
• 14. Секретни комуникационни системи. Обща структура, принцип на действие. Сила на алгоритъма за криптиране. Теорията на Шанън.
• 15. Криптографски методи за защита на информацията, тяхната класификация. Изисквания за криптографско затваряне на информация. Стандарт за криптиране (общо описание на алгоритъма des).
• 16. Концепцията за криптосистеми с публичен ключ. Електронен цифров подпис. Блокова схема на изграждане на цифров подпис.
• 17. Разрушителен софтуер: компютърен вирус (класификация, признаци на инфекция, методи за откриване и неутрализиране на вируса).
• 18. Методи за защита на IP от неоторизиран достъп на логическо, физическо и юридическо ниво. Руското законодателство в областта на защитата на информацията.
• 19. Защита на информацията в Интернет. Предназначение на екраниращите системи. Изисквания за изграждане на екраниращи системи. Организация на политиката за сигурност в интернет мрежите.
• 23. Интерфейси Потребителският интерфейс е.
• 24. Надеждност на ИС. Фактори, влияещи върху надеждността на ИС. Методи за повишаване на надеждността на информационните системи.
• 25. Структурен подход при проектиране на информационни системи.
• 26. Жизнен цикъл на софтуера (жизнен цикъл), модели на жизнения цикъл.
• 27. Кейс технологиите като нови средства за проектиране на ИС. Кутия от платина, нейният състав и предназначение. Критерии за оценка и избор на инструменти за казуси.
• 28. Стандартът idef, неговите основни компоненти.
• 29. Принципи на системния структурен анализ, неговите основни аспекти.
• 30. Инструментална среда bpWin, нейното предназначение, състав на моделите, възможности на пакета. Съставяне на отчети (документи) на проектирания модел в среда bpWin.
• 31. Инструментална среда erWin, нейното предназначение и състав на задачите за решаване.
• 32. Унифициран език за моделиране UML, неговото предназначение, съставът на проблемите, решени с негова помощ.
• 39. Бази данни (БД). Основни етапи на разработване на база данни. Методи за създаване на структура на база данни. Типове данни. Структурирани данни.
• 40. Модели на данни, използвани в бази данни. Връзки в моделите. Архитектура на база данни. Релационни, йерархични и мрежови модели на данни. Типове и формати на данни.
• 41. Системи за управление на бази данни (СУБД). Предназначение, видове и основна функционалност на подс. Преглед на съществуващи подп. Състав на подбази данни, тяхната производителност.
• 43. Стандартен sql език за заявки. Sql заявки за получаване на информация от базата данни. Основни принципи, команди и функции за изграждане на sql заявки.
• 44. Модифициране на данни с помощта на sql език за заявки. Създаване и промяна на структурата на таблицата. Добавяне и редактиране на данни. Търсене и сортиране на данни въз основа на sql.
• 45. Нормализация на данните. Първа, втора, трета нормални форми. Процедурата за редуциране на данни до нормална форма.
• 46. ​​Дайте концепциите за първичен ключ (pk), външен ключ (fk), алтернативен ключ, обратен вход. Видове и организация на връзките между таблиците.
• 49. Системи с изкуствен интелект (AI). Класификация на основните области на изследване в областта на ИИ.
• 1.2.3. Разработване на интерфейси на естествен език и машинен превод (обработка на естествен език)
• 1.2.4. Интелигентни роботи (роботика)
• 1.2.5. Обучение и самообучение (машинно обучение)
• 1.2.6. Разпознаване на шаблон
• 1.2.7. Нови компютърни архитектури (нови хардуерни платформи и архитектури)
• 1.2.8. Игри и машинно творчество
• 50.Експертни системи (ЕС), съставяне на ЕС. Класификация на es, техният структурен състав. Es инструменти за разработка.
• 51. Модели на представяне на знания (производство, рамка, мрежов модел).
• 52. Класификация на системи, базирани на знания.
• 2.2.1. Класификация според проблема, който се решава
• 64. Цифрови модели на терена (DTM), цифрови модели на ситуация и релеф, цифрови карти и планови модели. Слоеве cm. Предназначение и използване на цифрови и електронни карти и планове.
• 65. Растерни и векторни форми на представяне на данни. Формати на тези данни. Регистрация на растерни изображения в картографски системи.
• 67. Съвременни технологии за създаване на цифрови и електронни карти и планове. Класификация на типовете обекти при дигитализация (векторизация) на карти. Класификатори на топографска информация.
• 68.Програми – векторизатори, техните характеристики, принципи на работа и възможности. Методи за векторизация и точност. Анализ на качеството на векторизацията. Контрол на топологичната структура на цифрова карта.
• 53.Същност и основни понятия на геоинформатиката. Области на приложение на геоинформатиката.
• 55.Топологична концепция на ГИС. Георелационен модел на връзка между обекти и техните атрибути.
• 57. Инструменти за създаване на ГИС (MapEdit, MapInfo, GeoMedia и др.). Основни функции, характеристики и възможности на gis shell. Инструменти за разширяване на ГИС обвивки и създаване на приложения.
• 58. Федерални, регионални и общински ГИС. Изисквания към ГИС софтуерно и информационно осигуряване.
• 60. Пространствен (географски) анализ. Буферни зони, наслагвания. Създаване на тематични карти на базата на ГИС технологии.
• 61.Метод на повърхностите за създаване на тематични карти. Интерполация, базирана на неправилна мрежа от триъгълници tin и среднопретеглена idw.
• 53.Същност и основни понятия на геоинформатиката. Области на приложение на геоинформатиката.
• 63.Геоинформационно моделиране. Основи на мрежовия анализ.
• 64. Системи за автоматизирано проектиране (cad – MicroStation, AutoCad и др.). Основни концепции за двуизмерен (2d) и триизмерен (3d) дизайн. Комуникация на ГИС с CAD системи.
• 21. Повишаване на надеждността на системите чрез резервиране. Видове и начини на резервация.
• 62.3D карти. Методи за създаване и използване на триизмерни карти.
• 9. Диференциален метод за определяне на координати. Видове канали за предаване на диференциални корекции. Методи за диференциална корекция. Система за диференциална корекция WAAS. dgps точност.

58. Федерални, регионални и общински ГИС. Изисквания към ГИС софтуерно и информационно осигуряване.

FGIS, MGIS, RGIS - са предназначени за решаване на операции. и изчислителни задачи, свързани с обработката на пространствени ГИС данни при управление, планиране на инвентаризация, мониторинг, анализ и прогнозиране. Пространствените данни, използвани в ГИС, трябва да обхващат:

1 за FSIS - всички територии на Руската федерация, включително крайбрежните води и граничните райони.

2 за RGIS - територии на големи природни и екологични региони на съставните образувания на Руската федерация, федерални. области, включително райони на зони за защита на околната среда, райони на кризисни ситуации.

3 за MGIS – територии на градове, урбанизирани територии, крайградски територии

Изисквания за софтуер и AI за ГИС

За генериране на DB,F,R, MGIS, GIS: 1) основен цифров модел на терена (за FGIS - ctk m - 1: 1000000; за RGIS ctk мащаб 1:50000 - 1:200000 и CG мащаб 1:500 - 1 :1000 за MGIS ctg скала 1:500 – 1:10000). 2) цифрова тематична специфика на картата. 3) въздушни и сателитни снимки в цифров формат. 4) тематични данни. 5) атрибутивни данни. 6) метаданни. 7) нормативна информация. Техническите спецификации за конкретна ГИС установяват изисквания към информационната система по отношение на: 1. състава, структурата, методите за организиране на тези системи. 2. до качеството на данните (пълнота, надеждност, уместност). 3. наличие на сертификат за съответствие.4. съвместимост на съществени и създадени компоненти. 5. използване на СУБД. 6. организиране на обмен на информация с други бази данни. 7. процеси за събиране, обработка и предаване на информация 8. контрол, съхранение и актуализиране на възстановяване за. 9. Осигурява управление на документацията

10. Процедурата за легализиране на ГИС софтуера трябва да включва следното: - операционна система. - текстови и графични редактори. – съставяне на специален софтуер. – софтуерна библиотека, набор от приложни програми.

Софтуерът поддържа основни ГИС системи.

Събиране, въвеждане на данни; - съхранение.

59. Основните етапи на създаване на ГИС проекти. Източници на данни за генериране на графична и атрибутивна (неграфична) информация.

Основни етапи:

1. Разработване и одобрение на бизнес план (финансово-икономически аспекти, очаквани резултати, източници на финансиране, срокове, разходи се обсъждат тук). 2. Сключване на договора (тук е протоколът за съгласуване на цената на договора). 3. Разработването на техническа спецификация е документ, който съдържа изисквания, които b. г. истински. 4.Одобрение.

5. Технически проект (намиране на техническо решение)

Поставяне на задачи (входна изходна информация). -Разработване на концептуален модел (начертайте информационен модел за всяка задача). -Технически решения (алгоритъм). 5. Разработване на работна документация - Експлоатационна документация за използване на системата - Мрежова схема. -DB проекти.

Разработване на програми и методи за предварителни тестове.

7. Три етапа на тестване на системата: 1. Предварително тестване - проверка на функционалността на системата, извършена на базата на разработката. Разработчикът трябва да изведе дали системата работи или не. - дали системата може да бъде прехвърлена на следващ етап или не. 2. Пробна експлоатация. Определянето на количествените характеристики на системата продължава минимум 6 месеца. За извършване на пробна експлоатация се съставя и изпълнява специална програма въз основа на проблемна книга. пробната експлоатация се извършва по пилотен проект. Това е производствена работа, при която ще се получават производствени резултати, но те ще се извършват в рамките на ограничения: територия, по функция. В дневника виждаме ежедневни записи: какви задачи са решени, повреди, дали програмата е работила или не. На този етап се извършват корекции по пътя. В края се изписва отчет за съгласуване, за да се провери дали етапът е завършен въз основа на дневника. Извод: - Трябва ли да се счита, че пробната експлоатация е приключила? - Възможно ли е прехвърляне на системата на следващ етап. 3. Тестването за приемане се извършва от клиента, комисионната обикновено се взема отвън. Цел: спазването на ТЗ може частично да съответства на ТЗ. След тези етапи се изготвя сертификат за приемане на системата за постоянна експлоатация. Заключение: Системата като цяло отговаря на техническите изисквания. Ако съответства, тогава системата може прехвърлени в постоянна експлоатация или не. След стартиране системата влиза във фаза на работа. Тук протичат 3 основни процеса: - Извършване на административна работа за поддръжка на системата. -Въвеждане на базата данни. -Решаване на пространствени проблеми от крайния потребител. Източници на данни: топографо-геодезически данни;

координати на точки; резултати от измерване; DSM;

картографски материали ( хартиени карти, въздушни снимки, сателитни снимки);

атрибутивна информация (характеристики на обекти, кадастрални данни)

За изискванията FSTEC на Русияи FSB на Русия към GIS, ISPDn, автоматизирани системи за управление и автоматизирани системи за управление на процесите

В хода на консултациите с клиентите на Eisnet LLC, както и по време на прякото изпълнение на работата, трябва да се занимавате с първичното определяне или формиране на изисквания за бъдещата (създадена) държавна информационна система (GIS), информационна система за лични данни (PDIS) или автоматизирана система за управление на производството (APCS) и технологичните процеси (APCS).

Понякога е трудно веднага да се отговори какви изисквания трябва да бъдат въведени в определена система. За целта се предлага да се използват държавни информационни системи, информационни системи за лични данни и автоматизирани системи за управление на производствените и технологичните процеси, които ясно показват (за обсъждане) всички необходими изисквания.

За да разберем проблема, нека разгледаме какво основни нормативни документи на регулаторитев областта на информационната сигурност се отнасят за тези информационни системи.

състояние Информационни системи

• „Изисквания за защита на информацията, която не представлява държавна тайна, съдържаща се в държавните информационни системи“, Заповед на FSTEC на Русия от 11 февруари 2013 г. N 17 (Регистриран в Министерството на правосъдието на Русия на 31 май 2013 г. N 28608);
• Методически документ. Мерки за защита на информацията в държавните информационни системи”, Заповед на FSTEC на Русия от 11 февруари 2014 г.

Информационни системи за лични данни

• „Основен модел на заплахи за сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни“, Одобрен от FSTEC на Русия, 15 февруари 2008 г.;
• „Методология за идентифициране на текущи заплахи за сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни“, одобрена от FSTEC на Русия, 14 февруари 2008 г.;
• „Състав и съдържание на организационни и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни“, Заповед на FSTEC на Русия от 18 февруари 2013 г. N 21 (Регистриран в Министерството на правосъдието на Русия на 14 май 2013 г. N 28375). Забележка: Заповед № 21 отменя „Наредби за методите и средствата за защита на информацията в информационните системи за лични данни“, заповед на FSTEC на Русия от 5 февруари 2010 г. N 58 (регистриран от Министерството на правосъдието на Русия на 19 февруари 2010 г., регистрационен N 16456);
• Методически препоръки за осигуряване на сигурността на личните данни с помощта на криптографски инструменти при обработката им в информационни системи за лични данни с помощта на средства за автоматизация”, одобрени от ФСБ на Русия на 21 февруари 2008 г. No 149/54-144;
• „Стандартни изисквания за организиране и осигуряване на функционирането на криптиращи (криптографски) средства, предназначени за защита на информация, която не съдържа информация, представляваща държавна тайна, в случай на тяхното използване за гарантиране на сигурността на личните данни по време на обработката им в информационни системи за лични данни,“ Одобрен от ФСБ на Русия на 21 февруари 2008 г No 149/6/6-622;
• Съставът и съдържанието на организационните и техническите мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни, използващи криптографски инструменти за защита на информацията, необходими за изпълнение на установените от правителството Руска федерацияизисквания за защита на личните данни за всяко ниво на сигурност”, Заповед на ФСБ на Русия от 10 юни 2014 г. N 378, (регистриран в Министерството на правосъдието на Русия на 18 август 2014 г. N 33620).

Системи за управление на производството и процесите

„Изисквания за осигуряване на защита на информацията в автоматизирани системиах управление на производствени и технологични процеси в критични съоръжения, потенциално опасни съоръжения, както и съоръжения, които представляват повишена опасност за живота и здравето на хората и околната среда”, Заповед на FSTEC на Русия от 14 март 2014 г. N 31 (Регистриран в Министерството на правосъдието на Русия на 30 юни 2014 г. N 32919).

Нормативни документи, общи за IS системи, ISPDn, ACS, включително IS обща употреба- СОП

• “Специални изисквания и препоръки за техническа защита конфиденциална информация"(STR-K), Одобрен със заповед на Държавната техническа комисия на Русия от 30 август 2002 г. No 282;
• „Автоматизирани системи. Защита срещу неоторизиран достъп до информация. Класификация на автоматизираните системи и изисквания за защита на информацията”, решение на председателя на Държавната техническа комисия на Русия от 30 март 1992 г.;
• "Относно електронен подпис, използвани от органите на изпълнителната власт и органите на местното самоуправление, когато организират електронно взаимодействие помежду си, относно процедурата за неговото използване, както и относно установяването на изисквания за осигуряване на съвместимост на средствата за електронен подпис“ (заедно с „Правилата за използване на подобрени квалифицирани електронни подписи от изпълнителни органи и органи на местното самоуправление при организиране на електронно взаимодействие помежду си“, „Изисквания за осигуряване на съвместимост на средствата за електронен подпис при организиране на електронно взаимодействие между изпълнителните органи и местните власти“), Постановление на правителството на Руската федерация № 111 от 09 февруари 2012 г.;
• За видовете електронни подписи, чието използване е разрешено при кандидатстване за държав общински служби", Постановление на правителството на Руската федерация № 634 от 25 юни 2012 г.
• „Правила за разработване, производство, продажба и експлоатация на криптиращи (криптографски) средства за защита на информацията (Правила PKZ-2005)“, Заповед на ФСБ на Русия от 9 февруари 2005 г. N 66;
• „Инструкции за организиране и осигуряване на сигурността на съхранението, обработката и предаването по комуникационни канали с помощта на средства за криптографска защита на информация с ограничен достъп, която не съдържа информация, представляваща държавна тайна“, Заповед на FAPSI към президента на Руската федерация от 13 юни 2001 г. № 152;
• „Изисквания към средствата за електронен подпис и изисквания към средствата на сертифициращия център“, Заповед на ФСБ на Русия № 796 от 27 декември 2011 г.;
• За акредитацията на сертифициращи центрове,” Заповед на Министерството на далекосъобщенията и масовите комуникации на Руската федерация № 203 от 21 август 2012 г.;
• ГОСТ Р 51583-2000. "Защита на данни. Процедурата за създаване на автоматизирани системи в защитен дизайн. Общи положения»;
• ГОСТ Р 51624-2000. "Защита на данни. Автоматизирани системи в защитен дизайн. Общи изисквания";
• GOST RO 0043-003-2012. "Защита на данни. Сертифициране на обекти на информатизация. Общи положения“;
• GOST RO 0043-004-2013. "Защита на данни. Сертифициране на обекти на информатизация. Програма и методи за сертификационни изпитвания”;
• ГОСТ 51275-2006 „Защита на информацията. Информационен обект. Фактори, влияещи върху информацията. Общи разпоредби."
• РД 50-34.698-90. „Методически указания. Информационни технологии. Автоматизирани системи. Изисквания към съдържанието на документите."

Характеристики на изискванията за различни системи

Забележка: Документите на FSTEC на Русия и FSB на Русия относно системите не разглеждат въпроси за осигуряване на сигурността на защитени данни, класифицирани по предписания начин като информация, представляваща държавна тайна

Характеристики на изискванията към информационните системи за лични данни (ЗЛД)

• Изискванията се отнасят за обработката на лични данни, извършвана от федерални държавни органи, държавни органи на съставните образувания на Руската федерация и други правителствени агенции, органи на местната власт, други общински органи, юридически и физически лица, използващи средства за автоматизация, включително в информационни и телекомуникационни мрежи, или без използването на такива средства, ако обработването на лични данни без използването на такива средства съответства на естеството на действия (операции), извършвани с лични данни с помощта на инструменти за автоматизация, тоест ви позволява да търсите лични данни, записани на материална средаи се съдържат в картотеки или други систематични колекции от лични данни и (или) достъп до такива лични данни.
• Лични данни – всяка информация, свързана с пряко или непряко определени или определени на физическо лице(на субекта на личните данни).
• Информационна система за лични данни (ИСЛД) - набор от лични данни, съдържащи се в бази данни и информационни технологии, които осигуряват тяхната обработка и технически средства.

Инсталиран четири нива на сигурност на личните данни . Повечето ниско ниво- четвърти, най-висок - първи.

Особености на изискванията към държавните информационни системи

• ГИС има федерален мащаб, ако работи на територията на Руската федерация (в рамките на федералния окръг) и има сегменти в съставните единици на Руската федерация, общини и (или) организации.
• ГИС има регионален мащаб, ако работи на територията на съставна единица на Руската федерация и има сегменти в една или повече общини и (или) подчинени и други организации.
• ГИС има обектен мащаб, ако работи върху обекти на един федерален държавен орган, държавен орган на съставно образувание на Руската федерация, общинаи (или) организации и няма сегменти в териториални органи, представителства, клонове, подчинени и други организации.
• Изискванията на ГИС са задължителни при обработката на информация в държавните информационни системи, работещи на територията на Руската федерация, както и в общинските информационни системи, освен ако не е предвидено друго в законодателството на Руската федерация за местното самоуправление. Изискванията не се прилагат за държавни информационни системи на администрацията на президента на Руската федерация, Съвета за сигурност на Руската федерация, Федералното събрание на Руската федерация, правителството на Руската федерация, Конституционния съд на Руската федерация. , Върховния съд на Руската федерация, Върховния арбитражен съд на Руската федерация и Федералната служба за сигурност на Руската федерация.
• При обработката на информация, съдържаща лични данни в държавната информационна система, се прилагат изискванията на ГИС заедно с изискванията за защита на личните данни по време на обработката им в информационни системи за лични данни, одобрени с постановление на правителството на Руската федерация от 1 ноември 2012 г. N 1119.
• По решение на собственика на информацията (клиента) или оператора, Изискванията за ГИС могат да се прилагат за защита на информацията, съдържаща се в недържавни информационни системи.

Инсталиран четири класа на сигурност на държавната информационна система , определяща нивата на сигурност на съдържащата се в него информация. Най-ниският клас е четвърти, най-високият е първи.

Характеристики на изискванията към системите за управление на производствените и технологичните процеси

• Изискванията са насочени към осигуряване на функционирането на автоматизираната система за управление в нормален режим, който осигурява съответствие с проектните граници на параметрите за изпълнение на целевите функции на автоматизираната система за управление под въздействието на заплахи за информационната сигурност, както и намаляване на рисковете от незаконна намеса във функционирането на автоматизираната система за управление на критични обекти, потенциално опасни обекти, обекти, представляващи повишена опасност за живота и здравето на хората и за околната среда, включително опасни производствени съоръжения, чиято безопасност е гарантирана в съответствие със законодателството на Руската федерация относно безопасността на съоръженията на горивно-енергийния комплекс, безопасността на транспорта, използването на атомната енергия, безопасността на опасните производствени съоръжения в промишлеността, безопасността на хидравличните съоръжения и други законодателни актове на Руската федерация Федерация.
• Прилага се за автоматизирани системи за управление, които осигуряват контрол и управление на технологично и (или) производствено оборудване (задвижващи механизми) и технологични и (или) производствени процеси, изпълнявани върху него (включително системи за диспечерски контрол, системи за събиране (предаване) на данни, системи, изградени на базата програмируеми логически контролери, разпределени системисистеми за управление, системи за управление на машини с цифрово управление).
• ACS, като правило, имат многостепенна структура:
  • операторско (диспечерско) ниво на управление (горно ниво);
  • ниво автоматично управление(средно ниво);
  • ниво на вход (изход) на данни от изпълнителни механизми (долно (полево) ниво).
• Автоматизираната система за управление може да включва:
  • на ниво операторско (диспечерско) управление: операторски (диспечерски) помещения, инженерни автоматизирани работни станции, индустриални сървъри (SCADA сървъри) с инсталиран на тях общ системен и приложен софтуер, телекомуникационно оборудване (суичове, рутери, защитни стени, друго оборудване) и също комуникационни канали;
  • на ниво автоматичен контрол: програмируеми логически контролери, други технически средства с инсталиран софтуер, получаване на данни от долното (полево) ниво, предаване на данни на горното ниво за вземане на решения за управление на обекта и (или) процеса и генериране на команди за управление (контролна (командна) ) информация) за задвижващи механизми, както и индустриална мрежа за данни;
  • на ниво вход (изход) на данни (задвижки): сензори, задвижки, други хардуерни устройства с инсталиран в тях фърмуер и машинни контролери.

В автоматизираната система за управление обектите на защита са:

• информация (данни) за параметрите (състоянието) на управляван (контролиран) обект или процес (входна (изходна) информация, контролна (командна) информация, контролна и измервателна информация, друга критична (технологична) информация);
• включително автоматизирани работни станции, промишлени сървъри, телекомуникационно оборудване, комуникационни канали, програмируеми логически контролери, изпълнителни механизми), софтуер (включително фърмуер, системно приложение), както и инструменти за информационна сигурност.

Инсталиран три класа на сигурност на автоматизираната система за управление , определящи нивата на сигурност на автоматизираната система за управление. Най-ниският клас е трети, най-високият е първи.

За всички горепосочени системи, за да се осигури информационна сигурност, се предприемат следните типични мерки:

• формиране на изисквания за защита на информацията, съдържаща се в ГИС (ISPDn, ACS);
• разработване на ГИС система за информационна сигурност (ISPDn, ACS);
• внедряване на ГИС система за информационна сигурност (ISPDn, ACS);
• сертифициране на ГИС (ISPDn, ACS) и нейното внедряване;
• осигуряване на защита на информацията при работа на сертифицирана ГИС (ISPDn, ACS);
• осигуряване на защита на информацията при извеждане от експлоатация на сертифицирана ГИС (ISPDn, ACS) или след вземане на решение за завършване на обработката на информация.

За всички дефинирани системи (GIS, ISPDn, ACS). основни набори от мерки за информационна сигурностИ изисквания за изпълнението им, които трябва да бъдат избрани в зависимост от класа или нивото на сигурност на системата, което се определя задължително, като се вземе предвид моделът на заплахата (включително моделът на нарушителя) на информационната сигурност.

По този начин, след като разгледахме характеристиките и разликите в трите системи (GIS, ISPDn, ACS) и използвайки сравнителната таблица на изискванията на FSTEC на Русия, няма да е трудно да обясним на клиента или служителя на отдела, който не е запознат с разликите в системите какво трябва да се внедри в конкретна система.

Изпратете добрата си работа в базата знания е лесно. Използвайте формата по-долу

Студенти, докторанти, млади учени, които използват базата от знания в обучението и работата си, ще ви бъдат много благодарни.

Министерство на образованието и науката на Руската федерация

Волгоградски държавен университет

Факултет по управление и регионална икономика

Катедра Икономика на околната среда

Есе

Дисциплина: "Географски информационни системи"

на тема: "Изисквания към съдържанието на ГИС и бази данни"

Волгоград 2008г

• Въведение 3
• 1. ГИС изисквания 5
• 1.1 Принципи на организация на ГИС 5
• 1.2 Структура на ГИС и нейните основни функции 8
• 2. Бази данни 13
• 2.1 Понятие за база данни 13
• 2.2 Файлови бази данни 19
• 2.3 Взаимодействие на геоложки и геофизични бази данни 24
• Литература 28
• Въведетедция
• Геоекологичната прогноза, както и създаването на система за мониторинг в зони с интензивно техногенно въздействие, изискват включването и цялостния анализ на разнообразна информация както от природен, така и от социално-икономически характер. Това налага организирането на система за автоматизирано събиране, обработка и анализ на природна информация, изградена на базата на съвременни компютри и автоматични устройствавходно-изходна информация. Възможност за бърза обработка големи обемигеоекологичната информация, включително картографската информация, е най-важна при оценката на състоянието на геосистемите на регионално ниво, както и за териториалното планиране и управлението на ресурсите на околната среда. IN съвременни условияпланиране на националната икономика със задължително провеждане на геоекологични изследвания, информацията за околната среда придобива качеството на специален вид ресурс (информация) с всички специфични изисквания към методите за нейното получаване и обработка. Такава оценка на информацията изисква фундаментално нов подход към организационните структури за производство и обработка на данни за околната среда, базирани на съвременна индустриална технология.
• Географските информационни системи (ГИС) служат за тази цел.
• ГИС е компютърни системисъбиране, съхранение, вземане на проби, анализ и показване на пространствени данни. Създаването на автоматизирани природни информационни системи е включено в кръга от задачи на геоекоинформатиката - научно направление, разработване на теория, методи и технологии информационна поддръжкаи автоматизация на биосферни и геоекологични изследвания с цел рационализиране на управлението на околната среда и опазването на природата.
• ГИС е ефективен инструмент за изследване на интегралните ефекти от антропогенното въздействие върху околната среда, тъй като натрупва и обработва данни за дълъг период от време за големи географски региони.
• Един от най-важните проблеми при създаването на ГИС е информационната поддръжка на регионални геоекологични модели, включително както изборът на източници за формиране на база данни, определяне на точността на входящата информация, така и определяне на набор от параметри, необходими и достатъчни за изследване на динамиката на геосистемите. на различни йерархични нива.

1. ГИС изисквания

1.1 Принципи на организация на ГИС

Географските информационни технологии възникват в началото на 60-те години, за да автоматизират редица операции за обработка на географски данни. Първите системи са създадени в отсъствие софтуер, наличието на примитивни компютърни технологии и устройства за въвеждане/извеждане на графични данни.

Развитието на информационните системи вървеше както по пътя на увеличаване на обема на обработваните данни, така и на усложняване на структурата на съхраняваната информация. Следователно информационните масиви, предназначени за компютърна обработка, се организират в бази данни (БД). За да се осигурят доста сложни операции за търсене и извличане на данни в база данни и комбинирането им в информационни масиви с необходимата структура, се разработват системи за управление на бази данни.

В момента ГИС е сложна информационна система, включваща мощна операционна система, потребителски интерфейс, системи за управление на данни, дисплей графична информация.

Заедно с ГИС организацията на проблемно-ориентирани бази данни, предназначени за картографиране на природни и социално-икономически явления, стана широко разпространена. Такива бази данни се наричат ​​банки с картографски данни (CBD).

Най-важната функция на CBD е автоматизираното картографиране, извършвано от автоматизирана система за картографиране (ACS), която също е неразделна част от ГИС.

През последните години при създаването на информационни системи (ИС) по география се обръща повишено внимание на изграждането на експертни системи (ЕС). ES се разбира като система за логически изводи, базирана на факти (знание) и евристични техники (правила на палеца) за обработка на данни. Основните компоненти на ES: 1) база знания (БЗ) - организирани набори от факти и 2) механизъм за логическо решаване на задачата.

Появата през последните години на масов интерес към изграждането на ГИС изисква разработването на принципи за оценка на създаваните информационни системи, тяхната класификация и определяне на потенциалните възможности. До известна степен това е възможно при развитие изискваниякъм идеална ГИС:

1. Способността да се обработват масиви от хетерогенна пространствено координирана информация компонент по компонент.

2. Възможност за поддържане на бази данни за широк спектър от географски характеристики.

3. Възможност за интерактивна потребителска работа.

4. Гъвкава конфигурация на системата, възможност бърза настройкасистеми за решаване на различни проблеми.

5. Способност за „възприемане“ и обработка на пространствени характеристики на геоекологични ситуации.

Разработването на ГИС включва етапа на проектиране на структурата, идентифициране на цели и задачи и потенциални потребители. Проектирането на ГИС като сложна информационна система изисква използването на методи за системен анализ, които решават следното: задникАчи:

Изграждане на концептуален ГИС модел, дефиниране на неговите подсистеми, естеството на връзката между тях;

Структуриране на географска информация с отчитане на спецификата на обработка, съхранение и представяне на компютри и автоматични устройства;

Определяне на етапите на преобразуване и обработка на постъпващата природна и социално-икономическа информация;

Създаване на човеко-машинни системи за математическо моделиране на природни и социално-икономически процеси в структурата на ГИС.

Използването на информационни технологии в геоекологията включва автоматизиране на процесите на събиране и анализ на параметрите на геосистемата. Получаването и обработката на информация се разглежда като един процес, включващ редица последователни етапи (Таблица 1).

Етапите на информационните технологии при създаването и експлоатацията на ГИС включват следните етапи: събиране на първични данни, въвеждане и съхранение на данни, анализ на данни, анализ на сценарии и вземане на решения. Трябва да се отбележи, че идентифицираните етапи са най-общи и се повтарят при създаването на конкретни ГИС, като се различават в детайли, свързани с целите и задачите на ГИС, както и технически възможностисистеми.

Очевидно е, че източниците на информация, процедурата за нейното получаване, методите за анализ трябва да се разглеждат като етапи на единен технологичен процес, обединени от общите цели и задачи на изграждане и експлоатация на ГИС. Това означава, че проектирането и създаването на ГИС трябва да се базира на единна методология. Тъй като ГИС може да се разглежда като средство за машинно представяне на данни и знания от комплекса от геонауки, тогава като методологична основа ГИСпосоката на тяхното изграждане трябва да бъде избрана като инструмент за разбиране на моделите на структурата и организацията на геосистемите с помощта на инструменти на компютърните науки, включително математическо моделиране и компютърна графика.

1.2 Структура на ГИС и нейните основни функции

В най-общ вид структурата на ГИС може да се представи по следния начин (фиг. 1): потребителска диалогова система, софтуерно-хардуерен комплекс, бази данни, моделен блок,

блок за оценка и вземане на решения. Изграждането на ГИС се извършва на блоков (моделен) принцип. Това дава възможност за разширяване на системата чрез добавяне на нови блокове (програми) или за работа само с определена част (модул) от ГИС.

Ориз. 1. ГИС структура

Многофункционалната ГИС може да се използва за решаване на различни проблеми. Изпълнението на задачите, които се решават, е свързано с изпълнението на определени функции. Така, наред с други, ГИС изпълнява следните основни функции: подготовка и поддържане на банки от данни; информация и справка; симулационно моделиране; експертно моделиране; автоматизирано картографиране.

ГИС може да се разглежда като информационна основа(база данни) за изучаване на природните особености на района и като средство за изследване на динамиката или прогнозиране на явления и процеси (система от модели).

Освен това ГИС може да се използва като информационна и справочна система, която търси и извлича данни въз основа на конкретна заявка. Следващият момент в работата с ГИС е свързан с разработването на математически модели или система от експертни оценки с цел анализ на динамиката на геосистемите.

За решаването на всеки от тези проблеми е необходимо разработването на алгоритми и софтуер, както и създаването на интерактивни системи човек-машина, които поддържат работата на потребителя и представяне на резултатите от моделирането в традиционна картографска форма.

Софтуерно-хардуерен комплекс. В момента ГИС са оборудвани като графични станции, които използват различни средства за въвеждане-извеждане на графична информация. За организиране на регионална ГИС е необходим компютър с достатъчно голямо количество RAM и значителна скорост, работещ както в интерактивен, така и в пакетен режим. За тази цел могат да се използват както мейнфрейм компютри (за обработка на космическа информация), така и персонални компютри.

Устройствата за въвеждане на графична информация се разделят на автоматични (скенери) и полуавтоматични (дигитайзери). За изграждане на картографски изображения се използват: плотери, матрични принтери, цветни мастиленоструйни печатащи устройства. Графичната система включва и цветен графичен дисплей, който осигурява интерактивен режим на потребителя.

Информационен блок (база данни). Информационните масиви в ГИС се обединяват в бази данни, достъпът до които се осигурява от СУБД. Основната цел на базите данни е да обслужват информационните нужди на потребителя, както и да поддържат ГИС моделната система. Базата данни съхранява не само фактическа информация към определен момент от време, но и началните условия и коефициенти на уравненията на модела, използвани в режим на симулация.

За търсене и извличане на данни се използват различни потребителски команди за заявки. Използването или комбинирането на различни команди прави възможно представянето на резултатите от заявката в в различни форми: табличен, графичен, картографски. В зависимост от заявката, фактическата информация може да бъде допълнена със статистически параметри: средна стойност, дисперсия и др.

Блок от модели. Този блоквключва софтуер, предназначен за различни операцииотносно обработката на данни. Тъй като ГИС е изградена като многоцелева и многофункционална система за информационно моделиране, тя включва приложни софтуерни пакети, както и банка от стандартизирани модели.

Централно място в ГИС заема автоматизирана картографска система. При организиране на ГИС могат да се използват готови модели или софтуерни блокове, които отговарят на изискванията на решаваните задачи. Стандартизирането на частни модели, които симулират отделни свойства на ландшафта или неговите компоненти (почва, растителност, миграция на вещества в ландшафта), опростява процедурата за предоставяне на информация на моделите и най-важното, прави възможно използването на съществуващия опит в областта на моделиране на специфични процеси в ландшафта при решаване на нови проблеми.

Важно място в ГИС се отделя на блока за експертно моделиране и експертни оценки. В тази част на ГИС водещата роля е дадена на експерт, специалист в конкретна предметна област. Работата на това ГИС подразделение е да автоматизира традиционните методи за анализ и синтез на геоложка информация, извършвани от експерт въз основа на набор от емпирични правила.

Система за управление на потребителския диалог. Функционирането на ГИС като цялостна система се осигурява от системата за управление на потребителския диалог. Този блок комуникира между отделните ГИС подсистеми, организирайки интерактивно взаимодействие между потребителя и системата. В зависимост от задачата, която се решава, автоматична настройкаГИС за неговото решение. За да направите това, необходимият модел се избира от банката с модели и всички необходими данни се избират от информационния блок.

Интерактивният ГИС режим е предназначен за потребители с различна степен на подготовка: приложни програмисти, анализатори и изследователи и случайни потребители. За всеки тип потребител се избира различно ниво на диалог.

Блок за оценка и вземане на решения. Резултатите от работата на ГИС се анализират в блока за оценка и вземане на решения. Трябва да се отбележи, че системата за управление на потребителския диалог е неразривно свързана с блока за оценка и вземане на решения чрез формиране на набор от сценарии и избор на методи за показване (таблични, картографски) на получените резултати.

Блокът за оценка, подобно на диалоговата система, е предназначен за различни режими на работа на ГИС. Най-простият е използването на ГИС като информационна и справочна система, а по-сложният се отнася до разработването на автоматизирана методология за анализ на резултатите от симулационното моделиране.

Изборът на сценарии е пряко свързан с оценката на геоекологичните ситуации и до голяма степен се основава на познанията на експерта за най-типичните или вероятните условия за поведението на природния обект, който се изследва под въздействието на смущаващи фактори.

В съвременните системи за мониторинг и управление на качеството на околната среда важно място заема ефективността на получаване на резултати от машинно прогнозиране. Вземащият решения трябва да прегледа различни сценарии за моделиране за кратко време, да анализира получените резултати и да предложи най-оптималните управленски решения въз основа на резултатите от ГИС моделите.

2. Бази данни

Големите обеми първична геоинформация, записана на четири нива на наблюдение, изискват организиране на съхранението им в паметта на микро-, мини- и суперкомпютри по специални правила и принципи, позволяващи многократен достъп до тях с цел използване на данните. за обработка и интерпретация, избор на стратегия за по-нататъшно прогнозиране и търсене или проучвателна и експлоатационна работа, вземане на оптимални управленски решения въз основа на резултатите от обработката и интерпретацията.

В същото време е важно организацията на данните и тяхното съхранение в различни технически средства [микрокомпютри (Искра, Електроника, IBM и др.) в режим персонален компютър, мини-компютри (SM EVM, BVK (SM-1), управляващи компютърни комплекси UVK (SM-2, SM-4, SM-1420, SM-1810 и др.), както и суперкомпютри (експедиционни изчислителни комплекси EGVK PS-2000 и SM-2, EC-10/55 и др.)] се отличават с една единствена технология, осигуряваща възможност за тяхното използване за решаване на различни геоложки проблеми, като се вземат предвид разликите в техническите средства. концепции за база данни, различни видовебази данни и тяхното взаимодействие помежду си.

2.1 Понятие за база данни

Описанията на данните и връзките между тях са дефинирани в два типа: логически и физически. Физическо описание на даннитесе осигурява чрез физически запис на данни върху външни носители (магнитни ленти, дискове, дискети и др.) и представлява метод за съхраняване на информация върху тези носители.

Логическо описание на даннитепоказва формата, в която потребителят или програмистът си представя данните, а задачата на геоинформатиката е точно да анализира логическото описание на геоданните и техните връзки помежду си за по-нататъшни операции за съхранение, предаване и обработка.

Съгласно дефинициите на Асоциацията за езици на системи за наука за данни (CODASYL) се разграничават следните описания на данни.

Байт- най-малката адресируема група от битове (8 бита).

Елемент от данни- най-малката единица наименувани данни, която може да се състои от произволен брой битове или байтове. Елемент от данни е всяка (една) характеристика на обекта, който се изследва, включително неговите координати; елементът има име (идентификатор).

Мерна единицаданни- наименована колекция от елементи от данни. Разграничават се два типа агрегати: вектор ~ едномерна подредена колекция от елементи (например името на работната област, номер на профил, номер на точка за наблюдение образуват агрегат от данни) и повтаряща се група - колекция от вектори, които се срещат няколко пъти подред, например, когато данните са описани по такъв начин, че първо се посочват номерата на профилите, а след това номерата на точките, т.е. двойката се повтаря: профил - точка, профил - точка и т.н.

Записване на данни~ наименована колекция от елементи на данни или агрегати. Набор от елементи се описва така, както изглежда на програмиста, като логическият запис може да не съвпада с физическия запис, тъй като логическият запис се състои от елементи, разположени в други физически записи.

Записните елементи са характеристики (характеристики, координати) на един обект, по-специално на една точка за наблюдение. Всеки запис се описва с име (идентификатор) ​​и формат за съхранение, който определя как елементът на записа е опакован на лента, диск или флопи диск. Когато чете от база данни, програмистът може да прочете целия логически запис.

Файл- именувана колекция от всички екземпляри на логически записи от даден тип. Ако записът представлява описание различни характеристикиобект или точка на наблюдение, тогава файлът е колекция от едни и същи характеристики за няколко обекта или за профил на наблюдение, т.е. файлът е матрица - таблица с изходни данни.

База данни (БД)- колекция от записи от различни видове, съдържащи кръстосани препратки, или по друг начин - колекция от екземпляри на различни видове записи и връзки между записи, елементи, агрегати. Базата данни също е съвкупност от матрици - таблици (файлове) и програми, които определят връзките между типовете данни.

Базата данни, според друга дефиниция, разпространена в геофизиката, е съвкупност от масиви от данни на външен носител и софтуердостъп до тях, където масивите означават както записи, така и файлове. Всъщност геофизичните, геохимичните и геоложките софтуерни пакети включват данни различни видове: теренни наблюдения, информация за изследвания обект и системата за наблюдение; междинни резултати от обработката; параметри на обработка; софтуерно генерирани изображения на изходните резултати и др.

Физическата организация на база данни, за разлика от логическата, е физическото представяне на данните и тяхното местоположение върху устройства за съхранение.

Базата данни е организирана по такъв начин, че данните се събират еднократно и се съхраняват централно, така че да са достъпни за всички програмисти специалисти, които желаят да я използват. Едно от важните свойства на базата данни е независимостта на данните от характеристиките на приложните програми, които ги използват. Това означава, че промяната на стойностите на данните или характеристиките на тяхното съхранение на физически носител не изисква промяна на приложни програми.

Концепцията за база данни включва система за управление на бази данни(СУБД), предназначена за извършване на операции по обработка на данни в приложни програми. СУБД разглежда описанието на физическата организация на базата данни и определя кои физически записи трябва да бъдат прочетени, а СУБД издава команда към операционната система на компютъра да прочете необходимия запис.

Често понятията база данни и СУБД се комбинират в едно понятие база данни.

Концепцията за база данни е неразривно свързана със структурата на нейното изграждане (разграничават се йерархични, мрежови и релационни бази данни), езика на манипулиране на данни и езика на описание на данните.

Език за описание на данните(DL) - средство за деклариране на СУБД онези структури, които ще бъдат използвани по време на обработката. NDL е включен в описанието на софтуера на компютъра. DDL за логическо описание трябва да идентифицира типове данни (елемент, запис, файл), т.е. задайте име на всеки тип данни.

Език за манипулиране на данни(YMD) е интерфейс (връзка) между приложната програма и СУБД. NMD включва редица програми, които отварят или затварят файл, заменят или изтриват отделни записи от файл (или самия файл), прехвърлят към работна средапрограмно съдържание на посочения елемент от данни и др.

Сред структурите за изграждане на бази данни най-разпространени са тези в геоложките проучвания. релационни DB. Релационните бази данни са таблично представяне на данни, обикновено под формата на двумерни таблици. Всеки елемент от таблицата е един елемент от данни, няма повторения. Всички колони на таблицата са хомогенни, т.е. елементите на колоната имат еднакъв характер (стойности на едно и също поле, свойство, параметър и т.н.). На всяка колона са дадени имена. В таблицата няма два еднакви реда, тъй като координатите на точките за наблюдение са различни. При операции с таблица нейните редове и колони могат да се разглеждат в произволен ред, във всякаква последователност. Всички най-използвани таблици в геоложки и геофизични изследвания, например таблица на петрофизичните свойства на скалите, таблица, описваща физическия и геоложки модел на обект (находище) и т.н., отговарят на посочените свойства. Такива таблици се наричат ​​релации, а база данни, изградена с помощта на релации, се нарича релационна. Така релационната база данни се изгражда от плоски набори от елементи от данни (фиг. 2, а). В релационните бази данни се срещат следните термини: домейн (една колона на таблицата) и кортеж- таблица, определяща връзката между елементите. данни. В противен случай кортежът е набор от взаимосвързани стойности, а файлът се формира от набор от кортежи.

Основните предимства на релационните бази данни: простота, гъвкавост, точност, съгласуваност, лекота на внедряване, независимост на данните от приложни програми, яснота.

Общите структури на бази данни в геоложките проучвания също са йерархиченили дървовидни структури (виж фиг. 2, b). Дървото е йерархия от елементи, наречени възли. На най-горното (първо) ниво на йерархията има един възел - коренът. Всеки възел, с изключение на корена, е свързан с един възел с повече от Горно ниво, наречен изходен възел за даден възел. Никой елемент няма повече от един източник. Всеки елемент може да бъде свързан с един или повече елементи на по-ниско ниво. Такива елементи се наричат ​​генерирани, а елементите, които нямат генерирани клонове в края, се наричат ​​листа.

Използва се терминът йерархичен файл, т.е. файл, в който записите са свързани в дървовидна структура. Йерархичните структури на бази данни са използвани в автоматизираната система ASPO-8 и в концепцията за създаване на банка Exploration Geophysics.

Така наречените структури на мрежови бази данни, показани на фиг. 1, се използват рядко. 2, V.

В трите показани на фиг. 2, VВ мрежовите структури първият (вляво) има три нива и за всеки възел - два начални елемента, вторият (в средата) - четири нива, третият (вдясно) - пет нива.

Мрежовите структури на бази данни са типични за организиране на управлението на геоложките проучвания на ниво експедиция и по-високо.

Организацията на данните в база данни трябва преди всичко правилно да предава основното си семантично значение, или семантика, и да им позволи да бъдат адресирани ефективно. В типичната приложна програма структурата на данните е организирана по такъв начин, че да осигурява лесен достъп до нея от програмата.

Фигура 2. Структури на данни:

a-релационен, b-йерархичен, c-мрежов

Базата данни съдържа данни, които се използват от много различни програми; следователно, когато се определя структурата на базата данни, не може да се разчита на критериите, използвани при програмиране на конкретни функции. При обработката на геоложки и геофизични данни базата данни се характеризира с големи и много големи размери на извадката. Голяме стойност, която надвишава количеството данни, обработвани от едно лице, дори ако то има достъп до изчислителната система. Реалният брой варира в зависимост от сложността на данните и проблемите, които се решават. Пример за голяма база данни е система, съдържаща информация за 5000 проби, рудни тела, находища и др. Такава база данни може например да съдържа 300 000 записа от дузина или повече видове. Три хиляди сеизмични ленти със стоканален запис всяка вече образуват голяма база данни.

Много голяма база даннисе формира, например, чрез комбиниране на всички геоложки и геофизични данни за един милионен лист.

Големите масиви от геоложка и геофизична информация изискват използването на специални системи за организиране на съхранение и извличане на данни. Такива системи се наричат ​​системи за извличане на информация (IRS). IRS по същество представлява база данни заедно със СУБД, която внедрява бързо търсенеданни. Търсенето на данни обикновено се извършва с помощта на определен знак. За разлика от базата данни и СУБД, които могат да се разглеждат поотделно, ИПС се характеризира с неразривна връзка между функциите на базата данни и СУБД.

При сеизмични проучвания при създаване на автоматизирана система за обработка на данни STS-3 широко приложениеполучи IPS "INES". При обработката и интерпретирането на ГИС данни се използва информационно-извличащата система GEOKOMPAS, базирана на СУБД COMPASS.

2.2 Файлови бази данни

Горните дефиниции на бази данни, базирани на концепции CODASYL, както и йерархични и мрежови структури на бази данни са трудни за използване при съхраняване, извличане и обработка на масови геоложки и геофизични данни, което се обяснява със следните обстоятелства:

При многоетапна и многоцелева обработка на данни е трудно да се определят предварително връзките между всички видове геообекти и съответните им типове записи. При решаването на различни геоложки проблеми се променят връзките между обектите на обработка (точки за наблюдение, геоложки хомогенни зони, геохимични и геофизични аномалии, известни находища на минерали и др.). Принципът на групиране на записи, съответстващи на тези обекти, също се променя;

При обработката на геоложки и геофизични материали отделен запис по правило няма самостоятелно значение.

Следователно инструментите на повечето системи за управление на бази данни, фокусирани върху търсене и предоставяне на програмиста на единични записи, не могат да задоволят нито програмиста, участващ в създаването на геоложки и геофизичен софтуер, нито геолога-геофизик като специалист в областта. области на обработка и интерпретация на данни;

3) релационните бази данни, в по-голяма степен от мрежовите и йерархичните, са адаптирани за обработка на геоложки и геофизични данни, тъй като релационната база данни може да се разглежда като колекция от различни таблици, обекти - свойства, връзките между таблиците са имплицитно дефинирани чрез общи елементиданни, например координати на точки. Въпреки това релационната база данни практически не отчита особеностите на технологията за съхранение, извличане и обработка на масови данни: а) геоложките и геофизичните данни се съхраняват под формата на географски, координатно определена информация, свързана с определен метод, метод на изследване с определено ниво на детайлност на работата (мащаб на работа); б) по време на дългосрочно съхранение геоложките и геофизичните данни не се променят, тъй като обикновено са подложени на стандартна първична обработка; в) всяка нова част от данните трябва да се разглежда като автономна (в противен случай поддържането на бази данни с техните реални огромни обеми ще стане непосилно трудоемко), но системата за търсене трябва да осигурява бързо търсене и избор на необходимия фрагмент от базата данни; г) технологията на обработка диктува необходимостта от предоставяне на геоложки и геофизични данни не в отделни записи, а в доста големи порции (сеизмична следа, профил, зона на проучване и т.н.).

Отчитайки отбелязаните обстоятелства и особености на технологията за съхранение и обработка на геоинформация, В.В. Lomtadze предложи синтезиране на предимствата на файловите структури за описание на данни, системи за извличане на информация и релационни бази данни.Предимствата на файловата структура включват автономността на информационните фрагменти, форматирани във формата отделни файлове. Предимствата на IPS се крият във възможността за смислено търсене на части от информация (файлове), необходими за решаване на конкретни проблеми. И накрая, предимствата на релационните бази данни се състоят в логическата яснота на представянето на данни, гъвкавостта на тяхната трансформация и т.н., тъй като можете да „изрежете“ обекти от таблици - свойства, необходими колони (свойства) или, обратно, да ги „залепите“ заедно, оформяйки ги за файлове на приложни програми със зададен състав от записи.

Под файловата база данни(FDB) се разбира като набор от файлове, организирани според общи принципи, между които връзките са имплицитно дефинирани. Ако в мрежовите и йерархичните бази данни обектът на търсене и обработка е запис, то във FDB основният обект на търсене и обработка е файл или колекция от взаимосвързани записи от един и същи тип, наречени масив и представляващи част от файла . В специални случаи можете да работите с отделни записи.

Изборът на стандартни структури за организиране на данни, в които, като контейнери (или като книги на библиотечен рафт), е вградена разнообразна информация, е ключов момент в дизайна на технологията за обработка на масови геоложки и геофизични данни. Предимствата на концепцията за банка данни включват въвеждането на концепцията за структура на данните и идентифицирането на набор от стандартни структури, контролирани от набор от стандартни програмии подпрограми, включени в конкретна СУБД. Такъв набор от програми и подпрограми V.V. Lomtadze за извиквания на файлови бази данни система за управление на данни(SOD), който играе ролята на софтуерен апарат за цялата система.

Във FDB има четири структури от данни: файл, масив, запис, елемент, които по същество отразяват цялото разнообразие от площна геоложка и геофизична информация.

Файлобикновено съответства на областта на работа, т.е. съдържа конкретни данни за тази област.

Масивфайл съответства на профил или маршрут, кладенец или интервал от кладенец, сеизмична следа, VES крива, MTS или друг набор от точки за наблюдение, т.е. масивът съдържа данни за профила, маршрута, кладенеца и др. Масивът се състои от заглавие и записи.

Заглавието е специален запис за характеризиране на масива като цяло. Записи в масивзаедно образуват таблица с обекти – свойства. Един запис съответства на един обект и съвпада с понятието „запис“ в термините на CODASYL.

Записни елементи- това са характеристики, например стойностите на конкретно физическо поле, координати, характеристики на един обект, т.е. една точка на профил, една точка на кладенец, една точка на сеизмично проследяване и т.н.

Всеки файл в ODS се състои от кратък паспорт и масиви. Има близка аналогия между паспорт на файл и анотация на книга, между файлови масиви и глави от една и съща книга. Паспортът на файла съдържа името (или заглавието) на файла, името (наименованието) на собственика на групата, експедицията, асоциацията, параметъра PACK, обикновено равен на 1 (това означава Чеданните, съдържащи се във файла, трябва да се съхраняват на лента или диск в пакетиран вид; в случай на RASK = 0, опаковането е забранено), параметри V (броят елементи от данни в заглавката на всеки масив), У (брой елементи от данни в заглавията на всеки файл), Р o> символично обозначаващ принципа на кодиране на файлови масиви (принципа на групиране на записи в масиви); Pj, Uj, Cj, (/ = 1,…, U+ У), описващи елементи от записите на заглавието и масива.

Ако типове файлове са определени за геофизичен метод, множество програми за обработка и интерпретация на данни могат да бъдат разработени независимо една от друга. Всеки преход, например от файл Акъм файл като INможе да се извърши с помощта на различни алгоритми и различни програми.

На всяка стъпка от последователно преобразуване на файлове с помощта на определена програма се извършва преход от един или повече изходни файлове към един или повече, които могат да се различават от оригиналните по структура и състав. Тъй като всяка стъпка от графиката за обработка се определя от името на програмата, която изпълнява необходимите функции, имената на източника и създадени файловеи стойностите на параметрите за управление на операцията на тази програма (например граничните координати на обработваната област, имената на използваните функции и т.н.), след което след всяка стъпка процесът на обработка може да бъде прекъснат, за да се визуализира и анализират междинните резултати, вземат решение относно избора на техники и параметри за по-нататъшна обработка или интерпретации.

Описаният по-горе подход за изграждане на релационни файлови (или просто файлови) бази данни вече е намерил най-широко приложение при създаването на автоматизирани системи за обработка и интерпретация на геоложка и геофизична информация, както и при предоставянето на софтуерни продуктиполеви изчислителни системи и автоматизирани работни станции. Повечето програмисти обаче предпочитат да се ограничат до три структури от данни: елемент, запис и файл, като смятат, че използването на масивна структура е ненужно.

2.3 Взаимодействие на геоложки и геофизични бази данни

Общият подход на формализирано представяне на масови геоложки и геофизични данни в средата на FDB също е ключът към решаването на проблема за създаване на различни видове бази данни и тяхното взаимодействие помежду си. Решението на този проблем се основава на обмислената формализация на представянето на различни по съдържание и характер геоложки и геохимични данни, на въведените концепции за регионални и локални бази данни и на прилагането на организационни и технически мерки, които в момента се извършват в рамките на рамката на създаването на ГЕОСИСТЕМАТА.

Локален методологичен FBD се формира и съществува в периода на обработка на материали от полева група или експедиция, например гравиметрични, геохимични, геоложки проучвания и др. Връзките между файловете на локалния метод FDB се определят имплицитно от таблицата с типове файлове на даден геоложки и геофизичен метод, както и от възприетата технология на обработка. Файлове от определени типове на всеки метод FDB, образувани, като правило, в резултат на обработка на полеви компютърни системи или автоматизирани работни станции, се прехвърлят в регионални бази данни.

Регионалните бази данни (RFDB) предоставят дългосрочно съхранениефактически данни в национален мащаб.

Регионална база данни(RFDB) е колекция от всички файлове, съдържащи геоложки и геофизични данни на един милионен лист картографско оформление. Файлът, включен в регионалната FDB, получава име, състоящо се от осем знака: номенклатура на листа (3 знака), година на завършване на работата, данните от която се поставят във файла (2 знака), регистрационен номерфайл в базата данни за тази година (3 знака). Например P4889005 съдържа резултатите от работата, завършена през 1989 г. в лист P-48.

В изображението за търсене на файлът. Изображенията за търсене на всички файлове на регионалната FDB се комбинират в един файл с изображения за търсене, който се съхранява при търсене на данни на диск. Самите регионални FDB файлове се съхраняват на ленти или други устройства с памет с голям капацитет. Връзките между тези файлове се определят чрез техните изображения за търсене и тезариум - речник, съдържащ кодове (дескриптори) на ключови думи.

Най-важната задача, решена при създаването и поддържането на RFDB, е запазването на основните фактически материали, получени по време на геоложките проучвателни работи, и осигуряването на възможността за тяхното използване за повторна последваща обработка заедно с нови данни. За решаването на този проблем в рамките на създаването на ГЕОСИСТЕМА е необходимо:

1) разпределете територията на страната (по милиони листа) между регионалните изчислителни центрове. Такива центрове трябва да бъдат организирани на базата или на големи геоложки асоциации, или на големи изследователски институти, оборудвани с големи компютри и суперкомпютри. Можем да разграничим най-малко осем регионални центъра (посочени в скоби) за обслужване на територията на Русия: Далечния Изток (PGO Taezhgeologiya), Хабаровск; Източен Сибир - два центъра (PGO "Irkutskgeologiya" заедно с PGO "Irkutskgeofizika" и PGO "Krasnoyarskgeologiya"); Западен Сибир (ЗапСибНИГРИ), Тюмен; Урал (институти на Уралския клон на Руската академия на науките), Свердловск; източната част на европейската част на Русия (PGO "Permgeology"); център на европейската част на Русия (PGO "Tsentrgeologiya", Москва); северната част на европейската част на Русия (PGO "Sevzapgeologiya", Ленинград); на юг от европейската част на Русия, Ростов на Дон;

2) стандартизира организацията на данните в рамките на методологията
FBD, дефиниращ типове за всеки геоложки и геофизичен метод
файловете да бъдат прехвърлени към регионалните FDBs;

установява процедура за попълване на регионалните FDB, подобна на попълването на териториалните геоложки фондове;

извършва поддръжка на регионални FDB на базата на специализирана технологична група с изпълнение на функции за получаване на файлове от метод FDB, записването им на магнитни ленти, принадлежащи към определен милионен лист, компилиране на изображения на новополучени файлове и включването им в изображение файлове, създавайки целеви FDB при заявки.

За създаване се използват регионални (или архивни) FDB локални целеви FDB. Временноцелевата база данни обикновено е предназначена за обобщаване и цялостен анализ на геоложки и геофизични материали в рамките на определена територия с цел решаване на проблеми с прогнозирането. За да създадете временна целева база данни, потребителят (геолог, геохимик, геофизик от съответната технологична група на компютърния център) създава заявка, посочвайки обвързването на необходимите данни по местоположение (милионен лист, гранични координати на области), време ( времеви интервал на работа, чиито данни представляват интерес за решаването на конкретна задача за прогнозиране и търсене, геоекологични изследвания и др.), детайлите на работата и нейното съдържание (дескриптори, отразяващи мащаба на изследването, специфични геоложки, геохимични и геофизични методи).

Регионалният FDB софтуер, използвайки файл с изображение за търсене, ви позволява да определите в кои файлове и на кои ленти се намира необходимата информация и следователно да извлечете тази информация и да създадете временна целева FDB на нейна основа. Връзките между файловете на такава FDB се определят от структурата на системата за интегриран анализ на данни и прогнозиране на геоложки обекти, по-специално от видовете файлове, идентифицирани в нея, както и от технологията за обработка на данни. За работа с локалния FDB се използва софтуер за цялата система , софтуерни апарати за обработка и интерпретиране на данни от набор от методи и програми, принадлежащи към системи за обработка на методи. Местните също могат да бъдат класифицирани като постоянни целеви FWAза депозити от определен тип, кладенци (включително свръхдълбоки), отделни локални структури и така нататък.Такива бази данни обикновено се различават по спецификата на решаваните задачи (например наблюдение на експлоатацията на находище на нефт и газ), а формите на тяхното взаимодействие с регионалните FDB могат да бъдат много различни.

Литература

1. Кузнецов О.Л., Никитин А.А., Геоинформатика. - М. - 1992.

2. Основи на геоинформатиката: В 2 кн. Книга 1: Учебник помощ за студенти университети / E.G. Капралов, А.В. Кошкарев, В.С. Тикунов и др.; редактиран от СРЕЩУ. Тикунова. - М.: Издателски център "Академия", 2004 г.

3. Екоинформатика / Изд. Соколова A.L. - М. - 1992.

Подобни документи

Видове оборудване, свързани с компютърна технология. Съединение системна единицаи периферни устройства. Софтуерна класификация. Изисквания към системите за управление на бази данни. Задачи и етапи на проектиране на база данни.

тест, добавен на 18.02.2014 г


Модели на бази данни. Съвременни системиуправление на бази данни, основни изисквания към организацията им. Предимства на справочни и правни системи: "Гаранция", "Код" и "Консултант-Плюс". Бази данни за законодателството в Интернет и на CD.

резюме, добавено на 03/11/2014


Дефиниция на база данни и банки данни. Компоненти на банка данни. Основни изисквания към интегрираната технология за съхранение и обработка на данни. Система за управление и модели за организиране на достъпа до бази данни. Разработка и администриране на приложения.

презентация, добавена на 19.08.2013 г


Технологии и предизвикателства географски информационни системи(ГИС), изисквания към тях и основни компоненти. Методи за организиране и обработка на информация в ГИС с помощта на СУБД. Форми на представяне на обекти и модели за организиране на пространствени данни.

курсова работа, добавена на 24.04.2012 г


Автоматизирани системи за обработка на информация. Съхраняване на голямо количество информация. Концепцията за база данни (БД). Осигуряване на секретност на данните. Нива на представяне на данните в базата данни. Логическа структура на данните. Ограничения, поставени върху данните.

резюме, добавено на 26.11.2011 г


Класификация на базите данни според характера на съхраняваната информация, метода на съхраняване на данните и структурата на тяхната организация. Съвременни системи за управление на бази данни и програми за тяхното създаване: Microsoft Office Access, Cronos Plus, Base Editor, My SQL.

презентация, добавена на 06/03/2014


Предназначение и основни функции на системата за управление на СУБД, характеристики и характеристики на тяхната класификация. Архитектура на базата данни (DB). Разработка на разпределени бази данни. Структуриран език за заявки (SQL). Правила на Код: изисквания за релационни бази данни.

курсова работа, добавена на 21.07.2012 г


Концепция и структура релационна базаданни, техните основни елементи и тяхното взаимодействие. Методология и основни етапи на създаване на база данни, нейната цел и обхват на приложение. Правила за въвеждане на данни в таблици. Създавайте заявки за бази данни, отчети и диаграми.

урок, добавен на 19.12.2009 г


Основни подходи за организиране на данни в автоматизирани системи за обработка на информация. Изисквания за проектиране на бази данни. Принципи за включване на езикови оператори за манипулиране на данни в приложна програма. Описание логическа структура DB.

резюме, добавено на 28.11.2011 г


Понятието банка и база данни, тяхното предназначение. Създаване на база данни "Счетоводство". пътни нарушения„с удобно потребителски интерфейс. Изисквания към функционалните характеристики. Условия на работа и изисквания към софтуера. Описание на входните и изходните данни.

ЗА ОДОБРЯВАНЕ НА ИЗИСКВАНИЯТА ЗА ЗАЩИТА НА ИНФОРМАЦИЯТА, СЪДЪРЖАЩА СЕ В ДЪРЖАВНИТЕ ИНФОРМАЦИОННИ СИСТЕМИ

Списък на променящите се документи

(изменен със Заповед на FSTEC на Русия от 15 февруари 2017 г. N 27)

В съответствие с част 5 от член 16 от Федералния закон от 27 юли 2006 г. N 149-FZ „За информацията, информационни технологиии относно защитата на информацията“ (Сборник на законодателството на Руската федерация, 2006 г., № 31, чл. 3448; 2010 г., № 31, чл. 4196; 2011, № 15, чл. 2038; № 30, чл. 4600; 2012, № 31, член 4328) и Правилника на Федералната служба за технически и експортен контрол, одобрен с указ на президента на Руската федерация от 16 август 2004 г. N 1085 (Сборник на законодателството на Руската федерация , 2004, N 34, чл.3541; 2006, N 49, чл.5192; 2008, N 43, чл.4921; N 47, чл.5431; 2012, N 7, чл.818), НАРЕЖДАМ:

1. Одобрява приложените Изисквания за защита на информацията, която не представлява държавна тайна, съдържаща се в държавните информационни системи.

2. Установява, че изискванията, посочени в параграф 1 от тази заповед, се прилагат за защита на информацията в държавните информационни системи от 1 септември 2013 г.

Директор

Федерална техническа служба

и контрол върху износа

ОДОБРЕНО

по нареждане на FSTEC на Русия

ИЗИСКВАНИЯ

ЗА ЗАЩИТАТА НА ИНФОРМАЦИЯТА, КОЯТО НЕ Е ДЪРЖАВНА ТАЙНА, СЪДЪРЖАЩА СЕ В ДЪРЖАВНИТЕ ИНФОРМАЦИОННИ СИСТЕМИ

I. Общи положения

1. Настоящите изисквания са разработени в съответствие с Федералния закон от 27 юли 2006 г. N 149-FZ „За информацията, информационните технологии и защитата на информацията“ (Сборник на законодателството на Руската федерация, 2006 г., N 31, чл. 3448; 2010 г. , N 31 , член 4196; 2011, N 15, член 2038; N 30, член 4600; 2012, N 31, член 4328), както и като се вземат предвид националните стандарти на Руската федерация в областта защита на информацията и в областта на създаването на автоматизирани системи (наричани по-нататък национални стандарти).

2. Документът установява изисквания за осигуряване на информационна сигурност ограничен достъп, която не съдържа информация, представляваща държавна тайна (наричана по-долу информация), от изтичане от технически канали, неоторизиран достъп, специално въздействие върху такава информация (носители на информация) с цел нейното получаване, унищожаване, изкривяване или блокиране на достъпа до нея (наричано по-нататък защита на информацията) при обработката на тази информация в държавни информационни системи.

Тези Изисквания могат да се използват за защита публично достъпна информациясъдържащи се в държавните информационни системи за постигане на целите, посочени в параграфи 1 и 3 на част 1 на член 16 от Федералния закон от 27 юли 2006 г. N 149-FZ „За информацията, информационните технологии и защитата на информацията“.

Документът не разглежда изискванията за защита на информацията, свързани с използването на криптографски методи за защита на информацията и средства за криптиране (криптографска) защита на информацията.

3. Настоящите изисквания са задължителни при обработката на информация в държавните информационни системи, действащи на територията на Руската федерация, както и в общинските информационни системи, освен ако законодателството на Руската федерация за местното самоуправление не предвижда друго.

Тези изисквания не се прилагат за държавни информационни системи на администрацията на президента на Руската федерация, Съвета за сигурност на Руската федерация, Федералното събрание на Руската федерация, правителството на Руската федерация, Конституционния съд на Руската федерация. , Върховния съд на Руската федерация и Федералната служба за сигурност на Руската федерация.

4. Тези Изисквания са предназначени за притежатели на информация, клиенти, които са влезли в държавен договорза създаване на държавна информационна система (по-нататък - клиенти) и оператори на държавни информационни системи (по-нататък - оператори).

Лице, обработващо правителствена информация информационен ресурс, от името на собственика на информацията (клиента) или оператора и (или) предоставяйки им изчислителни ресурси (мощност) за обработка на информация въз основа на сключено споразумение (наричано по-долу упълномощено лице), гарантира защитата на информацията в в съответствие със законодателството на Руската федерация относно информацията, информационните технологии и защитата на информацията. Договорът трябва да предвижда задължението на упълномощеното лице да гарантира защитата на информацията, която е държавен информационен ресурс в съответствие с тези изисквания.

5. При обработката на информация, съдържаща лични данни в държавната информационна система, тези изисквания се прилагат заедно с изискванията за защита на личните данни, когато се обработват в информационни системи за лични данни, одобрени с постановление на правителството на Руската федерация
от 1 ноември 2012 г. N 1119 (Сборник на законодателството на Руската федерация, 2012 г., N 45, чл. 6257).

6. По решение на собственика на информацията (клиента) или оператора тези Изисквания могат да се използват за защита на информацията, съдържаща се в недържавни информационни системи.

7. Защитата на информацията, съдържаща се в държавната информационна система (наричана по-нататък информационната система), се осигурява чрез спазване от собственика на информацията (клиента) и (или) оператора на изискванията за организиране на защитата на информацията, съдържаща се в информационна система и изискванията за мерките за защита на информацията, съдържаща се в информационната система.

II. Изисквания за организиране на защитата на информацията, съдържаща се в информационната система

8. В информационната система обекти на защита са информацията, съдържаща се в информационната система, технически средства (включително компютърно оборудване, компютърни носители за съхранение, средства и системи за комуникация и предаване на данни, технически средства за обработка на буквено-цифрови, графични, видео и говорна информация), общосистемен, приложен, специален софтуер, информационни технологии, както и инструменти за информационна сигурност.

9. За осигуряване защитата на информацията, съдържаща се в информационната система, операторът определя структурно звено или длъжностно лице (служител), отговорно за защитата на информацията.

10. За извършване на работа по защита на информацията по време на създаването и експлоатацията на информационна система собственикът на информацията (клиентът) и операторът в съответствие със законодателството на Руската федерация, ако е необходимо, привличат организации, лицензирани за работа в техническа защита на поверителна информация в съответствие с Федералния закон от 4 май 2011 г. N 99-FZ „За лицензирането отделни видоведейности" (Сборник на законодателството на Руската федерация, 2011 г., N 19, чл. 2716; N 30, чл. 4590; N 43, чл. 5971; N 48, чл. 6728; 2012, N 26, чл. 3446; N 31, чл.4322; 2013 г., N 9, чл.874).

11. За да се гарантира защитата на информацията, съдържаща се в информационната система, се използват инструменти за информационна сигурност, които са преминали оценка на съответствието под формата на задължително сертифициране за съответствие с изискванията за информационна сигурност в съответствие с член 5 от Федералния закон от 27 декември, 2002 N 184-FZ „За техническото регулиране“ (Сборник на законодателството на Руската федерация, 2002 г., № 52, чл. 5140; 2007 г., № 19, чл. 2293; № 49, чл. 6070; 2008 г., № 30, чл.3616; 2009 г., № 29, чл.3626; N 48, чл.5711; 2010, N 1, чл.6; 2011, N 30, чл.4603; N 49, чл.7025; N 50 , чл.7351; 2012 г., N 31, чл.4322; 2012 г., N 50, чл.6959).

12. Защита на информацията, съдържаща се в информационната система интегрална частработа по създаването и експлоатацията на информационна система и се осигурява на всички етапи (фази) от нейното създаване, по време на експлоатация и извеждане от експлоатация чрез предприемане на организационни и технически мерки за защита на информацията, насочени към блокиране (неутрализиране) на заплахи за информационната сигурност в информационната система, в рамките на системата (подсистемите) за защита на информацията на информационна система (наричана по-долу система за защита на информацията за информационна система).

Организационните и технически мерки за защита на информацията, прилагани в рамките на системата за защита на информацията на информационната система, в зависимост от информацията, съдържаща се в информационната система, целите на създаването на информационната система и задачите, решавани от тази информационна система, трябва да бъдат насочени към елиминиране:

неоторизиран достъп, копиране, предоставяне или разпространение на информация (осигуряване на поверителността на информацията);

незаконно унищожаване или модифициране на информация (осигуряване целостта на информацията);

незаконно блокиране на информация (осигуряване на наличност на информация).

13. За осигуряване защитата на информацията, съдържаща се в информационната система, се предприемат следните мерки:

разработване на изисквания за защита на информацията, съдържаща се в информационната система;

разработване на система за информационна сигурност за информационна система;

внедряване на системата за информационна сигурност на информационната система;

сертифициране на информационната система съгласно изискванията за сигурност на информацията (наричано по-нататък сертифициране на информационната система) и въвеждането й в експлоатация;

осигуряване на защита на информацията при експлоатацията на сертифицирана информационна система;

осигуряване на защита на информацията по време на извеждане от експлоатация на сертифицирана информационна система или след вземане на решение за прекратяване на обработката на информация.

Формиране на изисквания за защита на информацията, съдържаща се в информационната система

14. Формирането на изисквания за защита на информацията, съдържаща се в информационната система, се извършва от собственика на информацията (клиента).

Формирането на изисквания за защита на информацията, съдържаща се в информационната система, се извършва, като се вземе предвид GOST R 51583 „Защита на информацията. Процедурата за създаване на автоматизирани системи в защитен дизайн. Общи разпоредби" (по-нататък - GOST R 51583) и GOST R 51624 "Защита на информацията. Автоматизирани системи в защитен дизайн. Общи изисквания" (по-нататък - GOST R 51624) и включва:

вземане на решение относно необходимостта от защита на информацията, съдържаща се в информационната система;

класификация на информационната система според изискванията за сигурност на информацията (наричана по-нататък класификация на информационната система);

идентифициране на заплахи за информационната сигурност, чието прилагане може да доведе до нарушаване на информационната сигурност в информационната система, и разработване въз основа на тях на модел на заплахи за информационната сигурност;

определяне на изискванията към системата за информационна сигурност на информационната система.

14.1. При вземане на решение за необходимостта от защита на информацията, съдържаща се в информационна система, се извършва следното:

анализ на целите за създаване на информационна система и задачите, които тази информационна система решава;

определяне на информацията, която да се обработва в информационната система;

анализ на наредби, методически документи и национални стандарти, на които трябва да отговаря информационната система;

вземане на решение за необходимостта от създаване на система за информационна сигурност за информационна система, както и определяне на целите и целите на информационната сигурност в информационна система, основните етапи на създаване на система за информационна сигурност за информационна система и функции за осигуряване защитата на информацията, съдържаща се в информационната система, собственикът на информацията (клиентът), операторът и упълномощените лица.

14.2. Класификацията на информационната система се извършва в зависимост от значимостта на обработваната в нея информация и мащаба на информационната система (федерална, регионална, съоръжение).

Установени са три класа на сигурност на една информационна система, определящи нивата на сигурност на съдържащата се в нея информация. Най-ниският клас е трети, най-високият е първи. Класът на сигурност на информационна система се определя съгласно Приложение № 1 към настоящите Изисквания.

Класът на сигурност се определя за информационната система като цяло и, ако е необходимо, за отделните й сегменти ( компоненти). Изискването за класа на сигурност е включено в техническите спецификации за създаване на информационна система и (или) техническите спецификации (частни технически спецификации) за създаване на система за информационна сигурност за информационна система, разработена, като се вземе предвид GOST 34.602 "Информационни технологии. Набор от стандарти за автоматизирани системи. Технически спецификации за създаване на автоматизирана система" (по-нататък - GOST 34.602), GOST R 51583 и GOST R 51624.

Класът на сигурност на информационната система подлежи на преразглеждане, когато мащабът на информационната система или значимостта на информацията, обработвана в нея, се промени.

Резултатите от класификацията на информационната система се документират в акт за класификация.

14.3. Заплахите за информационната сигурност се определят въз основа на резултатите от оценката на възможностите (потенциала) на външни и вътрешни нарушители, анализ на възможните уязвимости на информационната система, възможни начиниприлагане на заплахи за информационната сигурност и последиците от нарушаване на свойствата на информационната сигурност (конфиденциалност, цялост, достъпност).

Като първоначални данни за идентифициране на заплахи за информационната сигурност се използва база данни за заплахи за информационната сигурност (bdu.site), поддържана от FSTEC на Русия в съответствие с параграф 21 от параграф 8 от Правилника за Федералната служба за технически и износ Контрол, одобрен с Указ на президента на Руската федерация от 16 август 2004 г. N 1085 (Сборник на законодателството на Руската федерация, 2004, N 34, чл. 3541; 2006, N 49, чл. 5192; 2008, N 43, чл. 4921; N 47, чл.5431; 2012, N 7, чл.818; 2013, N 26, чл.3314; N 53, чл.7137; 2014, N 36, чл.4833; N 44, чл.6041 ; 2015, N 4, член 641; 2016, N 1 , член 211) (наричана по-нататък банката данни за заплахи за информационната сигурност на FSTEC на Русия), както и други източници, съдържащи информация за уязвимости и заплахи за информационна сигурност.

При определяне на заплахите за информационната сигурност се вземат предвид структурните и функционалните характеристики на информационната система, включително структурата и състава на информационната система, физическите, логическите, функционалните и технологичните връзки между сегментите на информационната система, с други информационни системи. и информационни и телекомуникационни мрежи, начините за обработка на информацията в информационната система и в отделните й сегменти, както и други характеристики на информационната система, използваните информационни технологии и особеностите на нейното функциониране.

Въз основа на резултатите от идентифицирането на заплахи за информационната сигурност, ако е необходимо, се разработват препоръки за коригиране на структурните и функционални характеристики на информационната система, насочени към блокиране (неутрализиране) на отделни заплахи за информационната сигурност.

Моделът на заплахите за информационната сигурност трябва да съдържа описание на информационната система и нейните структурни и функционални характеристики, както и описание на заплахите за информационната сигурност, включително описание на възможностите на нарушителите (модел на нарушителя), възможните уязвимости на информационна система, начини за реализиране на заплахи за информационната сигурност и последствията от нарушаване на свойствата на информационната сигурност.

За идентифициране на заплахи за информационната сигурност и разработване на модел на заплахи за информационната сигурност се използват методически документи, разработени и одобрени от FSTEC на Русия в съответствие с алинея 4 на параграф 8 от Правилника за Федералната служба за технически и експортен контрол, одобрен с указ на президента на Руската федерация от 16 август 2004 г. N 1085 (Сборник на законодателството на Руската федерация, 2004, N 34, чл. 3541; 2006, N 49, чл. 5192; 2008, N 43, чл. 4921; N 47, чл. 5431; 2012 г., N 7, чл. 818).

14.4. Изискванията към системата за информационна сигурност на една информационна система се определят в зависимост от класа на сигурност на информационната система и заплахите за информационната сигурност, включени в модела на заплахите за информационната сигурност.

Изискванията за системата за информационна сигурност на информационна система са включени в техническите спецификации за създаване на информационна система и (или) технически спецификации (частни технически спецификации) за създаване на система за информационна сигурност за информационна система, разработена като се вземат предвид сметка GOST 34.602, GOST R 51583 и GOST R 51624 и трябва да съдържа включително:

целта и задачите за осигуряване на информационна сигурност в информационната система;

клас на сигурност на информационната система;

списък на регулаторни правни актове, методически документи и национални стандарти, на които информационната система трябва да отговаря;

списък на обектите за защита на информационната система;

изисквания към мерките и средствата за защита на информацията, използвани в информационната система;

етапи (етапи на работа) на създаване на система за защита на информационната система;

изисквания към доставяния хардуер, софтуер, средства за защита на информацията;

функции на клиента и оператора за осигуряване на информационна сигурност в информационната система;

изисквания за защита на фондовете и системите, които осигуряват функционирането на информационната система (поддържаща инфраструктура);

изисквания за защита на информацията при информационно взаимодействие с други информационни системи и информационни и телекомуникационни мрежи, включително с информационни системи на упълномощено лице, както и при използване на изчислителни ресурси(капацитет), предоставен от упълномощено лице за обработка на информация.

При определяне на изискванията към системата за информационна сигурност на една информационна система се вземат предвид разпоредбите на политиките за сигурност информационна сигурностсобственика на информацията (клиента), както и политиките за информационна сигурност на оператора и упълномощеното лице, доколкото това не противоречи на политиките на собственика на информацията (клиента).

Разработване на система за информационна сигурност за информационна система

15. Разработването на система за информационна сигурност за информационна система се организира от собственика на информацията (клиента).

Разработването на система за информационна сигурност за информационна система се извършва в съответствие с техническите спецификации за създаване на информационна система и (или) техническите спецификации (частни технически спецификации) за създаване на система за информационна сигурност за информация система, като се вземе предвид GOST 34.601 „Информационни технологии. Набор от стандарти за автоматизирани системи. Автоматизирани системи. Етапи на създаване" (по-нататък - GOST 34.601), GOST R 51583 и GOST R 51624 и включва:

проектиране на система за информационна сигурност за информационна система;

разработване на оперативна документация за системата за информационна сигурност на информационната система;

прототипиране и тестване на системата за информационна сигурност на информационната система (при необходимост).

Системата за информационна сигурност на информационната система не трябва да пречи на постигането на целите за създаване на информационната система и нейното функциониране.

При разработването на система за информационна сигурност за информационна система се взема предвид нейното информационно взаимодействие с други информационни системи и информационни и телекомуникационни мрежи, включително информационни системи на упълномощено лице, както и използването на изчислителни ресурси (мощност), предоставени от упълномощено лице за обработка на информация.

15.1. Когато проектирате система за информационна сигурност за информационна система:

определят се видовете субекти на достъп (потребители, процеси и други субекти на достъп) и обекти на достъп, които са обекти на защита (устройства, обекти). файлова система, стартирани и изпълними модули, обекти на системата за управление на бази данни, обекти, създадени от приложен софтуер, други обекти за достъп);

определят се методи за контрол на достъпа (дискреционни, задължителни, ролеви или други методи), видове достъп (четене, запис, изпълнение или други видове достъп) и правила за разграничаване на достъпа на субектите на достъп до обекти за достъп (въз основа на списъци, етикети за сигурност , роли и други правила), които трябва да бъдат внедрени в информационната система;

избрани са мерки за сигурност на информацията, които да бъдат приложени в системата за информационна сигурност на информационната система;

определят се видовете и видовете средства за информационна сигурност, за да се осигури прилагането на технически мерки за информационна сигурност;

определя се структурата на системата за информационна сигурност на информационната система, включително състава (количеството) и местоположението на нейните елементи;

изборът на средства за информационна сигурност, сертифицирани за съответствие с изискванията за сигурност на информацията, се извършва, като се вземат предвид тяхната цена, съвместимост с информационните технологии и технически средства, функциите за сигурност на тези инструменти и характеристиките на тяхното прилагане, както и класа на сигурност на информационната система;

определят се изисквания за софтуерни настройки, включително софтуер за информационна сигурност, който осигурява прилагането на мерки за информационна сигурност, както и премахване на възможни уязвимости на информационната система, които водят до заплахи за информационната сигурност;

мерките за защита на информацията се определят по време на информационно взаимодействие с други информационни системи и информационни и телекомуникационни мрежи, включително с информационни системи на упълномощено лице, както и при използване на изчислителни ресурси (мощност), предоставени от упълномощено лице за обработка на информация.

Резултатите от проектирането на система за информационна сигурност за информационна система са отразени в проектната документация (скиден (технически) проект и (или) работна документация) за информационната система (система за информационна сигурност на информационна система), разработена, като се вземе предвид GOST 34.201 “Информационни технологии. Набор от стандарти за автоматизирани системи. Видове, пълнота и обозначение на документи при създаване на автоматизирани системи" (по-нататък - GOST 34.201).

Проектната документация за информационна система и (или) нейната система за информационна сигурност е предмет на съгласуване с оператора на информационната система, ако той е определен като такъв в съответствие със законодателството на Руската федерация към момента на проектирането на системата за информационна сигурност. на информационната система е завършен и не е клиент на тази информационна система.

При липса на необходимите средства за информационна сигурност, сертифицирани за съответствие с изискванията за информационна сигурност, се организира разработването (преразглеждането) на средствата за информационна сигурност и тяхното сертифициране в съответствие със законодателството на Руската федерация или проектните решения за информационната система и (или) неговата система за защита на информацията се коригира, като се вземе предвид функционалностналични сертифицирани инструменти за защита на информацията.

15.2. Разработването на оперативна документация за системата за информационна сигурност на информационна система се извършва в съответствие с техническите спецификации за създаване на информационна система и (или) техническите спецификации (частни технически спецификации) за създаване на система за информационна сигурност за информационна система.

Оперативната документация за системата за информационна сигурност на информационната система се разработва, като се вземат предвид GOST 34.601, GOST 34.201 и GOST R 51624 и трябва да съдържа описание на:

структура на системата за информационна сигурност на информационната система;

състав, места за инсталиране, параметри и процедура за настройка на средства за защита на информацията, софтуер и хардуер;

правила за работа на системата за информационна сигурност на информационната система.

15.3. При прототипиране и тестване на системата за информационна сигурност на информационна система се извършва следното:

проверка на работоспособността и съвместимостта на избраните средства за защита на информацията с информационните технологии и технически средства;

проверка дали избраните инструменти за информационна сигурност отговарят на изискванията за системата за информационна сигурност на информационната система;

коригиране на дизайнерски решения, разработени при създаването на информационна система и (или) система за информационна сигурност за информационна система.

Оформлението на системата за информационна сигурност на информационна система и нейното тестване могат да се извършат, наред с други неща, с помощта на инструменти и методи за моделиране на информационни системи и технологии за виртуализация.

Внедряване на система за информационна сигурност информационна система

16. Изпълнението на системата за информационна сигурност на информационната система се организира от собственика на информацията (клиента).

Внедряването на системата за информационна сигурност на информационната система се извършва в съответствие с проектната и експлоатационната документация за системата за информационна сигурност на информационната система и включва:

инсталиране и конфигуриране на средства за информационна сигурност в информационната система;

разработване на документи, определящи правилата и процедурите, прилагани от оператора, за да се гарантира защитата на информацията в информационната система по време на нейното функциониране (наричани по-долу организационни и административни документи за защита на информацията);

прилагане на организационни мерки за защита на информацията;

предварително тестване на системата за информационна сигурност на информационната система;

пробна експлоатация на системата за сигурност на информацията;

анализ на уязвимостите на информационната система и приемане на мерки за сигурност на информацията за отстраняването им;

тестове за приемане на системата за информационна сигурност на информационната система.

Операторът на информационната система участва в внедряването на системата за информационна сигурност на информационната система, ако той е определен като такъв в съответствие със законодателството на Руската федерация към момента на внедряване на системата за информационна сигурност на информационната система и не е клиент на тази информационна система.

16.1. Инсталирането и конфигурирането на средства за информационна сигурност в информационна система трябва да се извършва в съответствие с оперативната документация за системата за информационна сигурност на информационната система и документацията за средства за информационна сигурност.

16.2. Разработените организационни и административни документи за защита на информацията трябва да определят правилата и процедурите:

управление (администриране) на системата за информационна сигурност на информационната система;

идентифициране на инциденти (едно събитие или група от събития), които могат да доведат до сривове или нарушаване на функционирането на информационната система и (или) появата на заплахи за информационната сигурност (наричани по-нататък инциденти), и реагиране на тях;

управление на конфигурацията на сертифицираната информационна система и системата за информационна сигурност на информационната система;

контрол (мониторинг) върху осигуряване на нивото на сигурност на информацията, съдържаща се в информационната система;

защита на информацията при извеждане от експлоатация на информационна система или след вземане на решение за прекратяване на обработката на информация.

16.3. При прилагането на организационни мерки за информационна сигурност се извършват:

прилагане на правила за контрол на достъпа, уреждащи правата на достъп на субектите на достъп до обекти за достъп и въвеждане на ограничения върху действията на потребителите, както и върху променящите се условия на работа, състав и конфигурация на хардуер и софтуер;

проверка на пълнотата и детайлността на описанието в организационни и разпоредителни документи по защита на информацията на действията на потребителите и администраторите на информационната система за прилагане на организационни мерки за защита на информацията;

тестване на действията на служители и отдели, отговорни за прилагането на мерки за сигурност на информацията.

16.4. Предварителните тестове на системата за информационна сигурност на информационната система се извършват, като се вземат предвид GOST 34.603 „Информационни технологии. Видове тестване на автоматизирани системи" (наричан по-долу GOST 34.603) и включва тестване на функционалността на системата за информационна сигурност на информационната система, както и вземане на решение относно възможността за пробна експлоатация на системата за информационна сигурност на информацията система.

16.5. Пробната експлоатация на системата за информационна сигурност на информационната система се извършва, като се вземе предвид GOST 34.603 и включва проверка на функционирането на системата за информационна сигурност на информационната система, включително въведените мерки за сигурност на информацията, както и готовността на потребителите и администраторите да управлява системата за информационна сигурност на информационната система.

16.6. Анализът на уязвимостите на информационната система се извършва, за да се оцени възможността нарушител да преодолее системата за информационна сигурност на информационната система и да предотврати реализирането на заплахи за информационната сигурност.

Анализът на уязвимостите на информационната система включва анализ на уязвимостите на средствата за информационна сигурност, хардуера и софтуера на информационната система.

При анализиране на уязвимостите на информационната система се проверява липсата на известни уязвимости в инструментите за информационна сигурност, хардуера и софтуера, включително като се вземе предвид информацията, достъпна за разработчиците и получена от други публично достъпни източници, правилната инсталация и конфигурация на инструментите за информационна сигурност , хардуер и софтуер, както и правилната работа на средствата за защита на информацията при взаимодействие с хардуер и софтуер.

Ако се идентифицират уязвимости на информационната система, които водят до допълнителни заплахи за информационната сигурност, моделът на заплахите за информационната сигурност се изяснява и, ако е необходимо, се предприемат допълнителни мерки за защита на информацията, за да се елиминират идентифицираните уязвимости или да се изключи възможността нарушител да използва идентифицираните уязвимости .

Въз основа на резултатите от анализа на уязвимостта трябва да се потвърди, че информационната система не съдържа уязвимости, съдържащи се в базата данни за заплахи за информационната сигурност на FSTEC на Русия, както и в други източници, или тяхното използване (експлоатация) от нарушител е невъзможно.

16.7. Тестовете за приемане на системата за информационна сигурност на информационна система се извършват, като се вземе предвид GOST 34.603 и включват проверка на съответствието с изискванията за системата за информационна сигурност на информационна система в съответствие с техническите спецификации за създаване на информационна система и (или) техническите спецификации (частни технически спецификации) за създаване на система за информационна сигурност за информационна система.

Сертификация на информационната система и въвеждане в експлоатация

17. Сертифицирането на информационната система се организира от собственика на информацията (клиента) или оператора и включва набор от организационни и технически мерки (сертификационни тестове), в резултат на които се установява съответствието на системата за информационна сигурност на информационната система. с тези Изисквания се потвърждава.

Провеждане на сертификационни тестове на информационната система длъжностни лицаизвършването на проектиране и (или) внедряване на система за информационна сигурност за информационна система не е разрешено.

17.1. Като първоначални данни, необходими за сертифициране на информационна система, модел на заплахи за информационната сигурност, акт за класифициране на информационна система, техническа спецификация за създаване на информационна система и (или) техническа спецификация (частна техническа спецификация ) за създаване на система за информационна сигурност за информационна система, проектиране и експлоатация се използват документация за системата за информационна сигурност на информационната система, организационни и административни документи за информационна сигурност, резултати от анализа на уязвимостите на информационната система, материали от предварителни и приемни тестове на системата за информационна сигурност на информационната система, както и други документи, разработени в съответствие с тези изисквания.

17.2. Сертифицирането на информационната система се извършва в съответствие с програмата и методите за сертификационни тестове, преди да започне обработката на информацията, която трябва да бъде защитена в информационната система. За извършване на сертифициране на информационната система се използват национални стандарти, както и методически документи, разработени и одобрени от FSTEC на Русия в съответствие с алинея 4 на параграф 8 от Правилника на Федералната служба за технически и експортен контрол, одобрен от Указ на президента на Руската федерация от 16 август 2004 г. N 1085.

Въз основа на резултатите от сертификационните тестове се изготвят протоколи за сертификационни тестове, заключение за съответствието на информационната система с изискванията за защита на информацията и сертификат за съответствие в случай на положителни резултати от сертификационните тестове.

При провеждане на сертификационни тестове трябва да се използват следните методи за проверка (тест):

експертно-документален метод, който включва проверка на съответствието на системата за информационна сигурност на информационната система с установените изисквания за информационна сигурност, въз основа на оценка на оперативна документация, организационни и административни документи за информационна сигурност, както и условията на работа на информационната система;

анализ на уязвимостите на информационната система, включително тези, причинени от неправилна настройка (конфигурация) на софтуер и инструменти за информационна сигурност;

тестване на системата за информационна сигурност чрез опит за неоторизиран достъп (въздействие) на информационната система, заобикаляйки нейната система за информационна сигурност.

17.3. Разрешено е да се сертифицира информационна система въз основа на резултатите от сертификационни тестове на избран набор от сегменти на информационната система, които прилагат пълна технология за обработка на информация.

В този случай разпространението на сертификата за съответствие на други сегменти на информационната система се извършва в зависимост от тяхното съответствие със сегментите на информационната система, които са преминали сертификационни тестове.

Счита се, че даден сегмент съответства на сегмента на информационната система, за който са извършени сертификационни тестове, ако за тези сегменти са установени същите класове на сигурност и заплахи за информационната сигурност и са внедрени същите дизайнерски решения за информационната система и нейната система за информационна сигурност.

Съответствието на сегмента, обхванат от сертификата за съответствие, със сегмента на информационната система, по отношение на който са извършени сертификационни тестове, се потвърждава по време на тестовете за приемане на информационната система или сегменти на информационната система.

В сегментите на информационната система, които са обхванати от сертификата за съответствие, операторът осигурява съответствие с експлоатационната документация за системата за информационна сигурност на информационната система и организационно-разпорядителните документи за информационна сигурност.

Характеристиките на сертифицирането на информационна система въз основа на резултатите от сертификационните тестове на избран набор от нейните сегменти, както и условията и процедурата за разширяване на сертификата за съответствие към други сегменти на информационната система се определят в програмата и методите на сертификационни изпитвания, заключение и сертификат за съответствие.

17.4. Пресертификация на информационната система се извършва след изтичане на срока на валидност на сертификата за съответствие, който не може да надвишава 5 години, или повишаване на класа на сигурност на информационната система. Ако броят на заплахите за информационната сигурност се увеличи или промените в дизайнерските решения, въведени по време на създаването на система за информационна сигурност за информационна система, се извършват допълнителни сертификационни тестове в рамките на текущия сертификат за съответствие.

17.5. Въвеждането в експлоатация на информационната система се извършва в съответствие със законодателството на Руската федерация относно информацията, информационните технологии и защитата на информацията и като се вземе предвид GOST 34.601 и при наличие на сертификат за съответствие.

17.6. Информационните системи, работещи на базата на обща инфраструктура (компютърно оборудване, сървъри на телекомуникационно оборудване) като приложни услуги, подлежат на сертифициране като част от посочената инфраструктура.

Ако информационна система е създадена на базата на център за обработка на данни на упълномощено лице, такъв център за обработка на данни трябва да бъде сертифициран за клас на сигурност не по-нисък от класа на сигурност, установен за създаваната информационна система.

При сертифициране на информационна система трябва да се използват резултатите от сертифициране на общата инфраструктура на оператора на информационната система.

Осигуряване на защита на информацията при работа на сертифицирана информационна система

18. Осигуряването на защита на информацията по време на експлоатацията на сертифицирана информационна система се извършва от оператора в съответствие с експлоатационната документация за системата за защита на информацията и организационни и разпоредителни документи по защита на информацията и включва:

управление (администриране) на системата за информационна сигурност на информационната система;

идентифициране и реагиране на инциденти;

управление на конфигурацията на сертифицирана информационна система и нейната система за информационна сигурност;

контрол (мониторинг) върху осигуряване на нивото на сигурност на информацията, съдържаща се в информационната система.

18.1. По време на управлението (администрирането) на системата за информационна сигурност на информационната система се извършва следното:

създаване и изтриване на потребителски акаунти, управление на правата на потребителите на информационната система и поддържане на правила за контрол на достъпа в информационната система;

Управление на инструменти за информационна сигурност в информационната система, включително софтуерни настройки, включително софтуер за информационна сигурност, управление на потребителски акаунти, възстановяване на инструменти за информационна сигурност, генериране, промяна и възстановяване на пароли;

инсталиране на софтуерни актуализации, включително софтуер за инструменти за информационна сигурност, произведени от разработчици (производители) на инструменти за информационна сигурност или от тяхно име;

централизирано управление на системата за информационна сигурност на информационната система (ако е необходимо);

регистриране и анализ на събития в информационната система, свързани с информационната сигурност (наричани по-долу събития за сигурност);

информиране на потребителите за заплахи за информационната сигурност, правилата за работа на системата за информационна сигурност на информационната система и отделни инструменти за информационна сигурност, както и обучението им;

поддръжка на функционирането на системата за информационна сигурност на информационната система по време на нейната експлоатация, включително коригиране на оперативна документация за нея и организационни и административни документи за информационна сигурност;

18.2. При идентифициране и реагиране на инциденти се извършва следното:

идентифициране на лицата, отговорни за идентифициране и реагиране на инциденти;

откриване и идентифициране на инциденти, включително отказ на услуга, повреди (рестартиране) в работата на хардуера, софтуера и средствата за информационна сигурност, нарушения на правилата за контрол на достъпа, незаконни действия за събиране на информация, въвеждане на злонамерени компютърни програми(вируси) и други събития, водещи до инциденти;

своевременно информиране на лицата, отговорни за идентифициране на инциденти и реагиране при тях, за възникване на инциденти в информационната система от потребители и администратори;

анализ на инциденти, включително идентифициране на източниците и причините за инциденти, както и оценка на последствията от тях;

планиране и предприемане на мерки за отстраняване на инциденти, включително възстановяване на информационната система и нейните сегменти в случай на отказ на услуга или след повреди, отстраняване на последствията от нарушаване на правилата за контрол на достъпа, незаконни действия за събиране на информация, въвеждане на злонамерени компютърни програми (вируси) и други събития, водещи до инциденти;

планиране и предприемане на мерки за предотвратяване на повторна поява на инциденти.

18.3. При управление на конфигурацията на сертифицирана информационна система и нейната система за информационна сигурност се извършва следното:

поддържане на конфигурацията на информационната система и нейната система за информационна сигурност (структура на системата за информационна сигурност на информационната система, състав, места за инсталиране и конфигурационни параметри на средства за информационна сигурност, софтуер и хардуер) в съответствие с оперативната документация за информационна сигурност система (поддържане на основната конфигурация на информационната система и нейните системи за информационна сигурност);

определяне на лица, които са упълномощени да извършват промени в основната конфигурация на информационната система и нейната система за информационна сигурност;

управление на промени в основната конфигурация на информационната система и нейната система за информационна сигурност, включително определяне на видовете възможни промени в основната конфигурация на информационната система и нейната система за информационна сигурност, разрешаване на промени в основната конфигурация на информационната система и нейната информация система за сигурност, документиране на действия за извършване на промени в основната конфигурация на информационната система и нейната система за информационна сигурност, запазване на данни за промени в основната конфигурация на информационната система и нейната система за информационна сигурност, наблюдение на действия за извършване на промени в основната конфигурация на информационната система и нейната система за информационна сигурност;

анализ на потенциалното въздействие на планираните промени в основната конфигурация на информационната система и нейната система за информационна сигурност върху осигуряването на информационна сигурност, появата на допълнителни заплахи за информационната сигурност и работата на информационната система;

определяне на софтуерни настройки, включително софтуер за информационна сигурност, състав и конфигурация на хардуер и софтуер преди извършване на промени в основната конфигурация на информационната система и нейната система за информационна сигурност;

въвеждане на информация (данни) за промени в основната конфигурация на информационната система и нейната система за информационна сигурност в оперативната документация за системата за информационна сигурност на информационната система;

вземане на решение въз основа на резултатите от управлението на конфигурацията за повторно сертифициране на информационната система или провеждане на допълнителни сертификационни тестове.

18.4. В хода на контрола (мониторинга) за осигуряване нивото на сигурност на информацията, съдържаща се в информационната система, се извършва следното:

контрол върху събитията по сигурността и действията на потребителите в информационната система;

контрол (анализ) на сигурността на информацията, съдържаща се в информационната система;

анализ и оценка на функционирането на системата за информационна сигурност на информационната система, включително идентифициране, анализ и отстраняване на недостатъци във функционирането на системата за информационна сигурност на информационната система;

периодичен анализ на промените в заплахите за информационната сигурност в информационната система, които възникват по време на нейната работа, и приемането на мерки за защита на информацията в случай на нови заплахи за информационната сигурност;

документиране на процедури и резултати от контрол (мониторинг) за осигуряване на нивото на сигурност на информацията, съдържаща се в информационната система;

вземане на решение въз основа на резултатите от контрол (мониторинг) за осигуряване на нивото на информационна сигурност за преразглеждане (надграждане) на системата за информационна сигурност на информационната система, повторно сертифициране на информационната система или провеждане на допълнителни сертификационни тестове.

Осигуряване на защита на информацията при извеждане от експлоатация на сертифицирана информационна система или след вземане на решение за завършване на обработката на информацията

19. Осигуряването на защита на информацията при извеждане от експлоатация на сертифицирана информационна система или след вземане на решение за завършване на обработката на информация се извършва от оператора в съответствие с експлоатационната документация за системата за информационна сигурност на информационната система и организационни и административни документи относно информацията защита и включва:

архивиране на информация, съдържаща се в информационната система;

унищожаване (изтриване) на данни и остатъчна информация от компютърни носители за съхранение и (или) унищожаване на компютърни носители за съхранение.

19.1. Архивирането на информацията, съдържаща се в информационната система, трябва да се извършва, ако има нужда от по-нататъшно използване на информацията в дейностите на оператора.

19.2. Унищожаване (изтриване) на данни и остатъчна информация от компютърни носители за съхранение се извършва, ако е необходимо компютърните носители да бъдат прехвърлени на друг потребител на информационната система или на трети лица за ремонт, Поддръжкаили по-нататъшно унищожаване.

При извеждане от експлоатация на компютърни носители за съхранение, на които е била съхранявана и обработвана информация, тези компютърни носители за съхранение се унищожават физически.

III. Изисквания към мерките за защита на информацията, съдържаща се в информационната система

20. Организационните и технически мерки за защита на информацията, прилагани в информационната система в рамките на нейната система за защита на информацията, в зависимост от заплахите за информационната сигурност, използваните информационни технологии и структурните и функционални характеристики на информационната система, трябва да гарантират:

идентифициране и удостоверяване на субекти на достъп и обекти на достъп;

контрол на достъпа на субекти на достъп до обекти на достъп;

ограничаване на софтуерната среда;

защита на компютърни носители за съхранение;

регистриране на събития за сигурност;

антивирусна защита;

откриване на проникване (предотвратяване);

контрол (анализ) на информационната сигурност;

интегритет на информационната система и информацията;

наличие на информация;

защита на средата за виртуализация;

защита на технически средства;

защита на информационната система, нейните съоръжения, системи за комуникация и предаване на данни.

Съставът на мерките за сигурност на информацията и техните основни набори за съответните класове на сигурност на информационните системи са дадени в Приложение № 2 към настоящите Изисквания.

20.1. Мерките за идентификация и удостоверяване на субектите на достъп и обектите на достъп трябва да осигурят присвояването на уникален атрибут (идентификатор) на субектите и обектите на достъп, сравнение на идентификатора, представен от субекта (обекта) на достъп, със списъка на присвоените идентификатори, т.к. както и проверка на собствеността на субекта за достъп (обект) на представения им идентификатор (потвърждение на автентичността).

20.2. Мерките за контрол на достъпа на субекти на достъп до обекти на достъп трябва да гарантират управление на правата и привилегиите на субектите на достъп, разграничаване на достъпа на субекти на достъп до обекти на достъп въз основа на набор от правила за контрол на достъпа, установени в информационната система, както и да гарантират контрол за спазване на тези правила.

20.3. Мерките за ограничаване на софтуерната среда трябва да гарантират инсталирането и (или) стартирането само на софтуер, разрешен за използване в информационната система, или да изключват възможността за инсталиране и (или) стартиране на софтуер, забранен за използване в информационната система.

20.4. Мерките за защита на компютърните носители за съхранение (средства за обработка (съхранение) на информация, сменяеми компютърни носители за съхранение) трябва да изключват възможността за неоторизиран достъп до компютърни носители за съхранение и информацията, съхранена върху тях, както и неоторизирано използване на сменяеми компютърни носители за съхранение.

20.5. Мерките за регистриране на събития, свързани със сигурността, трябва да осигуряват събирането, записването, съхраняването и защитата на информацията за събитията, свързани със сигурността, в информационната система, както и възможността за преглед, анализ на информация за такива събития и реакция на тях.

20.6. Мерките за антивирусна защита трябва да гарантират откриване на компютърни програми или др компютърна информация, предназначени за неразрешено унищожаване, блокиране, модифициране, копиране на компютърна информация или неутрализиране на мерките за сигурност на информацията, както и реагиране при откриването на тези програми и информация.

20.7. Мерките за откриване (предотвратяване) на проникване трябва да гарантират откриването на действия в информационната система, насочени към умишлен неоторизиран достъп до информация, специални въздействия върху информационната система и (или) информация с цел нейното получаване, унищожаване, изкривяване и блокиране на достъпа на информация, както и отговор за тези действия.

20.8. Мерките за контрол (анализ) на информационната сигурност трябва да осигуряват контрол на нивото на сигурност на информацията, съдържаща се в информационната система, чрез извършване на дейности за анализ на сигурността на информационната система и тестване на нейната система за информационна сигурност.

20.9. Мерките за гарантиране на целостта на информационната система и информацията трябва да гарантират откриването на факти за неоторизирано нарушаване на целостта на информационната система и информацията, съдържаща се в нея, както и възможността за възстановяване на информационната система и информацията, съдържаща се в нея.

20.10. Мерките за осигуряване на достъпност на информацията трябва да осигуряват разрешен достъп на потребители, които имат права за такъв достъп до информацията, съдържаща се в информационната система, в нормален режим на работа на информационната система.

20.11. Мерките за защита на средата за виртуализация трябва да изключват неоторизиран достъп до информацията, обработвана във виртуалната инфраструктура и до компонентите на виртуалната инфраструктура, както и въздействие върху информацията и компонентите, включително инструменти за управление на виртуална инфраструктура, наблюдение виртуални машини(хипервайзор), система за съхранение на данни (включително система за съхранение на изображения на виртуална инфраструктура), мрежа за предаване на данни чрез елементи на виртуална или физическа инфраструктура, гост операционна система, виртуални машини (контейнери), репликационна система и мрежа, терминал и виртуални устройства, както и системата за архивиране и копията, които създава.

20.12. Мерките за защита на техническите средства трябва да изключват неоторизиран достъп до стационарни технически средства, които обработват информация, средства, осигуряващи функционирането на информационната система (наричани по-нататък средства за осигуряване на функциониране), и до помещенията, в които те са постоянно разположени, защитавайки технически средства от външни влияния, както и защитата на информацията, представена под формата на информационни електрически сигнали и физически полета.

20.13. Мерките за защита на информационната система, нейните съоръжения, системи за комуникация и предаване на данни трябва да гарантират защитата на информацията по време на взаимодействието на информационната система или нейните отделни сегменти с други информационни системи и информационни и телекомуникационни мрежи чрез използване на архитектурата на информационната система, проектни решения за своята система за защита на информацията, насочени към осигуряване на информационна сигурност.

21. Изборът на мерки за сигурност на информацията за внедряването им в информационната система в рамките на нейната система за сигурност на информацията включва:

определяне на базов набор от мерки за защита на информацията за установения клас на сигурност на информационна система в съответствие с основните набори от мерки за защита на информацията, дадени в Приложение № 2 към тези Изисквания;

адаптиране на основен набор от мерки за защита на информацията във връзка със структурните и функционални характеристики на информационната система, информационните технологии, характеристиките на функционирането на информационната система (включително изключването от основния набор от мерки за защита на информацията на мерки, пряко свързани с информационни технологии, които не се използват в информационната система, или структурно-функционални характеристики, които не са характерни за информационната система);

изясняване на адаптирания основен набор от мерки за информационна сигурност, като се вземат предвид предварително неизбрани мерки за информационна сигурност, дадени в Приложение № 2 към тези Изисквания, в резултат на което се определят мерки за информационна сигурност, които осигуряват блокирането (неутрализирането) на цялата информационна сигурност заплахи, включени в модела на заплахите за информационната сигурност;

добавяне на прецизиран, адаптиран основен набор от мерки за защита на информацията с мерки за осигуряване на съответствие с изискванията за защита на информацията, установени от други нормативни правни актове в областта на защитата на информацията, включително в областта на защитата на личните данни.

За да изберете мерки за сигурност на информацията за съответния клас на сигурност на информационна система, се използват методически документи, разработени и одобрени от FSTEC на Русия в съответствие с алинея 4 на параграф 8 от Правилника за Федералната служба за технически и експортен контрол, одобрен с Указ на президента на Руската федерация от 16 август 2004 г. N 1085 .

22. В информационна система от съответния клас на сигурност, в рамките на нейната система за информационна сигурност, трябва да се прилагат мерки за информационна сигурност, избрани в съответствие с параграф 21 от тези изисквания и осигуряващи блокиране (неутрализиране) на всички заплахи за информационната сигурност .

В същото време информационната система трябва като минимум да прилага адаптиран основен набор от мерки за информационна сигурност, който съответства на установения клас на сигурност на информационната система.

23. Ако е невъзможно да се внедрят в информационна система в рамките на нейната система за защита на информацията индивидуални избрани мерки за защита на информацията на етапите на адаптиране на основен набор от мерки за защита на информацията или изясняване на адаптиран основен набор от мерки за защита на информацията, друга (компенсираща) информация могат да бъдат разработени мерки за защита, за да се осигури адекватно блокиране (неутрализиране) на заплахи за информационната сигурност.

В този случай по време на разработването на система за информационна сигурност за информационна система трябва да се обоснове използването на компенсиращи мерки за информационна сигурност, а по време на сертификационните тестове достатъчността и адекватността на тези компенсиращи мерки за блокиране (неутрализиране) на заплахи за информационната сигурност трябва да се оцени.

24. Мерките за защита на информацията се избират и прилагат в информационната система в рамките на нейната система за защита на информацията, като се вземат предвид заплахите за информационната сигурност по отношение на всички обекти и субекти на достъп на хардуер, система, приложение и мрежови нива, включително в средата на виртуализация и облачни изчисления.

25. Организационните мерки и мерките за сигурност на информацията, използвани в информационната система, трябва да гарантират:

в информационни системи от 1-ви клас на сигурност - защита от заплахи за информационната сигурност, свързани с действията на високопотенциални нарушители;

в информационни системи от клас на сигурност 2 - защита от заплахи за информационната сигурност, свързани с действията на нарушители с потенциал не по-нисък от засиления основен;

в информационните системи, клас на сигурност 3 - защита от заплахи за информационната сигурност, свързани с действията на нарушители с потенциал не по-нисък от основния.

Потенциалът на нарушителите се определя по време на оценка на техните способности, извършена при идентифициране на заплахи за информационната сигурност в съответствие с точка 14.3 от тези Изисквания.

Операторът може да реши да приложи мерки за сигурност на информацията в информационна система от подходящ клас на сигурност, които осигуряват защита срещу заплахи за сигурността на информацията, прилагани от нарушители с по-висок потенциал.

26. Мерките за техническа сигурност на информацията се осъществяват чрез използване на средства за защита на информацията, включително софтуерни (хардуерни) средства, в които са реализирани, които имат необходимите функции за сигурност. при което:

в информационни системи от 1-ви клас на сигурност се използват средства за защита на информацията най-малко от клас 4, както и компютърна техника от най-малко клас 5;

в информационни системи от клас на сигурност 2 се използват средства за защита на информацията най-малко от клас 5, както и компютърно оборудване от най-малко клас 5;

в информационни системи от клас 3 на сигурност се използват средства за информационна сигурност от клас 6, както и компютърно оборудване от най-малко клас 5.

Информационните системи от класове на сигурност 1 и 2 използват инструменти за информационна сигурност, които са тествани поне на ниво 4, за да контролират липсата на недекларирани възможности.

Класовете на защита се определят в съответствие с регулаторните правни актове на FSTEC на Русия, издадени в съответствие с подточка 13.1 от точка 8 от Правилника за Федералната служба за технически и експортен контрол, одобрен с указ на президента на Руската федерация от 16 август 2004 г. N 1085.

Информационните системи използват инструменти за информационна сигурност, сертифицирани за съответствие със задължителните изисквания за информационна сигурност, установени от Федералната служба за технически и експортен контрол на Русия, или за съответствие с изискванията, посочени в технически условия(задачи по сигурността). В същото време защитните функции на такива средства трябва да гарантират съответствие с тези Изисквания.

27. В случай на обработка в информационната система на информация, съдържаща лични данни, изпълнена в съответствие с параграфи 21 и 22 от тези изисквания, мерките за защита на информацията:

за информационна система от 1 клас на сигурност осигуряват 1, 2, 3 и 4 нива на сигурност на личните данни 1;

за информационна система от 2 класа на сигурност са предвидени 2, 3 и 4 нива на сигурност на личните данни 1;

за информационна система, клас на сигурност 3 осигурява нива 3 и 4 на сигурност на личните данни 1.

28. При използване на нови информационни технологии в информационните системи и идентифициране на допълнителни заплахи за информационната сигурност, за които не са определени мерки за защита на информацията, трябва да се разработят компенсиращи мерки в съответствие с параграф 23 от тези Изисквания.

___________________________________

1 Създаден в съответствие с Изискванията за защита на личните данни по време на тяхната обработка в информационни системи за лични данни, одобрени с Указ на правителството на Руската федерация от 1 ноември 2012 г. N 1119.

Приложение No1

не представлява държавна тайна,

информационни системи

Определяне класа на сигурност на информационна система

1. Класът на сигурност на информационната система (първи клас (K1), втори клас (K2), трети клас (K3)) се определя в зависимост от нивото на значимост на информацията (IS), обработвана в тази информационна система, и мащаба на информационната система (федерална, регионална, обектна).

Клас на сигурност (K) = [ниво на информационна значимост; системен мащаб].

2. Нивото на значимост на информацията се определя от степента на възможна вреда за собственика на информацията (клиента) и (или) оператора от нарушаване на поверителността (незаконен достъп, копиране, предоставяне или разпространение), целостта (незаконно унищожаване или модификация) или наличност (незаконно блокиране) на информация.

KM = [(конфиденциалност, степен на увреждане) (цялост, степен на увреждане) (наличност, степен на увреждане)],

когато степента на възможните щети се определя от собственика на информацията (клиента) и (или) оператора независимо чрез експертни или други методи и може да бъде:

високо, ако в резултат на нарушаване на едно от свойствата на информационната сигурност (конфиденциалност, цялост, достъпност) са възможни значителни отрицателни последици в социални, политически, международни, икономически, финансови или други области на дейност и (или) информационна система и (или) операторът (притежателят на информация) не може да изпълнява функциите, които са му възложени;

средно, ако в резултат на нарушение на едно от свойствата на информационната сигурност (конфиденциалност, цялост, достъпност) са възможни умерени негативни последици в социални, политически, международни, икономически, финансови или други области на дейност и (или) информационна система и (или) операторът (притежателят на информация) не може да изпълнява поне една от функциите, които са му възложени;

ниско, ако в резултат на нарушение на едно от свойствата на информационната сигурност (конфиденциалност, цялост, достъпност) са възможни незначителни отрицателни последици в социални, политически, международни, икономически, финансови или други области на дейност и (или) информационна система и (или) операторът (притежателят на информация) ) могат да изпълняват възложените им функции с недостатъчна ефективност или изпълнението на функции е възможно само с участието на допълнителни сили и средства.

Информацията има високо ниво на значимост (LO 1), ако поне едно от свойствата на информационната сигурност (конфиденциалност, цялост, наличност) е определено като има висока степен на увреждане. Информацията има средно ниво на значимост (LS 2), ако поне едно от свойствата на информационната сигурност (конфиденциалност, цялост, наличност) има средна степен на увреждане и няма нито едно свойство, за което да е определена висока степен на увреждане . Информацията има ниско ниво на значимост (LO 3), ако всички свойства на информационната сигурност (конфиденциалност, цялост, наличност) имат ниска степен на увреждане.

При обработката на два или повече вида информация в една информационна система (служебни тайни, данъчни тайни и други видове информация с ограничен достъп, установени от законодателството на Руската федерация), нивото на значимост на информацията (LS) се определя отделно за всеки тип на информация. Крайното ниво на значимост на информацията, обработвана в информационната система, се установява според най-високите стойности на степента на възможна вреда, определена за поверителността, целостта и достъпността на информацията за всеки тип информация.

3. Информационната система има федерален мащаб, ако работи на територията на Руската федерация (в рамките на федералния окръг) и има сегменти в съставните единици на Руската федерация, общини и (или) организации.

Информационната система има регионален мащаб, ако работи на територията на съставна единица на Руската федерация и има сегменти в една или повече общини и (или) подчинени и други организации.

Информационната система има обектен мащаб, ако работи в съоръженията на един федерален държавен орган, държавен орган на съставния субект на Руската федерация, община и (или) организация и няма сегменти в териториални органи, представителства, клонове, подчинени и други организации.

4. Класът на сигурност на информационната система се определя в съответствие с таблицата:

Приложение No2

към изискванията за защита на информацията,

не представлява държавна тайна,

информационни системи

Съставът на мерките за сигурност на информацията и техните основни набори за съответния клас на сигурност на информационната система

“+” - мярка за сигурност на информацията е включена в основния набор от мерки за съответния клас на сигурност на информационната система.

Мерките за защита на информацията, които не са маркирани със знак „+“, се използват при адаптиране на основния набор от мерки и изясняване на адаптирания основен набор от мерки, както и при разработване на компенсиращи мерки за защита на информацията в информационна система от съответния клас на сигурност.

В Руската федерация има около 100 държавни информационни системи, те са разделени на федерални и регионални. От организация, управляваща която и да е от тези системи, се изисква да спазва изискванията за сигурност на данните, обработвани в нея. В зависимост от класификацията към различните информационни системи се прилагат различни изисквания, за неспазването на които се прилагат санкции – от глоба до по-сериозни мерки.

Работата на всички информационни системи в Руската федерация се определя от Федералния закон от 27 юли 2006 г. № 149-FZ (с измененията от 21 юли 2014 г.) „За информацията, информационните технологии и защитата на информацията“ (27 юли 2006 г. ). Член 14 от този закон предвижда Подробно описаниеГИС. Операторите на държавни информационни системи, в които се обработва информация с ограничен достъп (която не съдържа информация, представляваща държавна тайна), са обект на изискванията, посочени в Заповед № 17 на FSTEC на Русия от 11 февруари 2013 г. „За утвърждаване на изискванията за защита на информацията, която не представлява държавна тайна, съдържаща се в държавните информационни системи."

Нека припомним, че операторът е гражданин или образуваниеизвършване на дейности, свързани с функционирането на информационната система, включително обработка на информация, съдържаща се в нейните бази данни.

Ако една организация е свързана към държавна информационна система, тогава Заповед № 17 на FSTEC задължава да сертифицира системата и да защитава само информацията сертифицирани продуктизащита на информацията (с валидни сертификати FSTEC или FSB).

Често има случаи, когато операторът на информационна система погрешно я класифицира като ГИС, когато тя не е такава. В резултат на това към системата се прилагат прекомерни мерки за сигурност. Например, ако по погрешка операторът на информационна система за лични данни я класифицира като държавна, той ще трябва да спазва по-строги изисквания за сигурност на обработваната информация от изискваните от закона. Междувременно изискванията за защита на информационните системи за лични данни, които се регулират от Наредба № 21 на FSTEC, са по-малко строги и не изискват сертифициране на системата.

На практика не винаги е ясно дали системата, към която трябва да се свържете, е държавна и следователно какви мерки за изграждане на информационна сигурност трябва да се предприемат. Въпреки това планът от проверки от страна на регулаторните органи расте, а глобите систематично нарастват.

Как да различим ГИС от не-ГИС

Държавна информационна система се създава, когато е необходимо да се осигури:

• изпълнение на правомощията на държавните органи;
• обмен на информация между държавни органи;
• постижение на други установени федерални законицели.

Можете да разберете, че информационната система принадлежи на държавата, като използвате следния алгоритъм:

1. Разберете дали има нормативен акт, изискващ създаването на информационна система.
2. Проверете наличността на системата в Регистъра на федералните държавни информационни системи. Подобни регистри съществуват на ниво субекти на федерацията.
3. Обърнете внимание на предназначението на системата. Косвен признак за класифициране на система като ГИС ще бъде описанието на правомощията, които тя изпълнява. Например, всяка администрация на Република Башкортостан има своя собствена харта, която също описва правомощията на местните органи на управление. ИС „Регистрация на граждани, нуждаещи се от жилищни помещения на територията на Република Башкортостан“ е създадена за изпълнение на такива правомощия на администрациите като „приемане и организиране на изпълнението на планове и програми за цялостно социално-икономическо развитие на общинския регион“ ”, и е ГИС.

Ако системата включва обмен на информация между държавни агенции, тя също е много вероятно да бъде държавна собственост (например междуведомствена система за електронно управление на документи).

Това е ГИС. Какво да правя?

Заповед 17 на FSTEC предписва следните мерки за защита на информацията за ГИС операторите:

• разработване на изисквания за защита на информацията, съдържаща се в информационната система;
• разработване на система за информационна сигурност за информационна система;
• внедряване на системата за информационна сигурност на информационната система;
• сертифициране на информационната система съгласно изискванията за сигурност на информацията (наричано по-нататък сертификация ISPD) и въвеждането й в експлоатация;
• осигуряване на защита на информацията при експлоатацията на сертифицирана информационна система;
• осигуряване на защита на информацията по време на извеждане от експлоатация на сертифицирана информационна система или след вземане на решение за прекратяване на обработката на информация.

Организациите, които са свързани с държавни информационни системи, трябва да извършат следните действия:

1. Класифицирайте IP и идентифицирайте заплахите за сигурността.

IP класификацията се извършва в съответствие с клауза 14.2 17 от заповедта на FSTEC.

Въз основа на резултатите се определят заплахите за информационната сигурност

• оценка на възможностите на нарушителите;
• анализ на възможни уязвимости на информационната система;
• анализ (или моделиране) на възможни начини за реализиране на заплахи за информационната сигурност;
• оценка на последствията от нарушаване на свойствата на информационната сигурност (конфиденциалност, цялост, достъпност).

2. Генериране на изисквания към системата за обработка на информация.

Системните изисквания трябва да съдържат:

• целта и задачите за осигуряване на информационна сигурност в информационната система;
• клас на сигурност на информационната система;
• списък на регулаторни правни актове, методически документи и национални стандарти, на които информационната система трябва да отговаря;
• списък на обектите за защита на информационната система;
• изисквания към мерките и средствата за защита на информацията, използвани в информационната система.

3. Разработване на система за информационна сигурност за информационната система.

За да направите това, трябва да направите:

• проектиране на система за информационна сигурност за информационна система;
• разработване на оперативна документация за системата за информационна сигурност на информационната система;
• прототипиране и тестване на системата за информационна сигурност на информационната система.

4. Внедрете системата за информационна сигурност на информационната система, а именно:

• инсталиране и конфигуриране на средства за информационна сигурност в информационната система;
• разработване на документи, определящи правилата и процедурите, прилагани от оператора, за да се гарантира защитата на информацията в информационната система по време на нейното функциониране (наричани по-долу организационни и административни документи за защита на информацията);
• прилагане на организационни мерки за защита на информацията;
• предварително тестване на системата за информационна сигурност на информационната система;
• пробна експлоатация на системата за сигурност на информацията;
• проверка на изградената система за информационна сигурност за уязвимост;
• тестове за приемане на системата за информационна сигурност на информационната система.

5. Сертифицирайте ISPDn:

• провеждане на сертификационни тестове;
• получавате сертификат за съответствие.

Широко разпространено е схващането, че за преминаване на проверка от регулаторните органи е достатъчно да имате организационни и административни документи, така че ГИС операторите често пренебрегват мерките за сигурност. Всъщност Roskomnadzor обръща голямо внимание на документите и прилагането на организационни и административни мерки за защита на личните данни в организацията. Въпреки това, ако възникнат въпроси, специалисти от FSTEC и FSB могат да бъдат включени в проверката. В същото време FSTEC разглежда много внимателно състава техническа защитаинформация и проверява коректността на модела на заплахата, а FSB проверява изпълнението на изискванията относно използването на криптографски средства за защита на информацията.

Олег Нечеухин, експерт по защита на информационните системи, Контур-Секюрити