Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг


НазваниеТехнический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг
страница1/23
Дата публикации05.06.2013
Размер1.06 Mb.
ТипТехнический регламент
userdocs.ru > Информатика > Технический регламент
  1   2   3   4   5   6   7   8   9   ...   23


Anexa nr. __________

la Ordinul nr. __________

din ____ __________ 2009









Технический регламент
Обеспечение информационной безопасности при предоставлении электронных публичных услуг.
Технические требования

1 Область применения



Настоящий технический регламент разработан как составной компонент законодательной базы для регламентирования сферы информационно-коммуникационных технологий, поддержания национальной стратегии создания информационного общества, а также внедрения информационно-коммуникационных технологий во все сферы взаимодействия государства, бизнеса и общества.

В данном техническом регламенте установлены основные требования к процессу предоставления электронных публичных услуг (далее – публичные услуги), связанные с обеспечением безопасности информационных ресурсов, информационных систем (ИС) и с оценкой соответствия этим требованиям, и определены требования, которые необходимо выполнять для организации и поддержки процесса управления безопасностью информации при предоставлении публичных услуг.

Целью регламента является описание методик, способов и средств обеспечения безопасности при предоставлении публичных услуг в общенациональном информационном пространстве, а также выполнение требований по безопасности, закрепленных в cоглашениях с заказчиками и пользователями услуг и в действующем законодательстве Республики Молдова, и обеспечение принятого минимального уровня обеспечения информационной безопасности при оказании публичных услуг.

Обеспечение безопасности процесса предоставления публичных услуг в Республике Молдова является составной частью государственной политики построения информационного общества, повышения эффективности публичного управления и обеспечение высокого уровня качества системы предоставления публичных услуг.

Настоящий регламент применяется для управления и обеспечения безопасности информационных ресурсов и систем, аппаратных и программных средств, а также телекоммуникационных средств, участвующих в процессе предоставления публичных услуг, нарушение безопасности которых может привести к существенному ущербу для пользователей публичных услуг, общества и государства.


^

2 Нормативно-правовая база



Настоящий документ разработан на основе следующих законодательных актов Республики Молдова:

                  - Закон Республики Молдова «О доступе к информации» № 982-XIV от 11.05.2000;

                  - Закон Республики Молдова «Об оценке соответствия продукции» № 186 от 24.04.2003;

                  - Закон Республики Молдова «Об информатизации и государственных информационных ресурсах» № 467-XV от 21.11.2003;

                  - Закон Республики Молдова «Об электронном документе и цифровой подписи» № 264-XV от 15.07.2004;

                  - Закон Республики Молдова «Об электронной торговле» № 284-XV от 22.07.2004;

                  - Закон Республики Молдова «О техническом регулировании» № 420–XVI от 22.12.2006;

                  - Закон Республики Молдова «О защите персональных данных» № 17-XVI от 15.02.2007;

                  - Закон Республики Молдова «О государственной тайне» № 245 от 27.11.2008;

                  - Закон Республики Молдова «О регистрах» № 71-XVI от 22.03.2007.



3 Терминология



В настоящем регламенте применяются следующие термины:
Санкционированный доступ к информации – доступ к информации, не нарушающий правила разграничения доступа.

^ Несанкционированный доступ – получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или владельцем информации прав или правил доступа к защищаемой информации.

^ Соглашение об уровне услуг – письменное соглашение между поставщиком услуг и заказчиком (заказчиками), которое описывает согласованные уровни обслуживания по какой-либо услуге.

Алгоритм – точное предписание совершения определенной последовательности действий для достижения поставленной цели за конечное число шагов.

^ Алгоритмы асимметричного шифрования – алгоритмы шифрования, в которых для шифрования и дешифрования используются два разных ключа, называемые открытым и закрытым ключами, причем, зная один из ключей, вычислить другой невозможно.

^ Алгоритмы симметричного шифрования – алгоритмы шифрования, в которых для шифрования и дешифрования используется один и тот же ключ или ключ дешифрования легко может быть получен из ключа шифрования.

^ Криптографический алгоритм – алгоритм преобразования данных, являющийся полностью или частично секретным и использующий при работе набор секретных параметров.

^ Архитектура информационной системы — это набор ключевых решений по организации информационной системы, а также набор структурных элементов и интерфейсов, из которых она состоит, вместе с поведением, описываемым в терминах коопераций этих элементов.

Аттестация – форма оценки соответствия процесса эксплуатации информационной системы требованиям безопасности.

Аутентичность - свойство данных быть подлинными, что означает, что данные были созданы законными участниками информационного процесса, и данные не подвергались случайным или преднамеренным искажениям.

^ Требования безопасности – требования, предъявляемые к информационным технологиям, реализация которых обеспечивает конфиденциальность, целостность и доступность информации.

^ Криптографический ключ – параметр, используемый криптографическим алгоритмом.

Шифрование – процесс преобразования открытых данных в зашифрованные данные при помощи шифра.

Конфиденциальность – обеспечение доступа к информации только авторизованным пользователям.

Конфигурация – совокупность объектов информационной системы.

Дешифрование – процесс преобразования зашифрованных данных в открытые данные при помощи шифра.

Доступность – обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Экранирование – средство разграничения доступа клиентов из одного множества к серверам из другого множества для контроля информационных потоков.

^ Оценка рисков – оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения.

Дискретное (избирательное) управление доступом - разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

^ Аппаратное обеспечение - оборудование, используемое для ввода, обработки и вывода данных в информационных системах.

Инцидент – одно или серия нежелательных или неожиданных событий в системе защиты информации, которые имеют большой шанс скомпрометировать стандартные операции и поставить под угрозу защиту информации.

^ Инфраструктура, основанная на открытых ключах – совокупность программно-аппаратных средств, политик, процедур и законных обязательств, которые обеспечивают внедрение и функционирование криптографических систем открытых ключей, основанных на сертификатах для обеспечения безопасности сообщений (конфиденциальность, целостность, аутентичность, неотказуемость) с обеих сторон.

^ ИТ инфраструктура - совокупность информационно-вычислительных центров, банков данных и знаний интегрированной автоматизированной системы связи и организации, которая обеспечивает пользователям общие условия доступа к хранящейся информации.

Целостность – обеспечение достоверности и полноты информации и методов ее обработки.

^ Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.

^ Среда функционирования - среда, в которой функционирует информационная система.

Метка чувствительности - определенные маркировки информационных ресурсов и систем, например, степень секретности, категории.

^ Средства обеспечения безопасности - аппаратные, программно-аппаратные и программные средства, реализующие совокупность функций, обеспечивающих выполнение требований по защите информации и по контролю эффективности защиты информации.

^ Средство управления конфигурациями – программный продукт, обеспечивающий автоматизацию поддержки изменений, конфигураций и контроля версий.

Средство криптографической защиты информации – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, используемые для защиты целостности и конфиденциальности информации.

^ Криптографический модуль – совокупность аппаратного, программного обеспечения или некоторая их комбинация, которая реализует криптографическую логику или процессы защиты, включая криптографические алгоритмы или генерацию ключей, и содержится внутри некоторого физического объема.

Мониторинг – процесс сбора, анализа данных, представления отчетов по выполнению работ.

Неотказуемость - невозможность отказаться от совершенных действий.

^ Аутентификационный пакет - механизм подтверждения подлинности заявляемого идентификатора пользователя.

Гриф секретности – отметка, проставляемая на материальном носителе сведений, отнесенных к государственной тайне, и/или указанная в сопроводительной документации к ним, подтверждающая степень секретности сведений, содержащихся в их носителе.

Угроза – совокупность потенциально возможных событий и действий, реализация которых приносит ущерб информационным ресурсам или информационной инфраструктуре.

^ Предоставление публичных услуг – набор взаимосвязанных процессов, направленных на достижение целей – взаимодействие между субъектами электронного правления, осуществляющегося по двум четким контурам - внутреннему и внешнему, сообщающимся между собой через правительственный портал.

^ Политика управления доступом - правила предоставления доступа к компьютерным системам и сети отдельным пользователям.

Политика информационной безопасности – набор правил или процедур, предписанных организацией для защиты чувствительных данных.

^ Профиль защиты - жестко структурированный документ, содержащий требования безопасности для определенного класса программно-технических средств.

Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных действующим законодательством.

^ Защита информации - совокупность организационно-технических мероприятий, программно-аппаратных средств и нормативных актов, используемых для сохранения конфиденциальности, целостности и доступности информации, а также для обеспечения неотказуемости.

^ Криптографическая защита – защита информационных процессов от целенаправленных попыток отклонить их от нормальных условий протекания.

Риск – внутреннее или внешнее воздействие на систему, которое может неблагоприятно повлиять на область проекта или привести к его провалу.

Актив – совокупность материальных благ принадлежащих одному предприятию или организации (информационные, технические, программные и другие ресурсы, входящие в состав информационных систем).

^ Безопасность информационных систем – состояние информационных систем, обеспечивающее ее применение на объектах эксплуатации, при котором отсутствует недопустимый риск, связанный с причинением ущерба личности, обществу и государства.

^ Публичная услуга – услуга, которая обуславливает три типа взаимодействия составляющих электронного правления: взаимодействие "Правительство - Гражданин" (G2C); взаимодействие "Правительство - Бизнес" (G2B); взаимодействие "Правительство - Правительство" (G2G) с подкатегорией "Взаимодействие Правительства и его сотрудников" (G2E).

^ Информационная система - совокупность программных и аппаратных средств, предназначенных для сбора, обработки, хранения и распространения информации, информационных ресурсов с целью поддержки принятия решений, управления, анализа и увеличения наглядности в организации.

^ Программное обеспечение - совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ.

Туннеллирование – применение специального протокола, с помощью которого два удаленных офиса организовывают между собой безопасный туннель (сеанс связи), в результате чего данные передаются между сетями.

Уязвимость – слабое место в системе, используя которое, возможно вызвать ее неправильную работу.

  1   2   3   4   5   6   7   8   9   ...   23

Похожие:

Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconВопросы по дисциплине: " Разработка и эксплуатация информационных систем "
Обеспечение безопасности информационной системы и управление доступом к информационным ресурсам в информационной системе
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconМодель сетевой безопасности. Классификация сетевых атак
Билет Основные понятия и определения информационной безопасности: атаки, уязвимости, политика безопасности, механизмы и сервисы безопасности....
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг icon1 Законодательство РФ и «Доктрина информационной безопасности рф»,...
Оду. В одно время предлагалось даже отложить доктрину до лучших времен. По оценкам специалистов, документ как составная часть Концепции...
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconКакие вопросы затрагивает экономика информационной безопасности?
Что называется риском в области информационной безопасности? Какие мероприятия влияют на его снижение?
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconРасписание занятий для студентов 4 курса групп: цдю 1-09, цдю 2-09, цдю 3-09
Организационно-правовое обеспечение информационной безопасности в правоохранительной деятельности (лекция)
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconТехнический регламент
Действие настоящего технического регламента распространяется на объекты регулирования и связанные с требованиями к безопасности объектов...
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconЗакон от 22. 07. 2008 n 123-фз "Технический регламент о требованиях...
Вопрос: Правомерна ли деятельность организации по монтажу систем автоматического пожаротушения в зданиях без соответствующей лицензии...
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconПрограмма игэ ига 012 ауп утверждено научно методологическим советом института
Цель настоящей программы: способствовать обеспечению высокого уровня знаний учащихся, сдающих государственные экзамены по специальности...
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconПрограмма междисциплинарного государственного экзамена по специальности...
В программе представлены разделы, сгруппированные по двум направлениям: математика (математический анализ, алгебра, теория вероятностей...
Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг iconЗакон от 22 июля 2008 г. N 123-фз "Технический регламент о требованиях...
Информация об изменениях: Федеральным законом от 10 июля 2012 г. N 117-фз в часть 1 статьи 1 настоящего Федерального закона внесены...
Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2015
контакты
userdocs.ru
Главная страница