Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг
Скачать 1.06 Mb.
|
Anexa nr. __________ la Ordinul nr. __________ din ____ __________ 2009 Технический регламент Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования 1 Область примененияНастоящий технический регламент разработан как составной компонент законодательной базы для регламентирования сферы информационно-коммуникационных технологий, поддержания национальной стратегии создания информационного общества, а также внедрения информационно-коммуникационных технологий во все сферы взаимодействия государства, бизнеса и общества. В данном техническом регламенте установлены основные требования к процессу предоставления электронных публичных услуг (далее – публичные услуги), связанные с обеспечением безопасности информационных ресурсов, информационных систем (ИС) и с оценкой соответствия этим требованиям, и определены требования, которые необходимо выполнять для организации и поддержки процесса управления безопасностью информации при предоставлении публичных услуг. Целью регламента является описание методик, способов и средств обеспечения безопасности при предоставлении публичных услуг в общенациональном информационном пространстве, а также выполнение требований по безопасности, закрепленных в cоглашениях с заказчиками и пользователями услуг и в действующем законодательстве Республики Молдова, и обеспечение принятого минимального уровня обеспечения информационной безопасности при оказании публичных услуг. Обеспечение безопасности процесса предоставления публичных услуг в Республике Молдова является составной частью государственной политики построения информационного общества, повышения эффективности публичного управления и обеспечение высокого уровня качества системы предоставления публичных услуг. Настоящий регламент применяется для управления и обеспечения безопасности информационных ресурсов и систем, аппаратных и программных средств, а также телекоммуникационных средств, участвующих в процессе предоставления публичных услуг, нарушение безопасности которых может привести к существенному ущербу для пользователей публичных услуг, общества и государства. ^ Настоящий документ разработан на основе следующих законодательных актов Республики Молдова: - Закон Республики Молдова «О доступе к информации» № 982-XIV от 11.05.2000; - Закон Республики Молдова «Об оценке соответствия продукции» № 186 от 24.04.2003; - Закон Республики Молдова «Об информатизации и государственных информационных ресурсах» № 467-XV от 21.11.2003; - Закон Республики Молдова «Об электронном документе и цифровой подписи» № 264-XV от 15.07.2004; - Закон Республики Молдова «Об электронной торговле» № 284-XV от 22.07.2004; - Закон Республики Молдова «О техническом регулировании» № 420–XVI от 22.12.2006; - Закон Республики Молдова «О защите персональных данных» № 17-XVI от 15.02.2007; - Закон Республики Молдова «О государственной тайне» № 245 от 27.11.2008; - Закон Республики Молдова «О регистрах» № 71-XVI от 22.03.2007. 3 ТерминологияВ настоящем регламенте применяются следующие термины: Санкционированный доступ к информации – доступ к информации, не нарушающий правила разграничения доступа. ^ – получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или владельцем информации прав или правил доступа к защищаемой информации. ^ – письменное соглашение между поставщиком услуг и заказчиком (заказчиками), которое описывает согласованные уровни обслуживания по какой-либо услуге. Алгоритм – точное предписание совершения определенной последовательности действий для достижения поставленной цели за конечное число шагов. ^ – алгоритмы шифрования, в которых для шифрования и дешифрования используются два разных ключа, называемые открытым и закрытым ключами, причем, зная один из ключей, вычислить другой невозможно. ^ – алгоритмы шифрования, в которых для шифрования и дешифрования используется один и тот же ключ или ключ дешифрования легко может быть получен из ключа шифрования. ^ – алгоритм преобразования данных, являющийся полностью или частично секретным и использующий при работе набор секретных параметров. ^ — это набор ключевых решений по организации информационной системы, а также набор структурных элементов и интерфейсов, из которых она состоит, вместе с поведением, описываемым в терминах коопераций этих элементов. Аттестация – форма оценки соответствия процесса эксплуатации информационной системы требованиям безопасности. Аутентичность - свойство данных быть подлинными, что означает, что данные были созданы законными участниками информационного процесса, и данные не подвергались случайным или преднамеренным искажениям. ^ – требования, предъявляемые к информационным технологиям, реализация которых обеспечивает конфиденциальность, целостность и доступность информации. ^ – параметр, используемый криптографическим алгоритмом. Шифрование – процесс преобразования открытых данных в зашифрованные данные при помощи шифра. Конфиденциальность – обеспечение доступа к информации только авторизованным пользователям. Конфигурация – совокупность объектов информационной системы. Дешифрование – процесс преобразования зашифрованных данных в открытые данные при помощи шифра. Доступность – обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Экранирование – средство разграничения доступа клиентов из одного множества к серверам из другого множества для контроля информационных потоков. ^ – оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Дискретное (избирательное) управление доступом - разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. ^ - оборудование, используемое для ввода, обработки и вывода данных в информационных системах. Инцидент – одно или серия нежелательных или неожиданных событий в системе защиты информации, которые имеют большой шанс скомпрометировать стандартные операции и поставить под угрозу защиту информации. ^ – совокупность программно-аппаратных средств, политик, процедур и законных обязательств, которые обеспечивают внедрение и функционирование криптографических систем открытых ключей, основанных на сертификатах для обеспечения безопасности сообщений (конфиденциальность, целостность, аутентичность, неотказуемость) с обеих сторон. ^ совокупность информационно-вычислительных центров, банков данных и знаний интегрированной автоматизированной системы связи и организации, которая обеспечивает пользователям общие условия доступа к хранящейся информации. Целостность – обеспечение достоверности и полноты информации и методов ее обработки. ^ основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности. ^ - среда, в которой функционирует информационная система. Метка чувствительности - определенные маркировки информационных ресурсов и систем, например, степень секретности, категории. ^ - аппаратные, программно-аппаратные и программные средства, реализующие совокупность функций, обеспечивающих выполнение требований по защите информации и по контролю эффективности защиты информации. ^ – программный продукт, обеспечивающий автоматизацию поддержки изменений, конфигураций и контроля версий. Средство криптографической защиты информации – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, используемые для защиты целостности и конфиденциальности информации. ^ – совокупность аппаратного, программного обеспечения или некоторая их комбинация, которая реализует криптографическую логику или процессы защиты, включая криптографические алгоритмы или генерацию ключей, и содержится внутри некоторого физического объема. Мониторинг – процесс сбора, анализа данных, представления отчетов по выполнению работ. Неотказуемость - невозможность отказаться от совершенных действий. ^ - механизм подтверждения подлинности заявляемого идентификатора пользователя. Гриф секретности – отметка, проставляемая на материальном носителе сведений, отнесенных к государственной тайне, и/или указанная в сопроводительной документации к ним, подтверждающая степень секретности сведений, содержащихся в их носителе. Угроза – совокупность потенциально возможных событий и действий, реализация которых приносит ущерб информационным ресурсам или информационной инфраструктуре. ^ – набор взаимосвязанных процессов, направленных на достижение целей – взаимодействие между субъектами электронного правления, осуществляющегося по двум четким контурам - внутреннему и внешнему, сообщающимся между собой через правительственный портал. ^ - правила предоставления доступа к компьютерным системам и сети отдельным пользователям. Политика информационной безопасности – набор правил или процедур, предписанных организацией для защиты чувствительных данных. ^ - жестко структурированный документ, содержащий требования безопасности для определенного класса программно-технических средств. Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных действующим законодательством. ^ - совокупность организационно-технических мероприятий, программно-аппаратных средств и нормативных актов, используемых для сохранения конфиденциальности, целостности и доступности информации, а также для обеспечения неотказуемости. ^ – защита информационных процессов от целенаправленных попыток отклонить их от нормальных условий протекания. Риск – внутреннее или внешнее воздействие на систему, которое может неблагоприятно повлиять на область проекта или привести к его провалу. Актив – совокупность материальных благ принадлежащих одному предприятию или организации (информационные, технические, программные и другие ресурсы, входящие в состав информационных систем). ^ – состояние информационных систем, обеспечивающее ее применение на объектах эксплуатации, при котором отсутствует недопустимый риск, связанный с причинением ущерба личности, обществу и государства. ^ – услуга, которая обуславливает три типа взаимодействия составляющих электронного правления: взаимодействие "Правительство - Гражданин" (G2C); взаимодействие "Правительство - Бизнес" (G2B); взаимодействие "Правительство - Правительство" (G2G) с подкатегорией "Взаимодействие Правительства и его сотрудников" (G2E). ^ - совокупность программных и аппаратных средств, предназначенных для сбора, обработки, хранения и распространения информации, информационных ресурсов с целью поддержки принятия решений, управления, анализа и увеличения наглядности в организации. ^ - совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ. Туннеллирование – применение специального протокола, с помощью которого два удаленных офиса организовывают между собой безопасный туннель (сеанс связи), в результате чего данные передаются между сетями. Уязвимость – слабое место в системе, используя которое, возможно вызвать ее неправильную работу. |
Похожие:
 | Вопросы по дисциплине: " Разработка и эксплуатация информационных систем " Обеспечение безопасности информационной системы и управление доступом к информационным ресурсам в информационной системе |  | Модель сетевой безопасности. Классификация сетевых атак Билет Основные понятия и определения информационной безопасности: атаки, уязвимости, политика безопасности, механизмы и сервисы безопасности.... |
| 1 Законодательство РФ и «Доктрина информационной безопасности рф»,... Оду. В одно время предлагалось даже отложить доктрину до лучших времен. По оценкам специалистов, документ как составная часть Концепции... | | Какие вопросы затрагивает экономика информационной безопасности? Что называется риском в области информационной безопасности? Какие мероприятия влияют на его снижение? |
| Расписание занятий для студентов 4 курса групп: цдю 1-09, цдю 2-09, цдю 3-09 Организационно-правовое обеспечение информационной безопасности в правоохранительной деятельности (лекция) | | Технический регламент Действие настоящего технического регламента распространяется на объекты регулирования и связанные с требованиями к безопасности объектов... |
 | Закон от 22. 07. 2008 n 123-фз "Технический регламент о требованиях... Вопрос: Правомерна ли деятельность организации по монтажу систем автоматического пожаротушения в зданиях без соответствующей лицензии... | | Программа игэ ига 012 ауп утверждено научно методологическим советом института Цель настоящей программы: способствовать обеспечению высокого уровня знаний учащихся, сдающих государственные экзамены по специальности... |
| Программа междисциплинарного государственного экзамена по специальности... В программе представлены разделы, сгруппированные по двум направлениям: математика (математический анализ, алгебра, теория вероятностей... | | Закон от 22 июля 2008 г. N 123-фз "Технический регламент о требованиях... Информация об изменениях: Федеральным законом от 10 июля 2012 г. N 117-фз в часть 1 статьи 1 настоящего Федерального закона внесены... |