Понятие защищенной информационной системы, основные понятия, состав

в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

По заданным оператором ПДн характеристикам безопасности обрабатываемой информации ИСПДн подразделяются на типовые и специальные.

«Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. 
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы».

Типовым ИСПДн могут быть присвоены следующие классы:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

 
Классификация АС

1.1. Классификация распространяется  на все действующие и проектируемые  АС учреждений, организаций и  предприятий, обрабатывающие конфиденциальную  информацию.

1.2. Деление АС на соответствующие  классы по условиям их функционирования  с точки зрения защиты информации  необходимо в целях разработки  и применения обоснованных мер по достижению требуемого уровня защиты информации.

1.3. Дифференциация подхода  к выбору методов и средств  защиты определяется важностью  обрабатываемой информации, различием  АС по своему составу, структуре, способам обработки информации, количественному и качественному  составу пользователей и обслуживающего  персонала.

1.4. Основными этапами  классификации АС являются:

- разработка и анализ исходных данных;

- выявление основных признаков АС, необходимых для классификации;

- сравнение выявленных признаков АС с классифицируемыми;

- присвоение АС соответствующего класса защиты информации от НСД.

1.5. Необходимыми исходными  данными для проведения классификации  конкретной АС являются:

- перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;

- перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

- матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

- режим обработки данных в АС.

1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

- наличие в АС информации различного уровня конфиденциальности;

- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

- режим обработки данных в АС - коллективный или индивидуальный.

1.8. Устанавливается девять классов защищенности АС от НСД к информации. 
Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А. 
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А. 
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

 
2.3. Организация сети передачи  данных, подбор оборудования

 

В нашем понимании корпоративная сеть - система, обеспечивающая передачу информации между различными приложениями, используемыми в системе предприятия.

При этом мы считаем, что сеть должна быть максимально универсальной, то есть допускать интеграцию уже существующих и будущих приложений с минимально возможными затратами и ограничениями.

Основными задачами корпоративной сети оказываются одновременная передача голоса, видео и данных, взаимодействие системных приложений, расположенных в различных узлах, и доступ к ним удаленных пользователей.

Корпоративная сеть, как правило, является территориально распределенной, т.е. объединяющей офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга. Часто узлы корпоративной сети оказываются расположенными в различных городах, а иногда и странах. Принципы, по которым строится такая сеть, достаточно сильно отличаются от тех, что используются при создании локальной сети, даже охватывающей несколько зданий. Основное отличие состоит в том, что территориально распределенные сети используют арендованные линии связи. Если при создании локальной сети основные затраты приходятся на закупку оборудования и прокладку кабеля, то в территориально-распределенных сетях наиболее существенным элементом стоимости оказывается арендная плата за использование каналов. Это ограничение является принципиальным, и при проектировании корпоративной сети следует предпринимать все меры для минимизации объемов передаваемых данных. В остальном же корпоративная сеть не должна вносить ограничений на то, какие именно приложения и каким образом обрабатывают переносимую по ней информацию. Под приложениями мы здесь понимаем как системное программное обеспечение - базы данных, почтовые системы, вычислительные ресурсы, файловый сервис - так и средства, с которыми работает конечный пользователь.

При построении территориально распределенной сети для подключения удаленных пользователей самым простым и доступным вариантом является использование телефонной связи. Там, где это возможно, могут использоваться сети ISDN. Для объединения узлов сети, в большинстве случаев, используются глобальные сети передачи данных. Но лучшим вариантом подключения является использование выделенных линий, это позволяет уменьшить количество необходимых каналов связи и - что немаловажно - обеспечить совместимость системы с существующими глобальными сетями.

Корпоративная сеть - это достаточно сложная структура, использующая различные типы связи, коммуникационные протоколы и способы подключения ресурсов.

Все оборудование сетей передачи данных можно условно разделить на два больших класса - периферийное, которое используется для подключения к сети оконечных узлов, и магистральное или опорное, реализующее основные функции сети (коммутацию каналов, маршрутизацию и т.д). Следует отметить, что к магистральному оборудованию обычно предъявляются повышенные требования в части надежности, производительности, количества портов и дальнейшей расширяемости. Периферийное оборудование является необходимым компонентом всякой корпоративной сети. Функции же магистральных узлов может брать на себя глобальная сеть передачи данных, к которой подключаются ресурсы. Как правило, магистральные узлы в составе корпоративной сети появляются только в тех случаях, когда используются арендованные каналы связи или создаются собственные узлы доступа.

Периферийное оборудование корпоративных сетей это маршрутизаторы (routers), служащие для объединения однородных LAN (как правило, IP или IPX) через глобальные сети передачи данных. Маршрутизаторы могут быть выполнены как в виде автономных устройств, так и программными средствами на базе компьютеров и специальных коммуникационных адаптеров.

Среди маршрутизаторов наиболее известны продукты компании Cisco Systems, реализующие широкий набор средств и протоколов, используемых при взаимодействии локальных сетей. Оборудование Cisco поддерживает разнообразные способы подключения, в том числе X.25, Frame Relay и ISDN, позволяя создавать достаточно сложные системы.

Основная область применения маршрутизаторов Cisco - сложные сети, использующие в качестве основного протокола IP или, реже, IPX. Для корпоративной сети предназначенной для объединения удаленных LAN, передачи голоса и требующей сложной маршрутизации IP или IPX через разнородные каналы связи и сети передачи данных использование оборудования Cisco является оптимальным выбором.

Корпоративная сеть передачи данных может быть построена для компании имеющей территориально распределенную сеть филиалов обеспечивающих распределенные сбор и обработку информации, которая регулярно передается в главный офис по междугородним коммутируемым линиям. Все сотрудники компании используют телефонную связь как между собой внутри компании, так и с представителями сторонних организаций. Построение корпоративной сети позволит снизить затраты на телефонную связь между филиалами компании. Телефонные звонки между подразделениями (передача собранных данных, обновления баз данных, междугородные телефонные разговоры) будут передаваться по каналам корпоративной сети передачи данных и не приводить к счетам за междугородние переговоры. Так же КСПД позволяет обновлять базы данных в реальном режиме времени, вести конфиденциальную внутрикорпоративную переписку, передавать срочную и важную информацию без задержек.

Наименование и тип оборудования:

- маршрутизатор Cisco C3925-VSEC/K9

Сетевой 3-х портовый маршрутизатор Cisco C3925-VSEC/K9 ориентирован на работу в сетях небольших предприятий и филиалах компаний. Позволяет развертывать локальные сети и организовывать сети удаленного доступа VPN. Встроенные средства QoS обеспечивают качественную передачу трафика, критичного к задержкам. Поддерживает протоколы динамической маршрутизации IGMP v3, OSPF и быструю коммутацию по меткам MPLS. Авторизована настройка передачи по IPv6. Модель имеет 1 Гб оперативной памяти, 256 Мб флеш-памяти, 2 слота для подключения модулей SFP (mini-GBIC) и 4 слота модулей EHWIC для подключения к WAN-интерфейсам. Имеется встроенный голосовой модуль PVDM3-64 на 64 цифровых порта. Компания Cisco Systems на маршрутизатор C3925-VSEC/K9 предоставляет 90 дней официальной гарантии.

-коммутатор DGS-3620-52P

Встроенная поддержка технологии Single IP Management позволяет коммутатору DGS-3620 стать частью виртуального стека и создать многоуровневую сетевую структуру с высокоскоростными магистралями и централизованным подключением серверов. В виртуальный стек объединяются устройства, расположенные в любой точке одного и того же сетевого домена, и используются дополнительные порты uplink 10-Gigabit для передачи внутристекового трафика на скорости 20 Гбит/с в режиме полного дуплекса. Это минимизирует влияние единой точки возможного отказа, позволяет избежать проблем, связанных с длиной кабелей и методом физического стекирования, и исключает необходимость использования кабелей для стекирования.

В качестве альтернативы виртуальному стеку, в зависимости от используемой топологии стекирования – линейной или отказоустойчивого «кольца», пользователи могут использовать один или два порта 10 Gigabit Ethernet SFP+, чтобы создать физический стек. В такой стек можно объединить до 12 коммутаторов серии DGS-3620 получить до 576 портов Gigabit Ethernet. Это позволяет обеспечить не только высокую пропускную способность стека, но и возможность управления расходами.

Коммутаторы серии DGS-3620 предоставляют широкий набор функций безопасности, включая многоуровневые L2/L3/L4 списки контроля доступа и аутентификацию пользователей 802.1x через серверы TACACS+ и RADIUS. Встроенная технология ZoneDefense представляет собой механизм, позволяющий совместно работать коммутаторам D-Link серии xStack и межсетевым экранам и обеспечивающий активную сетевую безопасность.

Для повышения производительности и безопасности коммутаторы серии DGS-3620 обеспечивают расширенную поддержку VLAN, включая GVRP и 802.1Q. Для поддержки объединенных приложений, включая VoIP, ERP и видеоконференций, широкий набор функций QoS/CoS 2/3/4 уровней гарантирует, что критичные к задержкам сетевые сервисы будут обслуживаться в приоритетном режиме. Для защиты коммутаторов от вредоносного трафика, вызванного активностью вирусов/червей, коммутаторы серии DGS-3620 предоставляют функцию D-Link Safeguard Engine, обеспечивающую безопасность, надежность и доступность сети. Функция управления полосой пропускания с шагом 64 Кбит/с позволяет ограничивать полосу пропускания для каждого порта. Функция управления полосой пропускания для каждого потока позволяет настраивать типы обслуживания на основе определенных IP-адресов или протоколов.