 |
|
Інформаційно-телекомунікаційна система Підприємства
Узагальнена функціонально-логічна структура інформаційно-телекомунікаційної системи Підприємства включає:
— підсистему опрацювання інформації;
— підсистему взаємодії з користувачами КС;
— підсистему обміну даними.
Підсистема опрацювання інформації забезпечує створення, зберігання, актуалізацію інформації WEB-сторінки і складається із засобів опрацювання інформації, системного та функціонального ПЗ.
До засобів опрацювання інформації належать WEB-сервер та необхідна кількість робочих станцій (або терміналів) для забезпечення всіх функцій щодо супроводження WEB-сторінки та захисту інформації.
Підсистема взаємодії з користувачами КС забезпечує за запитами користувачів надання доступу до загальнодоступної інформації WEB-сторінки, яка має вигляд HTLM-документу, з використанням мереж передачі даних та стандартних Інтернет-протоколів.
Підсистема складається, як мінімум, з програмно-апаратного комплексу, який дозволяє здійснювати маршрутизацію запитів користувачів, забезпечувати пошук необхідних користувачеві інформаційних ресурсів і доступ до них.
Підсистема обміну даними забезпечує підготовку та безпосередньо імпорт/експорт інформації в/із КС, а також внутрішньосистемний обмін інформацією між WEB-сервером та робочими станціями з реалізацією фаз встановлення, підтримання та завершення з'єднання.
Відповідно до політики безпеки інформації в КС підсистеми комплектуються засобами захисту інформації (можуть використовуватися штатні засоби захисту системного й функціонального ПЗ та/або спеціалізовані засоби), які складають компоненти КЗЗ.
Програмно-апаратні засоби захисту, що входять до складу КЗЗ, повинні мати належним чином оформлені документи (експертні висновки, сертифікати), які засвідчують відповідність цих засобів вимогам нормативних документів системи ТЗІ.
Встановлення на ОС нових (додаткових) компонентів, ПЗ (системного та/або функціонального), сервісів та розміщення будь-яких інших мережевих ресурсів, які не належать до категорії WEB-сторінки установи, не повинно порушувати політику безпеки інформації в КС, що забезпечує функціонування WEB-сторінки.
Вимоги до робочих станцій фізичних і юридичних осіб, які є користувачами загальнодоступної інформації WEB-сторінки, та їхнього ПЗ не висуваються.
12.4. Середовище користувачів інформаційно-телекомунікаційної системи Підприємства
За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування КС, користувачі поділяються на такі категорії:
а) користувачі, яким надано право доступу тільки до загальнодоступної інформації WEB-сторінки;
б)користувачі, яким надано повноваження супроводжувати КСЗІ та забезпечувати керування КС (адміністратор безпеки; інші співробітники СЗІ; користувачі з функціональними обов'язками WEB-майстрів, адміністраторів сервісів, адміністраторів мережевого обладнання, адміністраторів ресурсів DNS (Domain Name System), PROXY, FTP (File Transfer Protocol та ін., якщо передбачається їх взаємодія з WEB-сторінкою, тощо);
в)технічний обслуговуючий персонал, що забезпечує належні умови функціонування КС, повсякденну підтримку життєдіяльності фізичного середовища (електрики; технічний персонал з обслуговування приміщень будівель, ліній зв'язку тощо);
г) розробники ПЗ, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводження вже діючого функціонального ПЗ сервера, розробники та проектанти фізичної структури КС;
д) постачальники обладнання й технічних засобів та фахівці, які здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування.
Користувачі, які належать до категорії «в» за 6.3.1, повинні мати належний рівень кваліфікації для виконання своїх службових та функціональних обов'язків відповідно до визначених в установі технологічних процесів та режимів експлуатації обладнання.
Доступ до інформації WEB-сторінки повинен надаватися користувачам відповідно до положень політики безпеки інформації, визначеної для КС, що забезпечує функціонування WEB-сторінки.
Для встановлення правил та регламентації доступу цих користувачів до інформації WEB-сторінки розробляються та впроваджуються нормативні та розпорядчі документи, передбачені планом захисту інформації.
Користувачі, які належать до категорій «в»—«д» за 6.3.1, можуть мати доступ до програмних та апаратних засобів КС лише під час робіт із тестування й інсталяції ПЗ, встановлення й регламентного обслуговування обладнання тощо, за умови обмеження їхнього доступу до технологічної інформації КСЗІ.
Зазначені категорії осіб повинні мати дозвіл на доступ до відомостей, які містяться в програмній і технічній документації на КС або окремі її компоненти, і необхідні їм для виконання функціональних обов'язків.
Користувачі загальнодоступної інформації отримують доступ до WEB-сторінки відповідно до діючих у мережі Інтернет правил та регламенту.