Партнерка на США и Канаду по недвижимости, выплаты в крипто

  • 30% recurring commission
  • Выплаты в USDT
  • Вывод каждую неделю
  • Комиссия до 5 лет за каждого referral

При реализации механизмов интеграции ПО «Электронная услуга» с программным обеспечением ЕМИСС предусматривается поддержка механизмов разграничения прав доступа ЕМИСС.

Электронное взаимодействие пользователя с порталом государственных услуг, при предоставлении государственной услуги, не будет требовать установки на компьютере пользователя «клиентского» программного обеспечения.

Изменение состава показателей и их параметров в ЕМИСС не требует доработки или изменения ПО «Электронная услуга».

Автоматизация процесса формирования интерактивного запроса на оказание государственной услуги «Предоставление официальной статистической информации по запросам граждан и организаций» через портал государственных услуг включает:

–  разработку формализованного запроса;

–  интеграцию механизмов формирования запроса в единый портал государственных услуг;

–  разработку механизмов для заполнения полей интерактивной формы, включая поля, содержащие параметры предоставляемой информации и формат ее предоставления. Для формирования запроса предоставляются существующие в ЕМИСС показатели, период предоставляемой информации должен выбираться в соответствии с наличием соответствующих периодов данных в ЕМИСС;

–  разработку веб-сервисов для взаимодействия портала государственных услуг и ЕМИСС.

Автоматизация процесса ведение реестра запросов, включает:

·  Разработку механизмов регистрации и контроля запросов заявителей;

·  Разработку механизмов просмотра истории запросов;

НЕ нашли? Не то? Что вы ищете?

·  Разработку механизмов защиты от сетевых атак.

Автоматическое формирование ответа на запрос заявителя, включает:

·  Разработку механизмов извлечения метаданных показателей из информационных ресурсов ЕМИСС в соответствии с содержанием запроса;

·  Разработку механизмов извлечения данных показателей из информационных ресурсов ЕМИСС в соответствии с содержанием запроса;

·  Разработку механизмов формирования интерактивной страницы с данными (в табличном виде), встроенной в экранные формы портала государственных услуг;

·  Разработку механизмов формирования ответа в файлах различных форматов: файлах MS Excel и MS Word, унифицированном XML-формате ЕМИСС, разработанных с учетом международных стандартов;

·  Разработку механизмов отправки ответов на электронные адреса заявителей.

Автоматизация процесса предоставления ответа на запрос в портал государственных услуг, включает:

·  Разработку механизмов интерактивного формирования описания показателя в экранных формах портала государственных услуг;

·  Разработку механизмов интерактивного формирования таблиц данных с использованием системы визуализации ЕМИСС.

Таким образом, внедрение программных средств «Электронная услуга» совместно с единой межведомственной информационно-статистической системой обеспечит оказание государственной услуги «Предоставление официальной статистической информации по запросам граждан и организаций» в электронном виде через единый портал государственных услуг на современном уровне

3.4. Распространение первичных статистических данных о населении и домохозяйствах с применением средств, обеспечивающих конфиденциальность информации при предоставлении открытого доступа в сети Интернет с использованием программных средств SuperSTAR

В настоящее время демографическая ситуация является одним из приоритетных вопросов социально-экономического развития России. Демографические процессы остаются неустойчивыми и кризисные явления в их развитии еще не преодолены. Реализация намечаемых мер политики в области населения требует больших усилий со стороны государства и общества, а для этого необходимо регулярное отслеживание и глубокий анализ демографических тенденций на основе первичных неперсонифицированных данных о населении.

Первичная статистическая информация о населении, имеющаяся в Росстате, хранится в шести различных по структуре базах данных:

    база данных Всероссийской переписи населения 2002 года (27877 млн. показателей); база данных родившихся и умерших за годы (1454 млн. показателей); база данных прибывших и выбывших за годы (184 млн. показателей); первичные данные обследований бюджетов домашних хозяйств за годы (165 млн. показателей); первичные данные обследований населения по проблемам занятости за годы (900 млн. показателей); фрагмент базы данных Всероссийской сельскохозяйственной переписи 2006г. «Личные подсобные и другие индивидуальные хозяйства граждан» (900 млн. показателей).

Предоставление открытого доступа к данным о населении осуществляется при помощи информационной системы STR SuperWEB или STR SuperWEB2 (ИС SuperWEB).

Формирование интегрированных информационных ресурсов первичных статистических данных о населении и домохозяйствах с применением средств, обеспечивающих конфиденциальность информации при предоставлении открытого доступа в сети Интернет, должно обеспечить применение ИС SuperWEB (часть системы SuperSTAR) для распространения данных переписей населения, сельскохозяйственных переписей, в части сведений о личных подсобных и других индивидуальных хозяйствах граждан, текущего учета населения и выборочных обследований населения и домохозяйств.

В ИС SuperWEB реализована возможность формирования запроса к данным посредством выбора показателей для подлежащего и сказуемого таблицы, а также для фильтрации данных. Результатом выполнения такого запроса является таблица, содержащая данные о численности населения, удовлетворяющие заданным критериям.

В некоторых случаях существует возможность задать критерии построения таблицы таким образом, что в отдельных ее ячейках будут содержаться данные об одном человеке, домохозяйстве, которые являются конфиденциальными, или данные о малом количестве людей, на основе которых возможно по сочетанию признаков идентифицировать персону.

Создание и внедрение в ИС SuperWEB комплексной системы защиты конфиденциальности данных ограничит доступ на уровне ячеек таблицы к первичным статистическим данным, являющимся информацией ограниченного доступа, при этом:

·  должно блокироваться получение микроданных (совокупности первичных и расчетных характеристик объекта) по одному объекту наблюдения (лицу, домохозяйству, семейной ячейке);

    должно блокироваться прямое получение первичных статистических данных.

Согласно ст.9 Федерального закона «Об официальном статистическом учете и системе государственной статистики в Российской Федерации» 29 ноября 2007 года N 282-ФЗ «Первичные статистические данные, содержащиеся в формах федерального статистического наблюдения, являются информацией ограниченного доступа, за исключением информации, недопустимость ограничения доступа к которой установлена федеральными законами. Субъекты официального статистического учета обязаны обеспечить конфиденциальность информации ограниченного доступа. Первичные статистические данные, являющиеся информацией ограниченного доступа, не подлежат разглашению или распространению и используются только в целях формирования официальной статистической информации». В контексте переписей населения конфиденциальное использование первичной информации в статистических целях означает исключение возможности использования статистической информации о населении для принятия любых решений органом государственной власти на уровне индивидуальной единицы; в связи с этим должна быть исключена возможность не только прямой идентификации единиц, но и косвенной их идентификации путем комбинации характеристик или в рамках узко определенных агрегированных данных малой численности (Рекомендации Конференции европейских статистиков по проведению переписей населения и жилищного фонда 2010 года, ООН, ECE/CES/STAT/NONE/2006/4).

На основании этих определений конфиденциальными считаются агрегированные данные, которые получены по трем и менее лицам.

При формировании интегрированных информационных ресурсов первичных статистических данных о населении и домохозяйствах с применением средств, обеспечивающих конфиденциальность информации при предоставлении открытого доступа в сети Интернет с использованием программных средств SuperSTAR, будут применены современные подходы, разработаны алгоритмы по ограничению доступа к конфиденциальным данным при предоставлении Интернет-доступа.

Будет спланирована структура баз демографических данных для перевода их в единый формат SuperSTAR.

При разработке алгоритмов защиты будут рассмотрены методики, применяемые статслужбами зарубежных стран, предоставляющими доступ к микроданным о населении, включая объекты сельскохозяйственных переписей (личные подсобные и другие индивидуальные хозяйства граждан), посредством Интернет (в частности, методика связанных данных; методика оценки среднего количества объектов обследования, приходящегося на одну ячейку данных; методика случайного округления и др.).

На основе рассмотренных методик будут выработаны методы сокрытия данных для российской статистики о населении.

Будут выработаны решения по организации (размещению) Web-доступа с учетом предполагаемой нагрузки на данный сервис со стороны заинтересованных пользователей.

В рамках выработки методов сокрытия данных будут рассмотрены следующие возможности:

·  Отображение неискаженных данных, в допустимых случаях.

·  Запрет отображения конфиденциальных данных, а также тех данных, на основании которых возможно вычислить конфиденциальные данные.

·  Замена неотображаемых данных.

·  Искажение отображаемых данных.

Методы сокрытия данных будут учитывать информационные потребности Росстата.

Алгоритмы и методы сокрытия данных, разрабатываемые для предоставления Интернет-доступа к микроданным переписей населения, сельскохозяйственных переписей, текущего статистического учета, а также выборочных обследований по вопросам занятости и бюджетов домохозяйств будут встраиваться в программное средство SuperSTAR.

ИС должна обеспечивать:

·  доступ к микроданным с автоматически подключаемой защитой конфиденциальности микроданных в выходных;

·  административный интерфейс для формирования и обновления метаинформации;

·  пользовательский интерфейс доступа к метаданным;

·  возможность сохранения результатов запроса на компьютере пользователя в формате таблиц Excel и в виде графического файла png.

·  представление результатов запроса как в виде таблиц так и в виде графиков и диаграмм для их дальнейшего анализа;

·  интуитивно понятный интерфейс;

·  доступ к каталогу полей базы. Каталог должен быть представлен в иерархическом виде без ограничения глубины вложенности.

Экспериментальная реализация алгоритмов защиты конфиденциальных данных в виде программных средств подсистемы защиты данных (далее - подсистемы) должна обеспечивать выполнение следующих функциональных требований:

·  В подсистеме должно быть предусмотрено 3 роли: администратор, экономист и пользователь. Администратор каждой из БД – специалист Центрального аппарата (ЦА) Росстата или ГМЦ Росстата, экономисты – специалисты ЦА Росстата и ГМЦ Росстата, имеющие доступ к подсистеме SuperCROSS, пользователи – все пользователи, кому Администратором предоставлен доступ к подсистеме SuperWeb.

·  Подсистема должна предоставлять web-интерфейс доступа к данным в сети Интернет, в том числе специалистам территориальных органов Росстата.

·  Подсистема должна иметь централизованное администрирование по каждой из шести БД.

·  Подсистема должна обеспечивать аутентификацию пользователей.

·  В подсистеме помимо собственной системы авторизации пользователей должны быть предусмотрены механизмы интеграции с промышленными протоколами авторизации.

·  Подсистема должна обеспечивать разграничение прав доступа пользователей на уровне БД, на уровне отдельных полей БД, на уровне отдельных иерархий полей БД, а также на уровне отдельных значений иерархий полей БД.

·  Подсистема должна обеспечивать единый интерфейс доступа к следующим данным:

§  данные Всероссийской переписи населения 2002 года;

§  данные родившихся и умерших за годы;

§  данные прибывших и выбывших за годы;

§  данные обследований бюджетов домашних хозяйств за годы;

§  данные обследований населения по проблемам занятости за годы;

§  фрагмент базы данных Всероссийской сельскохозяйственной переписи 2006 года «Личные подсобные и другие индивидуальные хозяйства граждан».

·  Подсистема должна скрывать в каталоге показателей объекты, на которые у пользователя нет прав.

·  Подсистема должна предоставлять возможность администратору выбора алгоритма(ов) защиты конфиденциальных данных, применительно к отдельным наборам данных.

·  Подсистема должна блокировать доступ к конфиденциальным данным с учетом выбранного алгоритма защиты конфиденциальных данных.

·  Подсистема должна поддерживать изменение критерия минимального количества лиц, агрегированные данные по которым считаются конфиденциальными, без необходимости изменять, и/или перекомпилировать исходный код системы.

·  Подсистема должна блокировать доступ к данным, которые могут быть использованы для вычисления конфиденциальных данных.

·  Подсистема должна обеспечивать единый механизм обеспечения защиты микроданных.

·  Подсистема должна протоколировать обращения пользователей за данными, в том числе:

§  Учетная запись.

§  Дата и время запроса.

§  Показатели, участвующие в запросе.

§  Сработавшие правила ограничения доступа.

§  Запрошенные данные.

§  Данные, отправленные пользователю.

·  Подсистема должна предоставлять администратору возможность просматривать данные протокола.

Литература

1.  Техническое задание «Развитие системы Интернет-сайтов Росстата и его территориальных органов»

2.  Постановление Правительства Российской Федерации № 367 «О единой межведомственной информационно-статистической системе»

3.  Распоряжение Правительства Российской Федерации от 01.01.01г .

4.  Техническое задание «Формирование интегрированных информационных ресурсов первичных статистических данных о населении и домохозяйствах с применением средств, обеспечивающих конфиденциальность информации при предоставлении открытого доступа в сети Интернет»

#Type=Exercise;CompletePercent=75;AttemptCount=0 Тесты к разделу 3 «Система распространения статистических данных »

@

S Какое количество подсистем актуализированного Интернет-портала Росстата:

N - 5

N+ 8

N - 10

@

S Подсистема интерактивных сервисов включает в себя средства поиска

N - да

N+ нет

@

S Кто несет ответственность за перенос информационных материалов с действующего сайта ТОГС в модернизированный сайт.

N+ Исполнитель, выбранный на конкурсной основе

N - ТОГС

N - Исполнитель, выбранный на конкурсной основе и ТОГС

@

S Кто формирует и ведет реестры показателей, подлежащих загрузке в ЕМИСС

N+ Росстат

N - Росинформтехнологии

N - Субъекты официального статистического учета

@

S Кто является оператором ЕМИСС

N - Росстат

N+ Росинформтехнологии

N - Минэкономразвития

@

S Требуется ли непосредственное привлечение территориальных органов Росстата при оказании государственной услуги по предоставлению пользователям официальной статистической информации через единый портал государственных услуг

N+ не требуется

N - требуется

@

S Ответ на электронный адрес заявителя может поступать в форматах:

N+ файл MS Excel, MS Word, унифицированный XML-формат

N - файл MS Excel, MS Word

N - унифицированный XML-формат

@

S Разработка механизма защиты от сетевых атак осуществляется при автоматизации процесса:

N - формирования запроса на оказание государственной услуги

N+ ведение реестра запросов

N- формирования ответа на запрос заявителя

@

S Формирование интегрированных информационных ресурсов первичных статистических данных о населении и домохозяйствах с использованием программных средств SuperSTAR при предоставлении открытого доступа в сети Интернет осуществляется из:

N - двух различных по структуре базах данных

N - четырех различных по структуре баз данных

N+ шести различных по структуре базах данных

@

S Конфиденциальными считаются агрегированные данные о населении, которые получены

N - по одному лицу

N - по двум лицам

N+ по трем и менее лицам

4. Вычислительная и сетевая инфраструктура Росстата. Защита статистических данных.

4.1. Развитие вычислительной и сетевой инфраструктуры Росстата

Параллельно с развитием системы сбора, обработки, хранения и предоставления данных осуществлялось оснащение системы новыми техническими и программными средствами.

Основные технические характеристики централизованно закупленных технических средств приведены в следующей таблице:

АРМ для всех ТОГС и центрального аппарата

Оборудование для сбора данных для регистрации цен и тарифов для 52 ТОГС

Рис.1. Вид терминала сбора данных

Оборудование для создания Интернет-сайтов ТОГС

Рис.2. Схема подключения оборудования Интернет-сайтов ТОГС

Оборудование для учебного класса и зала коллегии с мебелью для 12 ТОГС

Система хранения данных

Рис.3. Схема подключения системы хранения данных к существующей сетевой инфраструктуре

Серверы для создания ЛВС в крупных районных отделах в 9 ТОГС (пилот)

Серверы для вычислительной и сетевой инфраструктуры

Модернизация системы бесперебойного питания для всех рабочих станций ЛВС центрального аппарата

Закупленное и поставляемое в систему Росстата программное обеспечение предустановленно и имеет все необходимые лицензии. Наименование программных средств и количество лицензий указаны в таблице.

В результате проведенной работы все рабочие места специалистов системы Росстата оснащены современным компьютерным оборудованием. Для внедрения имеющихся программных средств сбора, обработки, хранения и представления статистических данных, в территориальные органы поставлено необходимое количество вычислительной техники.

4.2. Защита статистических данных

4.2.1. Концепция информационной безопасности

Введение

Высокие темпы развития и распространения информационных технологий требуют создания целостной системы информационной безопасности, объединяющей правовые, технологические, организационные, технические и физические меры защиты информации, основанной на научно-технических принципах построения систем обеспечения безопасности информационных ресурсов корпоративных сетей с учетом современных тенденций развития сетевых информационных технологий, а так же с использованием исследований по защите от внутренних нарушителей.

Увеличение потенциальных угроз информационной безопасности и постоянное совершенствование способов реализации этих угроз, а также развитие средств воздействия на информационно-телекоммуникационные структуры различного назначения представляет реальную угрозу для информационных и телекоммуникационных систем Федеральной службы государственной статистики. Создание комплексной системы информационной безопасности для защиты информации и информационных ресурсов Росстата, является необходимым условием для осуществления надежной и устойчивой повседневной деятельности Росстата.

Под информационной безопасностью понимаются все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Построение системы безопасности информационных ресурсов Росстата основывается на комплексном подходе, который ориентирован на создание защищенной среды обработки информации в ведомственной системе, сводящей воедино разнородные меры противодействия угрозам.

При разработке настоящей Концепции учитывались основные принципы создания комплексных систем информационной безопасности, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам информационной безопасности, а также текущее состояние и перспективы развития информационных технологий.

Правовая основа концепции

Настоящая Концепция разработана на основе требований федеральных законов и других нормативно-правовых актов, регулирующих деятельность в области информатики, информационных отношений и защиты информации.

В законодательстве Российской Федерации предусматривается наличие различного рода сведений, которые охраняются законом. Фундамент законодательства в этой области составляют статьи Конституции Российской Федерации о праве граждан на информацию. Так, охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайна (ст.23). Кроме того, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст.24). Эти положения находят свое развитие в Федеральных законах.

Федеральный закон от 01.01.2001 г. № 282-ФЗ «Об официальном статистическом учете и системе государственной статистики в Российской Федерации» содержит прямые нормы, которые определяют требования по защите информации собираемой, обрабатываемой и хранящейся в ИВС Росстата:

Статья 8 п.5 «Первичные статистические данные и административные данные, содержащие сведения, составляющие государственную тайну, сведения, составляющие коммерческую тайну, сведения о налогоплательщиках, о персональных данных физических лиц при условии их обязательного обезличивания и другую информацию, доступ к которой ограничен федеральными законами, предоставляются в соответствии с законодательством Российской Федерации об этих категориях информации ограниченного доступа».

Статья 9 п.1 « Первичные статистические данные, содержащиеся в формах федерального статистического наблюдения, являются информацией ограниченного доступа, за исключением информации, недопустимость ограничения доступа к которой установлена федеральными законами. Субъекты официального статистического учета обязаны обеспечить конфиденциальность информации ограниченного доступа. Первичные статистические данные, являющиеся информацией ограниченного доступа, не подлежат разглашению или распространению и используются только в целях формирования официальной статистической информации».

Статья 9 п.2 « Обработка содержащихся в формах федерального статистического наблюдения первичных статистических данных осуществляется в условиях, гарантирующих в соответствии с законодательством Российской Федерации защиту таких данных от несанкционированного доступа, предотвращение их хищения, утраты, подделки или искажения».

Федеральный закон от 01.01.2001 г. «Об информации, информационных технологиях и о защите информации» определяет понятие «информация» – как сведения (сообщения, данные) независимо от формы их представления и регулирует отношения, возникающие при:

·  осуществлении права на поиск, получение, передачу, производство и распространение информации;

·  применении информационных технологий;

·  обеспечении защиты информации.

Федеральный закон может содержать прямую норму, согласно которой какие-либо сведения являются конфиденциальными. Так, Федеральный закон Российской Федерации от 01.01.01 г. «О персональных данных» (Статья 3 п.10) напрямую относит к категории конфиденциальной информации персональные данные. Федеральный закон «О связи» (ст.32) на основании Конституции Российской Федерации дает понятие «тайна связи» и определяет круг лиц, допущенных к ней и обеспечивающих ее соблюдение.

Однако не ко всяким сведениям, составляющим тайну, в силу их неопределенности применима прямая норма. Иногда законодательно возможно определить только признаки, которым должны удовлетворять эти сведения. Признаками, определенными законом, можно считать такие неотъемлемые свойства информации, которые непосредственно указаны в законе, присущи сведениям, составляющим тайну, и совокупность которых позволяет однозначно определить объект правовых отношений.

Федеральным законом от 01.01.2001 г. N 98-ФЗ «О коммерческой тайне», а также Гражданским Кодексом Российской Федерации (ст.139) определяются признаки служебной и коммерческой тайны как особого объекта гражданских прав, а также предусматриваются основания и формы их защиты. Коммерческая и служебная тайна в качестве объекта гражданского права обладает тремя признаками:

·  соответствующая информация неизвестна третьим лицам;

·  к ней нет свободного доступа на законном основании;

·  собственник информации принимает меры обеспечения ее конфиденциальности.

Защите подлежит документированная информация ограниченного доступа, степень ее защиты определяет собственник. Однако ответственность за выполнение мер защиты лежит не только на собственнике информации, но и на ее пользователе.

Документирование информации проводится по правилам, которые изложены в ГОСТ-6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов», ГОСТ-6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники». ГОСТы предполагают определенный перечень реквизитов, которые делают информацию документом. Наличие всех перечисленных реквизитов необязательно. Главным из них является текст документа. Поэтому любая информация, изложенная в виде связного текста, без каких-либо дополнительных реквизитов уже может рассматриваться как документ.

Проблема развития информационных систем тесно связана с вопросом о видах документированной информации и их правовом режиме.

Положения Федеральных законов находят свое развитие в целом ряде подзаконных актов, направленных на обеспечение нормального функционирования автоматизированных систем и защиты информационных ресурсов, обрабатываемых этими системами.

Использование средств криптографической защиты информации регулируется Приказом ФСБ России от 01.01.2001 г. №66 («Положение ПКЗ-2005»).

Внедрение и эксплуатация СЗИ от НСД регулируется «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» (СТР-К), утвержденными приказом Гостехкомиссии России от 01.01.2001 г. № 000, «Положением о методах и способах защиты информации в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 01.01.2001 г. №58 и другими нормативно-методическими документами ФСТЭК России.

Решение задач правового обеспечения информационной безопасности Росстата достигается формированием системы внутренних документов: политик, положений, инструкций, планов и других.

Назначение и задачи концепции

Настоящая Концепция информационной безопасности Федеральной службы государственной статистики (далее – Концепция) представляет собой систематизированное изложение целей и задач защиты информации, основных принципов построения системы информационной безопасности, организационных, технологических и процедурных аспектов обеспечения безопасности информации в информационно-вычислительной системе Росстата в условиях возможных внешних и внутренних угроз информационной безопасности.

Научно-методической основой Концепции является системный подход, предполагающий периодическое проведение обследований, разработку и совершенствование системы защиты информации и процессов ее обработки с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты.

Концепция учитывает современное состояние и ближайшие перспективы развития информационно-вычислительной системы Росстата (далее – ИВС Росстата).

Основные положения и требования настоящей Концепции распространяются на все подразделения центрального аппарата (далее – ЦА) Росстата и территориальные органы государственной статистики (далее – ТОГС), в которых осуществляется автоматизированная обработка статистической информации, а также на подведомственные организации, осуществляющие сопровождение, обслуживание и обеспечение функционирования ИВС Росстата.

Концепция является методологической основой для:

·  формирования и проведения единой политики в области обеспечения безопасности информации;

·  принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

·  координации деятельности при проведении работ по созданию, развитию и эксплуатации ИВС Росстата с соблюдением требований обеспечения безопасности информации.

Концепция учитывает основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации и определяет генеральную линию в решении проблем информационной безопасности.

В основу разработки Концепции положены требования и рекомендации руководящих документов ФСТЭК России и ФСБ России по вопросам защиты информации.

Область действия

Структура Росстата

Федеральная служба государственной статистики Российской Федерации является территориально распределенной службой, состоящей из Центрального аппарата, 82-х территориальных органов государственной статистики. Территориальные органы государственной статистики осуществляют свою деятельность на территории субъектов РФ и в их структуре находятся более 2000 районных и городских подразделений. Таким образом, Росстат является трехуровневой системой, осуществляющей свою деятельность на федеральном, региональном и районном уровнях.

Федеральная служба государственной статистики Российской Федерации имеет следующие подведомственные организации:

    Федеральное государственное унитарное предприятие Главный межрегиональный центр обработки и распространения статистической информации Федеральной службы государственной статистики (ГМЦ Росстата); Федеральное государственное унитарное предприятие Научно-исследовательский институт проблем социально-экономической статистики Федеральной службы государственной статистики (); Федеральное государственное унитарное предприятие Научно-исследовательский и проектно-технологический институт статистической информационной системы Федеральной службы государственной статистики (); Автономная некоммерческая организация информационно-издательский центр «Статистика России»; Федеральное государственное унитарное предприятие «Управление по эксплуатации зданий» ().

На региональном и районном уровнях обеспечивается сбор первичных статистических данных - документированной информации по формам федерального статистического наблюдения, получаемых от респондентов.

На федеральном уровне формируется официальная статистическая информация.

Пользователями официальной статистической информацией являются государственные органы, органы местного самоуправления, юридические и физические лица, обращающиеся к системе государственной статистики или субъектам официального статистического учета за получением необходимой им статистической информации и (или) пользующиеся такой информацией.

Объекты защиты

Основными объектами защиты ИВС Росстата являются:

·  первичные статистические данные;

·  административные данные;

·  официальная статистическая информация ограниченного доступа;

·  служебная информация ограниченного доступа;

·  открытая (общедоступная) информация, критичная к нарушению ее целостности и достоверности;

·  процессы обработки информации: информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, пользователи системы и ее обслуживающий персонал;

·  информационная инфраструктура: технические и программные средства обработки передачи и отображения информации, средства защиты информации, объекты и помещения, в которых размещены компоненты ИВС Росстата.

Назначение и состав ИВС Росстата

ИВС Росстата предназначена для автоматизации деятельности сотрудников Росстата. Создание и применение ИВС Росстата преследует следующие цели:

·  сокращение сроков сбора первичных статистических данных от объектов статистического наблюдения;

·  сокращение сроков обработки статистической информации;

·  повышение качества разработки прикладного программного обеспечения;

·  сокращение сроков выполнения запросов органов государственной власти, граждан и организаций;

·  повышение качества защиты ИВС Росстата и ее ресурсов от несанкционированного доступа на всех ее уровнях;

·  повышение качества формирования и контроля исполнения производственного плана;

·  повышение качества планирования и контроля расходов финансовых ресурсов Росстата;

·  повышение качества формирования и контроля исполнения программ обучения современным информационным технологиям специалистов Росстата;

·  снижение годовых эксплуатационных затрат на ИВС Росстата путем применения современных информационных технологий.

ИВС Росстата является распределенной системой, объединяющей ЛВС ЦА Росстата, ГМЦ Росстата и ТОГС в единую корпоративную вычислительную сеть.

В ряде подсистем предусмотрено взаимодействие с внешними организациями по выделенным каналам с использованием специальных средств передачи информации и технологий шифрования.

Комплекс технических средств включает: средства обработки данных, средства обмена данными с возможностью выхода в глобальную сеть Интернет, а также средства хранения данных.

Общая структурная и функциональная организация ИВС Росстата определяется организационно-штатной структурой Росстата и задачами, решаемыми его подразделениями.

Категории пользователей ИВС Росстата

Пользователями ИВС Росстата являются сотрудники ЦА Росстата, ГМЦ и ТОГС и в ограниченном объеме представители внешних организаций. Пользователи ИВС Росстата имеют различные права доступа к информации, циркулирующей в системе:

·  пользователи баз данных, содержащих открытую информацию;

·  пользователи баз данных, содержащих конфиденциальную информацию;

·  ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);

·  администраторы ЛВС, баз данных;

·  системные программисты, ответственные за сопровождение системного и прикладного программного обеспечения на серверах и рабочих станциях;

·  разработчики прикладного программного обеспечения;

·  специалисты по обслуживанию технических средств вычислительной техники;

·  администраторы информационной безопасности (средств защиты информации).

Цели и задачи обеспечения безопасности

Субъекты правоотношений

При использовании ИВС Росстата и обеспечении безопасности информации субъектами правоотношений являются:

·  Росстат как собственник информационных ресурсов;

·  юридические лица и индивидуальные предприниматели без образования юридического лица, представляющие сведения о своей деятельности по формам федерального статистического наблюдения, которые собираются, обрабатываются, накапливаются и хранятся в ИВС Росстата;

·  физические лица при проведении переписи населения;

·  другие юридические и физические лица, задействованные в процессе создания и функционирования автоматизированной системы (разработчики, обслуживающий персонал, организации, привлекаемые для оказания услуг в области информационных технологий и др.).

·  Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

·  конфиденциальности определенной части информации;

·  целостности, достоверности информации;

·  своевременного доступа (за приемлемое для них время) к необходимой им информации;

·  ответственности за нарушения установленных правил обращения с информацией;

·  возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.

Основная цель обеспечения информационной безопасности

Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений от возможного нанесения им ощутимого ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИВС Росстата или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и АС ее обработки: доступности, конфиденциальности, целостности и аутентичности.

Для достижения основной цели защиты и обеспечения указанных свойств информации и АС ее обработки система информационной безопасности должна обеспечивать эффективное решение следующих задач:

·  защиту от вмешательства в процесс функционирования ИВС Росстата посторонних лиц;

·  разграничение прав доступа зарегистрированных пользователей к информационным ресурсам, аппаратным, программным средствам и средствам защиты информации;

·  регистрацию действий пользователей при использовании защищаемых ресурсов ИВС Росстата в системных журналах, периодический контроль корректности действий пользователей специалистами по защите информации;

·  обеспечение целостности среды исполнения программ и ее восстановление в случае нарушения;

·  защиту от несанкционированной модификации и внедрения, а также контроль целостности используемых программных средств;

·  защиту конфиденциальной информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;

·  обеспечение авторизации и аутентификации пользователей;

·  проведение мониторинга возможных угроз и информационной защищенности;

·  создание условий для минимизации и локализации наносимого ущерба от неправомерных действий физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

Основные пути достижения целей защиты

Основными путями достижения целей защиты информации являются:

·  строгий учет всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ);

·  обеспечение полноты, реальной выполнимости и непротиворечивости требований организационно-распорядительных документов Росстата по вопросам обеспечения безопасности информации;

·  персональная ответственность за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам ИВС Росстата;

·  реализация технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;

·  принятие эффективных мер обеспечения физической целостности технических средств, обеспечивающих инженерных систем и непрерывного поддержания необходимого уровня защищенности компонентов ИВС Росстата;

·  юридическая защита интересов Росстата при информационном взаимодействии его подразделений с внешними организациями от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;

·  проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработка и реализация предложений по совершенствованию системы защиты информации в ИВС Росстата.

Принципы построения системы информационной безопасности

Организация и функционирование системы информационной безопасности должны соответствовать нижеследующим принципам.

Максимальной дружественности. Следует учесть совместимость создаваемой системы защиты информации с используемой операционной и программно-аппаратной структурой системы и сложившимися технологиями Росстата в обмене информационными потоками.

Прозрачности. Система защиты информации должна работать в «фоновом» режиме, быть максимально «незаметной» и не мешать пользователям в основной работе, но при этом выполнять все возложенные на нее функции.

Превентивности. Устранение последствий проявления угроз безопасности информации потребует существенных финансовых, временных и материальных затрат, гораздо более значительных, чем затраты на создание системы защиты информации.

Оптимальности. Оптимальный выбор соотношения между различными методами и способами парирования угроз безопасности информации при принятии решения позволит в значительной степени сократить расходы на создание системы защиты информации.

Обоснованности. Используемые возможности и средства защиты информации должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности.

Системного подхода. Такой подход позволяет заложить комплекс мероприятий по парированию угроз безопасности информации уже на стадии проектирования защищенной системы, обеспечив оптимальное сочетание организационных и инженерно-технических мер защиты информации. Оборудование действующей незащищенной системы средствами защиты информации - сложнее и дороже, чем изначальное проектирование и построение ее в защищенном варианте.

Адаптивности. Система защиты информации должна строиться с учетом возможного изменения конфигурации системы, числа пользователей и степени конфиденциальности и ценности информации. При этом введение каждого нового элемента системы или изменение действующих условий не должно снижать достигнутый уровень защищенности системы в целом.

Доказательности. При создании системы защиты информации необходимо соблюдение организационных мер внутри системы, включая применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Реализация данного принципа требует применения электронной цифровой подписи при работе с удаленными и внешними рабочими местами и терминалами, связанными с ИВС Росстата.

Самозащиты и конфиденциальности системы защиты информации. Принципы противодействия угрозам применимы к самой системе защиты и предполагают соблюдение конфиденциальности реализованных механизмов защиты информации. Реализация данного принципа позволяет контролировать целостность системы защиты информации, управлять безопасностью через администратора безопасности, восстанавливать систему защиты при ее компрометации и отказах оборудования.

Специализации. Разработка, внедрение, эксплуатация системы защиты информации должны осуществляться профессионально подготовленными специалистами.

Основные угрозы информационной безопасности

Модель угроз информационной безопасности

Угрозы безопасности информации в системе Росстата при их обработке в информационных системах в составе ИВС Росстата делятся на:

- угрозы нарушения доступности;

- угрозы нарушения целостности;

- угрозы нарушения конфиденциальности.

Модель угроз информационной безопасности содержит систематизированный перечень актуальных угроз безопасности при их обработке в ИВС Росстата, источников актуальных угроз безопасности конфиденциальной информации, уровней реализации угроз безопасности, типов материальных объектов среды обработки информации (далее – актуальные угрозы безопасности).

Актуальная угроза безопасности – угроза безопасности информации, реализация которой влечет негативные последствия для информационной системы или ИВС Росстата в целом.

Модель угроз (см. таблицу 1) содержит единые исходные данные по актуальным угрозам безопасности конфиденциальной информации для системы Росстата, связанным с несанкционированным, в том числе случайным, доступом с целью ознакомления, изменения, копирования, неправомерного распространения конфиденциальной информации или деструктивных воздействий на элементы ИВС Росстата и обрабатываемых в ней данных с целью уничтожения или блокирования основных уровней информационной инфраструктуры, на которых возможна реализация угроз безопасности:

- физический уровень;

- сетевой уровень;

- уровень сетевых приложений и сервисов;

- уровень операционных систем;

- уровень систем управления базами данных;

- уровень технологических процессов и приложений Росстата.

Таблица 1: Модель угроз ИВС Росстата

Модель действий нарушителя

Нарушитель - это лицо, которое предприняло попытку выполнения запрещенных действий по ошибке, незнанию или осознанно со злым умыслом или без такового и использующее для этого различные возможности, методы и средства.

По отношению к Росстату потенциальных нарушителей информационной безопасности можно условно разделить на внутренних и внешних.

К внутренним нарушителям относятся:

·  сотрудники системы Росстата, действующие в рамках предоставленных полномочий;

·  сотрудники системы Росстата, действующие вне рамок предоставленных полномочий.

К внешним нарушителям относятся:

·  компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие;

·  поставщики программно-технических средств, расходных материалов, услуг и т. п. и подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт.

Компетентность и техническая подготовка возможных нарушителей может быть самой различной от низкой квалификации до специалистов уровня программистов и системных администраторов.

Возможные варианты действий внутренних нарушителей режима информационной безопасности:

·  непроизводственная активность сотрудников Росстата (пользователей), которая может выражаться в нецелевом использовании ресурсов Интернета и электронной почтыs/" rel="bookmark">вирусов и вредоносных программ, что, в свою очередь, может привести к потере данных на рабочих станциях и серверах организации, несанкционированному доступу посторонних лиц к конфиденциальной информации;

·  вход легального пользователя в компьютерную сеть с реквизитами другого пользователя может использоваться для выполнения запрещенных действий в ИВС Росстата или способствовать хищению информации;

·  установка на компьютер, подключенный к ИВС Росстата, специального программного обеспечения позволяющего проводить исследование трафика сети и/или осуществлять атаки на ресурсы сети;

·  нерегламентированное использование компьютеров сотрудниками Росстат, по роду своей деятельности, не имеющими доступа к ресурсам сети;

·  несанкционированное копирование конфиденциальной информации;

·  уничтожение информации на серверах и рабочих станциях;

·  внесение нерегламентированных изменений в данные и программное обеспечение;

·  кража носителей конфиденциальной информации;

·  кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.

·  Возможные варианты действия внешних нарушителей режима информационной безопасности:

·  атака на сервисы удаленного доступа и публичные Интернет - сервисы Росстата с целью захвата управления сервисом, получения полномочий администратора, доступа в ИВС Росстата;

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7