несанкционированный доступ к информации, находящейся в банках и базах данных;
нарушение законных ограничений на распространение информации. Из них в числе основных угроз безопасности информации, циркулирующей в системах и средствах информатизации и связи МЧС России (способов нанесения ущерба субъектам информационных отношений) можно выделить:
разглашение и утечка (нарушение конфиденциальности) информации с ограниченным доступом, содержащей сведения, отнесенные к государственной или служебной тайне;
нарушение работоспособности (дезорганизация работы) АС МЧС России и автономных АРМ, блокирование информации, нарушение технологических процессов, срыв своевременного решения служебных задач;
нарушение целостности (искажение, подмена, уничтожение) информационных, программных и иных ресурсов АС МЧС России, информации, обрабатываемой на автономных АРМ, а также фальсификация (подделка) документов.
2.2. Основными источниками угроз безопасности информации, циркулирующей в системах и средствах информатизации и связи МЧС России, являются:
непреднамеренные нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты информации) при эксплуатации систем и средств информатизации и связи МЧС России, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений с ограниченным доступом, потере ценной информации или нарушению работоспособности автономных и локальных АРМ, подсистем или АС МЧС России в целом;
преднамеренные (совершенные в корыстных целях, по принуждению третьими лицами, со злым умыслом и т. д.) действия должностных лиц МЧС России, допущенных к работе с информацией ограниченного доступа, а также специалистов подразделений, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;
воздействия сотрудников, в том числе программистов-разработчиков прикладных задач, на логические и (или) физические сегменты АС МЧС России;
деятельность иностранных разведывательных и специальных служб;
ошибки, допущенные при проектировании АС МЧС России, систем защиты информации, ошибки в программном обеспечении, отказы и сбои технических средств и систем информатизации и связи МЧС России, в том числе средств защиты информации и контроля эффективности защиты;
аварии, ЧС и стихийные бедствия.
3. Меры, методы и средства обеспечения безопасности информационных ресурсов МЧС России.
3.1. Меры обеспечения безопасности информационных ресурсов подразделяются на:
законодательные (правовые);
организационные (административные);
физические;
технические (аппаратные и программные).
3.2. К законодательным (правовым) мерам обеспечения безопасности информации относятся законы РФ и другие нормативные правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
В соответствии с положениями Федерального закона от 01.01.01 г. «Об информации, информационных технологиях и о защите информации» правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:
свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
установление ограничений доступа к информации только федеральными законами;
открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
равноправие языков народов РФ при создании информационных систем и их эксплуатации;
обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
достоверность информации и своевременность ее предоставления;
неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
Законодательные (правовые) меры требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом информационных систем.
3.3. Организационные (административные) меры обеспечения безопасности информации - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с информационной системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
3.4. Физические меры обеспечения безопасности информации основаны на применении разного рода механических, электро - или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационных систем и защищаемой информации с ограниченным доступом, а также технических средств визуального наблюдения, связи и охранной сигнализации.
3.5. Технические (аппаратно-программные) меры обеспечения безопасности информации основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем МЧС России и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты информации - идентификацию и аутентификацию пользователей, разграничение доступа к информационным ресурсам, регистрацию событий, криптографическую защиту и т. д.
а) с учетом всех требований и принципов обеспечения безопасности информации в информационных системах МЧС России по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
аутентификации пользователей и элементов АС МЧС России (терминалов, функциональных задач, баз данных и т. п.), в соответствии со степенью конфиденциальности информации;
аутентификации пользователей автономных АРМ;
разграничения доступа к информационным ресурсам;
криптографической защиты информации в линиях связи, каналах передачи и в базах данных;
регистрации обращения и контроля за использованием защищаемой информации;
реагирования на обнаруженный несанкционированный доступ;
снижения уровня и информативности ПЭМИН, создаваемых различными элементами систем и средств информатизации и связи МЧС России;
снижения уровня акустических излучений, сопровождающих функционирование элементов систем и средств информатизации и связи МЧС России;
маскировки от оптических (визуальных) средств наблюдения;
электрической развязки, как элементов систем и средств информатизации и связи МЧС России, так и конструктивных элементов помещений, в которых они размещаются, включая водопроводную и канализационную систему;
активного зашумления в радио - и акустическом диапазонах.
б) на технические средства защиты от несанкционированного доступа в соответствии с руководящими документами ФСТЭК (Гостехкомиссии) России и ГОСТ возлагается решение следующих основных задач:
идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств;
регламентация доступа пользователей к физическим устройствам рабочей станции (дискам, портам ввода-вывода);
избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
полномочное (мандатное) разграничение доступа к защищаемым ресурсам (данным) на рабочей станции и на файловом сервере;
создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций, входящих в АС;
защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
оповещение администратора безопасности обо всех случаях несанкционированного доступа, происходящих на рабочих станциях;
оперативный контроль за работой пользователей АС, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.
в) эффективность применения технических средств защиты обеспечивается выполнением следующих требований организационных (административных) и физических мер обеспечения безопасности информации:
обеспечена физическая целостность всех компонент информационных систем МЧС России;
каждый пользователь информационной системы имеет уникальное системное имя и минимально необходимые для выполнения функциональных обязанностей полномочия по доступу к информационным ресурсам;
ограничено и строго регламентировано использование на рабочих станциях АС МЧС России и автономных АРМ инструментальных и технологических программ (тестовых утилит, отладчиков и т. п.), позволяющих предпринять попытки взлома или обхода средств защиты информации;
разработка и отладка программ осуществляется за пределами защищенных информационных систем, программирующие пользователи в них отсутствуют;
все изменения конфигурации технических и программных средств информационных систем производятся строго установленным порядком и только на основании распоряжений руководства;
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
