Защита информационных ресурсов при информационном обеспечении деятельности Единых информационно-расчётных центров
ОБЪЕКТЫ ЗАЩИТЫ АСУ ЕИРЦ Типы и наименование защищаемых информационных ресурсов Нормативно-справочная информация Алгоритмы и методики расчётов Справочники и классификаторы Информационные ресурсы (БД) ЕИРЦ Защищаемые свойства информации: доступность, целостность, конфиденциальность
Защита информации (ФЗ от 27 июля 2006 г ФЗ ст.16) Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации
НАПРАВЛЕНИЯ ЗАЩИТЫ ИР Правовая защита Правовая защита Специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе Организационная защита Организационная защита Регламентация производственной деятельности исполнителей на нормативно-правовой основе, исключающая нанесение ущерба Техническая защита Техническая защита Использование различных инженерных, аппаратных, программно- аппаратных и программных средств, препятствующих нанесению ущерба
Структура правовых актов, ориентированных на правовую защиту информации 1. Конституционное законодательство 2. Общие законы, кодексы 3. Законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус 4. Специальные законы 5. Законодательство субъектов Российской Федерации, касающееся защиты информации 6. Подзаконные нормативные акты по защите информации 7. Правоохранительное законодательство
Проблема правового нигилизма «Россия, без преувеличения, это страна правового нигилизма. К сожалению (и я это вынужден констатировать как человек, который давно занимается правом), таким уровнем пренебрежения к праву не может "похвастаться" ни одна другая европейская страна.» (Первый вице-премьер РФ Дмитрий Медведев ) умышленное нарушение законов и иных нормативно-правовых актов массовое несоблюдение и неисполнение юридических предписаний; издание противоречивых правовых актов; подмена законности целесообразностью; конфронтация представительных и исполнительных структур; нарушение прав человека; теоретическая форма правового нигилизма (в научной сфере, в работах юристов, философов и др.).
Совершенствование правовой защиты Устранение терминологической неопределённости и неоднозначности Создание и совершенствование механизма реализации законов Преодоление «правового нигилизма» Повышение квалификации специалистов по ЗИ в области информационного права
ОРГАНИЗАЦИОННАЯ ЗАЩИТА ВКЛЮЧАЕТ Организацию работы по анализу угроз - э то регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией Организацию использования технических средств Организацию работы с документами Организацию режима и охраны Организацию работы с сотрудниками
создание специальных штатных служб (подразделений) по защите информации; создание специальных штатных служб (подразделений) по защите информации; организация работ по разработке системы защиты информации; организация работ по разработке системы защиты информации; ограничение доступа на объект и к ресурсам АСУ; ограничение доступа на объект и к ресурсам АСУ; разграничение доступа к ресурсам АСУ; разграничение доступа к ресурсам АСУ; планирование мероприятий по ЗИ; планирование мероприятий по ЗИ; разработка документации по ЗИ; разработка документации по ЗИ; обучение обслуживающего персонала и пользователей; обучение обслуживающего персонала и пользователей; сертификация средств ЗИ; сертификация средств ЗИ; лицензирование деятельности по ЗИ; лицензирование деятельности по ЗИ; аттестация объектов защиты; аттестация объектов защиты; совершенствование системы ЗИ; совершенствование системы ЗИ; оценка эффективности функционирования ЗИ; оценка эффективности функционирования ЗИ; контроль выполнения установленных правил работы в АСУ контроль выполнения установленных правил работы в АСУ Основные мероприятия организационной защиты :
Необходимость создания подразделений (служб) по защите информации 1. Законы РФ N 149-ФЗ и 152-ФЗ (от ) обязывают организацию-оператора принимать меры и обеспечивать защиту информации. 2. Оргштатная структура операторов (ГУ ИС) - не предусматривает специалистов по защите информации
Из Федерального Закона «О персональных данных» от 27 июля 2006 года 152-ФЗ (статья 3) 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; 3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; (статья 7) Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. (статья 19) 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Из Федерального Закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ (статья 2) 5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; 12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Из Федерального Закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ (Статья 16) 4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации.
Рекомендуемая структура подразделения по защите информатизации Организационно- плановая группа (специалист(ы) Руководитель предприятия Руководитель подразделения по защите информации Специалист(ы) по защите информации в АС от утечки за счет несанкционированного доступа к ней Группа (специалист(ы) средств защиты Группа (специалист(ы) контроля Специалист(ы) по защите информации от утечки по каналам ПЭМИН Специалист(ы) аналитики информационной безопасности
Структура и состав документации по защите информации, необходимой в организации Нормативные правовые акты Нормативные правовые акты (федеральные законы, указы Президента РФ, постановления (федеральные законы, указы Президента РФ, постановления правительства, государственные стандарты) правительства, государственные стандарты) Нормативно-технические документы (требования и рекомендации, Нормативно-технические документы (требования и рекомендации, нормативно-методические документы, руководящие документы – нормативно-методические документы, руководящие документы – СТР-К, временные методики оценки защищенности КИ, СТР-К, временные методики оценки защищенности КИ, РД ФСТЭК (Гостехкомиссии России) по защите информации в АС от НСД, ГОСТы и др.) Проектная документация на ОИ и его СЗИ Проектная документация на ОИ и его СЗИ Организационно-распорядительная документация Организационно-распорядительная документация Эксплуатационная документация на ОИ и СЗИ Эксплуатационная документация на ОИ и СЗИ
Рекомендуемый состав организационно- распорядительной документации В организации оформляются приказы (указания, решения): 1. На проектирование объекта информатизации и назначение ответственных исполнителей; ответственных исполнителей; 2. На проведение работ по защите информации; 2. На проведение работ по защите информации; 3.О назначении лиц, ответственных за эксплуатацию объекта 3.О назначении лиц, ответственных за эксплуатацию объекта информатизации информатизации 4. На разрешение обработки в АС конфиденциальной информации в АС 4. На разрешение обработки в АС конфиденциальной информации в АС
Состав документации на систему защиты информации АСУ ЕИРЦ Акт классификации АСУ ЕИРЦ ЧТЗ и дополнение к ЧТЗ на создание СЗИ ПРЕДПРОЕКТНАЯ СТАДИЯ Аналитическое обоснование необходимости создания СЗИ Перечень устанавливаемых ОТСС и ВТСС СТАДИЯ ПРОЕКТИРОВАНИЯ Технический проект на создание СЗИ Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации СТАДИЯ ВВОДА В ЭКСПЛУАТАЦИЮ Приемо-сдаточный акт средств ЗИАкты внедрения средств ЗИ Протоколы аттестационных испытаний и заключение по их результатам Аттестат соответствия АСУ ЕИРЦ требованиям по безопасности информации Документация по защите информации на аттестованные объекты информатизации
Состав документации по защите информации на аттестованный объект информатизации Технический паспорт Технический паспорт Технологические инструкции пользователям, администратору безопасности информации Технологические инструкции пользователям, администратору безопасности информации Инструкции и руководства по эксплуатации средств ЗИ для пользователей, администраторов системы, службы безопасности Инструкции и руководства по эксплуатации средств ЗИ для пользователей, администраторов системы, службы безопасности Нормативная и методическая документация по ЗИ и контролю Нормативная и методическая документация по ЗИ и контролю Эксплуатационная документация на средства контроля эффективности ЗИ Эксплуатационная документация на средства контроля эффективности ЗИ Сертификаты на средства ЗИ Сертификаты на средства ЗИ Заключения по результатам спецпроверок ТС Заключения по результатам спецпроверок ТС
Совершенствование организационной защиты Создание подразделений информационной безопасности Назначение ответственных по информационной безопасности Повышение квалификации руководителей и сотрудников организаций по информационной безопасности
Основные направления технической защиты Обеспечение целостности и доступности информации Обеспечение целостности и доступности информации Резервное копирование информации Дублирование технических средств Антивирусная защита Обеспечение конфиденциальности персональных и служебных данных Обеспечение конфиденциальности персональных и служебных данных Криптозащита каналов передачи информации Разграничение прав доступа к информации Применение средств защиты от несанкционированного доступа Персонализация обработки информации
Функциональные подсистемы ПИБ контроля и разграничения доступа; контроля и разграничения доступа; криптографической защиты информации; криптографической защиты информации; защиты телекоммуникационной составляющей; защиты телекоммуникационной составляющей; учета и регистрации событий информационной безопасности; учета и регистрации событий информационной безопасности; АРМ Администратора безопасности. АРМ Администратора безопасности.
Результаты аттестации
Наши координаты: Адрес: Москва, ул. 3-я Фрунзенская, д.9 Адрес: Москва, ул. 3-я Фрунзенская, д.9 Телефон: 8 (495) Телефон: 8 (495) Факс: 8 (499) Факс: 8 (499)