Для группы Ои3-02 по МДК01.03 ЛПР № 22-23, Лекции 34-37
учебно-методический материал

Слайд 1

ГБПОУ СПТ им. Б.Г.Музрукова г. Саров 2020 Лекция 34 Особенности конфиденциального электронного документооборота МДК. 01.03.Организация работы персонала с конфиденциальной информацией Разработчик: Столяров И.В., преподаватель ГБПОУ СПТ им. Б.Г.Музрукова

Слайд 2

Правительство Российской Федерации утвердило Положение о системе межведомственного электронного документооборота. Федеральная информационная система обеспечивает в автоматизированном режиме защищенный обмен электронными сообщениями, в том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну. Защищенный электронный документооборот, как отмечалось во введении, можно разделить на два вида: внутренний (ВЭД) организации и межведомственный (межсетевой) (МЭД) между организациями различного уровня. Почтовый обмен электронными сообщениями по защищенным каналам связи при МЭД осуществляется с помощью специального программного обеспечения – комплекс программ «Почтовая служба», предназначенного для организации. Электронное сообщение состоит из двух частей: сопроводительной,

Слайд 3

предназначенной для адресации сообщения, и содержательной, представляющей собой текст сообщения либо текст сообщения с присоединенными файлами, содержащими электронную копию (электронный образ) документа или электронный документ, и их реквизиты, описанные с помощью языка XML. Формат файлов, используемых при осуществлении МЭД, должен соответствовать национальным или международным стандартам либо иметь открытый исходный код и открытую структуру. Язык XML – расширяемый язык гипертекстовой разметки, используемый для создания и размещения документов в среде WWW. Язык позволяет автоматизировать обмен данными, не прибегая к существенному объему программирования.

Слайд 4

Стандарт на представление данных – ориентированный, в частности на обмен информацией между независимыми участниками. Формат XML предполагает структурную, а не оформительскую разметку информации. Поэтому XML-файл легко обрабатывать, загружать в базы данных, а также «накладывать» на него любой дизайн, необходимый для представления данных в удобной потребителю форме. Именно это делает XML форматом, удобным для трансляций. Следует отметить, что одни и те же данные в рамках формата XML можно представить разными, несовместимыми друг с другом способами. В тех областях, где обмен информацией – частое и устойчивое явление, разработаны XML-форматы представления данных, которым рекомендуется следовать по мере возможности.

Слайд 5

Электронный документ – информационный объект, также состоящий из двух частей: реквизитной, содержащей идентифицирующие атрибуты (имя, время и место создания, данные об авторе и т.д.) и электронную цифровую подпись; содержательной, включающей в себя текстовую, числовую и/или графическую информацию, которая обрабатывается в качестве единого целого. Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти утверждены распоряжением Правительства Российской Федерации от 2 октября 2009 г. №1403-р. Правилами делопроизводства в федеральных органах исполнительной власти определено, что электронные документы создаются, обрабатываются и

Слайд 6

хранятся в системе электронного документооборота федерального органа исполнительной власти (в нашем случае ВЭД организации). Правилами установлен перечень обязательных сведений о документах, используемых в целях учета и поиска документов в системах электронного документооборота. В соответствии с данным перечнем обязательным сведением является отметка о конфиденциальности электронного документа. Для подписания электронных документов используются электронные цифровые подписи. Электронная цифровая подпись – реквизит электронного документа, который предназначен для его защиты от подделки, получен в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Слайд 7

Средства ЭЦП представляют собой аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП; подтверждение с использованием открытого ключа ЭЦП подлинности в электронном документе; создание закрытых и открытых ключей ЭЦП. Используемые средства электронной цифровой подписи должны быть сертифицированы. Сертификат средств ЭЦП – это документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия этих средств установленным требованиям. При рассмотрении и согласовании электронных документов в системе электронного

Слайд 8

документооборота могут использоваться способы подтверждения, при которых ЭЦП не используется. Прием и отправка конфиденциальных электронных документов осуществляются Службой делопроизводства организации. При получении электронных документов Служба делопроизводства осуществляет проверку подлинности ЭЦП. При передаче поступивших электронных документов на рассмотрение руководству, их направлении в структурные подразделения и ответственным исполнителям, отправке электронных документов для их хранения вместе с электронными документами передаются (хранятся) их регистрационные данные. Единицей учета электронного документа является электронный документ, зарегистрированный в системе ВЭД организации. Электронный документ — документ, в котором информация представлена в

Слайд 9

электронно-цифровой форме. Исполненные электронные документы систематизируются в дела в соответствии с номенклатурой дел организации. При составлении номенклатуры дел указывается, что дело ведется в электронном виде. Электронные документы после их исполнения подлежат хранению в установленном порядке в организации в течение сроков, предусмотренных для аналогичных документов на бумажном носителе. По истечении срока, установленного для хранения электронных дел (электронных документов), на основании акта о выделении их к уничтожению, утверждаемого руководителем организации, указанные электронные дела (электронные документы) подлежат уничтожению. Защите подлежит информация, имеющая различную структуру и обрабатываемая средствами вычислительной техники, представленная в виде информативных электрических

Слайд 10

сигналов, физических полей, носителей на бумажной, магнитной, магнитооптической и иной основе. В нашем случае автоматизированная информационная система и информация, включая конфиденциальную, циркулирующую в системе, рассматриваются как конфиденциальный электронный документооборот. Информационная безопасность – это защита конфиденциальности, целостности и доступности информации. Конфиденциальность информации: обеспечение доступа к информации только авторизованным пользователям. Целостность информации: обеспечение достоверности и полноты информации и методов ее обработки. Доступность информации: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Информационная безопасность при осуществлении МЭД и ВЭД обеспечивается комплексом технических иорганизационных мероприятий.

Слайд 11

К техническим мероприятиям относятся: организация и использование средств защиты информации в полном объеме их функциональных возможностей; обеспечение целостности обрабатываемых данных; обеспечение антивирусной защиты информации. К организационным мероприятиям относятся: контроль выполнения требований нормативных документов , регламентирующих обеспечение защиты информации; определение должностных лиц участников и организатора МЭД, ответственных за обеспечение информационной безопасности; установление порядка резервного копирования, восстановления и архивирования баз данных, находящихся на головном узле, а также порядка обновления антивирусных баз; установление порядка допуска для проведения ремонтно-восстановительных работ

Слайд 12

программно-технических средств; организация режимных мероприятий в отношении помещений, в которых размещены узлы участников ВЭД и МЭД, и технических средств этих узлов . Технические средства узла участника включают в себя серверное и коммуникационное оборудование, средства защиты информации, автоматизированные рабочие места (АРМ) и передаются организатором МЭД участнику на безвозмездной основе во временное пользование. Передача оформляется актом приема-передачи технических средств. Технические средства должны быть расположены в помещениях, обеспечивающих их сохранность и конфиденциальность передаваемой и принимаемой информации. В случае возникновения необходимости размещения у участников дополнительных технических средств и (или) их переноса в другие помещения финансирование выполнения комплекса работ по прокладке объектовых

Слайд 13

линий связи, приобретения оборудования и программного обеспечения, а также проведения и выполнения специальных работ осуществляется за счет средств участника. Указанные работы для обеспечения конфиденциальности и безопасности производятся поставщиком услуг, имеющим соответствующую лицензию. Спецификация на приобретаемое оборудование, программное обеспечение и материалы, а также техническое задание на выполнение специальных работ согласуются с организатором МЭД. Настройку технических средств и средств защиты, а также установку специального программного обеспечения выполняет организатор МЭД. Финансирование приобретения расходных материалов (съемные носители информации, картриджи к принтерам и др.) осуществляется участниками МЭД. Основными функциями узлов участников МЭД являются :

Слайд 14

обеспечение защиты обрабатываемой, хранимой и передаваемой информации от несанкционированного доступа и искажения до передачи ее в защищенный канал связи; доставка электронных сообщений, полученных из головного узла , в автоматизированные информационные системы ВЭД адресатов или, иными словами, их автоматизированные информационные системы; отправка электронных сообщений из автоматизированных информационных систем ВЭД на головной узел МЭД; хранение электронных сообщений до передачи на головной узел МЭД или в автоматизированную информационную систему ВЭД адресата. Обмен электронными сообщениями при МЭД осуществляют уполномоченные сотрудники. Отправитель электронного сообщения, содержащего электронную копию документа, несет ответственность за соответствие содержания электронной копии содержанию подлинника документа на бумажном носителе .

Слайд 15

Регистрация (учет) электронных сообщений в автоматизированной информационной системе ВЭД участника осуществляется в соответствии с инструкцией по делопроизводству этого участника. Автоматизированная информационная система внутреннего электронного документооборота участника должна обеспечивать подготовку уведомлений о ходе рассмотрения электронных сообщений этим участником. Требования по защите информации и мероприятия по их выполнению, а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя. Защита информации, циркулирующей в АИС организации, или, иными словами, внутреннем электронном документообороте,

Слайд 16

осуществляется в соответствии с российским законодательством и требованиями нормативно-технических документов в области защиты информации. Основными задачами обеспечения защиты информации, циркулирующей в АИС, и самих систем на уровне единой информационной среды организации являются: формирование технической политики организации в области защиты информационно-коммуникационных технологий; координация деятельности структурных подразделений организации в сфере защиты информации и АИС, а также оценка эффективности принимаемых мер; взаимодействие с уполномоченными федеральными и региональными государственными органами в области защиты информации (ФСО России, ФСТЭК России, ФСБ России); организация исследований и анализа состояния защиты информации организации; организация учета конфиденциальной

Слайд 17

информации, циркулирующей в АИС, самих систем и других носителей; организация мониторинга и контроля эффективности защиты информации , циркулирующей в АИС, и самих систем; аттестация АИС на соответствие требованиям защиты информации , предусматривающей комплексную проверку (аттестационные испытания) в реальных условиях эксплуатации в целях оценки соответствия используемого комплекса мер и средств защиты требуемому уровню; планирование работ по созданию и совершенствованию систем защиты информации на конкретных объектах; управление защитой информации на конкретных объектах; анализ и прогнозирование потенциальных угроз для конкретных объектов; оценка возможного ущерба от реализации угроз; контроль эффективности принимаемых защитных мер и разбор случаев нарушения.

Слайд 18

Для обеспечения информационной безопасности в организации создается служба (подразделение) информационной безопасности или отдельные должности штатного расписания организации, укомплектованные специалистами, ответственными за обеспечение информационной безопасности. Подразделение информационной безопасности может подчиняться непосредственно Службе безопасности организации или входить в состав подразделения информационных технологий. Варианты могут быть различными в зависимости наличия в организации Службы безопасности или Службы информационных технологий. Но в любом случае подразделение информационной безопасности должно быть предусмотрено штатным расписанием в целях обеспечения системы защиты электронного документооборота. Специалисты подразделения информационной безопасности должны иметь

Слайд 19

необходимую квалификацию в области защиты информации и проходить периодическую переподготовку (повышение квалификации) в соответствии с программами послевузовского профессионального образования. Квалификационные характеристики главного специалиста по защите информации предусмотрены Квалификационным справочником должностей руководителей, специалистов и других служащих. Для проведения работ по созданию и эксплуатации системы защиты электронного документооборота могут привлекаться специализированные организации (предприятия), имеющие лицензии и сертификаты на право проведения работ в области защиты информации. Сертификация средств защиты информации регулируется Постановлением Правительства Российской Федерации от 12.02.1994 № 100 «Об организации работ по стандартизации,

Слайд 20

обеспечению единства измерений, сертификации продукции и услуг» и Постановлением Правительства Российской Федерации от 25.06.95 г. № 608 «О сертификации средств защиты информации». Федеральным законом от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности», ст. 17, п. 1, п.п . 5 – 13 определен перечень видов деятельности в области защиты информации, на осуществление которых требуются лицензии: деятельность по распространению шифровальных ( криптографических ) средств; деятельность по техническому обслуживанию шифровальных ( криптографических) средств; предоставление услуг в области шифрования информации; разработка , производство шифровальных (криптографических) средств , защищенных с

Слайд 21

использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации; разработка , производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность ;

Слайд 22

деятельность по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговля указанной продукцией. Подразделение информационной безопасности осуществляет свою деятельность в соответствии с разрабатываемым Положением о подразделении и выполняет основные задачи и функции по обеспечению защиты информации. Защита информации при ее автоматизированной обработке производится на этапе эксплуатации автоматизированных информационных систем. При выполнении работ по защите информации следует учитывать организационные меры, обусловленные необходимостью проведения технического обслуживания, устранения неисправностей, обновления программного обеспечения и других мероприятий, задаваемых в соответствии с технологиями проведения эксплуатации

Слайд 23

систем защиты информации в АИС. Организация и выполнение подготовительных работ по автоматизированной обработке конфиденциальной информации должны проводиться с учетом требований технологий разработки систем защиты информации. Объектами защиты при этом являются: открытая, общедоступная информация и информация ограниченного доступа – это конфиденциальная информация, составляющая секрет производства, служебный секрет производства, служебную, коммерческую, профессиональную тайну, персональные данные и иные сведения, установленные российским законодательством, за исключением сведений, составляющих государственную тайну.

Слайд 24

Определение и категорирование подлежащей защите информации осуществляет организация – заказчик создания и эксплуатации АИС в соответствии с действующим российским законодательством, а также Перечня конфиденциальной документированной информации организации и разрабатываемого или уже разработанного на его основе классификатора конфиденциальной информации системы. Технологии и процессы автоматизированной обработки защищаемой конфиденциальной информации должны быть обеспечены стандартизованными машинными носителями информации, их накопителями, программно-техническими средствами глобальных и локальных вычислительных сетей и протоколами межведомственного (межсетевого) взаимодействия АИС.

Слайд 25

. 1. Куняев Н.Н. и др. Конфиденциальное делопроизводство и защищённый электронный документооборот: Учебник для ВУЗов. – М.: ЛОГОС, 2014. – 680с. 2. Полякова Т.А. Стрельцова А.А. Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для СПО / Отв. ред. Стрельцова А.А. – М.: Юрайт , 2016. – 325 с . 3 . Конфиденциальное делопроизводство: Учебное пособие: /Сост. Е.А.Давыденко . — Нижневартовск: Изд-во Нижневарт . гос . ун-та, 2013. — 83 с. Литература

Слайд 1

ГБПОУ СПТ им. Б.Г.Музрукова г. Саров 2020 Лекция 35 Основные виды угроз информационной безопасности организации МДК. 01.03.Организация работы персонала с конфиденциальной информацией Разработчик: Столяров И.В., преподаватель ГБПОУ СПТ им. Б.Г.Музрукова

Слайд 2

Явление, действие или процесс, результатом которых могут быть утечка, хищение, утрата, искажение, подделка, уничтожение, модификация, блокирование информации, определяются как факторы, воздействующие на информацию. Существуют факторы объективные и субъективные, воздействующие на информацию, которые, в свою очередь, делятся на внутренние и внешние и которые определяются перечнями в соответствии с ГОСТ Р 51275 – 99. Основными видами угроз информационной безопасности организации являются: противоправные действия третьих лиц, ошибочные действия пользователей и обслуживающего персонала, отказы и сбои программных средств, вредоносные программные воздействия на средства вычислительной техники и информацию .

Слайд 3

Кроме действий человека (умышленные, ошибочные или случайные) источниками угроз информационной безопасности являются сбои и отказы программных и технических средств вычислительной техники, техногенные катастрофы, акты терроризма, стихийные бедствия и др. Понятие «утечка» связано только с информацией ограниченного доступа (конфиденциальной) и в общем случае трактуется как выход ее из сферы обращения. Под утечкой понимается несанкционированный доступ (НСД) к информации, т. е. доступ в нарушение правил разграничения доступа к информации, которые устанавливает обладатель конфиденциальной информации или автоматизированной информационной системы, в которой эта информация циркулирует. При этом рассматривается только доступ к информации посредством применяемых в автоматизированных системах информационных технологий и непосредственный доступ к носителям информации.

Слайд 4

В отличие от утечки информации блокирование, модификация, искажение и уничтожение объекта защиты могут произойти как вследствие несанкционированного доступа человека к информации, циркулирующей в АИС, так и по причинам, не зависящим от человека. При этом искажение и уничтожение объекта защиты, например изменение или замена программ управления вычислительным процессом, также могут привести к утечке информации. НСД не всегда влечет за собой утечку, блокирование, искажение или уничтожение объекта защиты, что, в свою очередь, не всегда приводит к значимому ущербу. Тем не менее НСД к информации определяется как основополагающий фактор нарушения информационной безопасности при рассмотрении проблем обеспечения защиты информации и противодействия угрозам.

Слайд 5

Угроза информационной безопасности может быть обусловлена только наличием уязвимостей объекта защиты. Уязвимость — это свойство АИС или ее компонентов, используя которое реализуются угрозы. Уязвимость возникает в основном, из-за недоработок или ошибок, содержащихся в продуктах информационных технологий, а также вследствие ошибок при проектировании автоматизированных информационных систем, которые могут привести к поведению, неадекватному целям обеспечения ее безопасности. Кроме того, уязвимости могут появляться в результате неправильной эксплуатации системы. Для конкретной АИС как объекта защиты характерна своя совокупность угроз, зависящая от условий, в которых создается или функционирует система (табл. 8.1).

Слайд 12

. 1. Куняев Н.Н. и др. Конфиденциальное делопроизводство и защищённый электронный документооборот: Учебник для ВУЗов. – М.: ЛОГОС, 2014. – 680с. 2. Полякова Т.А. Стрельцова А.А. Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для СПО / Отв. ред. Стрельцова А.А. – М.: Юрайт , 2016. – 325 с . 3 . Конфиденциальное делопроизводство: Учебное пособие: /Сост. Е.А.Давыденко . — Нижневартовск: Изд-во Нижневарт . гос . ун-та, 2013. — 83 с. Литература

Слайд 1

ГБПОУ СПТ им. Б.Г.Музрукова г. Саров 2020 Лекция 36 Основные требования и меры по защите конфиденциальной информации, циркулирующей в эксплуатируемой автоматизированной информационной системе МДК. 01.03.Организация работы персонала с конфиденциальной информацией Разработчик: Столяров И.В., преподаватель ГБПОУ СПТ им. Б.Г.Музрукова

Слайд 2

План Основные требования по защите конфиденциальной информации Основные технические требования к организации защищенного взаимодействия систем МЭД и ВЭД Основные меры по защите конфиденциальной информации Особенности и основные требования защиты персональных данных в АИС Примерный состав и функции службы комплексного администрирования АИС

Слайд 3

1 . Основные требования по защите конфиденциальной информации Основные требования по защите информации должны основываться на положениях Федерального закона «Об информации, информационных технологиях и защите информации», РД «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» и других стандартах и руководящих документов. Эксплуатация АИС и системы защиты информации в ее составе также осуществляется в полном соответствии с утвержденной проектной, организационно-распорядительной и эксплуатационной документацией. Требования по защите информации устанавливаются в зависимости от состава (категории )

Слайд 4

конфиденциальной информации и потенциальных угроз. При этом минимально необходимая совокупность требований по системе защиты ВЭД организации, или, иными словами, АИС и информации, циркулирующей в ней, устанавливается стандартами и руководящими документами. В зависимости от состава (категории) информации и потенциальных угроз для определения требуемых мероприятий по защите информации, а также для минимизации затрат на защиту информации устанавливаются два уровня информационной безопасности АИС. Первый (базовый) уровень информационной безопасности устанавливается для АИС, в которых обрабатывается общедоступная информация, второй уровень – для АИС, в которых циркулирует конфиденциальная информация, или, иначе, осуществляется конфиденциальный электронный документооборот.

Слайд 5

Конкретные требования по защите информации и мероприятия по их выполнению определяются для АИС в целом в зависимости от уровня информационной безопасности, устанавливаемого объекту защиты. 2 . Основные технические требования к организации защищенного взаимодействия систем МЭД и ВЭД Организация защищенного взаимодействия систем МЭД и ВЭД предусматривает максимальное использование программно-технических средств и возможность поэтапного подключения. Для организации взаимодействия используются следующие компоненты: существующие компоненты – системы ВЭД и МЭД; внедряемый компонент – шлюз системы МЭД (далее – шлюз), который является программно-техническим комплексом, выполняющим функции по обеспечению обмена электронными сообщениями с

Слайд 6

системой ВЭД и обеспечивающим хранение, просмотр, поиск и выгрузку (загрузку) электронных сообщений. Шлюз состоит из объединенных в локальную информационно-телекоммуникационную сеть сервера базы данных и автоматизированного рабочего места шлюза, в составе которого развертывается клиентское программное обеспечение комплекса программ «Почтовая служба системы». Разрабатываемый компонент – адаптер ВЭД, который является специализированным программным обеспечением, разрабатываемым для каждого типа ВЭД (адаптер системы предназначен для преобразования передаваемых или получаемых данных, входящих в состав электронных сообщений, в формат представления данных, используемый в системе ВЭД, или в стандартный формат данных при обмене электронными сообщениями).

Слайд 7

Требования к шлюзу. Программно-технические средства шлюза должны обеспечивать выполнение следующих функций: отправку и прием электронных сообщений с использованием клиентского комплекса программ «Почтовая служба»; хранение документов в электронном виде и их реквизитов; поиск хранимых документов в электронном виде по их реквизитам и просмотр как реквизитов, так и электронных образов документов; возможность выгрузки и загрузки документов и их реквизитов в электронном виде с использованием съемного носителя информации; обработка ошибок, протоколирование работы и минимальное разграничение доступа к данным и сервисам, предоставляемым шлюзом. Требования к взаимодействию шлюза и адаптера системы ВЭД. Взаимодействие шлюза и адаптера системы ВЭД должно осуществляться с использованием сертифицированных средств защиты, обеспечивающих

Слайд 8

возможность обмена электронными сообщениями в автоматизированном режиме. При этом предусматривается размещение на технических средствах шлюза узла электронной почты, обеспечивающего передачу электронных сообщений участникам системы МЭД и между абонентами. Требования к системе МЭД. Система должна обеспечивать: защищенный обмен электронными сообщениями между участниками системы МЭД; доставку электронных сообщений адресатам с отсылкой отправителю квитанций о времени их получения; целостность электронных сообщений; поддержку справочников (лиц, подписывающих документы (код ), подразделений (код), адресатов документов (код) и т.д.); выгрузку электронных сообщений из комплекса программ «Почтовая служба» для последующей загрузки в систему ВЭД – получателей электронных сообщений; загрузку

Слайд 9

электронных сообщений из системы ВЭД в шлюз для последующей передачи адресатам с использованием комплекса программ «Почтовая служба». Требования к системе ВЭД. Система должна обеспечивать возможность: хранения документов в электронной форме и их реквизитов; взаимодействия с адаптером системы ВЭД при отправке и приеме электронных сообщений. Требования к информационной безопасности при организации взаимодействия системы МЭД с системой ВЭД. При организации взаимодействия указанных систем должна обеспечиваться антивирусная защита. Для защиты конфиденциальной информации должны использоваться сертифицированные по требованиям безопасности информации технические и (или) программные средства защиты информации.

Слайд 10

Автоматизированные рабочие места шлюза и выделенные персональные ЭВМ с адаптером системы ВЭД должны аттестовываться на соответствие требованиям технической защиты конфиденциальной информации. Требования по защите информации и мероприятия по их выполнению, а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя. 3 . Основные меры по защите конфиденциальной информации Защита информации АИС и самих систем различного уровня и назначения является неотъемлемой составной частью научной, производственной и управленческой деятельности организации — заказчика создания (эксплуатации) автоматизированной системы и

Слайд 11

осуществляется во взаимосвязи с другими мерами обеспечения защиты информации. Обеспечение защиты, соответствующей уровню информационной безопасности объекта защиты, содержащего конфиденциальную информацию, должно предусматривать комплекс организационных, программных, технических средств и мер по защите информации ограниченного доступа и распространения. К основным мерам защиты информации с ограниченным доступом относятся: выделение конфиденциальной информации, средств и систем защиты информации или их компонентов, подлежащих защите на основе ограничительных перечней конфиденциальной документированной информации, разрабатываемых в организации и в ее структурных подразделениях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к

Слайд 12

категории конфиденциальной; реализация разрешительной системы допуска исполнителей • (пользователей, обслуживающего персонала, персонала других организаций) к работам, документам и информации с ограниченным доступом (см. гл. 4); ограничение доступа персонала и посторонних лиц в помещения , где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) конфиденциальная информация, непосредственно к самим средствам информатизации и коммуникациям; разграничение доступа пользователей и обслуживающего персонала к информации, программным средствам обработки (передачи) и защиты информации; учет документов, информационных массивов, регистрация действий пользователей АИС и обслуживающего персонала, контроль за санкционированным и

Слайд 13

несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц; надежное хранение традиционных и машинных носителей информации , ключей (ключевой документации) и их обращение, исключающее их хищение, подмену, изменение (модификацию) и уничтожение ; необходимое резервирование технических средств и дублирование массивов и носителей информации; использование сертифицированных средств защиты информации при обработке конфиденциальной информации ограниченного доступа; использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости; проверка эффективности защиты технических средств и систем в реальных условиях их размещения и эксплуатации в целях определения достаточности мер защиты с учетом установленной категории; физическая защита помещений и собственно

Слайд 14

технических средств АИС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей; криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости), определяемой особенностями функционирования конкретных автоматизированных систем; исключение возможности визуального (в том числе с использованием оптических средств наблюдения) несанкционированного просмотра обрабатываемой информации; предотвращение внедрения в автоматизированные системы программ-вирусов , программных закладок; использование волоконно-оптических линий связи для передачи конфиденциальной информации; использование защищенных каналов связи.

Слайд 15

В целях дифференцированного подхода к защите информации, осуществляемого для разработки и применения необходимых и достаточных средств защиты информации, а также обоснованных мер по достижению требуемого уровня информационной безопасности, проводится классификация автоматизированных систем, обрабатывающих конфиденциальную информацию, либо разрабатываются профили защиты в соответствии с ГОСТ Р ИСО/МЭК 15408-1–2002 . Профиль защиты – это не зависящая от реализации совокупность требований безопасности для некоторой категории объекта оценки, отвечающая специфическим запросам потребителя. Классификации подлежат все действующие, но ранее не классифицированные, а также разрабатываемые АИС, предназначенные для обработки информации с ограниченным доступом. Если

Слайд 16

система, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, то образующаяся при этом АИС более высокого уровня классифицируется в целом, а в отношении системы нижнего уровня классификация не производится. Если объединяются автоматизированные системы различных классов защищенности, то интегрированная АИС должна классифицироваться по высшему классу защищенности входящих в нее систем, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся автоматизированных систем может сохранять свой класс защищенности. Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АИС и (или )

Слайд 17

выходящей из системы, и обеспечивающее ее защиту посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) системы. В соответствии с требованиями руководящих документов ФСТЭК России, конфиденциальная информация автоматизированной системы является объектом защиты. Определение объектов защиты проводится на предпроектной стадии, на этапах проектирования и приемо-сдаточных испытаний системы, а также в ходе инвентаризации и доработок, аттестационных испытаний и других контрольных мероприятий, проводимых в процессе эксплуатации АИС. Категории конфиденциальной информации как объекта защиты устанавливаются до начала ее автоматизированной обработки, с использованием документально оформленного Перечня конфиденциальной документированной информации (КДИ) организации, за

Слайд 18

исключением государственной тайны, подлежащей защите в соответствии с законодательством Российской Федерации. Этот Перечень может носить обобщающий характер в области деятельности организации или иметь отношение к какому-либо отдельному направлению работ, связанному с созданием АИС. Все исполнители и, при необходимости, представители сторонних организаций, привлекаемых к проведению работ с использованием сведений конфиденциального характера, должны быть ознакомлены с этим Перечнем. При отсутствии в организации Перечня КДИ допускается разработка специализированного перечня для конкретной АИС организации или системы структурного подразделения. Для идентификации и кодирования конфиденциальной информации при ее структурировании, автоматизированной обработке,

Слайд 19

в том числе в системах управления базами данных (СУБД), предусмотрен Классификатор конфиденциальной информации организации. Каждый реквизит таблицы базы данных, предназначенной для хранения конфиденциальной информации, должен иметь уникальный идентификатор. В процессе автоматизированной обработки по завершении очередного установленного календарного периода (не менее года) эксплуатации организация (заказчик) организует определение текущего уровня защиты в целях контроля его соответствия требуемому уровню. В организации разрабатываются документы (трудовые договоры, контракты, соглашения), регулирующие отношения между организацией – работодателем и ее работниками, организацией со сторонними организациями по порядку обращения с конфиденциальной информацией и ее обмена (приема-передачи).

Слайд 20

Должностным лицам и работникам организации, использующим сведения конфиденциального характера, в организации обеспечиваются необходимые условия для соблюдения установленного порядка обращения с такой информацией при ее автоматизированной обработке. Организация эксплуатации АИС и системы защиты информации в ее составе осуществляется в соответствии с установленным в организации порядком, в том числе в соответствии с инструкциями по эксплуатации системы защиты информации для пользователя, оператора, администратора системы, администратора безопасности. Порядок обеспечения защиты информации в процессе эксплуатации, учитывающий особенности реализации АИС, технологии обработки информации и доступа исполнителей к ее техническим средствам, накопителям и носителям информации, определяется Инструкцией по защите информации

Слайд 21

организации, составленной на основании действующих документов ФСТЭК России, других стандартов и нормативных документов. Ответственность за обеспечение защиты информации в процессе эксплуатации АИС возлагается на руководство эксплуатирующей организации и Службу безопасности или информационной безопасности. Подразделение информационной безопасности также может входить, как уже говорилось, в состав подразделения по информационным технологиям организации. Ответственность за соблюдение установленных требований по защите информации при разработке АИС возлагается на непосредственных исполнителей.

Слайд 22

4 . Особенности и основные требования защиты персональных данных в АИС В соответствии со ст. 19 Федерального закона «О персональных данных» Правительство Российской Федерации своим постановлением установило требования к обеспечению безопасности персональных данных при их обработке в информационных системах. На основе данного постановления ФСТЭК России своим приказом утвердило Положение о методах и способах защиты информации в информационных системах персональных данных, в котором не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

Слайд 23

Анализ основных разделов и приложения данного Положения, показывает, что его можно применять не только для информационных систем персональных данных, но и для АИС, в которых циркулирует любая другая информация. Разделы Положения после тщательного анализа рассмотрены в приложении 10. Работы по обеспечению безопасности персональных данных при их обработке в АИС являются неотъемлемой частью работ по созданию этих систем (см. разд. 8.4, а также ГОСТ 34.601–90 и ГОСТ Р 51583–200). Требования по обеспечению безопасности и защиты персональных данных при их обработке в АИС представляют собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Слайд 24

Под техническими средствами, позволяющими обрабатывать персональные данные, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и др.), средства защиты информации, применяемые в АИС. Безопасность персональных данных при их обработке в АИС обеспечивается с помощью системы защиты, включающей как организационные меры, так и технические, программные средства, которые должны удовлетворять устанавливаемым требованиям, обеспечивающим защиту информации.

Слайд 25

Средства защиты информации включают в себя также: шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа и утечки информации по техническим каналам, средства предотвращения программно-технических воздействий на технические средства обработки персональных данных, а также информационные технологии, используемые в АИС персональных данных. Для обеспечения безопасности персональных данных при их обработке в АИС, осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Слайд 26

Обмен персональными данными при их обработке в АИС осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, соблюдения условий безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются ФСТЭК России, ФСБ России и ФСО России в пределах их полномочий.

Слайд 27

Безопасность персональных данных при их обработке в АИС обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и их безопасность при обработке в информационной системе. При обработке персональных данных в АИС должны быть обеспечены: проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; своевременное обнаружение фактов несанкционированного доступа к персональным данным; недопущение воздействия на технические средства автоматизированной обработки

Слайд 28

персональных данных, в результате которого может быть нарушено их функционирование; возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; постоянный контроль за обеспечением уровня защищенности персональных данных. Мероприятия по обеспечению безопасности персональных данных при их обработке в АИС включают в себя: определение угроз информационной безопасности персональных данных при их обработке, формирование на их основе модели угроз; разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса АИС; проверку готовности

Слайд 29

средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; учет лиц, допущенных к работе с персональными данными в АИС; контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных,

Слайд 30

использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, а также разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; описание системы защиты персональных данных. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Должностные лица допускаются для выполнения служебных (трудовых) обязанностей к соответствующим данным на основании списка, утвержденного оператором АИС или уполномоченным

Слайд 31

лицом. Запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям АИС до выявления причин нарушений и устранения этих причин. Реализация требований по обеспечению информационной безопасности в средствах защиты

Слайд 32

информации возлагается на их разработчиков. В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами АИС, а под контрольными тематическими исследованиями – периодически проводимые тематические исследования. Конкретные сроки проведения контрольных тематических исследований определяются ФСБ России .

Слайд 33

Результаты соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных, оцениваются в ходе экспертизы, осуществляемой ФСБ России и ФСТЭК России в пределах их полномочий. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных, прилагаются правила пользования этими средствами, согласованные с ФСБ России и ФСТЭК России в пределах их полномочий. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется ФСБ России и ФСТЭК России.

Слайд 34

Порядок разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются ФСБ России. Автоматизированные информационные системы персональных данных должны классифицироваться операторами – государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем персональных данных установлен совместно

Слайд 35

ФСТЭК России, ФСБ России и Министерством информационных технологий и связи Российской Федерации. Проведение классификации АИС персональных данных включает в себя следующие этапы: сбор и анализ исходных данных по информационной системе; присвоение системе соответствующего класса и его документальное оформление. При проведении классификации учитываются такие исходные данные как: категория обрабатываемых в системе персональных данных – Хпд ; объем обрабатываемых персональных данных ( количество субъектов, персональные данные которых обрабатываются в системе) – Хнпд ; заданные оператором характеристики безопасности персональных данных, обрабатываемых в системе; структура системы; наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного

Слайд 36

информационного обмена; режим обработки персональных данных; режим разграничения прав доступа пользователей АИС; местонахождение технических средств информационной системы. Определяются следующие категории обрабатываемых в информационной системе персональных данных ( Хпд ): категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 – персональные данные, позволяющие иденти фицировать субъекта этих данных и получить о нем дополнительную информацию, за исключение данных, относящихся к категории 1;

Слайд 37

категория 3 – персональные данные, позволяющие идентифицировать субъекта этих данных; категория 4 – обезличенные и (или) общедоступные персональ - • ные данные. Категории персональных данных Хнпд могут принимать следующие значения: 1 – в системе одновременно обрабатываются персональные данные более чем 100 000 физических лиц или в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 – в системе одновременно обрабатываются персональные данные от 1000 до 100 000 физических лиц или работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

Слайд 38

3 – в системе одновременно обрабатываются данные менее чем 1000 физических лиц или персональные данные субъектов в пределах конкретной организации. В зависимости от характеристик безопасности персональных данных, обрабатываемых в АИС, информационные системы подразделяются на типовые и специальные. Типовые АИС – это системы , в которых требуется обеспечение только конфиденциальности персональных данных. Специальные АИС – это системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик их безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Слайд 39

Специальные АИС, в свою очередь, подразделяются на два типа: 1) системы , в которых обрабатываются персональные данные, касающиеся состояния здоровья их субъектов; 2) системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении физического лица или иным образом затрагивающих его права и законные интересы. По структуре АИС подразделяются на три типа: 1) на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (АРМ);

Слайд 40

2) комплексы АРМ, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные системы); 3 ) комплексы АРМ и (или) локальных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы). По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена АИС подразделяются на системы, имеющие подключения, и системы, не имеющие подключений. В зависимости от режима обработки персональных данных АИС подразделяются на системы одно- и многопользовательские.

Слайд 41

По разграничению прав доступа пользователей АИС подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа. В зависимости от местонахождения технических средств АИС подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов: класс 1 (К1) – системы, для которых нарушение заданной ха рактеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

Слайд 42

класс 2 (К2) – системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к средним негативным последствиям для субъектов персональных данных; класс 3 (К3) – системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) – системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Класс типовой информационной системы определяется в соответствии с табл. 8.2.

Слайд 44

По результатам анализа исходных данных класс специальной АИС определяется на основе модели угроз безопасности персональных данных. В случае выделения в составе АИС подсистем, каждая из которых является информационной системой, всей АИС в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. Результаты классификации АИС оформляются соответствующим актом оператора. Класс АИС может быть пересмотрен: по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной системы; по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

Слайд 45

5 . Примерный состав и функции службы комплексного администрирования АИС Служба комплексного администрирования АИС обеспечивает администрирование: защиты информации, операционных систем и сетей (локальных и глобальных вычислительных систем и сетей), баз данных и систем управления базами данных. Администратор защиты информации обеспечивает: регистрацию пользователей; формирование матрицы доступа к вычислительным и информационным ресурсам системы; учет наступления системных событий, связанных с инициализацией функций АИС, изменением ее конфигурации, а также изменением прав доступа; формирование параметров входа в систему (идентификатора) и шифрключей ; контроль системы текущего функционального состояния.

Слайд 46

Администратор операционных систем отвечает за генерацию операционных систем и их сопровождение (тестирование работоспособности, восстановление и т. д.), обновление версий операционных систем (анализ необходимости перехода на новые версии, разработку перечня мероприятий по переходу на новую версию). Администратор сети отвечает за ее функционирование, создает структуру каталога сети; обеспечивает необходимый уровень защиты, следит за рациональным использованием информационных ресурсов, определяет политику развития сети, ведет описание технической конфигурации сети, ее функциональной структуры, структуры клиентов, имеющих доступ к информации, циркулирующей в АИС, а также формирует список пользователей, допущенных к работе в системе. Администратор баз данных отвечает за генерацию систем управления базами данных; сопровождение информации и управление

Слайд 47

информацией, в том числе конфиденциальной; создание и ведение классификаторов; ввод и модификацию нормативно-справочной информации; сохранение резервных копий; восстановление искаженной информации; архивирование информации и организацию поступления информации из архива; обработку и анализ статистической информации о характере и интенсивности использования данных, о распределении нагрузки на различные компоненты структуры баз данных; внесение изменений в структуру баз данных в процессе эксплуатации системы в целях повышения производительности; обеспечивает ввод и поддержание в актуальном состоянии общих разделов баз данных (классификаторов). При увольнении или изменении должностных обязанностей пользователей, операторов, администраторов систем по согласованию со Службой безопасности или Службой

Слайд 48

информационных технологий (информационной безопасности) организации должны быть приняты в установленном в организации порядке меры по оперативному изменению соответствующих паролей. Порядок ведения паролей необходимо определить Инструкцией по использованию паролей. Восстановление функционирования АИС и обеспечение доступности к конфиденциальной информации на требуемом уровне и в требуемые сроки после прерывания или отказа оборудования и (или) программного обеспечения осуществляется в соответствии с порядком, указанным в эксплуатационной документации. Неисправности должны регистрироваться, анализироваться, и в их отношении должны приниматься соответствующие действия. Резервное копирование (архивирование) баз данных осуществляется в соответствии с планом проведения резервного копирования (архивирования),

Слайд 49

который включает перечень баз данных, подлежащих резервному копированию (архивированию), и график его проведения. Эксплуатация антивирусных средств защиты осуществляется в соответствии с разрабатываемой в организации Инструкцией по антивирусной защите, определяющей порядок установки, обновления, использования антивирусных средств защиты, а также меры по восстановлению работоспособности системы в случае проникновения вируса. Инструкция может быть составлена на основании. Все пользователи и эксплуатационный персонал АИС должны сообщать в Службу безопасности (информационной безопасности) о любых наблюдаемых или предполагаемых событиях, связанных с недостатками обеспечения защиты конфиденциальной информации. За нарушение установленных требований по защите информации руководитель структурного подразделения

Слайд 50

организации, отвечающий за эксплуатацию АИС (подразделение информационных технологий), и (или) непосредственный исполнитель привлекаются к административной или уголовной ответственности в соответствии с действующим российским законодательством. Доступ к защищаемой конфиденциальной информации лиц, работающих в автоматизированной системе, производится в соответствии с порядком, установленным разрешительной системой доступа. Все виды работ, связанных с автоматизированной обработкой информации, проводятся в регламентном режиме или по разовым запросам непосредственно пользователями или операторами. В последнем случае должны быть определены лица, имеющие право подписывать разовые запросы на обработку информации.

Слайд 51

Перечень регламентных работ и их исполнители определяются соответствующей организационно-распорядительной и эксплуатационной документацией. На период обработки защищаемой информации в помещениях, где размещаются необходимые для этого средства, могут находиться только лица, допущенные к обрабатываемой информации в установленном порядке. Допуск в эти помещения других лиц для проведения профилактических или ремонтных работ может осуществляться только с санкции руководителя организации или руководителя структурного подразделения, эксплуатирующего определенную тематику, по согласованию со Службой безопасности или Службой информационных технологий (информационной безопасности) организации. При этом должны быть соблюдены меры, исключающие их ознакомление с конфиденциальной информацией. В целях исключения предоставления доступа к

Слайд 52

излишнему объему информации в процессе эксплуатации АИС должен осуществляться периодический пересмотр прав доступа пользователей к информации. В случае размещения в одном помещении различных технических средств одной или нескольких автоматизированных систем должен быть исключен несанкционированный просмотр конфиденциальной информации. Учет, хранение накопителей и носителей информации на бумажной, магнитной, оптической и иной основе и обращение с ними должны осуществляться в соответствии с требованиями, изложенными в документе «Порядок хранения накопителей и носителей информации и обращения с ними». Запись конфиденциальной информации в незашифрованном виде производится только на предварительно учтенные накопители и носители информации, а в зашифрованном — с помощью сертифицированных средств

Слайд 53

криптографической защиты информации. Распечатка на принтере (вывод на графопостроитель) конфиденциальной информации может осуществляться двумя способами: либо на предварительно учтенном бумажном носителе, либо на неучтенном бумажном носителе с использованием сертифицированных средств защиты информации, реализующих печать учетных реквизитов, полученных предварительно. По окончании обработки конфиденциальной информации пользователь (оператор) обязан произвести стирание информации в оперативной памяти путем выключения питания компьютера, если иное не предусмотрено технологическим процессом. Контроль за состоянием и эффективностью защиты конфиденциальной информации осуществляется Службой информационных технологий (информационной безопасности), Службой безопасности организации, отраслевыми и федеральными органами контроля и

Слайд 54

заключается в оценке выполнения требований нормативных документов, обоснованности принятых мер и проверке соблюдения норм защиты конфиденциальной информации.

Слайд 55

. 1. Куняев Н.Н. и др. Конфиденциальное делопроизводство и защищённый электронный документооборот: Учебник для ВУЗов. – М.: ЛОГОС, 2014. – 680с. 2. Полякова Т.А. Стрельцова А.А. Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для СПО / Отв. ред. Стрельцова А.А. – М.: Юрайт , 2016. – 325 с . 3 . Конфиденциальное делопроизводство: Учебное пособие: /Сост. Е.А.Давыденко . — Нижневартовск: Изд-во Нижневарт . гос . ун-та, 2013. — 83 с. Литература

Слайд 1

ГБПОУ СПТ им. Б.Г.Музрукова г. Саров 2020 Лекция 37 Организация работ при создании системы защиты электронного документооборота МДК. 01.03.Организация работы персонала с конфиденциальной информацией Разработчик: Столяров И.В., преподаватель ГБПОУ СПТ им. Б.Г.Музрукова

Слайд 2

Организация , — заказчик автоматизированной информационной системы должна выполнить на основании ряда руководящих документов комплекс мероприятий по защите конфиденциальной информации соответствующей категории, исходя из требуемого уровня информационной безопасности объекта защиты, задаваемого на стадии создания автоматизированной системы. Разработка АИС и системы защиты информации в ее составе может осуществляться как самой организацией, так и специализированными предприятиями, имеющими лицензию на соответствующий вид деятельности в области защиты информации. Организация работ по защите информации возлагается на руководителя организации, руководителей подразделений, разрабатывающих и эксплуатирующих АИС, Службы информационных технологий (подразделения информационной

Слайд 3

безопасности), а контроль за обеспечением защиты информации – на руководителя Службы безопасности, если она за это ответственна. Если разработка системы защиты информации или ее отдельных составляющих производится специализированным предприятием в организации-заказчике, определяются подразделения (или отдельные специалисты), ответственные за проведение (внедрение и эксплуатацию) мероприятий по защите информации. Разработка и внедрение системы защиты информации должны осуществляться разработчиком совместно со Службой безопасности организации и Службой информационных технологий (информационной безопасности), принимающими участие в подготовке методического руководства и конкретных требований по защите информации , аналитического обоснования необходимости создания системы защиты информации, в выборе средств вычислительной техники и связи, средств защиты, в организации работ по выявлению возможностей и

Слайд 4

предупреждению утечки и нарушения целостности защищаемой информации, в согласовании технических заданий на проведение работ, а также в проведении аттестации АИС. Автоматизированные информационные системы, обеспечивающие защиту информации ограниченного распространения, могут создаваться по одному из трех типовых сценариев: первый – в действующую АИС, предназначенную для обработки открытой информации, добавляют функцию защиты, позволяющую обеспечивать обработку информации ограниченного распространения; второй – АИС создается, так сказать, «с нуля», где вместе с прикладной обрабатывающей системой сопрягается на стадии разработки система защиты; третий – реализуется типовой проект. Естественно, последний сценарий самый простой в реализации и мы не будем его рассматривать.

Слайд 5

Более сложным является второй сценарий, который предусматривает набор и стыковку прикладного обеспечения, с одной стороны, и систем защиты с базовыми операционными системами и базами данных – с другой. Опыт создания АИС с обеспечением защиты информации показывает следующее. Самые безопасные АИС – это те, которые не работают, т.е. не реализуют никаких прикладных функций. Самыми опасными являются те АИС, которые позволяют осуществлять пользователю любые действия и использовать любое программное обеспечение. Мы видим два полюса противоречий: полная безопасность и полная свобода действий пользователя. Естественно, реально возможными оказываются АИС, в которых соблюден баланс между безопасностью и применением достаточного объема прикладного программного обеспечения, отвечающего требованиям безопасности обработки информации.

Слайд 6

Поиск АИС, позволяющей сбалансировать указанные противоречия, является основой диалектической составляющей процесса построения информационно-защищенных систем. Как правило, поиск баланса осуществляется на основе компромисса между ограничениями на функциональные возможности программного обеспечения и переносом части функций безопасности из технических реализаций в организационные меры. Несмотря на определенную сложность второго сценария построения защищенных АИС, стоимость его реализации оказывается существенно ниже, чем построение защищенной АИС по первому сценарию, т.е. на основе уже действующей незащищенной. В последнем случае требуется, как правило, доработка или переработка действующих программ, а также создание новых средств обеспечения информационной безопасности. Как при втором, так и при третьем сценарии создания защищенных АИС можно выделить следующие стадии и этапы разработки.

Слайд 7

Разница будет заключаться в сложности, а следовательно, и в стоимости реализации этапов. Существуют следующие стадии создания системы защиты АИС и циркулирующей в ней конфиденциальной информации или, другими словами, электронного конфиденциального документооборота: предпроектная , включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание; проектирования (разработки проектов) и реализации АИС, включающая разработку системы защиты информации в ее составе; ввода в действие системы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию АИС на соответствие требованиям информационной безопасности.

Слайд 8

Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части состава и структуры конфиденциальной информации целесообразно выполнять представителям организации-заказчика при методической помощи специализированного предприятия. На этой стадии разрабатываются аналитическое обоснование и техническое задание на создание системы или частное техническое задание на подсистему информационной безопасности АИС. На предпроектной стадии по обследованию объекта, для которого создается АИС, определяются: (уточняются) угрозы безопасности информации – факторы, влияющие на конфиденциальную информацию; модель вероятного нарушителя

Слайд 9

применительно к конкретным условиям функционирования АИС; необходимость обработки конфиденциальной информации в АИС, оцениваются ее объемы, характер и условия использования ; конфигурация и топология АИС в целом и ее отдельных составляющих , а также физические, функциональные и технологические связи как внутри разрабатываемой системы, так и с другими АИС; технические средства и системы, предполагаемые к использованию в разрабатываемой АИС, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке; режимы обработки конфиденциальной информации в АИС; данные и компоненты АИС, которые являются важными и должны дублироваться; класс защищенности АИС; степень

Слайд 10

участия персонала в обработке (передаче, хранении) конфиденциальной информации, характер их взаимодействия между собой и со Службой информационных технологий (информационной безопасности), а также Службой безопасности организации; мероприятия по защите информации в процессе разработки системы . По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты конфиденциальной информации, которое должно содержать: информационную характеристику создаваемой АИС и организационную структуру, для которой система создается; характеристику комплекса технических средств, программного обеспечения , режимов работы, технологического процесса обработки информации; перечень угроз информационной безопасности и мероприятий по их предупреждению и предотвращению;

Слайд 11

перечень предлагаемых к использованию сертифицированных средств защиты или обоснование необходимости их разработки (адаптации под конкретные условия функционирования АИС); обоснование необходимости привлечения специализированных предприятий для разработки системы защиты информации; оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации ; ориентировочные сроки разработки и внедрения системы защиты информации; перечень мероприятий по обеспечению конфиденциальности информации при создании АИС. Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с разработчиком АИС, руководителями Службы информационных технологий ( информационной безопасности) и Службы

Слайд 12

безопасности организации-заказчика , после чего утверждается руководителем этой организации. Результаты предпроектного обследования в части наличия конфиденциальной информации должны базироваться на документально оформленном Перечне конфиденциальной документированной информации. Конфиденциальность исходной информации, подлежащей автоматизированной обработке, а также выходной информации, получаемой в результате обработки, определяется организацией – заказчиком АИС на основании Перечня конфиденциальной документированной информации и документально, за подписью руководителя организации, представляется разработчику системы защиты информации. В целях определения конфиденциальности промежуточной информации, циркулирующей (обрабатываемой, хранимой и передаваемой) в АИС, а также оценки достаточности предлагаемых средств и мер защиты информации

Слайд 13

приказом по организации создается экспертная комиссия, в состав которой включаются представители организации – заказчика и предприятия – разработчика АИС. Экспертная комиссия может проводить свою работу в несколько этапов и при этом рассматривает аналитическое обоснование, техническое задание, проектную и эксплуатационную документацию, а также устанавливает конфиденциальность информации, подлежащей обработке, в том числе накопителей, носителей и массивов информации, предложенной организацией – заказчиком и разработчиком АИС. Правильность и обоснованность сроков хранения накопителей и носителей информации и их рассылки, достаточность предлагаемых мер защиты должны соответствовать Перечню конфиденциальной документированной информации и Реестру конфиденциальной информации и АИС.

Слайд 14

Результатом работы Экспертной комиссии является заключение, утверждаемое руководителем организации, при которой она создана. На стадии ввода в действие АИС и системы защиты информации в ее составе осуществляются: опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе АИС и отработки технологического процесса обработки (передачи) информации; приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком и заказчиком; аттестация АИС на соответствие требованиям безопасности информации .

Слайд 15

На этой стадии оформляются: акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний; предъявительский акт о проведении аттестационных испытаний; заключение по результатам аттестационных испытаний; аттестат соответствия. Эксплуатация АИС осуществляется на основе утвержденной организационно-распорядительной и эксплуатационной документации. Состояние и эффективность защиты информации контролируются службой информационных технологий (информационной безопасности), Службой безопасности организации-заказчика, отраслевыми и федеральными органами контроля. По результатам контроля дается оценка выполнению требований нормативных документов, обоснованности принятых мер и проверке соблюдения норм защиты конфиденциальной информации.

Слайд 16

. 1. Куняев Н.Н. и др. Конфиденциальное делопроизводство и защищённый электронный документооборот: Учебник для ВУЗов. – М.: ЛОГОС, 2014. – 680с. 2. Полякова Т.А. Стрельцова А.А. Организационное и правовое обеспечение информационной безопасности: Учебник и практикум для СПО / Отв. ред. Стрельцова А.А. – М.: Юрайт , 2016. – 325 с . 3 . Конфиденциальное делопроизводство: Учебное пособие: /Сост. Е.А.Давыденко . — Нижневартовск: Изд-во Нижневарт . гос . ун-та, 2013. — 83 с. Литература