logo search
итт все лекции

Тема 3.4. Защита информации в автоматизированных информационных системах

Цель и задачи изучения темы:

1.   Дать определения основным понятиям в области защиты информации.

2.   Рассмотреть угрозы безопасности, каналы утечки и несанкционированного доступа к информации.

3.   Выявить методы и средства защиты.

4.   Рассмотреть принципы криптографической защиты данных.

5.   Дать определение электронной цифровой подписи.

6.   Рассмотреть информационные технологии в редакции Таможенного кодекса.

7.   Выявить тенденции развития информационных технологий.

8.   Рассмотреть важнейшие задачи информационно – технической политики таможенных органов.

В результате выполнения лабораторной работы обучающийся должен демонстрировать следующие результаты:

Уметь:

Индекс компетенции

Индекс образ. результата

Образовательный результат

ПК-2

У-1

Использовать основные программные средства для автоматизации управленческой деятельности, анализа и обработки данных

У -2

Использовать современные средства связи, организационной и вычислительной техники при работе с управленческими и иными документами, в том числе выбирать необходимое программное обеспечение или информационные технологии

Владеть:

Индекс компетенции

Индекс образ. результата

Образовательный результат

ПК-39

В-1

Навыками и приемами практического использования программного обеспечения автоматизированных рабочих мест и элементов сетевых технологий для организации сетевого  обмена информацией в таможенных органах.

ПК-41

В-1

Навыками коммуникативного поведения в организации.

Государственная система защиты информации направлена на обеспечение условий, способствующих реализации политики Российской Федерации в сфере безопасности государства, содействие экономическому и научно-техническому прогрессу страны, предотвращение или существенное снижение ущерба национальной безопасности Российской Федерации.

Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Так же является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.

Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет Федеральная служба технического и экспортного контроля (ФСТЭК) России.

Государственная система защиты информации как система более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

Выше перечисленные подсистемы представляют в совокупности деятельность следующих органов:

             ФСТЭК России и ее территориальные органы (региональные управления в субъектах Российской Федерации);

             федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР);

             структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации;

             предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации;

             научно-исследовательские организации по проблемам защиты информации;

             организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации;

             предприятия, оказывающие услуги в области защиты информации;

             организации Федерального агентства по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации;

             органы системы лицензирования деятельности в области защиты информации;

             органы системы сертификации средств защиты информации;

             органы системы аттестации объектов защиты по требованиям безопасности информации.

Функционирование государственной системы защиты информации осуществляется на основании следующих правовых актов:

             Конституции Российской Федерации;

             ФЗ «О безопасности»;

             ФЗ «О государственной тайне»;

             ФЗ «Об информации, информатизации и защите информации»;

             ФЗ «Об участии в международном информационном обмене»;

             Доктрины информационной безопасности Российской Федерации;

             Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим (утверждено Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. №912–51);

             Указов президента Российской Федерации (№1085 от 16.8.2004 г.);

             Постановлений правительства Российской Федерации;

             Других правовые акты федеральных органов власти в области защиты информации.

Среди направлений по защите информации выделяют обеспечение защиты информации от несанкционированного доступа (НСД) и от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи. К НСД относят попытки  хищения, утраты, искажения, подделки, блокирования  служебной информации.

Все средства защиты информации от несанкционированного доступа можно подразделять на следующие группы:

             технические (аппаратные) средства и системы независящие от объекта защиты, т.е. помещения, места расположения, рабочей станции и т.д.;

             программно-аппаратные средства и системы, выполненные как отдельное устройство функционирующие совместно с объектом защиты в определенной последовательности в соответствии с выполнением программного алгоритма;

             программные средства или системы (программы работы с BIOS, программные файерволы, антивирусные средства и т.д.), установленные на рабочей станции и функционирующие в соответствии с выполнением собственных алгоритмов;

             организационно-технические методы (лицензирование, сертификация средств защиты информации, аттестация объектов информатизации по требованиям безопасности информации).

Защита информации всегда является комплексным мероприятием. В совокупности, организационные и технические мероприятия позволяют предотвратить утечку информации по техническим каналам, предотвратить несанкционированный доступ к защищаемым ресурсам, что в свою очередь обеспечивает целостность и доступность информации при ее обработке, передаче и хранении. Так же техническими мероприятиями могут быть выявлены специальные электронные устройства перехвата информации, установленные в технические средства и защищаемое помещение.

Федеральный закон  № 98-ФЗ определяет следующие меры по охране конфиденциальности информации, составляющей коммерческую тайну:

             определение перечня информации, составляющей коммерческую тайну;

             ограничение доступа к информации, составляющей коммерческую тайну,

             путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

             учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

             регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

             нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

При обработке информации средствами ИС применяют методы и средства администрирования, направленные на обеспечение защиты информации. При этом данные механизмы можно разделить следующим образом:

             разграничение доступа к объекту защиты выполняется с применением идентификации (ввод имени пользователя, использования ключа доступа, других внешних аппаратных устройств);

             аутентификация пользователя при доступе к защищаемой информации;

             аудит доступа, ведение списка пользователей, блокирование доступа;

             контроль целостности как папок и файлов, так и секторов и дисков;

             аудит контроля целостности;

             запрет и аудит загрузки с внешних или съемных носителей.

Таможенные органы должны одновременно открывать и защищать информацию. Защита информации и открытость информационных ресурсов  два тесно взаимосвязанных и не противоречащих друг другу направления.

Вопрос информационной безопасности в таможенных органах получил правовое обеспечение еще в 1998 г., когда вышел Приказ ГТК РФ от 31 декабря 1998 г. N 906 "О Концепции информационной безопасности таможенных органов в Российской Федерации". Новая Концепция была принята в 2006 г. (Концепция обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года, утв. Приказом ФТС России от 19 сентября 2006 г. N 900).

Для решения поставленных задач был создан постоянно действующий внештатный орган ФТС России по проведению государственной политики в области обеспечения информационной безопасности, в том числе защиты сведений, составляющих государственную тайну, в таможенных органах Российской Федерации и в учреждениях, находящихся в ведении ФТС России. Этот орган называется «Совет по обеспечению информационной безопасности таможенных органов РФ» (Приказ ФТС от 29 июля 2008 г. N 924 «Об утверждении Положения о Совете по обеспечению информационной безопасности таможенных органов Российской Федерации»). Совет выполняет функции ведомственной постоянно действующей технической комиссии ФТС России по защите государственной тайны.

Безопасность информации в целом распадается на две составляющие: безопасность содержательной части (смысла информации) и защищенность информации от внешних воздействий либо уничтожения. В работе таможенных органов по обеспечению информационной безопасности можно выделить несколько направлений. Во-первых, это защита информации, обрабатываемой в автоматизированных системах (например, антивирусная защита). Во-вторых, это защита данных, передаваемых между таможенными органами. В-третьих, это использование средств защиты от несанкционированного доступа. В-четвертых, это использование электронной цифровой подписи и систем электронного документооборота. В-пятых, обеспечение безопасности при организации международного информационного обмена.

В настоящее время особую актуальность приобрели вопросы обеспечения информационной безопасности на единой таможенной территории Таможенного союза Республики Беларусь, Республики Казахстан и Российской Федерации. Объединение в Таможенный союз создало новые обстоятельства, где появились общие сферы деятельности, требующие согласования между странами, в том числе в информационной области. Участники Таможенного союза сотрудничают в вопросах применения современных информационных технологий при обмене электронными документами во внешней и взаимной торговле (Соглашение между Правительством РФ, Правительством Республики Беларусь и Правительством Республики Казахстан от 21 сентября 2010 г. «О применении информационных технологий при обмене электронными документами во внешней и взаимной торговле на единой таможенной территории Таможенного союза»).

При защите конфиденциальной информации на территории Таможенного союза возникает необходимость решения следующих задач:

             определение на общепринятой в Таможенном союзе основе перечня сведений Таможенного союза, которые необходимо относить к конфиденциальным, и возможной их градации;

             разработка общих технических стандартов в области информационного взаимодействия и информационной безопасности;

             взаимная возможность использования таможенными органами государств - участников Таможенного союза национальных секретных технологий и средств, обеспечивающих защиту информации;

             организация допуска сотрудников таможенных органов государств-участников к общим конфиденциальным сведениям, в том числе к национальной государственной тайне, определение общих подходов к ответственности за нарушение конфиденциальности информации;

             определение порядка проведения контроля выполнения и эффективности принятых мер по защите информации;

             определение порядка возложения ответственности таможенных органов Таможенного союза перед участниками внешнеэкономической деятельности за сохранность конфиденциальности представляемых ими сведений и др.

Необходимость проведения комплекса мероприятий по защите информации в ЕАИС ФТС России обусловлена Таможенным кодексом и законами Российской Федерации, так как несанкционированный доступ к конфиденциальной таможенной информации может нанести экономический и политический ущерб и государству, и отдельным участкам внешнеэкономических связей. В целом компьютерная преступность становится важной проблемой как для России, так и для таможенного ведомства в частности. Глобальной защите должны подвергаться центральные и региональные базы данных, центр управления сетью, магистральные каналы ИВС «Контроль», а также автоматизированные рабочие места.

ГНИВЦ обеспечил выполнение требований, установленных нормативными документами, и получил в апреле 1996 г. лицензию Гостехкомиссии России на деятельность в области защиты информации, позволившую выполнить первоочередные мероприятия по обследованию помещений ГНИВЦ и отдела специальной информации ФТС России. Специалистами ГНИВЦ разработано техническое задание на «Систему информационной безопасности (СИБ) для ЕАИС ФТС России» и подготовлены все основные до