Тема 3.4. Защита информации в автоматизированных информационных системах
Цель и задачи изучения темы:
1. Дать определения основным понятиям в области защиты информации.
2. Рассмотреть угрозы безопасности, каналы утечки и несанкционированного доступа к информации.
3. Выявить методы и средства защиты.
4. Рассмотреть принципы криптографической защиты данных.
5. Дать определение электронной цифровой подписи.
6. Рассмотреть информационные технологии в редакции Таможенного кодекса.
7. Выявить тенденции развития информационных технологий.
8. Рассмотреть важнейшие задачи информационно – технической политики таможенных органов.
В результате выполнения лабораторной работы обучающийся должен демонстрировать следующие результаты:
Уметь:
| Индекс компетенции | Индекс образ. результата | Образовательный результат |
| ПК-2 | У-1 | Использовать основные программные средства для автоматизации управленческой деятельности, анализа и обработки данных |
| У -2 | Использовать современные средства связи, организационной и вычислительной техники при работе с управленческими и иными документами, в том числе выбирать необходимое программное обеспечение или информационные технологии |
Владеть:
| Индекс компетенции | Индекс образ. результата | Образовательный результат |
| ПК-39 | В-1 | Навыками и приемами практического использования программного обеспечения автоматизированных рабочих мест и элементов сетевых технологий для организации сетевого обмена информацией в таможенных органах. |
| ПК-41 | В-1 | Навыками коммуникативного поведения в организации. |
Государственная система защиты информации направлена на обеспечение условий, способствующих реализации политики Российской Федерации в сфере безопасности государства, содействие экономическому и научно-техническому прогрессу страны, предотвращение или существенное снижение ущерба национальной безопасности Российской Федерации.
Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации. Так же является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.
Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет Федеральная служба технического и экспортного контроля (ФСТЭК) России.
Государственная система защиты информации как система более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.
Выше перечисленные подсистемы представляют в совокупности деятельность следующих органов:
ФСТЭК России и ее территориальные органы (региональные управления в субъектах Российской Федерации);
федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР);
структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации;
предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации;
научно-исследовательские организации по проблемам защиты информации;
организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации;
предприятия, оказывающие услуги в области защиты информации;
организации Федерального агентства по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации;
органы системы лицензирования деятельности в области защиты информации;
органы системы сертификации средств защиты информации;
органы системы аттестации объектов защиты по требованиям безопасности информации.
Функционирование государственной системы защиты информации осуществляется на основании следующих правовых актов:
Конституции Российской Федерации;
ФЗ «О безопасности»;
ФЗ «О государственной тайне»;
ФЗ «Об информации, информатизации и защите информации»;
ФЗ «Об участии в международном информационном обмене»;
Доктрины информационной безопасности Российской Федерации;
Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим (утверждено Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. №912–51);
Указов президента Российской Федерации (№1085 от 16.8.2004 г.);
Постановлений правительства Российской Федерации;
Других правовые акты федеральных органов власти в области защиты информации.
Среди направлений по защите информации выделяют обеспечение защиты информации от несанкционированного доступа (НСД) и от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи. К НСД относят попытки хищения, утраты, искажения, подделки, блокирования служебной информации.
Все средства защиты информации от несанкционированного доступа можно подразделять на следующие группы:
технические (аппаратные) средства и системы независящие от объекта защиты, т.е. помещения, места расположения, рабочей станции и т.д.;
программно-аппаратные средства и системы, выполненные как отдельное устройство функционирующие совместно с объектом защиты в определенной последовательности в соответствии с выполнением программного алгоритма;
программные средства или системы (программы работы с BIOS, программные файерволы, антивирусные средства и т.д.), установленные на рабочей станции и функционирующие в соответствии с выполнением собственных алгоритмов;
организационно-технические методы (лицензирование, сертификация средств защиты информации, аттестация объектов информатизации по требованиям безопасности информации).
Защита информации всегда является комплексным мероприятием. В совокупности, организационные и технические мероприятия позволяют предотвратить утечку информации по техническим каналам, предотвратить несанкционированный доступ к защищаемым ресурсам, что в свою очередь обеспечивает целостность и доступность информации при ее обработке, передаче и хранении. Так же техническими мероприятиями могут быть выявлены специальные электронные устройства перехвата информации, установленные в технические средства и защищаемое помещение.
Федеральный закон № 98-ФЗ определяет следующие меры по охране конфиденциальности информации, составляющей коммерческую тайну:
определение перечня информации, составляющей коммерческую тайну;
ограничение доступа к информации, составляющей коммерческую тайну,
путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
При обработке информации средствами ИС применяют методы и средства администрирования, направленные на обеспечение защиты информации. При этом данные механизмы можно разделить следующим образом:
разграничение доступа к объекту защиты выполняется с применением идентификации (ввод имени пользователя, использования ключа доступа, других внешних аппаратных устройств);
аутентификация пользователя при доступе к защищаемой информации;
аудит доступа, ведение списка пользователей, блокирование доступа;
контроль целостности как папок и файлов, так и секторов и дисков;
аудит контроля целостности;
запрет и аудит загрузки с внешних или съемных носителей.
Таможенные органы должны одновременно открывать и защищать информацию. Защита информации и открытость информационных ресурсов два тесно взаимосвязанных и не противоречащих друг другу направления.
Вопрос информационной безопасности в таможенных органах получил правовое обеспечение еще в 1998 г., когда вышел Приказ ГТК РФ от 31 декабря 1998 г. N 906 "О Концепции информационной безопасности таможенных органов в Российской Федерации". Новая Концепция была принята в 2006 г. (Концепция обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года, утв. Приказом ФТС России от 19 сентября 2006 г. N 900).
Для решения поставленных задач был создан постоянно действующий внештатный орган ФТС России по проведению государственной политики в области обеспечения информационной безопасности, в том числе защиты сведений, составляющих государственную тайну, в таможенных органах Российской Федерации и в учреждениях, находящихся в ведении ФТС России. Этот орган называется «Совет по обеспечению информационной безопасности таможенных органов РФ» (Приказ ФТС от 29 июля 2008 г. N 924 «Об утверждении Положения о Совете по обеспечению информационной безопасности таможенных органов Российской Федерации»). Совет выполняет функции ведомственной постоянно действующей технической комиссии ФТС России по защите государственной тайны.
Безопасность информации в целом распадается на две составляющие: безопасность содержательной части (смысла информации) и защищенность информации от внешних воздействий либо уничтожения. В работе таможенных органов по обеспечению информационной безопасности можно выделить несколько направлений. Во-первых, это защита информации, обрабатываемой в автоматизированных системах (например, антивирусная защита). Во-вторых, это защита данных, передаваемых между таможенными органами. В-третьих, это использование средств защиты от несанкционированного доступа. В-четвертых, это использование электронной цифровой подписи и систем электронного документооборота. В-пятых, обеспечение безопасности при организации международного информационного обмена.
В настоящее время особую актуальность приобрели вопросы обеспечения информационной безопасности на единой таможенной территории Таможенного союза Республики Беларусь, Республики Казахстан и Российской Федерации. Объединение в Таможенный союз создало новые обстоятельства, где появились общие сферы деятельности, требующие согласования между странами, в том числе в информационной области. Участники Таможенного союза сотрудничают в вопросах применения современных информационных технологий при обмене электронными документами во внешней и взаимной торговле (Соглашение между Правительством РФ, Правительством Республики Беларусь и Правительством Республики Казахстан от 21 сентября 2010 г. «О применении информационных технологий при обмене электронными документами во внешней и взаимной торговле на единой таможенной территории Таможенного союза»).
При защите конфиденциальной информации на территории Таможенного союза возникает необходимость решения следующих задач:
определение на общепринятой в Таможенном союзе основе перечня сведений Таможенного союза, которые необходимо относить к конфиденциальным, и возможной их градации;
разработка общих технических стандартов в области информационного взаимодействия и информационной безопасности;
взаимная возможность использования таможенными органами государств - участников Таможенного союза национальных секретных технологий и средств, обеспечивающих защиту информации;
организация допуска сотрудников таможенных органов государств-участников к общим конфиденциальным сведениям, в том числе к национальной государственной тайне, определение общих подходов к ответственности за нарушение конфиденциальности информации;
определение порядка проведения контроля выполнения и эффективности принятых мер по защите информации;
определение порядка возложения ответственности таможенных органов Таможенного союза перед участниками внешнеэкономической деятельности за сохранность конфиденциальности представляемых ими сведений и др.
Необходимость проведения комплекса мероприятий по защите информации в ЕАИС ФТС России обусловлена Таможенным кодексом и законами Российской Федерации, так как несанкционированный доступ к конфиденциальной таможенной информации может нанести экономический и политический ущерб и государству, и отдельным участкам внешнеэкономических связей. В целом компьютерная преступность становится важной проблемой как для России, так и для таможенного ведомства в частности. Глобальной защите должны подвергаться центральные и региональные базы данных, центр управления сетью, магистральные каналы ИВС «Контроль», а также автоматизированные рабочие места.
ГНИВЦ обеспечил выполнение требований, установленных нормативными документами, и получил в апреле 1996 г. лицензию Гостехкомиссии России на деятельность в области защиты информации, позволившую выполнить первоочередные мероприятия по обследованию помещений ГНИВЦ и отдела специальной информации ФТС России. Специалистами ГНИВЦ разработано техническое задание на «Систему информационной безопасности (СИБ) для ЕАИС ФТС России» и подготовлены все основные до
- Тема 1.1. Автоматизированные информационные системы и их классификация
- Классификация по архитектуре
- Классификация по степени автоматизации
- Классификация по характеру обработки данных
- Классификация по сфере применения
- Классификация по охвату задач (масштабности)
- Тема 1.2. Информационные технологии и их классификация
- Классификация по интерфейсу
- Классификация по интерактивности
- Классификация по области применения
- Классификация по степени применения вычислительных средств
- Другие виды классификаций ит
- Тема 1.3. Информационные технологии работы с электронными документами
- Microsoft Office Document Imaging
- Readiris
- OmniPage
- Abbyy Finereader
- Ocr cuneiform
- Средства для организации электронного документооборота
- Тема 2.1. Цели, задачи, назначение и структура еаис фтс России
- Требования к структуре и функционированию еаис
- Требования к надежности еаис
- Требования к эргономике и технической эстетике
- Требования к защите от влияния внешних воздействий
- Требования к эксплуатации и техническому обслуживанию
- Требования по стандартизации и унификации
- Требования к информационной безопасности
- Тема 2.2. Основные компоненты еаис и их характеристика
- Техническое обеспечение
- Информационное обеспечение еаис
- Перечень функциональных подсистем еаис
- Технологическое обеспечение еаис
- Тема 2.3. Органы проведения информационно-технической политики фтс России
- Тема 3.1. Программные комплексы и автоматизированные рабочие места
- Автоматизированное рабочее место декларанта "Феанор"
- Арм диспетчера таможенного склада
- Программа «Таможенные документы»
- Программа «вэд-склад»
- Тема 3.2. Электронное декларирование
- Тема 3.3. Базы и банки данных
- Тема 3.4. Защита информации в автоматизированных информационных системах