Файл: Теоретические аспекты определения объектов защиты информации.pdf

Содержание:

Введение

В настоящее время с развитием и повсеместным распространением информационных технологий актуальной становится задача внедрения систем защиты информации, так как для многих организаций информационные активы определяют технологию работы предприятия, и без их применения деятельность организаций не представляется возможной. Кроме того, ряд видов информации подлежит использованию технологий защиты согласно принятым федеральным нормативным актам. Так, специальные средства защиты информации необходимо использовать при обработке персональных данных использовании ключей электронной подписи. Также немаловажным объектом защиты является коммерчески значимая информация. В рамках данной работы рассматриваются вопросы кадрового обеспечения в технологии работы с конфиденциальной информацией.

В настоящее время с развитием автоматизированных систем и накоплением большого количества данных информационные ресурсы становятся дорогостоящим активом. Утеря, либо нарушение функциональности информационных систем могут приводить к значительным как материальным, так и репетиционным потерям в организациях. Таким образом, к подходу к кадровому обеспечению работы по информационной безопасности необходимо уделять особе внимание.

Технологии защиты информации в настоящее время стандартизованы и их применение описывается в принятых государственных стандартах. Для применения того или иного стандарта необходимо проведение аудита системы защиты информации, по результатам которого присваивается класс информационной системы и в соответствии с присвоенным классом производится проектирование системы информационной безопасности предприятия.

Цель этой работы заключается в разработке методики отбора персонала для работы с конфиденциальной информацией.

Задачи работы:

- изучить нормативно-правовую базу определения объектов защиты информации;

- определение государственных служб, обеспечивающих контроль исполнения требований защиты информации;

- разработка методики отбора персонала для работы с конфиденциальной информацией.

Объект исследования: технологии защиты информации.

Предмет исследования: технология отбора персонала для работы с конфиденциальной информацией.

Методы исследования: изучение литературных источников, нормативно-правовой базы, изучение технической документации средств защиты информации, анализ состояния работы в области защиты информации, сравнения, включенного наблюдения.

---

1.Теоретические аспекты определения объектов защиты информации

1.1. Анализ нормативной базы в области защиты информации

С развитием автоматизированных средств обработки данных становится возможной утечка больших массивов информации по определенной тематике, в том числе и содержащей информацию персонифицированного характера. Современные носители информации малогабаритны, и при этом позволяют хранить региональные или даже федеральные базы данных. Распространены случаи продаж баз данных, содержащих большие объемы информации, в том числе через сеть Интернет. Известны прецеденты, когда утечка информации приводила к прямым материальным потерям их обладателя. Кроме того, повсеместное внедрение информационных систем приводит к тому, что информация сама становится одним из наиболее ценных активов на предприятии и в связи с этим независимо от ее характера становится объектом защиты.

Объектами защиты информации в автоматизированных системах государственных структур являются:

- государственная тайна;

- персональные данные граждан;

- коммерчески значимая информация, передаваемая с отчетами в государственные органы;

- информация, содержащаяся в базах данных информационной системы предприятия;

- ключевая информация в технологии работы с электронными подписями;

- данные об архитектуре автоматизированной системы государственной структуры;

- аппаратное обеспечение автоматизированной системы.

Методология определения объектов защиты информации, классификация типовых угроз, модели нарушителей определяются в нормативно-правовых актах, согласно которым проводится аудит информационной системы предприятия, определяются объекты защиты, и согласно определенному классу проектируется архитектура информационной безопасности.

Нормативной базой технологии систем информационной безопасности являются: федеральное законодательство, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности Российской Федерации (ФСБ), регулирующие вопросы безопасности информации, а также принятые на их основе стандарты информационной безопасности, применяемые к конкретным отраслям.

---

В соответствии с нормативными документами в области защиты информации, каждое предприятие и организация, в которой производится обработка персональных данных, обязано принять ряд организационных и технологических мер по обеспечению защиты информации.

Проведем обзор законодательства в области информационной безопасности.

Схема базовой системы нормативно-правовых актов в области информационной безопасности приведена на рисунке 1.1.

Приведем основные положения законодательных актов в области информационной безопасности.

В таблице 1 приведен перечень законодательных актов РФ в области информационной безопасности. В таблице 2 приведен перечень постановлений Правительства РФ в области информационной безопасности.

Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе.

Рис.1.1. Схема базовой системы нормативно-правовых актов в области защиты информации

Ведомственные нормативно-правовые акты

БАЗОВАЯ СИСТЕМА НПА В СФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ

149-ФЗ

«Об информации, информационных технологиях и защите информации»

Постановление

Правительства РФ

от 21.03.2012 №211

Постановление

Правительства РФ

от 15.09.2008 №687

Методические документы ФСТЭК России

от 2014 года

Таблица 1 - Перечень законодательных актов РФ в области информационной безопасности

149-ФЗ от 27.07.2006	Об информации, информационных технологиях и защите информации	Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу и распространение информации, применение информационных технологий, обеспечение защиты информации
152-ФЗ от 27.07.2006	О персональных данных	Регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными и региональными органами государственной власти и органами местного самоуправления, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таковых, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
63-ФЗ от 06.04.2011	Об электронной подписи	Цель данного ФЗ Обеспечение правовых условий использования электронной подписи в электронных документах, при соблюдении которых такая подпись признается равнозначной собственноручной подписи в документе на бумажном носителе.
99-ФЗ от 04.05.2011	О лицензировании отдельных видов деятельности	Регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в соответствии с Перечнем

---

Таблица 2. Перечень постановлений Правительства РФ в области информационной безопасности

Постановление Правительства РФ от 16.04.2012 N 313	Положение о лицензировании деятельности в области криптографической защиты информации	С приложением Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств.
Постановление Правительства РФ от 03.11.1994 № 1233	Положение о порядке обращения со служебной информацией ограниченного распространения в органах государственной власти	Определение порядка обращения со служебной информацией, предназначенной для ограниченного распространения в государственных органах
Постановление Правительства РФ от 01.11.2012 № 1119	Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных	Определяет требования к реализации систем безопасности персональных данных при их обработке в ИСПД, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным

Базовый набор мер по информационной безопасности определяется с учетом актуальных угроз, определяемых уполномоченными государственными органами (ст. 19, п. 5, ФЗ-152). Согласно Постановлению Правительства РФ 2012 г., № 1119, оператор самостоятельно не определяет состав актуальных угроз. Оператор определяет только тип угроз на основании отраслевой модели.

Согласно Федеральному закону от 27 июля 2006г. № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры по обеспечению безопасности персональных данных, обеспечение безопасности персональных данных достигается, в том числе и определением угроз безопасности, оценкой эффективности принимаемых мер по обеспечению безопасности, контролем за принимаемыми мерами по обеспечению безопасности.

---

1.2. Общие принципы определения объектов защиты информации

Согласно рассмотренным выше нормативным документам, проведем определение принципов определения объектов защиты информации. В таблице 4 приведена классификация объектов защиты информации.

Таблица 4. Классификация объектов защиты информации

Тип объекта защиты	Носитель	Угрозы	Последствия утечки
Персональные данные	Бумажные и электронные документы, базы данных	Несанкционированное копирование, визуальный съем данных, утечка по каналам связи, утеря, хищение, стихийное бедствие, вирусная активность	Санкции согласно законодательству о ПД
Коммерческая тайна и элементы коммерчески значимой информации	Бумажные и электронные документы, базы данных	Несанкционированное копирование, визуальный съем данных, утечка по каналам связи, утеря, хищение, стихийное бедствие, утечка по аудиоканалам, вирусная активность	Прямые убытки организации, штрафные санкции
Ключи электронной подписи	Flash-накопители, реестр операционной системы	Утеря, хищение, вирусная активность	Доступ злоумышленника к электронным документам
Данные об архитектуре АИС	Бумажные и электронные документы, сетевые операционные системы	Несанкционированное копирование, утечка по каналам связи, хищение, стихийное бедствие, вирусная активность	Доступ злоумышленника к данным о защите АИС
Аппаратное обеспечение АИС	Серверы, рабочие станции, накопители	Утеря, хищение, стихийное бедствие	Получение доступа к данным

Таким образом, рассмотрев вопросы определения объектов защиты информации, можно сделать следующие выводы:

- информационные активы в настоящее время являются стратегическими в большинстве организаций;

- существующее законодательство позволяет определять объекты защиты, соответствующие им модели угроз и злоумышленников;

- построение архитектуры защиты информации и определение объектов производится по результатам аудита информационной системы.

В таблице 5 приведена структура государственных органов, задействованных в процессе обработки конфиденциальной информации.

Таблица 5. Структура государственных органов, задействованных в процессе обработки конфиденциальной информации

---