Diplomnaya_rabota_Sennikov (1190773), страница 9
Текст из файла (страница 9)
5 комплектов парашютных систем типа Хит-252 – 750 000 руб.;
5 запасных парашютов типа З-5 – 350 000 руб.;
10 комплектов специальных парашютных систем типа Арбалет-1 с грузовыми контейнерами – 2 500 000 руб.;
В данном разделе мной были выявлены основные проблемы предприятия «ДВРПСО МЧС России» и предложены соответственно мероприятия по их решению.
4 Оценка информационной безопасности «ДВРПСО МЧС России»
Становление современного общества подразумевает под собой рост ценности информационной среды, информация приобретает колоссальную ценность и обладает исключительной собственностью. В связи с этим сфера информационной безопасности Российской Федерации совершенствуется быстрыми темпами развития, а особенно это связанно со стратегически важными вопросами государства. Хотелось бы начать с определения информационной безопасности, которое имеет единую формулировку – это состояние защищенности Российской Федерации, ее национальных интересов в информационной сфере, которая определяется совокупностью сбалансированных интересов личности, общества и государства. В соответствии с концепцией развития интернет ресурсов до 2018 года МЧС России и нормативно-правовыми документами в области защиты информации МЧС России можно определить основные цели, задачи, способы достижения максимального уровня защиты на организации. Информационная безопасность структурной организации МЧС России одна из важнейших, задач поставленных, перед правительством России и совершенствуется с каждым годом все больше и больше. Так как, информационная безопасность системообразующий фактор жизни любого государства, тем самым определяется ряд важнейших вопросов, связанных прежде всего с формированием и интенсивным развитием информационной инфраструктуры в системе МЧС России. В целях реализации положений Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895, требований других нормативно-правовых актов в области обеспечения безопасности информации, а также систематизации подходов и организации защиты информации в МЧС России разработана и утверждена приказом МЧС России от 7 марта 2007 г. № 121 Концепция информационной безопасности МЧС России.
Концепция информационной безопасности МЧС России определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов ее обеспечения, а также способов обеспечения необходимого уровня защиты информации в МЧС России. Данная концепция является методологической основой для формирования и проведения в МЧС России единой политики в области обеспечения информационной безопасности (политики безопасности), для принятия управленческих решений и разработки практических мер по ее воплощению для всех филиалов МЧС России. В концепции учитывается современное состояние информационных ресурсов МЧС России, цели, задачи и правовые основы их разработки и эксплуатации, анализ угроз их безопасности, а также режимы функционирования автоматизированных информационных систем.
Основные положения и требования концепции распространяются на все структурные подразделения центрального аппарата, территориальные органы МЧС России, спасательные воинские формирования, федеральную противопожарную службу и организации МЧС России, в которых осуществляется автоматизированная обработка информации, а также на подразделения, осуществляющие обслуживание и обеспечение нормального функционирования информационных ресурсов МЧС России. С целью реализации положений Концепции информационной безопасности МЧС России приказом МЧС России от 2 июля 2007 г. № 364дсп утверждена программа "Развитие комплексной системы обеспечения безопасности информации МЧС России». В соответствии с программой приоритетными направлениями развития комплексной системы обеспечения безопасности информации МЧС России определены основные задачи, стоящие перед организацией в период до 2018 года:
-создание организационной структуры безопасности информации, распределение функций и обязанностей между подразделениями и должностными лицами, входящими в нее;
-планирование и контроль мероприятий по обеспечению безопасности информации;
-обучение сотрудников установленным требованиям безопасности информации и работе со средствами защиты;
-создание подсистемы обеспечения безопасности информации (далее - ПОБИ) автоматизированной информационно-управляющей системы единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций (АИУС РСЧС) и автоматизированной системы Национального центра управления в кризисных ситуациях (АС НЦУКС).
В настоящее время в МЧС России созданы подсистемы обеспечения безопасности информации АС МЧС России:
-100% объектовых комплексов федерального уровня;
-90% объектовых комплексов межрегионального уровня;
-33% объектовых комплексов регионального уровня.
Основными задачами, возлагаемыми на технические средства защиты ПОБИ АС МЧС России, являются:
-разграничение доступа к информационным, телекоммуникационным и вычислительным ресурсам АС МЧС России на основе установленных правил разграничения доступа;
-защита серверов, автоматизированных рабочих мест и телекоммуникационного оборудования от несанкционированного доступа к их ресурсам;
-защита накапливаемой информации от несанкционированного удаления, изменения, ознакомления и копирования;
-защита целостности и конфиденциальности информации при ее передаче между ОК АС МЧС России по каналам связи, в том числе:
-криптографическая аутентификация взаимодействующих сторон;
-подтверждение подлинности и целостности доставленной информации;
-защита от повтора, задержки и удаления сообщений;
-защита от отказа от факта отправления и приема сообщений;
-контроль целостности общего и специального программного обеспечения для его защиты от несанкционированного изменения;
-защита доступности вычислительных и коммуникационных ресурсов ОК АС МЧС России, в том числе:
-реализация автоматизированных процедур обнаружения и противодействия атакам на телекоммуникационные сети, защищаемую информацию и информационные ресурсы ОКАС МЧС России;
-централизованное накопление и автоматизированная обработка сведений о существенных для безопасности информации событиях, возникающих на серверном и телекоммуникационном оборудовании ОК АС МЧС России;
-проведение регламентного анализа защищенности компонентов программно-аппаратных средств, сетевых протоколов, баз данных, операционных систем и т.п.;
-предотвращение потери информации за счет включения средств резервирования, копирования и восстановления работоспособности системы после сбоев;
-антивирусная защита программного и информационного обеспечения;
-защита серверного и коммуникационного оборудования от вредоносного программного обеспечения и сетевых атак, осуществляемых из внешних сетей;
-централизованное управление именами, идентификационными параметрами и криптографическими ключами в соответствии с установленным регламентом и требованиями эксплуатационных документов;
-комплексный подход к применению специализированных аппаратных, программных и аппаратно-программных средств и систем защиты, сертифицированных ФСТЭК России. ПОБИ АС МЧС России реализует полный спектр функций безопасности информации от угроз, связанных с использованием информационных технологий, отслеживает реальное состояние существенных угроз безопасности, в том числе новых программных вирусов и новых видов сетевых атак.
Построение ПОБИ обеспечивает возможность централизованного решения вопросов защиты информации на уровнях объектовых ЛВС и ведомственной сети. Такое решение не оказывает негативного влияния на производительность информационных систем АС МЧС России и технологию работы пользователей на прикладных АРМ. Это решение позволяет задействовать защитные механизмы межсетевых экранов, телекоммуникационного оборудования. VLAN, VPN, сетевых антивирусных средств, средств активного мониторинга, средств обнаружения вторжений, средств адаптивной безопасности и анализа защищенности. При решении задач предупреждения и ликвидации последствий чрезвычайных ситуаций МЧС России осуществляет взаимодействие с федеральными органами исполнительной власти и отдельными организациями. В целях обеспечения защиты информационных ресурсов МЧС России, предотвращения ущерба за счет разглашения, уничтожения, утечки и несанкционированного доступа к источникам информации ограниченного распространения в информационных системах МЧС России при организации подключения к АС МЧС России информационных систем федеральных органов исполнительной власти, государственных учреждений (далее - сторонних организаций) в Национальном центре управления в кризисных ситуациях создан защищенный универсальный узел доступа (далее - ЗУУД). Через ЗУУД осуществляется подключение к информационным ресурсам МЧС России сторонних организаций, мобильных пользователей, мобильных узлов связи к АС НЦУКС, а также доступ сотрудников НЦУКС к ресурсам сторонних организаций и ресурсам сети Интернет.
Комплекс мер по обеспечению защиты информационных ресурсов АС НЦУКС включает в себя:
-защиту на сетевом уровне от попыток НСД к информационным ресурсам АС НЦУКС со стороны внешних подключений и Интернета;
-обеспечение конфиденциальности и целостности конфиденциальной информации, передаваемой по каналам связи между сторонними организациями и АС НЦУКС;
-защиту автоматизированных рабочих мест (далее - АРМ) мобильных пользователей от компьютерных вирусов, локальных и сетевых атак, запуска вредоносного программного обеспечения, локальных попыток НСД, раскрытия конфиденциальной информации при утере АРМ;
-контроль и проверка соответствия АРМ пользователей АС НЦУКС требованиям информационной безопасности;
-разграничение доступа к ресурсам Интернета с АРМ пользователей АС НЦУКС. Созданная система защиты информации в автоматизированных системах МЧС России обеспечивает надежное оперативное управление в чрезвычайных ситуациях, повышает уровень оперативного реагирования на чрезвычайные ситуации и устойчивость управления при ликвидации последствий чрезвычайных ситуаций, а также позволяет сократить время принятия управленческих решений должностными лицами МЧС России.
Непосредственно на предприятии используются следующие средства защиты в сфере информационной безопасности:
- КриптоПро
Данное программное обеспечение обладает сертификатом ФАПСИ, дающий право использовать его для формирования ключей шифрования и электронной цифровой подписи, шифрования и имитозащиты данных, а также в целях обеспечения целостности и подлинности конфиденциальной информации.
Основное назначение СКЗИ КриптоПРО:
1.авторизации и обеспечения контроля подлинности электронных документов при обмене ими между пользователями с применением электронной цифровой подписи; 2. обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты; 3. защиты программного обеспечения от несанкционированного доступа; 4.управления ключевыми элементами системы в соответствии с регламентом средств защиты. «КриптоПро » представляет собой сетевое устройство, подключаемое либо непосредственно к серверу (хосту), использующему криптографические сервисы «КриптоПро », либо в сегмент локальной сети через стандартные сетевые устройства (коммутаторы, маршрутизаторы, концентраторы) для обслуживания групп серверов и компьютеров пользователей сети. «КриптоПро» может быть использован в качестве СКЗИ в различных системах/подсистемах криптографической защиты информации (ПКЗИ), поддерживающих криптографические интерфейсы «КриптоПро » (Microsoft CryptoAPI 2.0). Соответствие требованиям безопасности «КриптоПро » – программно-аппаратный криптографический модуль, разработан в соответствии с «Требованиями к шифровальным (криптографическим) средствам, предназначенным для защиты информации не содержащей сведений, составляющих государственную тайну», и удовлетворяет классу защиты КВ2 данных требований (при выполнении "Правил пользования «КриптоПро ». ЖТЯИ.00046-01 90 02" в части условий применения и «Руководства Администратора безопасности» ЖТЯИ.00046-01 90 03). - Jinn Client Сертифицированное средство криптографической защиты информации для создания электронной подписи и доверенной визуализации документов Jinn-Client предназначен для решения следующих задач: 1.Формирование электронной подписи документов в доверенной среде, исключающей искажение информации и подмену документа 2.Формирование электронной подписи документов в операционной системе 3.Генерация ключей электронной подписи 4.Формирование запроса в удостоверяющий центр на выдачу сертификата Основные возможности: 1.Доверенная визуализация документа. Jinn-Client позволяет перед подписанием просмотреть документ в доверенной среде. Доверенная среда исключает вмешательство стороннего программного обеспечения и подмену документа. 2.Формирование электронной подписи документа в доверенной среде. Jinn-Client формирует электронную подпись в режиме, обеспечивающем контроль целостности подписываемого документа, защиту от подделки документа и невозможность отказа от авторства. 3.Генерация ключей электронной подписи. Jinn-Admin – эффективный инструмент для формирования запросов в удостоверяющий центр на выдачу сертификата и генерации ключей электронной подписи. Снижение нагрузки на серверы приложений. Jinn-Server автоматизирует проверку и формирование электронной подписи, существенно снижая нагрузку на серверы приложений. Удовлетворяет самым высоким требованиям по производительности. Для обеспечения отказоустойчивости и необходимой клиенту производительности ПАК "Jinn-Server" поддерживает кластеризацию. Разбор конфликтных ситуаций. В Jinn-Server существует эффективный инструмент для разбора конфликтных ситуаций, возникающих с электронной подписью. Используя АРМ разбора конфликтных ситуаций можно определить очередность возникновения конфликта и собрать информацию для эскалации конфликта на уровень удостоверяющего центра. Формирование и проверка электронной подписи. Jinn-Server предназначен для автоматического формирования и проверки электронной подписи электронного документа в виде XML-документа, текстового или бинарного файла (в том числе PDF, DOC и т.д.). Усиление подписи меткой времени. Усиление подписи происходит путем простановки метки времени, использующейся при получении документа с электронной подписью и ее проверки. Метка получается от источника точного времени по протоколу NTP. Обеспечение юридически значимого электронного документооборота. Jinn-Server выполняет формирование и проверку квалифицированной электронной подписи в соответствии с приказом Минкомсвязи России №221, а также стандартами ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001 и ст.12 № 63-ФЗ «Об электронной подписи» в системах электронного документооборота, дистанционного банковского обслуживания и т.п. Сбор списков отозванных сертификатов. Для обеспечения правильности используемых при формировании и проверки подписи сертификатов в ПАК "Jinn-Server" предусмотрена возможность сбора от удостоверяющих центров (УЦ), выдавших сертификаты, списков отозванных сертификатов (СОС) с помощью компонента "Сервис архивирования СОС". 1. Преимущества данного программного обеспечения: 2. Формирование электронной подписи документа в доверенной среде.; 3. Доверенная визуализация документа перед подписью; 4. Размер подписываемого документа может быть любым и ограничен только объемом оперативной памяти компьютера; 5.Электронная подпись осуществляется на отдельном виртуальном вычислительном устройстве, недоступном для стороннего программного обеспечения из запущенных на компьютере операционных систем; 6.Создание электронных подписей в соответствии со стандартами ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.; 7.Поддержка крипто – контейнеров формата PKCS#15;
- КИС (Корпоративные информационные системы)
Типовые цели внедрения Корпоративной Информационной Системы (КИС), ERP System
1. Оперативный доступ к достоверной, исчерпывающей информации, представленной в удобном виде, руководителей всех уровней управления предприятием; 2. Создание единого информационного пространства для всех уровней управления; 3. Упрощение регистрации данных и их обработку; 4. Избавление от двойной регистрации одних и тех же данных; 5. Регистрация информации там, где она действительно появляется, а не там где она стала необходимой, т.е. регистрация информации в режиме реального времени; 6. Снижение трудозатрат и распределение их равномерно на всех участников системы учета, планирования и управления; 7. Автоматизация консолидации данных для распределенной организационной структуры (холдингов). Таким образом рассмотрев основные аспекты информационной защиты «ДВРПСО МЧС России» можно сделать вывод, о то, что на предприятии существует специально обученный специалист, отдел, который занимается установкой программного обеспечения на компьютеры, также занимается вопросами информационной безопасности, выявляет, предотвращает негативные последствия неправомерных действий по отношению структурного подразделения. На счету у программиста более 10 программных обеспечений, используемых для полной защиты информации, к которым имеет доступ, только должностное лицо. Информационная безопасность регламентируется в нормативно - правовых документах на уровне федерального значения и едины для всех. Информационную защиту по уровню безопасности можно оценить на «высокую» степень, ведь «МЧС России» является стратегически важным для Российской Федерации, а значит и степень безопасности должна быть на высоком уровне. Выше были рассмотрены программные продукты только те, к которым мне дан был доступ на предприятии, а это: «Криптопро», «Jinn Client», «КИС». С каждым периодом, информационная безопасность на предприятии совершенствуется, проводятся обновления программного обеспечения, издаются новые приказы, повышается уровень защиты, внутренней сети от взломов, защиты от хакерских атак, несанкционированного доступа к секретным данным, вся деятельность по защите информации регламентируется приказом президента Российской Федерации и находится под личным контролем вышестоящих органов. По завершению отчетного периода, а это последний день месяца, отделом информационной безопасности предоставляется статистический отчет об совершенных хакерских атаках и принятых мерах по их устранению. Также в МЧС России проводятся регулярные инструктажи сотрудников отделов, имеющих доступ к засекреченной информации, даются инструкции в соответствии с которыми должен действовать сотрудник.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
