Диплом Рыловская М.Ю. 35Д (1196274), страница 12
Текст из файла (страница 12)
Доступность – состояние информации, позволяющее субъектам, имеющим право доступа, реализовывать его беспрепятственно.
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
1) Комитет Государственной думы по безопасности;
2) Совет безопасности России;
3) Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
4) Федеральная служба безопасности Российской Федерации (ФСБ России);
5) Федеральная служба охраны Российской Федерации (ФСО России);
6) Министерство внутренних дел Российской Федерации (МВД России);
7) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия:
-
Служба экономической безопасности;
-
Служба безопасности персонала (Режимный отдел);
-
Отдел кадров;
-
Служба информационной безопасности.
Обеспечение информационной безопасности на сегодняшний день является весьма непростой задачей, для решения которой необходим комплексный подход. Выделяют несколько уровней защиты информации:
1) законодательный – это законы, нормативные акты и иные документы Российской Федерации, а также международного сообщества;
2) административный – это комплекс мер, осуществляемых локально руководством компании;
3) процедурный уровень – это меры защиты безопасности, реализуемые непосредственно людьми;
4) программно-технический уровень – это непосредственно средства защиты информации.
Говоря о налоговых органах России нужно отметить, что это система государственных органов, на которых базируется бюджет России, и поэтому организация защиты информации в них стоит буквально на первом месте, и является безусловно весьма актуальной.
Для обеспечения необходимой информационной безопасности и надежности информационных ресурсов налоговые органы строят свою сеть с использованием многоуровневой системы защиты.
Одной из особенностей информационных ресурсов налоговых органов является формирование, систематизация, хранение и передача информации, составляющей служебную и персональную тайну.
Меры защиты информации, осуществляемые налоговыми органами, выглядят следующим образом:
1) предотвращение утечки, хищения, утраты, искажения, подделки информации;
2) предотвращение угроз безопасности личности, общества и государства;
3) предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
4) предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
5) защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
6) сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
7) обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Приказом Государственной Налоговой Службы Российской Федерации от 26 апреля 1993 г. N ВГ-3-12/32 «Об образовании отделов информатизации в государственных налоговых инспекциях по республикам в составе Российской Федерации, краям, областям, автономным образованиям, городам Москве и Санкт-Петербургу» в налоговых органах были созданы отделы информатизации, которые в свою очередь осуществляют организацию бесперебойной работы автоматизированных информационных систем, таких как «Налог» «Налог-2» и другие.
Данные системы так же обеспечивают информационную безопасность налоговых органов. Преимуществом использования автоматизированных информационных систем для налоговых органов является то, что:
1) формирование единой базы о налогоплательщиках происходит автоматически;
2) автоматизация системы проведения камеральных проверок;
3) автоматизация выбора налогоплательщиков для проведения выездных налоговых проверок;
4) автоматизация подготовки отчетности.
Цели функции автоматизированных информационных систем налоговых органов можно сформулировать следующим образом:
1) повышение эффективности функционирования системы налогообложения за счет оперативности и повышения качества принимаемых решений;
2) совершенствование оперативности работы и повышение производительности труда налоговых инспекторов;
3) обеспечение налоговых инспекций всех уровней полной и своевременной информацией о налоговом законодательстве;
4) повышение достоверности данных по учету налогоплательщиков и эффективности контроля за соблюдением налогового законодательства;
5) улучшение качества и оперативности бухгалтерского учета;
6) получение данных о поступлении налогов и других платежей в бюджет;
7) анализ динамики поступления сумм налогов и возможность прогноза этой динамики;
8) информирование администрации различных уровней о поступлении налогов и соблюдении налогового законодательства;
9) сокращение объема бумажного документооборота.
К немаловажным требованиям применения автоматизированных информационных систем налоговых органов следует отнести обеспечение информационной безопасности, под которой понимается защищенность информации и системы в целом от случайных или преднамеренных, естественных или искусственных воздействий, чреватых утечкой или потерей данных.
Требования по безопасности системы направлены, прежде всего, на обеспечение:
1) доступности данных – возможности за приемлемое время получить необходимый информационный ресурс;
2) целостности ресурсов – актуальности и непротиворечивости информации, ее защищенности от разрушения и несанкционированного изменения;
3) конфиденциальности – защиты от несанкционированного прочтения данных.
В целом процесс управления информационной безопасностью в ФНС России организуется с помощью множества правил, представляющих сложную иерархическую систему технологических, инструктивных и организационно-распорядительных документов, предназначенных для исполнения различными категориями сотрудников федеральной налоговой службы. Угрозы безопасности информации определяются по результатам оценки:
1) возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей;
2) анализа возможных уязвимостей информационной системы;
3) возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Центр Управления Безопасностью Информации ФНС России выполняют следующие работы по улучшению обеспечения информационной безопасности:
1) проведение аудита (в том числе дистанционного) по информационной безопасности в сотрудников;
2) заполнение анкет по вопросам информационной безопасности и ввод данных анкет в информационную систему, формирование отчетности по данным вопроса;
3) установку средств защиты информации;
4) эксплуатацию и поддержание в работоспособном состоянии средств защиты информации;
5) контроль работы пользователей в системе: правильности входа в систему и целостности (с использованием средств двухфакторной аутентификации);
6) контроль трафика, печати документов и копирования на внешние носители (с использованием средств предотвращения утечек информации);
7) поддержание в рабочем состоянии справочников технических средств, программного обеспечения и информационных ресурсов, критичных с точки зрения информационной безопасности;
8) формирование и ведение информационно-логических паспортов объекта;
9) контроль исполнения указаний вышестоящих инстанций по вопросам информационной безопасности.
Основными мерами управления процессами информационного обеспечения безопасности налоговых органов являются:
1) информационное обеспечение для превентивных мер по защите особо ценной информации, находящейся в ФНС России, и организация защиты этой информации в автоматизированных информационных системах ФНС России;
2) формирование совместно с сотрудниками центрального аппарата ФНС России перечней злонамеренных действий в информационной системе ФНС России, указывающих на попытку организации инцидента собственной безопасности;
3) инициализация расследований собственной безопасности по результатам анализа действий в автоматизированных информационных системах, указывающих на попытку или совершение инцидентов собственной безопасности;
4) обеспечение информацией служб собственной безопасности при проведении расследований и локализации последствий нарушений безопасности;
5) обеспечение конфиденциальности информации в отношении охраняемых лиц;
6) представление информации внешним уполномоченным органам при проведении расследований;
7) организация расследований по преступлениям в области информационной безопасности;
8) организация спецсвязи для высших должностных лиц ФНС России;
9) организация проведения аттестаций помещений;
10) мониторинг активности радиоэфира с целью обнаружения средств съема информации;
11) мониторинг и оперативное отражение вторжений в систему.
Так же в налоговых органах применяются такие средства защиты, как:
1) защита от несанкционированного доступа, реализуется по средствам паролей;
2) идентификация/аутентификация пользователей для входа в операционную систему;
3) статический и динамический контроль целостности данных, их защита от несанкционированных модификаций;
4) создание индивидуальной для каждого пользователя изолированной программной среды;
5) запрет запуска неразрешенных программ;
6) разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
7) разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;
8) автоматическое ведение протокола регистрируемых событий;
9) управление терминальными сессиями;
10) контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам;
11) контроль доступа к USB-устройствам.
12) антивирусная программа;
13) другие программы, обеспечивающие безопасность, и хранение информации, такие как:
а) Аккорд-Win32;
б) Аккорд-Win64;
в) АПКШ «Континент»;
г) Acronis Backup & Recovery 11 Server for Windows;
д) XSpider, Acronis Backup & Recovery 11 Advanced Workstation и другие;
14) в ннспекциях функционирует подсистема антивирусной защиты, которая выполняет комплексную проверку жестких дисков рабочих станций сотрудников. Для работы в операционной системе запрещается:
а) создание файлов, содержащих парольную информацию в незашифрованном виде;
б) самостоятельная установка любого программного обеспечения;
в) переконфигурирование и модифицирование установленного программного обеспечения;
г) удаление (в том числе и «непонятного») программного обеспечения;
д) отключение антивирусных, аудиторских и других программ, обеспечивающих безопасность и мониторинг операционной системы;
е) открытие каталогов на рабочих станциях для общего доступа;
ж) сканирование портов, прослушивание сетевого трафика, а также любые другие попытки анализа сети без письменного разрешения отдела информационных технологий Инспекции;
з) заходить в систему под учетной записью администратора.
Важной задачей для нормального функционирования корпоративной сети и ее информационных ресурсов необходимо принять еще ряд предлагаемых мной мер по обеспечению надежной защиты:
1) создание многоуровневой системы прав пользователей по работе с корпоративной информацией, посредством усовершенствования системы паролей и идентификаций пользователей;
2) обеспечение мероприятий по регулярному резервированию информации корпоративных файл-серверов, посредством каждодневного копирования информации на магнитные носители;
3) создание еще более эффективной антивирусной сети информационного ресурса, пользуясь новейшими разработками антивирусных программ;
4) жесткий контроль почтового трафика поскольку с помощью электронной почты распространяется наибольший процент вредоносных программ;
5) внедрить систему контроля за местонахождением сотрудников и посетителей в помещениях, где есть доступ к информационным ресурсам, используя при этом сложную систему доступа в эти помещения, например, по магнитной карте.
Очевидно, кроме мероприятий предупреждающего характера в части защиты информации от вредоносных программ должны применяться и другие возможные механизмы. Обеспечение сохранности сведений, составляющих служебную (налоговую) тайну. Организация системы мер защиты информации ограниченного распространения (ограниченного доступа), в том числе при обработке средствами вычислительной техники и передаче по каналам связи. Обеспечение безопасности технических средств, содержащих информацию ограниченного распространения налоговых органов. Организация и ведение в налоговых органах информационно-аналитической работы по вопросам обеспечения информационной безопасности деятельности работников налоговых органов при исполнении ими должностных обязанностей. Организация мероприятий и координация работ по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель, хранения, обработки и передачи в соответствии с концепцией информационной безопасности. Контроль и оценка эффективности принятых мер по обеспечению информационной безопасности в налоговых органах. Методическое руководство налоговыми органами при проведении ими работ по защите информации. Внедрение в системе ФНС России информационных систем, программных комплексов, автоматизированных рабочих мест работников Управления, инспекций ФНС России по г. Москве и межрайонных инспекций ФНС России по г. Москве, разрабатываемых в ФНС России и по заказу Управления. Организация работ по сопровождению, эксплуатации и администрированию информационных систем, программных комплексов, баз данных. Внедрение и эксплуатация в системе ФНС России телекоммуникационных систем и систем информационного взаимодействия в соответствии с утвержденными планами работы Управления. Системно-техническое обеспечение, организация технического обслуживания и ремонта средств вычислительной техники (СВТ) в Управлении и Инспекциях.
Таким образом, в настоящее время, в условиях достаточно жесткой конкуренции в отдельных областях рынка, любая информация, тем более составляющая налоговую тайну, в руках конкурента может на значительный период лишить организацию большей части ее прибыли.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
