Пояснительная записка (1209492), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

Сейчас существует мнение о возможности реализации и использования некой типовой политики информационной безопасности. Это мнение в корне ошибочно. В принципе не может быть типовой политики безопасности, поскольку ее основу составляют функциональные возможности применяемых на предприятии технических средств защиты информации, с учетом которых и создается политика информационной безопасности.

Разработка политики информационной безопасности – вопрос вовсе не банальный. Тщательность ее проработки напрямую скажется на действенности обеспечения информационной безопасности. Сложностью разработки политики является проблематичность применения чужого опыта, так как политика безопасности основывается на производственных ресурсах и функциональных зависимостях данного предприятия. Помимо этого, Россия как государство не имеет подобного типового документа. Конечно, кто-то может назвать в качестве такого документа "Доктрину информационной безопасности РФ", но, я думаю, она носит слишком общий характер.

К основным этапам разработки политики информационной безопасности относятся:

• изучение текущего состояния информационной среды и информационной безопасности организации;

• анализ сведений, полученных в результате исследования;

• установление плана работ по разработке политики информационной безопасности;

• разработка политика информационной безопасности организации.

Политика информационной безопасности входит в пакет организационно-распорядительных документов по вопросам обеспечения информационной безопасности. Также туда входят следующие типы документов:

• регламенты информационной безопасности, более подробно объясняющие процедуры и методы обеспечения информационной безопасности согласно ведущим принципам и правилам, описанным в политике;

• инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов;

• прочие документы (отчеты, регистрационные журналы и прочие низкоуровневые руководящие документы).

Таким образом, политика информационной безопасности предприятия представляет собой документ, который является фундаментом для строительства системы обеспечения безопасности. Политика создается исходя из анализа рисков, и чем полнее будет произведен анализ, тем эффективнее будет документ. Анализ осуществляется для всех основных ресурсов, в том числе для материальной базы и человеческих ресурсов. Политика безопасности создается в соответствии со спецификой предприятия и законодательной базой государства.

Существует множество документов, направляющих разработчика политики информационной безопасности:

• Приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" [1];

• Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" [2];

• Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» [3];

• Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [5];

• Указ Президента Российской Федерации от 31.12.2015 № 683 «Стратегия национальной безопасности Российской Федерации» [11];

• Указ Президента Российской Федерации от 22.05.2015 № 260 «О некоторых вопросах информационной безопасности Российской Федерации» [8];

• Постановление правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [9];

• Постановление Правительства Российской Федерации от 21.03.12 №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" [6];

• Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» [13];

• ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» [14];

• ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования» [15].

Наступает момент, когда политика информационной безопасности для вашей организации реализована и функционирует. Как теперь оценить информационную безопасность организации? Существует вероятность, что все усилия потрачены напрасно? Аудит безопасности поможет ответить на эти вопросы.

1. Методика разработки правил и процедур по реализации мер защиты информации в информационной системе, определенных ФСТЭК России и обязательных для исполнения

Существует большое количество документов, направляющих разработчика при создании политики информационной безопасности для информационной системы. В таких документах подробно описывается реализация организационных мер, а реализация технических мер отдается разработчикам на самостоятельное определение. Документы ФСТЭК и ФСБ носят концептуальный характер, а обладателям информации в итоге необходимы рекомендации, то есть подробное описание процесса реализации. В работе предлагается вариант политики информационной безопасности, представленной в виде правил и процедур защиты информации в информационной системе. Для чего же мы разрабатываем эти правила? На основании правил создаются конкретные инструкции, которыми будут руководствоваться пользователи (например, для администратора безопасности разрабатывается инструкция по парольной защите, облегчая тем самым работу, поскольку ему не придется каждый раз заглядывать в требования и приказы). Также создаются различные журналы: журналы учета машинных носителей, журналы регистрации событий безопасности. Правила и процедуры защиты информации в информационной системе разрабатываются исходя из структуры предприятия и класса защищенности.

1. Параметры и характеристики автоматизированной информационной системы Федеральной налоговой службы России «Налог-3»

АИС "Налог-3" представляет собой единую информационную систему ФНС России, обеспечивающую автоматизацию деятельности ФНС России по всем выполняемым функциям, прописанным в Положении о Федеральной налоговой службе, утвержденном постановлением Правительства Российской Федерации от 30.09.2004 № 506 (в действующей редакции, далее – Положение о ФНС России), в том числе прием, обработку, предоставление данных и анализ информации, формирование информационных ресурсов налоговых органов, статистических данных, сведений, которые требуются для поддержки утверждения управленческих решений в сфере полномочий ФНС России и информирования потребителей.

АИС "Налог-3" спроектирована для повышения эффективности осуществления полномочий и решения задач, прописанных в Положении о ФНС России.

АИС "Налог-3" решает следующие задачи:

• обеспечение доступности налоговых органов для налогоплательщика с помощью упрощения процедур взаимодействия с ФНС России и перевода их в электронный вид;

• разработка единого массива информации и подключение налоговых органов к новым внешним источникам информации;

• гарантированное соблюдение регламентных процедур налогового администрирования, качество и сроки их реализации;

• уменьшение текущих издержек налогового администрирования (например, путем разработки и внедрения электронной системы массовой обработки сведений, поступающих в налоговые органы);

• улучшение взаимодействия налоговых органов с органами государственной власти, а также с органами местного самоуправления;

• осуществление контроля налоговой деятельности налогоплательщика с помощью организации единого и правдивого ресурса, в котором имеется вся информация по данному налогоплательщику ("досье" налогоплательщика), в том числе информация, помогающая заранее определять уклоняющихся от уплаты налогов;

• обеспечение руководства налоговых органов средствами автоматизированного мониторинга деятельности Федеральной налоговой службы;

• повышение качества работы, в том числе за счет комплексного использования созданного единого информационного ресурса и подключения налоговых органов к новым внешним источникам информации;

• повышение качества принятия решений, анализа и прогнозирования с помощью реализации аналитических инструментов, позволяющих осуществлять анализ и прогнозирование налоговых поступлений с учетом макроэкономических показателей и внешних факторов.

При обработке персональных данных в ГИС определяется класс защищенности информационной системы. Для АИС «Налог-3» определен первый (самый высокий) класс защищенности. Класс зависит от уровня значимости информации и масштаба информационной системы. Теперь, когда изучена структура предприятия и известен класс защищенности ИС, можно приступить к разработке правил и процедур защиты информации в информационной системе

2.2 Описание методики

В ходе выполнения выпускной квалификационной работы разработан методический документ, представляющий собой правила и процедуры защиты информации для составной части информационной системы АИС «Налог-3», подключенной к ГИС ФНС на правах сегмента с требованиями по подключению, предъявляемыми с 1-м классом защищенности. С помощью различных методических документов и приказов концептуально дано направление, что должно реализовываться в рамках обеспечения защиты информации, а в разработанном документе вырабатывается подробное описание действий по реализации. Разработанные правила и процедуры содержат инструкции по реализации каждой организационной и технической меры защиты информации, принимаемый в ГИС на основании Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждёнными приказом ФСТЭК России от 11 февраля 2013 г. № 17, а также определяют содержание мер защиты информации и правила их реализации. Эти меры выбираются исходя из класса защищенности и структуры предприятия, а также структуры и состава информационной системы, взаимосвязи сегментов информационной системы и с другими ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС, применяемые информационные технологии и особенности функционирования.

Документ разработан с учетом возможности изменения действующего класса защищенности, то есть в документе содержатся меры, необходимые к реализации в информационной системе с более низким классом защищенности.

С помощью организационных и технических мер защиты информации, реализуемых в информационной системе в рамках ее системы защиты информации, должны осуществляться [1]:

• идентификация и аутентификация субъектов доступа и объектов доступа;

• управление доступом субъектов доступа к объектам доступа;

• ограничение программной среды;

• защита машинных носителей информации;

• регистрация событий безопасности;

• антивирусная защита;

• обнаружение (предотвращение) вторжений;

• контроль (анализ) защищенности информации;

• целостность информационной системы и информации;

• доступность информации;

• защита среды виртуализации;

• защита технических средств;

• защита информационной системы, ее средств, систем связи и передачи данных.

Ниже приведены состав и содержание мер защиты информации, а также подход к созданию правил и процедур, в том числе обоснование выбора той или иной меры защиты информации для ее реализации в информационной системе в рамках системы защиты информации.

Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается должностное лицо (работник), ответственное за защиту информации (администратор безопасности).

Меры защиты информации выбираются помощью последовательности действий [1]:

• определение базового набора мер защиты информации для класса защищенности, определенного в информационной системе, с помощью базового набора мер защиты информации, приведенного в методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах»;

• адаптация базового набора мер защиты информации с учетом структуры и функционала информационной системы, особенностей функционирования информационной системы и используемых информационных технологий (в ходе адаптации некоторые меры могут быть исключены из базового набора мер защиты информации; например, меры, связанные неиспользуемыми в информационной системе информационными технологиями или не свойственным информационной системе функционалом);

• детализация базового набора мер защиты информации, прошедшего адаптацию, с учетом не выбранных ранее мер защиты информации, прописанных в методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах»; детализация помогает определить меры защиты информации, позволяющие блокировать все угрозы безопасности информации, определённые в модели угроз безопасности информации;

• пополнение базового набора мер защиты информации, прошедшего адаптацию и детализацию, мерами, применение которых обеспечит выполнение требований о защите информации, необходимых для исполнения в соответствии с иными нормативными правовыми актами, связанными с защитой информации, в том числе с защитой персональных данных.

В случае невозможности реализации отдельных выбранных мер защиты информации, а также с экономической точки зрения на этапах адаптации и (или) уточнения адаптированного базового набора мер могут создаваться иные (компенсирующие) меры.

1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа

С помощью мер по идентификации и аутентификации субъектов доступа и объектов доступа необходимо реализовывать:

• присвоение субъектам и объектам доступа идентификатора;

• сопоставление предъявляемого субъектом (объектом) доступа идентификатора со списком присвоенных идентификаторов;

• контроль принадлежности субъекту (объекту) доступа предъявленного им идентификатора (проверка подлинности).

Идентификация и аутентификация субъектов доступа и объектов доступа включает в себя следующие меры:

• идентификация и аутентификация пользователей, являющихся работниками оператора;

• идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных;

• управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;

• управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;

• защита обратной связи при вводе аутентификационной информации

• идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);

• идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа.

Для начала надо определиться с тем, кто же такой оператор? Оператором будем называть физическое или юридическое лицо, которое осуществляет деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Характеристики

Список файлов ВКР