Приказ гтк РФ №906 от 31 декабря 1998 года «О концепции информационной безопасности таможенных органов рф» введение

Вид материала

Содержание

Подобный материал:

1 2 3

4) Состояние обеспечения информационной безопасности ФОГВ Российской Федерации

Состояние обеспечения информационной безопасности ФОГВ Российской Федерации характеризуется следующим образом:

1. Недостаточная защищенность информационного ресурса приводит к возможности утраты экономически значимой информации. Потерям важной информации способствуют бессистемность защиты данных и слабая координация мер по защите информации в общегосударственном масштабе, ведомственная разобщенность в обеспечении целостности и конфиденциальности информации.

2. Отставание отечественных информационных технологий вынуждает идти по пути закупок незащищенной импортной техники, в результате чего повышается вероятность несанкционированного доступа к базам данных ФОГВ Российской Федерации, а также возрастает зависимость от иностранных производителей компьютерной и телекоммуникационной техники и информационной продукции.

3. Отсутствуют научно-практические основы информационной безопасности ФОГВ Российской Федерации, отвечающие современным требованиям и условиям экономического развития Российской Федерации.

4. Отсутствует нормативно-правовая база обеспечения информационной безопасности ФОГВ, в том числе регламент информационного обмена с органами государственной власти и управления, нормативное закрепление ответственности должностных лиц за соблюдение требований информационной безопасности и т.д.

5. Не сформирована система информационной безопасности ФОГВ, обеспечивающая реализацию государственной политики в области информационной безопасности.

6. В недостаточной степени организованы разработки современных методов и технических средств, обеспечивающих комплексное решение задач защиты информации.

7. Отсутствуют критерии и методы оценки эффективности систем и средств информационной безопасности ФОГВ Российской Федерации и их сертификации.

8. Не проводятся комплексные исследования деятельности персонала информационных систем ФОГВ, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с информацией ограниченного распространения.

Оценка показывает, что уровень обеспечения информационной безопасности ФОГВ не соответствует требованиям руководящих и нормативно-методических документов Российской Федерации, регламентирующих эту область деятельности.

ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ Российской Федерации»

1) Цели обеспечения информационной безопасности ФОГВ

Цели обеспечения информационной безопасности ФОГВ Российской Федерации заключаются в выполнении следующих требований:

- защита национальных и экономических интересов Российской Федерации в сфере информационной деятельности ФОГВ;

- защита от несанкционированного доступа (разглашения, модификации и т.д.) к информации, предоставленной ФОГВ Российской Федерации государственными органами, предприятиями, учреждениями, организациями и гражданами в соответствии с Гражданским кодексом Российской Федерации и иными актами законодательства Российской Федерации в сфере деятельности ФОГВ.

2) Основные задачи обеспечения информационной безопасности ФОГВ

Основные задачи обеспечения информационной безопасности ФОГВ Российской Федерации заключаются в проведении следующих мероприятий:

- оптимальное с экономической точки зрения отнесение информации ФОГВ к категории ограниченного доступа - государственной и служебной тайне, иной чувствительной к нарушению безопасности информации, подлежащей защите;

- создание необходимых условий для надежного и безопасного функционирования ФОГВ Российской Федерации при сложившейся (текущей) внутриэкономической и политической обстановке в стране;

- защита сведений, составляющих государственную тайну и конфиденциальную служебную информацию;

- внедрение безопасных информационных технологий для обеспечения оперативно-служебной деятельности в сфере компетенции ФОГВ;

- защита информационно-вычислительных ресурсов ФОГВ Российской Федерации от несанкционированного доступа;

- защита информации ФОГВ от утечки по техническим каналам.

3. Основные принципы обеспечения информационной безопасности

Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов:

1. Законность.

Принятые меры информационной безопасности не должны препятствовать обеспечению состояния защищенности жизненно важных интересов личности, общества, государства.

Данный принцип предполагает разработку системы защиты информации на основе федерального законодательства в области информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственного управления в пределах их компетенции и ФОГВ России, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры информационной безопасности не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных абонентов ЕАИС ФОГВ России.

2. Системность и комплексность.

Данный принцип включает:

- обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, начиная с анализа ее секретности (конфиденциальности), на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования технических средств, при информационном взаимодействии с другими информационными системами;

- обеспечение надежной защиты информации от возможных угроз всеми доступными средствами, методами и мероприятиями;

- способность системы к развитию и совершенствованию в соответствии с возможными изменениями условий функционирования.

3. Своевременность.

Данный принцип характеризует упреждающий характер мер обеспечения информационной безопасности. Он предполагает постановку задач по комплексной защите информации и реализацию мер обеспечения информационной безопасности на ранних стадиях разработки ЕАИС ФОГВ России в целом и ее системы защиты информации. Реализация мер осуществляется в частности, на основе анализа и прогнозирования состояния мирового рынка, технических и программных средств и информационных технологий, угроз информационной безопасности, и предусматривает также разработку эффективных мер предупреждения посягательств на законные интересы государства.

4. Научно-техническая обоснованность и реализуемость.

Предлагаемые технические и программные средства и информационные технологии, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно и технически обоснованы с точки зрения достижения заданного уровня информационной безопасности и должны соответствовать установленным нормам и требованиям по безопасности информации.

5. Экономическая целесообразность.

Данный принцип заключается в процедуре сопоставимости возможного ущерба и затрат. Он предполагает адекватность уровня затрат на обеспечение информационной безопасности ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать экономические показатели работы ЕАИС ФОГВ России, в которой эта информация циркулирует.

6. Специализация и профессионализм.

Данный принцип предполагает привлечение к разработке и внедрению мер и средств защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области.

Эксплуатация этих мер и средств должна осуществляться профессионально подготовленными специалистами ФОГВ.

7. Взаимодействие и координация.

Предполагает осуществление мер обеспечения информационной безопасности на основе взаимодействия всех заинтересованных субъектов управления при реализации Концепции использования информационных технологий в деятельности в федеральных органов государственной власти на период до 2010 года в области защиты информации, привлеченных для разработки системы защиты информации, координации их усилий для достижения поставленных целей ФСТЭК России (на этапе разработки и внедрения) и службами безопасности органов государственной власти (на этапе функционирования системы), а также интеграции деятельности по защите информации с правоохранительными органами для защиты законных интересов государства, юридических и физических лиц.

8. Обязательность и эффективность аудита.

Данный принцип предполагает обязательность и своевременность выявления и пресечения попыток нарушения системы обеспечения информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

9. Преемственность и непрерывность совершенствования.

Этот принцип предполагает постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, деятельности кадрового аппарата, анализа функционирования системы защиты информации ЕАИС ФОГВ России с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого отечественного и зарубежного опыта в этой области.

4. Характеристика политики ФОГВ России в области обеспечения информационной безопасности

Ключевым элементом политики ФОГВ России в области обеспечения информационной безопасности является отказ от взгляда на необходимость защиты только секретной информации и переход к осознанию необходимости защиты каждого чувствительного информационного ресурса ФОГВ Российской Федерации.

Реализация политики ФОГВ России в области обеспечения информационной безопасности должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности.

Необходимо их системное согласование между собой, а отдельные разрабатываемые элементы системы обеспечения информационной безопасности объектов инфраструктуры ФОГВ Российской Федерации должны рассматриваться как часть единой системы при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

В связи с этим система обеспечения информационной безопасности ФОГВ Российской Федерации должна представлять собой совокупность

подразделений, ответственных за обеспечение информационной безопасности,
организационных, программных, технических и криптографических средств и мер по защите информации в процессе служебной деятельности ФОГВ при обработке и хранении информации в автоматизированных информационных системах различного уровня и назначения, при передаче информации по каналам связи, при ведении секретных и конфиденциальных переговоров, раскрывающих информацию с ограниченным доступом, а
также при использовании импортных технических и программных средств.

Основой стратегии ФОГВ России по выбору средств защиты информации является ориентация на отечественных производителей, имеющих лицензии ФСТЭК России и ФСБ России на проведение работ в области обеспечения безопасности информации и выпускающих только сертифицированные средства защиты.

В зависимости от типа защищаемых информационных ресурсов ФОГВ Российской Федерации комплекс принятых мер обеспечения информационной безопасности должен обеспечивать выполнение требований, предъявляемых соответствующими правовыми и нормативно-методическими документами.

5. Основные направления обеспечения информационной безопасности ФОГВ

Обеспечение информационной безопасности ФОГВ Российской Федерации осуществляется по следующим основным направлениям:

1. Организационно-режимное обеспечение защиты сведений, составляющих государственную тайну, и конфиденциальной служебной информации.

2. Обеспечение физической защиты объектов и средств информатизации ФОГВ Российской Федерации.

3. Обеспечение защиты информации от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче на объектах информатизации ФОГВ Российской Федерации.

4. Обеспечение защиты информации от несанкционированного доступа в автоматизированных информационных системах и локальных вычислительных сетях ФОГВ Российской Федерации.

5. Обеспечение конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи.

6. Обеспечение радиоэлектронной безопасности объектов инфраструктуры ФОГВ.

7. Обеспечение безопасного информационного взаимодействия ФОГВ России с отечественными и зарубежными субъектами права.

9. Обеспечение защиты информационных ресурсов ФОГВ от заражения компьютерными вирусами.

10. Организация, координация и финансирование научно-исследовательских и опытно-конструкторских работ (НИОКР) в области обеспечения информационной безопасности ФОГВ.

11. Совершенствование нормативно-методической базы обеспечения информационной безопасности ФОГВ Российской Федерации.

12. Совершенствование организационно-штатной структуры подразделений, отвечающих за обеспечение информационной безопасности ФОГВ.

13. Подготовка, переподготовка и повышение квалификации специалистов по информационной безопасности.

Конечная цель выполнения всех мероприятий по обеспечению информационной безопасности ФОГВ - аттестация всех объектов информатизации и автоматизированных информационных систем ФОГВ на соответствие требованиям руководящих документов по защите информации.

ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности»

Защите подлежит любая документированная информация ограниченного распространения, составляющая государственную, служебную, коммерческую или иную охраняемую законом тайну, а также конфиденциальная информация, предоставленная данным ФОГВ другим государственными органами, предприятиями, учреждениями, организациями и гражданами в соответствии с законодательством Российской Федерации.

Реализация мероприятий по обеспечению информационной безопасности (комплексной защите информации) является видом основной деятельности ФОГВ Российской Федерации. ФОГВ всех уровней и их структурные подразделения обязаны обеспечивать комплексную защиту информации в соответствии с возложенными на них задачами и в пределах своей компетенции.

Общее руководство деятельностью по обеспечению информационной безопасности ФОГВ органов осуществляет руководитель ФОГВ Российской Федерации. Непосредственное руководство осуществляет заместитель руководителя ФОГВ России - председатель Совета по информационной безопасности ФОГВ Российской Федерации.

Ответственность за организацию и состояние обеспечения информационной безопасности в территориальном подразделении ФОГВ возлагается на его руководителя.

Взаимодействие подразделений защиты информации таможенных органов с ФСТЭК России, ФСБ России и другими органами государственной власти по вопросам защиты информации осуществляется в соответствии с правовыми актами Президента и Правительства Российской Федерации.

1. Организационная структура системы обеспечения информационной безопасности ФОГВ

Система обеспечения информационной безопасности ФОГВ Российской Федерации - составная часть государственной системы защиты информации.

Рассмотрим Система обеспечения информационной безопасности ФОГВ на примере таможенной службы.

Организационная структура системы состоит из подразделений и коллегиальных органов ГТК России, отвечающих за организацию и реализацию обеспечения информационной безопасности таможенных органов Российской Федерации:

1. Совета по информационной безопасности таможенных органов Российской Федерации;

2. Управления безопасности (УБ) ГТК России;

3. Регионального информационно-технического таможенного управления (РИТТУ);

4. Отдела специальной информации ГТК России;

5. Регионального таможенного управления радиоэлектронной безопасности (РЭБ) объектов таможенной инфраструктуры;

6. Главного научно-информационного вычислительного центра (ГНИВЦ) ГТК России;

7. Советов (комиссий) по информационной безопасности региональных таможенных управлений и Российской таможенной академии;

8. Подразделений информационно-технической службы (отделений защиты информации), безопасности, радиоэлектронной безопасности (РЭБ) и специальной информации в таможенных органах Российской Федерации;

9. Подразделений таможенной охраны.

Функции, права и полномочия подразделений и коллегиальных органов ГТК России, отвечающих за организацию и реализацию обеспечения информационной безопасности таможенных органов Российской Федерации, определяются положениями об этих подразделениях и органах, а также Положением о разграничении полномочий и ответственности подразделений ГТК России за обеспечение информационной безопасности (организацию комплексной защиты информации), утвержденным приказом ГТК России № 619дсп от 09.09.98 г.

2. Порядок организации разработки к эксплуатации системы обеспечения информационной безопасности ФОГВ

Разработка систем обеспечения информационной безопасности является частью экономической и технической стратегии развития информационно-технической структуры ФОГВ и ведется параллельно с разработкой других систем, обеспечивающих функционирование данного ФОГВ.

Основным отправным моментом для формирования системы информационной безопасности является выявление секретной (конфиденциальной) и иной чувствительной информации, обоснование уровня ее конфиденциальности (чувствительности) и документальное оформление в виде перечня сведений, подлежащих защите.

Следующим этапом формирования системы информационной безопасности ФОГВ является организация системы распоряжения, владения и пользования информацией - разрешительной системы допуска исполнителей (пользователей) к работе с информацией ограниченного доступа.

Эта система предусматривает:

- установление полномочий должностных лиц по отнесению информации к государственной, служебной тайне, к иной конфиденциальной (чувствительной) информации, подлежащей защите;

- установление полномочий должностных лиц на распоряжение информацией, т.е. какие и кому предоставлены права распоряжаться информационными ресурсами;

- условия и порядок допуска должностных лиц ФОГВ и внешних пользователей к работе с информацией ограниченного доступа;

- определение объема информации, необходимой и достаточной для эффективного выполнения сотрудниками ФОГВ своих должностных обязанностей и функций;

- установление полномочий должностных лиц ФОГВ и внешних пользователей на использование этой информации, в том числе какие действия с информацией они могут совершать.

При разработке систем защиты информации необходимо использовать сертифицированные по требованиям безопасности информации средства вычислительной техники и связи, средства защиты и контроля защищенности, либо образцы таких средств, прошедшие специальные исследования и получившие предписания на эксплуатацию.

Стадия ввода в действие объектов информатизации ФОГВ и их отдельных компонентов завершается аттестацией на соответствие требованиям безопасности информации, осуществляемой органом по аттестации объектов информатизации в соответствии с нормативными документами ФСТЭК России и ФСБ России.

3. Организация аудита состояния информационной безопасности

Основные задачи аудита обеспечения информационной безопасности ФОГВ заключаются в проведении следующих мероприятий:

получение объективных оценок состояния защиты государственной и служебной тайн в ФОГВ,
оценка эффективности решения информационно-технических вопросов обеспечения информационной безопасности,
оказание методической помощи по обеспечению режима секретности и организации зашиты информации от утечки по техническим каналам и несанкционированного доступа.

Аудит состояния информационной безопасности ФОГВ в Российской Федерации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки эффективности ее защиты от иностранных технических разведок.

Аудит заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений и рекомендаций ФСТЭК России, а также в оценке обоснованности и эффективности, принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.

При этом оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

Так, например, в системе таможенных органов Российской Федерации аудит обеспечения информационной безопасности осуществляют:

- Региональное информационно-техническое таможенное управление и информационно-технические подразделения региональных таможенных управлений - в части решения информационно-технических вопросов обеспечения информационной безопасности таможенных органов и защиты информации в системах и средствах информатизации и связи;

- отдел специальной информации ГТК России и соответствующие структурные подразделения региональных таможенных управлений - в части обеспечения режима секретности, шифрованной связи и лицензирования таможенных органов на допуск их к работам со сведениями, составляющих государственную тайну;

- ФСТЭК России или ФСб России - пределах их компетенции.
Контроль обеспечения информационной безопасности в региональных таможенных управлениях, а также на предприятиях и в организациях, подведомственных ГТК России, осуществляется не реже одного раза в два года. Региональные таможенные управления осуществляют контроль обеспечения информационной безопасности в таможнях не реже одного раза в год.

При этом обеспечение информационной безопасности таможенных органов Российской Федерации считается эффективным, если принимаемые меры соответствуют установленным требованиям или нормам. Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Нарушения по степени важности делятся на три категории:

- ПЕРВАЯ КАТЕГОРИЯ - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

- ВТОРАЯ КАТЕГОРИЯ - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

- ТРЕТЬЯ КАТЕГОРИЯ - невыполнение других требований по защите информации.

ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу»

Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу включают следующие группы мероприятий:

1) Основные мероприятия по решению задач организационно-режимного обеспечения защиты сведений, составляющих государственную тайну и конфиденциальную служебную информацию:

2) Основные мероприятия по решению задач физической защиты объектов и средств информатизации таможенных органов Российской Федерации

3) Основные мероприятия по решению задач защиты информации от утечки по техническим каналам на объектах информатизации

4) Основные мероприятия по решению задач защиты информации от несанкционированного доступа в автоматизированных информационных системах и локальных вычислительных сетях

5) Основные мероприятия по решению задач обеспечения конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и телефонных линиях связи:

6) Разработка единой методологии обеспечения таможенных органов ключевой документацией, используемой для защиты информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи таможенных органов.

Рассмотрим формирование данного раздела Концепции на примере таможенных органов

Blog

Приказ гтк РФ №906 от 31 декабря 1998 года «О концепции информационной безопасности таможенных органов рф» введение

Содержание