Приказ гтк РФ №906 от 31 декабря 1998 года «О концепции информационной безопасности таможенных органов рф» введение

Вид материала

Решение

Содержание Приказ ФОГВ № 0000 от 00.00.0000 года Объекты обеспечения 1) Основные факторы, влияющие на обеспечение информационной безопасности ФОГВ Российской Федерации 2) Основные угрозы информационной безопасности таможенных органов Российской Федерации Внешние угрозы Внутренние угрозы Источники внутренних угроз Информационные способы нарушения Программно-математические способы нарушения Физические способы нарушения Радиоэлектронные способы нарушения Организационно-правовые способы нарушения Результатами реализации угроз 3) Модель нарушителя информационной безопасности ФОГВ Российской Федерации К первому уровню Ко второму уровню К третьему уровню 4) Состояние обеспечения информационной безопасности ФОГВ Российской Федерации 1) Цели обеспечения информационной безопасности ФОГВ 2) Основные задачи обеспечения информационной безопасности ФОГВ ... Полное содержание

Подобный материал:

• Приказ гтк РФ от 3 августа 2001 г. N 757 "О совершенствовании системы уплаты таможенных, 162.1kb.
• Приказ от 3 августа 2001 г. N 757 о совершенствовании системы уплаты таможенных платежей, 171.92kb.
• Приказ гтк РФ от 18 мая 1994 г. N 206, 3427.51kb.
• Аннотация, 418.67kb.
• "Теневая экономика и контрольные функции таможенных органов", 1239.22kb.
• О концепции информационной безопасности Республики Казахстан Указ Президента Республики, 342.31kb.
• Российской Таможенной Академии методологические рекомендации по соврешентсвованию системы, 213.26kb.
• Приказ государственного таможенного комитета республики беларусь, 895.81kb.
• Приказ от 11 февраля 2002 г. N 393 о концепции модернизации российского образования, 408.22kb.
• Таможенная конвенция о международной перевозке грузов с применением книжки мдп (конвенция, 270.53kb.

ЛЕКЦИЯ № 9-2008.

О РАЗРАБОТКЕ КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ

9 апреля

Количество часов: 2 часа

Цель лекции: Изучить порядок проведения организационно-распорядительных мероприятий по подготовке Концепции информационной безопасности, а также структуру и содержание разделов Концепции.


УЧЕБНЫЕ ВОПРОСЫ:

ВВЕДЕНИЕ

ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности

ВОПРОС 2. Разработка раздела «Общие положения» Концепции

ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ Российской Федерации»

ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ Российской Федерации»

ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности»

ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу»


Список рекомендуемой литературы

1. Решение коллегии ГТК РФ от 28 сентября 2001 г. "О Концепции информационно-технической политики Государственного таможенного комитета Российской Федерации" (приложение к приказу ГТК РФ от 13 ноября 2001 г. N 1073).
   
2. Приказ ГТК РФ № 906 от 31 декабря 1998 года «О концепции информационной безопасности таможенных органов РФ»
   

ВВЕДЕНИЕ

Цель Концепции обеспечения информационной безопасности ФОГВ Российской Федерации на ближайшую перспективу до 2010 года и на период до 2015 года (далее - Концепция) - формирование единой политики перехода от решения частных вопросов защиты информации на объектах информатизации ФОГВ Российской Федерации к систематическому и комплексному обеспечению информационной безопасности ФОГВ, а также определение научного, информационно-технического, правового, экономического и организационного механизмов ее реализации на ближайшую перспективу до 2010 года и на период до 2015 года.

Достижение этих целей требует дальнейшего совершенствования и повседневного практического осуществления единой информационно-технической политики ФОГВ Российской Федерации в области обеспечения информационной безопасности.

Концепция служит методологической основой разработки комплекса нормативно-методических и организационно-распорядительных документов, практических мер, методов и средств защиты информации ФОГВ Российской Федерации, а ее внедрение позволит эффективно продолжить совершенствование структуры обеспечения информационной безопасности объектов инфраструктуры ФОГВ России.

В Концепции рассматриваются объекты информатизации ФОГВ Российской Федерации, угрозы информационной безопасности, возможные последствия проявления этих угроз, методы и средства их предотвращения и нейтрализации, а также излагаются основные мероприятия по обеспечению информационной безопасности ФОГВ, организационная структура системы обеспечения информационной безопасности ФОГВ Российской Федерации.
Концепция разработана на основе действующего законодательства Российской Федерации, Концепции национальной безопасности Российской Федерации, государственных нормативных актов правового регулирования и иных нормативных документов по информационной безопасности, утвержденных федеральными органами государственного управления в пределах их компетенции, а также с учетом проектов концепции информационно-технической политики ФОГВ России и Доктрины информационной безопасности Российской Федерации.

ВОПРОС 2. Организационно-распорядительная работа по подготовке Концепции информационной безопасности


Организационно-распорядительная работа в ФОГВ по подготовке Концепции информационной безопасности заключается в разработке соответствующего приказа.


Приказ ФОГВ № 0000 от 00.00.0000 года

О концепции информационной безопасности ФОГВ


 Анализ результатов проверки ФСТЭК России федерального органа государственной власти Российской Федерации в 2005 году показал, что основной причиной неудовлетворительного состояния обеспечения информационной безопасности ФОГВ Российской Федерации является отсутствие комплексной проработки проблемы защиты информации на объектах информатизации и в автоматизированных системах ФОГВ. Утвержденные приказом ФОГВ № ХХХ от 01.01.2000 г. Концепция информационной безопасности ФОГВ и Программа реализации Концепции на 2000 - 2005 годы не в полной мере определяют направления создания системы защиты информации.

В целях совершенствования работы по обеспечению информационной безопасности ФОГВ

Приказываю:
1. Утвердить Концепцию информационной безопасности ФОГВ на ближайшую перспективу до 2010 года и на период до 2015 года (Приложение).

2. Управлениям, отделам и коллегиальным органам ФОГВ России осуществлять мероприятия по реализации Концепции в соответствии с Положением о разграничении полномочий и установлении ответственности подразделений ФОГВ России за организацию комплексной защиты информации в ФОГВ Российской Федерации, утвержденным приказом ФОГВ YYY/ДСП от 01.01.99 г.

3. Управлениям, отделам и коллегиальным органам ФОГВ России ежегодно при формировании предложений о заключении договоров на НИОКР и эксплуатацию ЕАИС учитывать мероприятия по реализации Концепции информационной безопасности ФОГВ Российской Федерации.

4. Считать утратившим силу приказ ФОГВ № ХХХ от 01.01.2000.
Контроль за исполнением данного приказа оставляю за собой.

 

Руководитель ФОГВ

И.И.Иванов

 

ВОПРОС 1. Разработка раздела «Общие положения» Концепции


Концепция информационной безопасности ФОГВ Российской Федерации представляет собой официально принятую систему взглядов на проблему защиты интересов государства в информационной сфере деятельности ФОГВ.

Концепция необходима для определения методологической основы:
- проведения в системе ФОГВ государственной политики Российской Федерации в области обеспечения информационной безопасности;
- комплексной стратегии обеспечения информационной безопасности системы ФОГВ, определяющей цели, задачи и комплекс основных мер по ее практической реализации;

- формирования и проведения единой политики в области обеспечения информационной безопасности ФОГВ;

- координации деятельности подразделений и коллегиальных органов ФОГВ России по обеспечению информационной безопасности при проведении научных исследований, создании и эксплуатации Единой автоматизированной информационной системы (ЕАИС) ФОГВ России и объектов информатизации;

- подготовки предложений по совершенствованию правового, нормативно-методического, научно-технического и организационного обеспечения информационной безопасности ФОГВ Российской Федерации;

- проведения практических мероприятий по созданию системы обеспечения информационной безопасности ФОГВ Российской Федерации;

- разработки целевых программ защиты информационных ресурсов и средств информатизации ФОГВ Российской Федерации.
Положения Концепции должны учитываться при формировании программ модернизации ФОГВ Российской Федерации, информационно-технической политики ФОГВ России, а также Концепции обеспечения собственной безопасности ФОГВ Российской Федерации.

Правовую основу данной Концепции составляют:

Конституция Российской Федерации,

Уголовный кодекс Российской Федерации, введенный постановлением № 63-ФЗ от 13.06.96 г.,

Законы Российской Федерации "О безопасности" № 2446-1 от 05.03.92 г., "О государственной тайне" № 5485-1 от 21.07.93 г.,

Федеральные законы

• "О связи" от 07.07.2003 года № 126-ФЗ,
  
• "Об информации, информационных технологиях и о защите информации" от 27.07.2006 года № 149-ФЗ,
  
• "О федеральной службе безопасности " от 22.02.95 г. № 40-ФЗ (в ред. Федеральных законов от 30.12.1999 № 226-ФЗ, от 07.11.2000 № 135-ФЗ, от 07.05.2002 № 49-ФЗ, от 25.07.2002 № 116-ФЗ, от 10.01.2003 № 4-ФЗ, от 30.06.2003 № 86-ФЗ, от 22.08.2004 № 122-ФЗ, от 07.03.2005 № 15-ФЗ, от 15.04.2006 № 50-ФЗ, от 27.07.2006 № 153-ФЗ, от 27.07.2006 № 153-ФЗ, от 05.07.2007 № 124-ФЗ, от 24.07.2007 № 211-ФЗ, с изм., внесенными Федеральным законом от 30.12.2001 № 194-ФЗ),
  
• «О персональных данных» от 27 июля 2006 года № 152-ФЗ,
  
• «Об электронной цифровой подписи» от 10 января 2002 года № 1-ФЗ,
  
• «О техническом регулировании» от 27 декабря 2002 года № 184-ФЗ (в ред. Федеральных законов от 09.05.2005 № 45-ФЗ, от 01.05.2007 № 65-ФЗ),
  
• «Об оперативно-розыскной деятельности» от 12 августа  1995 года № 144-ФЗ (в ред. Федеральных законов от 18.07.1997 № 101-ФЗ, от 21.07.1998 № 117-ФЗ, от 05.01.1999 № 6-ФЗ, от 30.12.1999 № 225-ФЗ, от 20.03.2001 № 26-ФЗ, от 10.01.2003 № 15-ФЗ, от 30.06.2003 № 86-ФЗ, от 29.06.2004 № 58-ФЗ, от 22.08.2004 № 122-ФЗ, от 02.12.2005 № 150-ФЗ, от 24.07.2007 № 211-ФЗ, от 24.07.2007 № 214-ФЗ)
  
• «О лицензировании отдельных видов деятельности» от 8  августа  2001 года № 128-ФЗ (в ред. Федеральных законов от 13.03.2002 № 28-ФЗ, от 21.03.2002 № 31-ФЗ, от 09.12.2002 № 164-ФЗ, от 10.01.2003 № 17-ФЗ, от 27.02.2003 № 29-ФЗ, от 11.03.2003 № 32-ФЗ, от 26.03.2003 № 36-ФЗ, от 23.12.2003 № 185-ФЗ, от 02.11.2004 № 127-ФЗ, от 21.03.2005 № 20-ФЗ, от 02.07.2005 № 80-ФЗ, от 31.12.2005 № 200-ФЗ, от 27.07.2006 № 156-ФЗ, от 04.12.2006 № 201-ФЗ, от 29.12.2006 № 244-ФЗ, от 29.12.2006 № 252-ФЗ, от 05.02.2007 № 13-ФЗ, от 19.07.2007 № 134-ФЗ, от 19.07.2007 № 135-ФЗ, от 19.07.2007 № 136-ФЗ, от 04.11.2007 № 250-ФЗ, от 08.11.2007 № 258-ФЗ),
  

Указы Президента Российской Федерации:

• "Об утверждении Концепции национальной безопасности Российской Федерации" № 24 от 10.01.2000 г.,
  
• «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (в ред. Указа Президента Российской Федерации от 22.03.2005 № 329, от 03.03.2006 № 175),
  
• «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных  средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 года № 334 (в ред. Указа Президента Российской Федерации от 25.07.2000 № 1358),
  
• «Положение Межведомственной комиссии Совета Безопасности Российской  Федерации по информационной безопасности» от 28 октября 2005 г. № 1244;
  

Постановления Правительства Российской Федерации:

• «Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам», от 15.09.93 г. № 912-51,
  
• "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15.04.95 г. № 333,
  
• "О сертификации средств защиты информации" от 26.06.95 г. № 608;
  

Концепции:

• Концепция формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов (одобрена решением Президента Российской Федерации от 23 ноября 1995 г. № Пр-1694),
  
• Концепция использования  информационных технологий в  деятельности федеральных органов государственной власти до 2010 года (одобрена распоряжением Правительства Российской Федерации от 27 сентября 2004 г. № 1244-р),
  
• Концепция региональной информатизации до 2010 года (одобрена распоряжением Правительства Российской Федерации от 17 июля 2006 г. N 1024-р);
  

другие законодательные акты Российской Федерации в области обеспечения информационной безопасности.

Объекты обеспечения информационной безопасности ФОГВ:

- информационные ресурсы, вне зависимости от форм хранения, содержащие информацию, составляющую государственную тайну, и информацию конфиденциального характера;

- система формирования, распространения и использования информационных ресурсов, включающая в себя информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи таможенной информации;

- информационные системы, обеспечивающие деятельность ФОГВ (целесообразно перечислить виды деятельности ФОГВ);

- информационно-вычислительные комплексы, обслуживающие информационные технологии в сфере деятельности ФОГВ;

- ведомственная система связи;

- программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение);

- технические средства обработки информации (средства звукозаписи и звукоусиления, звукосопровождения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другой обработки информации);

- помещения, предназначенные для ведения секретных переговоров, обработки, размножения и хранения документированной информации ограниченного доступа;

- технический и обслуживающий персонал таможенных органов.

Информационная безопасность указанных объектов создает условия для надежного функционирования таможенных органов Российской Федерации, что является жизненно важным условием обеспечения экономической безопасности государства.


ВОПРОС 3. Разработка раздела «Состояние информационной безопасности

ФОГВ Российской Федерации»


1) Основные факторы, влияющие на обеспечение информационной безопасности ФОГВ Российской Федерации
Происходящие в настоящее время процессы преобразования в политической жизни и экономике России оказывают непосредственное влияние на состояние информационной безопасности Российской Федерации. При этом возникают факторы, которые необходимо учитывать при оценке реального состояния информационной безопасности и определении ключевых проблем в сфере действия ФОГВ.

К этим факторам можно отнести:

- расширение сотрудничества России с зарубежными странами в политической и экономической сферах;

- стремление России к более тесному сотрудничеству в рамках международного сообщества, расширяющаяся кооперация в развитии информационной инфраструктуры;

- создание таможенного содружества России, Беларуси, Киргизии и Казахстана;

- ограниченные объемы финансирования проектирования, строительно-монтажных работ и закупки средств защиты информации для ФОГВ;

- широкое использование в ФОГВ не защищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;

- рост объемов информации, передаваемой в интересах ФОГВ по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;

- обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере.


2) Основные угрозы информационной безопасности таможенных органов Российской Федерации:
1. Антропогенные угрозы из-за деятельности человека, непосредственно и опосредованно влияющая на информационную безопасность и являющаяся основным источником угроз.

2. Техногенные угрозы из-за отказов и неисправностей средств информатизации.

3. Стихийные бедствия и катастрофы.

Источники угроз информационной безопасности ФОГВ Российской Федерации делятся на внешние и внутренние.

Внешние угрозы исходят от природных явлений (стихийных бедствий), катастроф, а также от субъектов, не входящих в состав пользователей и обслуживающего персонала системы, разработчиков системы и не имеющих непосредственного контакта с информационными системами и ресурсами. Источники внешних угроз:

- недружественная политика иностранных государств в области распространения информации и новых информационных технологий;

- деятельность иностранных разведывательных и специальных служб;

- деятельность иностранных политических и экономических структур, направленная против экономических интересов Российского государства;

- преступные действия международных групп, формирований и отдельных лиц, направленные против экономических интересов государства;

- стихийные бедствия и катастрофы.

Внутренние угрозы исходят от пользователей и обслуживающего персонала системы, разработчиков системы, других субъектов, вовлеченных в информационные процессы ЕАИС ФОГВ России и имеющих непосредственный контакт с информационными системами и ресурсами, как допущенных, так и не допущенных к секретным (конфиденциальным) сведениям.

Источники внутренних угроз:

- противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации в интересах ФОГВ;

- неправомерные действия государственных структур, приводящие к нарушению функционирования деятельности ФОГВ;

- нарушения установленных регламентов сбора, обработки и передачи информации в ЕАИС ФОГВ России;

- преднамеренные действия и непреднамеренные ошибки персонала информационных систем ФОГВ;

- отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.

Реализуются угрозы по отношению к защищаемым объектам возможными способами нарушения информационной безопасности. Эти способы могут быть разделены на информационные, программно-математические, физические, радиоэлектронные и организационно-правовые.

Информационные способы нарушения информационной безопасности:

- противозаконный сбор, распространение и использование информации;

- манипулирование информацией (дезинформация, сокрытие или искажение информации);

- незаконное копирование данных и программ;

- незаконное уничтожение информации;

- хищение информации из баз и банков данных;

- нарушение адресности и оперативности информационного обмена;

- нарушение технологии обработки данных и информационного обмена.

Программно-математические способы нарушения информационной безопасности:

- внедрение программ-вирусов;

- внедрение программных закладок на стадии проектирования или эксплуатации системы и приводящих к компрометации системы защиты информации.

Физические способы нарушения информационной безопасности:

- уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;

- уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;

- хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа;

- воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз информационной безопасности;

- диверсионные действия по отношению к объектам информационной безопасности.

Радиоэлектронные способы нарушения информационной безопасности:

- перехват информации в технических каналах ее утечки;

- перехват и дешифрование информации в сетях передачи данных и линиях связи;

- внедрение электронных устройств перехвата информации в технические средства и помещения;

- навязывание ложной информации по сетям передачи данных и линиям связи;

- радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы нарушения информационной безопасности:

- закупки несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;

- невыполнение требований законодательства и задержки в разработке и принятии необходимых нормативных правовых и технических документов в области информационной безопасности.

РЕЗУЛЬТАТАМИ РЕАЛИЗАЦИИ УГРОЗ информационной безопасности и осуществления посягательств (способов воздействия) на информационные ресурсы и информационные системы и процессы в общем случае являются:

- нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка и перехват и т.д.);

- нарушение целостности информации (уничтожение, искажение, подделка и т.д.);

- нарушение доступности информации и работоспособности информационных систем (блокирование данных и информационных систем, разрушение элементов информационных систем, компрометация системы защиты информации и т.д.).


3) Модель нарушителя информационной безопасности ФОГВ Российской Федерации

В качестве вероятного нарушителя информационной безопасности объектов ФОГВ рассматривается субъект, имеющий возможность реализовывать, в том числе с помощью технических средств, угрозы информационной безопасности, и осуществлять посягательства (способы воздействия) на информационные ресурсы и системы данного ФОГВ.

По уровню возможности реализовать угрозы и осуществить посягательства на информационные ресурсы и системы нарушителей можно классифицировать следующим образом.

К первому уровню можно условно отнести нарушителей, реализующих внешние угрозы (в основном, с помощью радиоэлектронных способов нарушения информационной безопасности).

Ко второму уровню относятся нарушители, реализующие доступные им внутренние угрозы с предоставленными возможностями опосредованно или непосредственно воздействовать на информационные системы и ресурсы объекта таможенной инфраструктуры, не работающие в информационных системах (не участвующие в информационных процессах) и не допущенные к секретным (конфиденциальным) сведениям.

К третьему уровню можно отнести пользователей и обслуживающий персонал информационных систем, работающий в этих системах и допущенный к секретным (конфиденциальным) сведениям, в силу нечеткого выполнения служебных обязанностей совершающий ошибки, могущие привести к нарушению безопасности информационных ресурсов объектов таможенной инфраструктуры.

Следующий, четвертый уровень занимают пользователи и обслуживающий персонал информационных систем ОГВ, а также персонал привлеченных для оказания различных услуг организаций, не допущенные к секретным (конфиденциальным) сведениям, но работающие в информационных системах, в которых эти сведения обрабатываются.

Следующие несколько уровней занимают пользователи и обслуживающий персонал, имеющие возможность создания и запуска в информационных системах ФОГВ собственных программ управления функционированием информационных систем, осуществляющие их проектирование и допущенные к секретным (конфиденциальным) сведениям.

К такому персоналу могут относиться разработчики информационных систем, системные программисты, администраторы баз данных, отдельные пользователи информационных систем и соответствующие руководители подразделений.

Предполагается, что на всех этих уровнях нарушитель

* является специалистом высшей квалификации,

* знает все об информационной системе, о системе и средствах ее защиты

* и может при определенных обстоятельствах осуществить весь спектр посягательств на информационные ресурсы.

В своей противоправной деятельности вероятный нарушитель может использовать любое существующее в стране и за рубежом средство перехвата информации, воздействия на информацию и информационные системы ФОГВ Российской Федерации, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.

Необходимо учитывать также цели посягательств вероятного нарушителя на информационные ресурсы и системы.

Среди таких целей может быть хищение информации (шпионаж, в том числе экономический), намерение совершить корыстное преступление, любопытство, удовлетворение собственного тщеславия, месть, вандализм и др.