 |
Общие принципы построения комплексной системы защиты информации
|
|
|
|
Органы муниципального управления являются операторами персональных данных. Их информационные системы обрабатывают демографическую, финансовую и медицинскую информацию, к защите которой предъявляются очень высокие требования. Субъекты персональных данных, передавая сведения о себе, имеют право рассчитывать на соблюдение конфиденциальности при использовании данной информации. Для выполнения этого условия необходимо не только применение технических средств защиты (специальные сертифицированные программные и аппаратные средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным.
Защите подлежит следующая информация:
1. Основные направления деятельности муниципального образования:
1.1 Стратегические и тактические планы деятельности муниципального образования;
1.2 Сведения о специальных фондах;
1.3 Результаты проводимых научно-технических исследований и внедрения новых технологий, финансируемых из источников муниципального образования.
2. Информация о муниципальном образовании:
2.1 Управление муниципальным образованием, планы, совещания, финансы, переговоры, контракты и т.д.;
2.2 Штатное расписание, приказы по основной деятельности и по личному составу;
2.3 Данные о счетах, убытках, планируемых и получаемых средствах;
2.4 Сводный баланс муниципального образования;
2.5 Годовой отчет по валютному плану;
2.6 Бухгалтерские книги, сметы расходов, прочие бухгалтерские документы.
3. Собственная безопасность муниципального образования:
3.1 Сведения, раскрывающие систему, конфиденциальной информации в муниципальном образовании;
|
|
|
3.2 Специализированные компьютерные программы;
3.3 Сведения по системе охраны;
3.4 Изменение условий защиты сведений.
Объектами, подлежащими защите на объектах информатизации (ОИ), являются технические средства обработки информации и их элементы (включая программное обеспечение), а также вспомогательные технические средства и оборудование.
Основными классами технических средств обработки информации, подлежащими защите, являются:
1. Средства обработки изображений и знаковой информации.
2. Средства вычислительной техники.
3. Средства изготовления и размножения документов.
4. Средства обработки речевой информации.
Вспомогательные технические средства и оборудование включают:
1. Средства пожарной сигнализации;
2. Средства электропитания;
3. Средства сигнализации;
4. Средства освещения.
Организация обеспечения информационной безопасности в ИС и ее функционирование должны осуществляться в соответствии со следующими основными принципами (рисунок 8):
1. Системность и комплексность – предполагают обеспечение защиты ИС комплексом программных, технических средств и поддерживающих их организационных мер на всех этапах обработки и использования информации и способность системы к развитию и совершенствованию в соответствии с возможными изменениями условий функционирования.
Рисунок 8 - Основные принципы построения системы защиты информации
2. Своевременность.
Упреждающий характер мер обеспечения информационной безопасности - предполагает постановку задач по комплексной защите информации и реализацию мер обеспечения информационной безопасности на ранних стадиях разработки ИС в целом и ее системы защиты информации, в частности, на основе анализа и прогнозирования состояния мирового рынка технических и программных средств и информационных технологий, угроз информационной безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы государства, общества и личности.
|
|
|
3. Законность - разработка системы защиты информации в ИС на основе Федерального законодательства в области информации, информатизации и защиты информации, деятельности органов государственной власти, других нормативных актов по безопасности информации, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.
4. Научно-техническая обоснованность и реализуемость
Предлагаемые технические и программные средства, информационные технологии, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно-технически обоснованы с точки зрения достижения заданного уровня информационной безопасности и должны соответствовать установленным нормам и требованиям по безопасности информации.
5. Экономическая целесообразность.
Сопоставимость возможного ущерба и затрат - предполагает адекватность уровня затрат на обеспечение информационной безопасности ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения.
Помимо этого, требуется соблюдение таких принципов, как:
1. Специализация и профессионализм – привлечение к разработке и внедрению мер и средств защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области;
2. Взаимодействие и координация – предполагают осуществление мер обеспечения информационной безопасности на основе взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при разработке и функционировании ИС и ее системы защиты информации, подразделений и специалистов органов государственной власти, специализированных предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации в ИС, координации их усилий для достижения поставленных целей Гостехкомиссией России (на этапе разработки и внедрения ИС) и службами безопасности органов государственной власти (на этапе функционирования системы).
|
|
|
3. Обязательность и эффективность контроля – обязательность и своевременность выявления и пресечения попыток нарушения системы обеспечения информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
4. Преемственность и непрерывность совершенствования – постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового аппарата, анализа функционирования ИС и ее системы защиты информации с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого отечественного и зарубежного опыта в этой области.
Кроме того, необходимо выполнение следующих условий:
1. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ИС (надежность, быстродействие, возможность изменения конфигурации ИС).
2. Использование стандартизованных методических, программных и аппаратных продуктов, технологий и коммуникационной среды.
3. Ориентация на имеющиеся передовые, серийно выпускаемые виды технологии и техники, возможность межплатформенной интеграции
4. Анализ и использование международного опыта.
|
|
|
