Общие принципы построения комплексной системы защиты информации
Органы муниципального управления являются операторами персональных данных. Их информационные системы обрабатывают демографическую, финансовую и медицинскую информацию, к защите которой предъявляются очень высокие требования. Субъекты персональных данных, передавая сведения о себе, имеют право рассчитывать на соблюдение конфиденциальности при использовании данной информации. Для выполнения этого условия необходимо не только применение технических средств защиты (специальные сертифицированные программные и аппаратные средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным. Защите подлежит следующая информация: 1. Основные направления деятельности муниципального образования: 1.1 Стратегические и тактические планы деятельности муниципального образования; 1.2 Сведения о специальных фондах; 1.3 Результаты проводимых научно-технических исследований и внедрения новых технологий, финансируемых из источников муниципального образования. 2. Информация о муниципальном образовании: 2.1 Управление муниципальным образованием, планы, совещания, финансы, переговоры, контракты и т.д.; 2.2 Штатное расписание, приказы по основной деятельности и по личному составу; 2.3 Данные о счетах, убытках, планируемых и получаемых средствах; 2.4 Сводный баланс муниципального образования; 2.5 Годовой отчет по валютному плану; 2.6 Бухгалтерские книги, сметы расходов, прочие бухгалтерские документы. 3. Собственная безопасность муниципального образования: 3.1 Сведения, раскрывающие систему, конфиденциальной информации в муниципальном образовании;
3.2 Специализированные компьютерные программы; 3.3 Сведения по системе охраны; 3.4 Изменение условий защиты сведений. Объектами, подлежащими защите на объектах информатизации (ОИ), являются технические средства обработки информации и их элементы (включая программное обеспечение), а также вспомогательные технические средства и оборудование. Основными классами технических средств обработки информации, подлежащими защите, являются: 1. Средства обработки изображений и знаковой информации. 2. Средства вычислительной техники. 3. Средства изготовления и размножения документов. 4. Средства обработки речевой информации. Вспомогательные технические средства и оборудование включают: 1. Средства пожарной сигнализации; 2. Средства электропитания; 3. Средства сигнализации; 4. Средства освещения. Организация обеспечения информационной безопасности в ИС и ее функционирование должны осуществляться в соответствии со следующими основными принципами (рисунок 8): 1. Системность и комплексность – предполагают обеспечение защиты ИС комплексом программных, технических средств и поддерживающих их организационных мер на всех этапах обработки и использования информации и способность системы к развитию и совершенствованию в соответствии с возможными изменениями условий функционирования.
Рисунок 8 - Основные принципы построения системы защиты информации
2. Своевременность. Упреждающий характер мер обеспечения информационной безопасности - предполагает постановку задач по комплексной защите информации и реализацию мер обеспечения информационной безопасности на ранних стадиях разработки ИС в целом и ее системы защиты информации, в частности, на основе анализа и прогнозирования состояния мирового рынка технических и программных средств и информационных технологий, угроз информационной безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы государства, общества и личности.
3. Законность - разработка системы защиты информации в ИС на основе Федерального законодательства в области информации, информатизации и защиты информации, деятельности органов государственной власти, других нормативных актов по безопасности информации, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. 4. Научно-техническая обоснованность и реализуемость Предлагаемые технические и программные средства, информационные технологии, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно-технически обоснованы с точки зрения достижения заданного уровня информационной безопасности и должны соответствовать установленным нормам и требованиям по безопасности информации. 5. Экономическая целесообразность. Сопоставимость возможного ущерба и затрат - предполагает адекватность уровня затрат на обеспечение информационной безопасности ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Помимо этого, требуется соблюдение таких принципов, как: 1. Специализация и профессионализм – привлечение к разработке и внедрению мер и средств защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области; 2. Взаимодействие и координация – предполагают осуществление мер обеспечения информационной безопасности на основе взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при разработке и функционировании ИС и ее системы защиты информации, подразделений и специалистов органов государственной власти, специализированных предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации в ИС, координации их усилий для достижения поставленных целей Гостехкомиссией России (на этапе разработки и внедрения ИС) и службами безопасности органов государственной власти (на этапе функционирования системы).
3. Обязательность и эффективность контроля – обязательность и своевременность выявления и пресечения попыток нарушения системы обеспечения информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. 4. Преемственность и непрерывность совершенствования – постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового аппарата, анализа функционирования ИС и ее системы защиты информации с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого отечественного и зарубежного опыта в этой области. Кроме того, необходимо выполнение следующих условий: 1. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ИС (надежность, быстродействие, возможность изменения конфигурации ИС). 2. Использование стандартизованных методических, программных и аппаратных продуктов, технологий и коммуникационной среды. 3. Ориентация на имеющиеся передовые, серийно выпускаемые виды технологии и техники, возможность межплатформенной интеграции 4. Анализ и использование международного опыта.
Воспользуйтесь поиском по сайту: ![]() ©2015 - 2025 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|