Вопрос 53: обеспечение доверенности и сохранности инфы

С ростом объема информационных потоков и активным внедрением информационных технологий в современной России и мире, одной из ведущих проблем стала защита информации и обеспечение информационной безопасности. Проблема защиты информации охватывает ряд важных направлений, одно из которых защита электронной конфиденциальной информации. Теоретические исследования и практическая работа в данном направлении предусматривает решение ряда вопросов:

- определение и классификация угроз для данного вида информации;

- разработка и внедрение комплексной системы мер, методов и средств защиты электронной конфиденциальной информации.

Процесс формирования глобального информационного общества в XXI веке и создание «электронного правительства» требуют более широкого применения информационных технологий не только для повышения эффективности деятельности органов государственной власти и местного самоуправления, но и создания современной технологической основы в целях оперативного и интенсивного взаимодействия общества и власти, активного привлечения на этой основе самых широких слоев населения страны для управления государством. Массовое применение персональных компьютеров и компьютерных сетей в административной, технологической, финансовой сферах, информационное наполнение, которых в большей степени не должно быть общедоступным, порождает проблему защиты информации и определяет возросшую актуальность информационной безопасности.

Государственное регулирование в сфере применения информационных технологий предусматривает:

1) регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации), на основании принципов, установленных Федеральным Законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. № 149-ФЗ;

 

2) развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем;

3) создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети "Интернет" и иных подобных информационно-телекоммуникационных сетей.

2. Государственные органы, органы местного самоуправления в соответствии со своими полномочиями:

1) участвуют в разработке и реализации целевых программ применения информационных технологий;

2) создают информационные системы и обеспечивают доступ к содержащейся в них информации на русском языке и государственном языке соответствующей республики в составе Российской Федерации [3].

В целевой программе «Электронная Орловщина» предусматривается осуществление работы по формированию информационных ресурсов в рамках автоматизированных систем. В настоящие время количество баз данных создается в финансово-бюджетной, экономической и социальной сферах: созданы базы данных правовой информации, ведутся работы по созданию основных кадастров и регистров (регистр населения, регистр юридических лиц, кадастр недвижимости, земельный кадастр). Изучается возможность проведения работ по созданию картографических баз данных [4].

Органами государственной власти Орловской области и органами местного самоуправления успешно реализуются программы и проекты по созданию государственных и муниципальных информационных систем, обеспечивающих автоматизированный сбор, обработку и хранение данных, необходимых для качественного и эффективного выполнения возложенных на них функций. Выполняются областные целевые программы, направленные на развитие информационного обеспечения исполнения отдельных государственных полномочий и функций. Существуют успешные прецеденты организации обмена данными в электронном виде между ведомствами, а также между государственными органами, органами органы местного самоуправления, населением и организациями [4].

В определении информационной безопасности, как системы охраны информации, технических и программных средств от нанесения им ущерба в результате сознательных либо случайных противоправных действий, не всегда учитываются активы, присущие всем системам. Доступность и стабильность вычислительных и информационных услуг, отношения партнерства являются активами системы и должны быть защищены от неверных манипуляций. Сегодня придается исключительно большое значение выработке перспективных путей в работе по защите информации, что немаловажно для устойчивости властной вертикали. Изучение вопросов достоверности и сохранности информации в автоматизированных системах обработки данных проводилось на примере Администрации города Орла в отделе по работе с обращениями граждан и делопроизводству. В организации создана система защиты конфиденциальной электронной информации, основанная на применении правовых, административно-организационных, программно-технических методов и средств, обеспечивающих информационную безопасность. Среди программно-технических методов защиты применяются, в основном, ставшие уже традиционными методы и средства защиты информации: физические, управление доступом и т.д. Также используется комплексный подход организационных мер, реализуемых в администрации к ним относятся:

- управление персоналом;
- физическая защита;
- поддержка работоспособности;
- реагирование на нарушение режима безопасности;
- планирование восстановительных работ.

 

 

Основными направлениями обеспечения конфиденциальности информации в АС являются:

§ защита информации от утечки по техническим каналам;

§ криптографическая защита ИМ;

§ защита объектов от несанкционированного доступа посторонних лиц;

§ разграничение доступа в автоматизированных системах.

Всю совокупность мер и мероприятий по обеспечению конфиденциальности информации в АС можно условно разделить на две группы:

§ организационные (административные, законодательные);

§ инженерно-технические (физические, аппаратные, программные и криптографические).

Административные — комплекс организационно-правовых мер и мероприятий, регламентирующих (на основе нормативно-правовых актов: приказов, директив, инструкций и т. п.) процессы функционирования АС, использование ее аппаратно-программных средств, а также взаимодействие пользователей и обслуживающего персонала с АС с целью исключения возможности или существенного затруднения НСД к ИМ. Административные меры играют важную роль в создании надежной подсистемы защиты от НСД и НСИ, обеспечивая организацию охраны, режима функционирования объекта, работу с кадрами, документами, использование средств защиты, а также информационно-аналитическую деятельность по выявлению угроз безопасности информации.

Комплекс законодательных мер определяется законами страны, постановлениями руководящих органов и соответствующими положениями, регламентирующими правила переработки и использования информации ограниченного доступа и ответственность за их нарушение, препятствуя тем самым НСИ. Сюда же относятся положения об охране авторских прав, о выдаче лицензий и т. п.

Комплекс физических мер и мероприятий предназначен для создания физических препятствий (на основе применения различных специальных устройств и сооружений) для потенциальных нарушителей на пути в места, в которых можно иметь доступ к защищаемой информации. Они играют важную роль в комплексе мероприятий по обеспечению конфиденциальности информации, затрудняя использование прямых и косвенных каналов утечки информации.

Аппаратные методы обеспечения конфиденциальности информации — это комплекс мероприятий по разработке и использованию механических, электрических, электронных и других устройств, предназначенных для защиты информации от несанкционированного доступа, утечки и модификации. Аппаратные реализации методов широко применяются в современных АС благодаря, главным образом, их надежности, однако из-за низкой гибкости и адаптируемости к изменяющимся условиям эксплуатации АС часто теряют свои защитные свойства при раскрытии их принципов действия и в дальнейшем не могут быть использованы.

Программными решениями (методами) обеспечения конфиденциальности информации являются комплексы специальных программ и компонентов общего программного обеспечения АС, предназначенных для выполнения функций контроля, разграничения доступа и исключения НСИ. Программные методы обеспечения конфиденциальности находят широкое применение вследствие их универсальности, гибкости, возможности развития и адаптации к изменяющимся условиям эксплуатации АС и т. п. Однако они имеют ряд недостатков, таких как расходование ресурса процессора на их функционирование, возможность несанкционированного изменения, невозможность их реализации там, где отсутствует процессор, и др.

Криптографические методы обеспечения конфиденциальности информации в АС — это комплекс процедур и алгоритмов преобразования информации, обеспечивающих скрытность смыслового содержания ИМ. Они являются особенно эффективным средством против подслушивания нарушителем информации, передаваемой по линиям связи, и внесения им не обнаруживаемых средствами контроля искажений в передаваемое сообщение. Криптографические методы защиты информации широко используются также для защиты информации, обрабатываемой в ЭВМ и хранящейся в различного типа запоминающих устройствах.

Защита информации от утечки по техническим каналам

Защита информации от утечки по техническим каналам достигается проектно-архитектурными решениями, проведением организационных и технических мероприятий, а также выявлением портативных электронных устройств перехвата информации (закладных устройств).

К основным организационным мероприятиям относятся:
§ привлечение к проведению работ по защите информации организаций, имеющих лицензию на деятельность в области защиты информации, выданную соответствующими органами;

§ категорирование и аттестация объектов ТСПИ и выделенных для проведения закрытых мероприятий помещений по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующего уровня конфиденциальности;
§ использование на объекте сертифицированных средств ТСПИ и ВТСС;
§ установление контролируемой зоны вокруг объекта ТСПИ;
§ привлечение к работам по строительству, реконструкции объектов ТСПИ, монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации;
§ организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;
§ введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
§ отключение на период закрытых мероприятий технических средств, имеющих элементы, выполняющие роль электроакустических преобразователей, от линий связи и т. д.
Техническое мероприятие по защите информации предусматривает применение специальных технических средств, а также реализацию технических решений. Они направлены на закрытие каналов утечки информации путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения средств разведки до величин, обеспечивающих невозможность выделения информационного сигнала средством разведки, и проводятся с использованием активных и пассивных средств.