Статья 45. Защита информации и прав субъектов, участвующих в информационных процессах и информатизации

1. Защита информации и прав субъектов, участвующих в информационных процессах и информатизации, осуществляется в порядке, установленном законодательством государств – членов Таможенного союза.

2. Уровень защиты информации, обеспечиваемый программным техническим средством защиты информации, должен соответствовать категории информации. Соответствие уровня защиты информации определенной категории обеспечивается таможенными органами, в ведении которых находятся информационные ресурсы.

Защита информации – совокупность мероприятий, методов и средств, обеспечивающих проверку и сохранность целостной информации, а также исключающих несанкционированный доступ и использование хранящихся в ЭВМ программ и данных.

Информационная безопасность – состояние защищенности национальных интересов РФ в информационной сфере, которая определяется совокупностью сбалансированных интересов личности, общества и государства.

Концепция обеспечения информационной безопасности таможенных органов РФ на период до 2020 года (Приказ ФТС РФ №2401 от 13.12.10) определяет единую политику перехода от решения вопросов защиты информации на объектах информатизации ФТС России к систематическому и комплексному обеспечению информационной безопасности, а также единый информационно-технический, правовой, экономический и организационный механизм ее реализации на период до 2020 года.

Для обеспечения заданного уровня безопасности информации, созданы и функционируют различные Федеральные и таможенные органы.

Высшим органом является Совет безопасности РФ и Межведомственная комиссия по информационной безопасности.

С 200 года в Государственной Думе функционирует Комитет по информационной политике.

Для практической реализации в сфере защиты информационной безопасности в Правительстве РФ функционирует Министерство информационных технологий и связи, а также Федеральной агентство по информационных технологиям.

Контрольные функции соблюдения требований защиты информации осуществляет Федеральная служба по техническому и экспертному контролю (ФСТЭК).

В таможенных органах функционируют:

- Совет по информационной безопасности таможенных органов;

- Подразделение Центрального аппарата ФТС РФ, РТУ радиоэлектронной безопасности и объектов таможенной инфраструктуры;
- Отдел информационной безопасности в ЦИТТУ;

- Советы по информационной безопасности РТУ;

- Технические комиссии по защите государственной тайны таможен.

Факторы, повышающие степень писка утечки информации:

- расширение сотрудничества РФ с Зарубежными странами в политической и экономической сферах при использовании информационных технологий;

- создание Таможенного союза;

- ограниченные объемы финансирования на проектирование, строительно-монтажные работы и закупки средств защиты информации;

- широкое использование в ФТС РФ незащищенных от утечки импортных технических и программных средств;

- повышение объема данных, передаваемых таможенными органами по открытым каналам связи, в том числе по цифровым телекоммуникационным линиям;

- обострение криминогенной обстановки, рост числе компьютерных преступлений, особенно в кредитно-финансовой сфере.

Субъекты информационных отношений при информационном взаимодействии выступают в качестве:

- источников информации;
- пользователей информации;

- собственников информации;

- владельцев и участников систем сбора, обработки и передачи информации;

- физических и юридических лиц, о которых собирается информация.

Уровни важности информации:

1. Жизненно важная (незаменимая) информация, без которой невозможна работа организации;

2. Важная информация, которая может быть заменена или восстановлена с большими затратами труда, средств и времени;

3. Полезная информация, которую трудно восстановить, но организация может работать и без нее;

4. Несущественная информация, потеря которой для организации не наносит никакого ущерба.

Объектами обеспечения информационной безопасности являются:

- технический и обслуживающий персонал;

- помещение для ведения секретных переговоров;

- технические средства обработки и защиты информации;

- программные средства;

- элементы ВИТС;

- информационно-вычислительные комплексы;

- информационные ресурсы, которые содержат таможенную и государственную тайну.

Объекты возможного несанкционированного доступа к информации в локальной вычислительной сети:

- сетевой принтер;

- файл-сервер;

- внешнее зарядное устройство;

- хранилище носителей информации;

- рабочая станция;

- периферийное оборудование.

Угроза информационной безопасности – целенаправленное действие, повышающее уязвимость хранимой, накапливаемой и обрабатываемой информации и приводящее к ее случайному или предумышленному изменению или уничтожению.

Основными угрозами информационной безопасности таможенных органов являются:

- деятельность человека, влияющего на информационную безопасность;

- отказы или неисправности средств вычислительной техники и телекоммуникационного оборудования;
- стихийные бедствия.

Источники угроз информационной безопасности:

- внешние;

- внутренние.

Внешние угрозы – природные явления (стихийные бедствия), катастрофы, субъекты, не входящие в состав пользователей и обслуживающего персонала системы, разработчики системы, не имеющие непосредственного контакта с информационными системами и ресурсами.

Источники внешних угроз:

- недружественная политика иностранных государств в области распространения информации и новых информационных технологий;

- деятельность иностранных разведывательных и специальных служб;

- деятельность иностранных политических и экономических структур, направленная против экономических интересов РФ;

- преступные действия международных групп, формирований и отдельных лиц, направленные против экономических интересов государства;

- стихийные бедствия и катастрофы.

Внутренние угрозы исходят от пользователей и обслуживающего персонала системы, разработчиков системы, других субъектов, вовлеченных в информационные процессы ЕАИС ФТС России и имеющих непосредственный контакт с ИС и ресурсами, как допущенных, так и не допущенных к секретным (конфиденциальным) сведениям.

Источники внутренних угроз:

- противозаконная деятельность политических и экономических структур в области формирования, распространения и использования таможенной информации;

- неправомерные действия государственных структур, приводящие к нарушению деятельности таможенных органов РФ;

- нарушения установленных регламентов сбора, обработки и передачи таможенной информации в ЕАИС ФТС России;

- преднамеренные действия и преднамеренные ошибки персонала информационных систем таможенных органов;
- отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.

Способы нарушения информационной безопасности:

1. ИНФОРМАЦИОННЫЕ:

- противозаконный сбор, распространение и использование информации;

- манипулирование информацией (дезинформация, сокрытие или искажение информации);

- незаконное копирование, уничтожение данных и программ;

- хищение информации из баз и банков данных;

- нарушение адресности и оперативности информационного обмена;

- нарушение технологии обработки данных и информационного обмена.

2. ПРОГРАММНО-МАТЕМАТИЧЕСКИЕ:

- внедрение программ-вирусов;

- внедрение программных закладок при проектировании или эксплуатации системы, приводящие к компрометации системы защиты информации.

3. ФИЗИЧЕСКИЕ:

- уничтожение, хищение и разрушение средств связи, обработки и защиты информации, целенаправленное внесение в них неисправностей;

- уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;

- хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей защиты информации от несанкционированного доступа;

- воздействие на обслуживающий персонал и пользователей системы для создания условий для реализации угроз информационной безопасности;

4. РАДИОЭЛЕКТРОННЫЕ:

- перехват и дешифрирование информации в сетях передачи данных и линиях связи;

- внедрение электронных устройств перехвата информации в технические средства помещения;

- навязывание ложной информации по сетям передачи данных и линиям связи;

- радиоэлектронное подавление линий связи и систем управления с использованием одноразовых и многоразовых генераторов различных видов электромагнитной энергии (взрывомагнитные, взрывные магнитогидродинамические, пучково-плазменные и др.)

5. ОРГАНИЗАЦИОННО-ПРАВОВЫЕ:

- закупка несовершенных, устаревших или неперспективных средств информации и информационных технологий;

- невыполнение требований законодательства и задержки разработки в принятии необходимых нормативно-правовых и технических документов в области информационной безопасности.

Формы обеспечения информационной безопасности ЕАИС ФТС РФ:

1. ФИЗИЧЕСКИЕ ФОРМЫ, основанные на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Это защита только от «внешних» злоумышленников, но не лиц, обладающих правом доступа в помещение.

2. ЗАКОНОДАТЕЛЬНЫЕ ФОРМЫ составляют нормативные документы ФТС России, регламентирующие правила использования и обработки информации ограниченного доступа и устанавливающие меры ответственности за нарушение этих правил.

3. УПРАВЛЕНИЕ ДОСТУПОМ – защита информации путем регулирования доступа ко всем ресурсам системы (техническим, программным). В таможенных ИС регламентирован порядок работы пользователей и персонала, право доступа к отдельным файлам в БД.

Уровни защиты управления доступом:

- идентификация пользователей, персонала и ресурсов системы – присвоение каждому объекту персонального идентификатора: имени, кода, пароля и т.п.);

- аутентификация – опознание (установление подлинности) объекта или субъекта по предъявляемому им идентификатору;

- авторизация – проверка полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

- разрешение и создание условий работы в пределах установленного регламента;

- регистрация (протоколирование) обращений к защищенным ресурсам;

- реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Компьютерный вирус – специальная, небольшая по размеру программа (программный код), которая, встраиваясь в другую программу или определенные области носителя данных, заставляет ЭВМ выполнять действия, не запланированные основным ПО.

Программные вирусы – блоки программного кода, внедренные в состав прикладных программ, при запуске которых активизируется имплантированный в них вирусный код, приводящий к скрытым от пользователя изменениям файловой системы, памяти и содержания ПО. Многократное воспроизведение вирусного кода приводит к вирусной атаке (нарушению работы ПО, ОС, удалению данных).

Загрузочные вирусы поражают системные области жестких (гибких) дисков, временно располагаясь в оперативной памяти, а далее проникая загрузочный сектор жестких дисков. Заражение происходит при запуске с носителя данных.

Макровирусы – разновидность вирусов, поражающих документы, выполненные в прикладных программах, использующих макрокоманды; заражение происходит при открытии файла документа.

При обработке и хранении данных широко применяются различные способы шифрования (криптографии), позволяющие зашифровывать сообщения, отправляемые на хранение, преобразуя их в шифрограмму или скрытый текст. Санкционированное лицо, получив сообщение, дешифрует его для получения исходного текста. Преобразование выполняется с помощью специально алгоритма, который запускается уникальным числом (битовой последовательностью), обычно называемым шифрующим ключом.

Криптография – наука о преобразовании и шифровании информации.

Типы криптографических алгоритмов:

1. Классические алгоритмы, основанные на использовании закрытых, секретных ключей (симметричные);

2. Алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключи (ассиметричные). В настоящее время находят широкое практические применение в средствах защиты электронной информации алгоритмы с секретным ключом.

Типы шифрования:

1. Шифрование перестановкой – перестановка символов по определенному правилу в пределах шифруемого текста. При достаточных размерах текста, в пределах которого осуществляется перестановка, и отсутствии повторяющихся фрагментов текста, добиваются приемлемой стойкости шифра.

2. Шифрование заменой (подстановкой) – символы шифруемого текста заменяются символами того же или другого алфавита по заранее определенной схеме.

3. Шифрование гаммированием – символы шифруемого текста складываются с символами некоторой случайной последовательности, именуемой гуммой шифра. Поскольку стойкость шифрования определяется в основном длиной (периодом) повторяющейся части гаммы шифра, которую ЭВМ может генерировать в бесконечную, то этот способ является одним из основных при шифровании данных в информационных системах.

4. Шифрование аналитическим преобразованием – образование шифруемого текста по заданному аналитическому правилу (формуле).

В таможенных органах используется ассиметричная система кодирования, предусматривающая наличие двух ключей:

- закрытый (256 бит), который размещается на носимую память и хранится в недоступном для других лиц месте:

- открытый (1024 бит), который используется для проверки электронной подписи получаемых сообщений.

Дата добавления: 2014-01-11; Просмотров: 2862; Нарушение авторских прав?; Мы поможем в написании вашей работы!