РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ ЛЕКЦИЯ 16 1
ВВЕДЕНИЕ ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 2
3 ВВЕДЕНИЕ Постановление Правительства Российской Федерации от 18 мая 2006 г. 298 «О создании системы мониторинга использования информационных технологий в деятельности федеральных органов государственной власти». Правительство Российской Федерации постановляет: 1. Федеральным органам исполнительной власти представлять начиная с 2007 года в Министерство информационных технологий и связи Российской Федерации ежегодно, в I квартале, сведения об использовании информационных технологий в деятельности федеральных органов исполнительной власти. …. Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 3
4 ВВЕДЕНИЕ Постановление Правительства Российской Федерации от 18 мая 2006 г. 298 «О создании системы мониторинга использования информационных технологий в деятельности федеральных органов государственной власти». Правительство Российской Федерации постановляет: перечень представляемых сведений об использовании информационных технологий 3. Министерству информационных технологий и связи Российской Федерации утвердить в 2006 году перечень представляемых сведений об использовании информационных технологий в деятельности федеральных органов государственной власти и порядок представления их в электронном виде. Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 4
5 ВВЕДЕНИЕ Приказ Министерства информационных технологий и связи Российской Федерации от 19 марта 2007 г. 36 "Об утверждении перечня представляемых сведений об использовании информационных технологий в деятельности федеральных органов государственной власти и Порядка представления их в электронном виде» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 5
6 ВВЕДЕНИЕ Приказ Министерства информационных технологий и связи Российской Федерации от 19 марта 2007 г. 36 Во исполнение постановления Правительства Российской Федерации от 18 мая 2006 г. 298 …, в целях: повышения эффективности управления - повышения эффективности управления процессом использования информационных технологий в деятельности федеральных органов государственной власти, обеспечения контроля эффективности - обеспечения контроля эффективности выполнения государственных программ и проектов, проведения анализа текущих и перспективных потребностей - а также проведения анализа текущих и перспективных потребностей в информационных технологиях и формирования предложений по корректировке государственной политики в сфере информационных технологий ПРИКАЗЫВАЮ: Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 6
7 ВВЕДЕНИЕ Приказ Министерства информационных технологий и связи Российской Федерации от 19 марта 2007 г. 36 …ПРИКАЗЫВАЮ: 1. Утвердить прилагаемые Перечень сведений об использовании информационных технологий в деятельности федеральных органов государственной власти (Приложение N 1) и Порядок представления сведений об использовании информационных технологий в деятельности федеральных органов государственной власти в электронном виде (Приложение N 2).Приложение N 1Приложение N 2 … 5. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации. Зарегистрировано в Минюсте Российской Федерации 18 апреля 2007 г. Регистрационный 9298 Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 7
8 ВВЕДЕНИЕ Приказ Министерства информационных технологий и связи Российской Федерации от 19 марта 2007 г. 36 Перечень сведений об использовании информационных технологий в деятельности федеральных органов государственной власти (Приложение N 1)Приложение N Наличие ведомственной Концепции обеспечения информационной безопасности, с указанием нормативного акта, ее утверждающего. Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 8
ВВЕДЕНИЕ ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ » ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 9
10 ВОПРОС 1. ВОПРОС 1. Организационно- распорядительная работа по подготовке Концепции информационной безопасности Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 10
Целью Организационно-распорядительной работы в ФОГВ по подготовке Концепции информационной безопасности является разработка соответствующего приказа. Приказ ФОГВ 0000 от года О концепции информационной безопасности ФОГВ Анализ результатов проверки федерального органа государственной власти Российской Федерации (……) в 2009 году показал, что основной причиной неудовлетворительного состояния обеспечения информационной безопасности ФОГВ Российской Федерации является отсутствие комплексной проработки проблемы защиты информации на объектах информатизации и в автоматизированных системах ФОГВ. ВОПРОС 1. ВОПРОС 1. ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 1. 11
Утвержденные приказом ФОГВ ХХХ от Х г. Концепция информационной безопасности ФОГВ и Программа реализации Концепции на годы не в полной мере определяют направления создания системы защиты информации. В целях совершенствования работы по обеспечению информационной безопасности ФОГВ ВОПРОС 1. ВОПРОС 1. ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 1. 12
ПРИКАЗЫВАЮ: 1. Утвердить Концепцию информационной безопасности ФОГВ на ближайшую перспективу до 2012 года и на период до 2015 года (Приложение). (Приложение). 2. Управлениям, отделам и территориальным органам ФОГВ России осуществлять мероприятия по реализации Концепции в соответствии с Положением о разграничении полномочий и установлении ответственности подразделений ФОГВ России за организацию комплексной защиты информации в ФОГВ Российской Федерации, утвержденным приказом ФОГВ YYY/ДСП от г. ВОПРОС 1. ВОПРОС 1. ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 1. 13
ПРИКАЗЫВАЮ: 3. Управлениям, отделам и коллегиальным органам ФОГВ России ежегодно при формировании предложений о заключении договоров на НИОКР и эксплуатацию ЕАИС учитывать мероприятия по реализации Концепции информационной безопасности ФОГВ Российской Федерации. 4. Считать утратившим силу приказ ФОГВ ХХХ от Х. 5. Контроль за исполнением данного приказа оставляю за собой. Руководитель ФОГВ И.И.Иванов ВОПРОС 1. ВОПРОС 1. ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 1. 14
ПРИКАЗЫВАЮ: 3. Управлениям, отделам и коллегиальным органам ФОГВ России ежегодно при формировании предложений о заключении договоров на НИОКР и эксплуатацию ЕАИС учитывать мероприятия по реализации Концепции информационной безопасности ФОГВ Российской Федерации. 4. Считать утратившим силу приказ ФОГВ ХХХ от Х. 5. Контроль за исполнением данного приказа оставляю за собой. Руководитель ФОГВ И.И.Иванов ВОПРОС 1. ВОПРОС 1. ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 1. 15
ВВЕДЕНИЕ ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 16
17 ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 17
Концепция информационной безопасности ФОГВ Российской Федерации представляет собой официально принятую систему взглядов на проблему защиты интересов государства в информационной сфере деятельности ФОГВ. Концепция необходима для определения методологической основы: - проведения в системе ФОГВ государственной политики Российской Федерации в области обеспечения информационной безопасности; - комплексной стратегии обеспечения информационной безопасности системы ФОГВ, определяющей цели, задачи и комплекс основных мер по ее практической реализации; - формирования и проведения единой политики в области обеспечения информационной безопасности ФОГВ; ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 18
Концепция необходима для определения методологической основы: - проведения и координации деятельности подразделений и коллегиальных органов ФОГВ России по обеспечению информационной безопасности при проведении научных исследований, создании и эксплуатации Единой автоматизированной информационной системы (ЕАИС) ФОГВ России и объектов информатизации; - подготовки предложений по совершенствованию правового, нормативно-методического, научно- технического и организационного обеспечения информационной безопасности ФОГВ Российской Федерации; ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 19
Концепция необходима для определения методологической основы: - проведения практических мероприятий по созданию системы обеспечения информационной безопасности ФОГВ Российской Федерации; - разработки целевых программ защиты информационных ресурсов и средств информатизации ФОГВ Российской Федерации. Положения Концепции должны учитываться при формировании программ модернизации ФОГВ Российской Федерации, информационно- технической политики ФОГВ России, а также Концепции обеспечения собственной безопасности ФОГВ Российской Федерации. ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 20
Правовую основу данной Концепции составляют: Конституция Российской Федерации, Уголовный кодекс Российской Федерации, Законы Российской Федерации «О безопасности», «О государственной тайне» Федеральные законы «О федеральной службе безопасности» «Об информации, информационных технологиях и о защите информации» «О связи» «О персональных данных» «Об электронной цифровой подписи» «О техническом регулировании» «Об оперативно-розыскной деятельности» «О лицензировании отдельных видов деятельности» ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 21
Правовую основу данной Концепции составляют: Указы Президента Российской Федерации: «О Стратегии национальной безопасности Российской Федерации до 2020 года" "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» «О мерах по реализации правовой информатизации России» "О системе и структуре федеральных органов исполнительной власти» ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 22
Правовую основу данной Концепции составляют: Постановления Правительства Российской Федерации: «Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам», «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» «О сертификации средств защиты информации» «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» «Положение о системе межведомственного электронного документооборота» ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 23
Правовую основу данной Концепции составляют: Концепции и доктрины: Стратегия развития информационного общества в Российской Федерации Концепция формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов; Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года; Концепция региональной информатизации до 2010 года Концепция формирования в Российской Федерации электронного правительства до 2010 года Доктрина информационной безопасности Российской Федерации ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 24
Объекты обеспечения информационной безопасности ФОГВ: - информационные ресурсы, вне зависимости от форм хранения, содержащие информацию, составляющую государственную тайну, и информацию конфиденциального характера; - система формирования, распространения и использования информационных ресурсов, включающая в себя информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи таможенной информации; - информационные системы, обеспечивающие деятельность ФОГВ (целесообразно перечислить виды деятельности ФОГВ); - информационно-вычислительные комплексы, обслуживающие информационные технологии в сфере деятельности ФОГВ; ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 25
Объекты обеспечения информационной безопасности ФОГВ: - ведомственная система связи; - программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение); - технические средства обработки информации (средства звукозаписи и звукоусиления, звукосопровождения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другой обработки информации); - помещения, предназначенные для ведения секретных переговоров, обработки, размножения и хранения документированной информации ограниченного доступа; - технический и обслуживающий персонал ФОГВ. ВОПРОС 2. ВОПРОС 2. ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 2. 26
ВВЕДЕНИЕ ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 27
ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 28
1) Основные факторы, влияющие на обеспечение информационной безопасности ФОГВ Российской Федерации Происходящие в настоящее время процессы преобразования в политической жизни и экономике России оказывают непосредственное влияние на состояние информационной безопасности Российской Федерации. При этом возникают факторы, которые необходимо учитывать при оценке реального состояния информационной безопасности и определении ключевых проблем в сфере действия ФОГВ. К этим факторам можно отнести: - расширение сотрудничества России с зарубежными странами в политической и экономической сферах; - стремление России к более тесному сотрудничеству в рамках международного сообщества, расширяющаяся кооперация в развитии информационной инфраструктуры; ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 29
1) Основные факторы, влияющие на обеспечение информационной безопасности ФОГВ Российской Федерации К этим факторам можно отнести: - создание таможенного содружества России, Беларуси, Киргизии и Казахстана; - ограниченные объемы финансирования проектирования, строительно-монтажных работ и закупки средств защиты информации для ФОГВ; - широкое использование в ФОГВ не защищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации; - рост объемов информации, передаваемой в интересах ФОГВ по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена; - обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно-финансовой сфере. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 30
2) Основные угрозы информационной безопасности ФОГВ: 1. Антропогенные угрозы из-за деятельности человека, непосредственно и опосредованно влияющая на информационную безопасность и являющаяся основным источником угроз. 2. Техногенные угрозы из-за отказов и неисправностей средств информатизации. 3. Стихийные бедствия и катастрофы. Источники угроз информационной безопасности ФОГВ Российской Федерации делятся на внешние и внутренние. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 31
2) Основные угрозы информационной безопасности ФОГВ: ВНЕШНИЕ УГРОЗЫ ВНЕШНИЕ УГРОЗЫ исходят от природных явлений (стихийных бедствий), катастроф, а также от субъектов, не входящих в состав пользователей и обслуживающего персонала системы, разработчиков системы и не имеющих непосредственного контакта с информационными системами и ресурсами. ИСТОЧНИКИ ВНЕШНИХ УГРОЗ: - недружественная политика иностранных государств в области распространения информации и новых информационных технологий; - деятельность иностранных разведывательных и специальных служб; - деятельность иностранных политических и экономических структур, направленная против интересов экономики России; - преступные действия международных групп, формирований и отдельных лиц, направленные против экономических интересов государства; - стихийные бедствия и катастрофы. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 32
2) Основные угрозы информационной безопасности ФОГВ: ВНУТРЕННИЕ УГРОЗЫ ВНУТРЕННИЕ УГРОЗЫ исходят от пользователей и обслуживающего персонала системы, разработчиков системы, других субъектов, вовлеченных в информационные процессы ЕАИС ФОГВ России и имеющих непосредственный контакт с информационными системами и ресурсами, как допущенных, так и не допущенных к секретным (конфиденциальным) сведениям. ИСТОЧНИКИ ВНУТРЕННИХ УГРОЗ: - противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации в интересах ФОГВ; - неправомерные действия государственных структур, приводящие к нарушению функционирования деятельности ФОГВ; - нарушения установленных регламентов сбора, обработки и передачи информации в ЕАИС ФОГВ России; - преднамеренные действия и непреднамеренные ошибки персонала информационных систем ФОГВ; - отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 33
2) Основные угрозы информационной безопасности ФОГВ ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС Способы нарушения информационной безопасности 1. Информационные способы нарушения ИБ 2. Программно-математические способы нарушения ИБ 3. Физические способы нарушения ИБ 4. Радиоэлектронные способы нарушения ИБ 5. Организационно-правовые способы нарушения ИБ
2) Основные угрозы информационной безопасности ФОГВ Информационные способы нарушения информационной безопасности: - противозаконный сбор, распространение и использование информации; - манипулирование информацией (дезинформация, сокрытие или искажение информации); - незаконное копирование данных и программ; - незаконное уничтожение информации; - хищение информации из баз и банков данных; - нарушение адресности и оперативности информационного обмена; - нарушение технологии обработки данных и информационного обмена. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 35
2) Основные угрозы информационной безопасности ФОГВ Программно-математические способы нарушения информационной безопасности: - внедрение программ-вирусов; - внедрение программных закладок на стадии проектирования или эксплуатации системы и приводящих к компрометации системы защиты информации. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 36
2) Основные угрозы информационной безопасности ФОГВ Физические способы нарушения информационной безопасности: - уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей; - уничтожение, хищение и разрушение машинных или других оригиналов носителей информации; - хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа; - воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз информационной безопасности; - диверсионные действия по отношению к объектам информационной безопасности. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 37
2) Основные угрозы информационной безопасности ФОГВ Радиоэлектронные способы нарушения информационной безопасности: - перехват информации в технических каналах ее утечки; - перехват и дешифрование информации в сетях передачи данных и линиях связи; - внедрение электронных устройств перехвата информации в технические средства и помещения; - навязывание ложной информации по сетям передачи данных и линиям связи; - радиоэлектронное подавление линий связи и систем управления. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 38
2) Основные угрозы информационной безопасности ФОГВ Организационно-правовые способы нарушения информационной безопасности: - закупки несовершенных, устаревших или неперспективных средств информатизации и информационных технологий; - невыполнение требований законодательства; - задержки в разработке и принятии необходимых нормативных правовых и технических документов в области информационной безопасности. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 39
2) Основные угрозы информационной безопасности ФОГВ РЕЗУЛЬТАТАМИ РЕАЛИЗАЦИИ УГРОЗ информационной безопасности и осуществления посягательств (способов воздействия) на информационные ресурсы и информационные системы и процессы в общем случае являются: - нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка и перехват и т.д.); - нарушение целостности информации (уничтожение, искажение, подделка и т.д.); - нарушение доступности информации и работоспособности информационных систем (блокирование данных и информационных систем, разрушение элементов информационных систем, компрометация системы защиты информации и т.д.). ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 40
3) Модель нарушителя информационной безопасности ФОГВ В качестве вероятного нарушителя информационной безопасности объектов ФОГВ рассматривается субъект, имеющий возможность реализовывать, в том числе с помощью технических средств, угрозы информационной безопасности, и осуществлять посягательства (способы воздействия) на информационные ресурсы и системы данного ФОГВ. По уровню возможности реализовать угрозы и осуществить посягательства на информационные ресурсы и системы нарушителей можно классифицировать следующим образом. ПЕРВОМУ УРОВНЮ К ПЕРВОМУ УРОВНЮ можно условно отнести нарушителей, реализующих внешние угрозы (в основном, с помощью радиоэлектронных способов нарушения информационной безопасности). ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 41
3) Модель нарушителя информационной безопасности ФОГВ ВТОРОМУ УРОВНЮ Ко ВТОРОМУ УРОВНЮ относятся нарушители, реализующие доступные им внутренние угрозы с предоставленными возможностями опосредованно или непосредственно воздействовать на информационные системы и ресурсы объекта таможенной инфраструктуры, не работающие в информационных системах (не участвующие в информационных процессах) и не допущенные к секретным (конфиденциальным) сведениям. ТРЕТЬЕМУ УРОВНЮ К ТРЕТЬЕМУ УРОВНЮ можно отнести пользователей и обслуживающий персонал информационных систем, работающий в этих системах и допущенный к секретным (конфиденциальным) сведениям, в силу нечеткого выполнения служебных обязанностей совершающий ошибки, могущие привести к нарушению безопасности информационных ресурсов объектов инфраструктуры. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 42
3) Модель нарушителя информационной безопасности ФОГВ ЧЕТВЕРТЫЙ УРОВЕНЬ ЧЕТВЕРТЫЙ УРОВЕНЬ занимают пользователи и обслуживающий персонал информационных систем ОГВ, а также персонал привлеченных для оказания различных услуг организаций, не допущенные к секретным (конфиденциальным) сведениям, но работающие в информационных системах, в которых эти сведения обрабатываются. Следующие несколько уровней занимают пользователи и обслуживающий персонал, имеющие возможность создания и запуска в информационных системах ФОГВ собственных программ управления функционированием информационных систем, осуществляющие их проектирование и допущенные к секретным (конфиденциальным) сведениям. К такому персоналу могут относиться разработчики информационных систем, системные программисты, администраторы баз данных, отдельные пользователи информационных систем и соответствующие руководители подразделений. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 43
3) Модель нарушителя информационной безопасности ФОГВ Предполагается, что на всех этих уровнях нарушитель * является специалистом высшей квалификации, * знает все об информационной системе, о системе и средствах ее защиты * может при определенных обстоятельствах осуществить весь спектр посягательств на информационные ресурсы. В своей противоправной деятельности вероятный нарушитель может использовать любое существующее в стране и за рубежом средство перехвата информации, воздействия на информацию и информационные системы ФОГВ, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 44
3) Модель нарушителя информационной безопасности ФОГВ Необходимо учитывать также цели посягательств вероятного нарушителя на информационные ресурсы и системы. Среди таких целей может быть: хищение информации, шпионаж, в том числе экономический, намерение совершить корыстное преступление, любопытство, удовлетворение собственного тщеславия, месть, вандализм и др. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 45
4) Состояние обеспечения информационной безопасности ФОГВ Состояние обеспечения информационной безопасности ФОГВ характеризуется следующим образом: 1. Недостаточная защищенность информационного ресурса приводит к возможности утраты экономически значимой информации. Потерям важной информации способствуют бессистемность защиты данных и слабая координация мер по защите информации в общегосударственном масштабе, ведомственная разобщенность в обеспечении целостности и конфиденциальности информации. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 46
4) Состояние обеспечения информационной безопасности ФОГВ Состояние обеспечения информационной безопасности ФОГВ характеризуется следующим образом: 2. Отставание отечественных информационных технологий вынуждает идти по пути закупок незащищенной импортной техники, в результате чего повышается вероятность несанкционированного доступа к базам данных ФОГВ, а также возрастает зависимость от иностранных производителей компьютерной и телекоммуникационной техники и информационной продукции. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 47
4) Состояние обеспечения информационной безопасности ФОГВ Состояние обеспечения информационной безопасности ФОГВ характеризуется следующим образом: 3. Отсутствуют научно-практические основы информационной безопасности ФОГВ, отвечающие современным требованиям и условиям экономического развития Российской Федерации. 4. Отсутствует нормативно-правовая база обеспечения информационной безопасности ФОГВ, в том числе регламент информационного обмена с органами государственной власти и управления, нормативное закрепление ответственности должностных лиц за соблюдение требований информационной безопасности и т.д. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 48
4) Состояние обеспечения информационной безопасности ФОГВ Состояние обеспечения информационной безопасности ФОГВ характеризуется следующим образом: 5. Не сформирована система информационной безопасности ФОГВ, обеспечивающая реализацию государственной политики в области информационной безопасности. 6. В недостаточной степени организованы разработки современных методов и технических средств, обеспечивающих комплексное решение задач защиты информации. 7. Отсутствуют критерии и методы оценки эффективности систем и средств информационной безопасности ФОГВ и их сертификации. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 49
4) Состояние обеспечения информационной безопасности ФОГВ Состояние обеспечения информационной безопасности ФОГВ характеризуется следующим образом: 8. Не проводятся комплексные исследования деятельности персонала информационных систем ФОГВ, в том числе методов повышения мотивации, морально- психологической устойчивости и социальной защищенности людей, работающих с информацией ограниченного распространения. Оценка показывает, что уровень обеспечения информационной безопасности ФОГВ не соответствует требованиям руководящих и нормативно-методических документов Российской Федерации, регламентирующих эту область деятельности. ВОПРОС 3. ВОПРОС 3. ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 3. 50
ВВЕДЕНИЕ ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 51
ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 52
1) Цели обеспечения информационной безопасности ФОГВ Цели обеспечения информационной безопасности ФОГВ Российской Федерации заключаются в выполнении следующих требований: - защита национальных и экономических интересов Российской Федерации в сфере информационной деятельности ФОГВ; - защита от несанкционированного доступа (разглашения, модификации и т.д.) к информации, предоставленной ФОГВ Российской Федерации государственными органами, предприятиями, учреждениями, организациями и гражданами в соответствии с Гражданским кодексом Российской Федерации и иными актами законодательства Российской Федерации в сфере деятельности ФОГВ. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 53
2) Основные задачи обеспечения информационной безопасности ФОГВ Основные задачи обеспечения информационной безопасности ФОГВ заключаются в проведении следующих мероприятий: - оптимальное с экономической точки зрения отнесение информации ФОГВ к категории ограниченного доступа - государственной и служебной тайне, иной чувствительной к нарушению безопасности информации, подлежащей защите; - создание необходимых условий для надежного и безопасного функционирования ФОГВ при сложившейся (текущей) внутриэкономической и политической обстановке в стране; - защита сведений, составляющих государственную тайну и конфиденциальную служебную информацию; - внедрение безопасных информационных технологий для обеспечения оперативно-служебной деятельности в сфере компетенции ФОГВ; - защита информационно-вычислительных ресурсов ФОГВ от несанкционированного доступа; - защита информации ФОГВ от утечки по техническим каналам. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 54
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: 1. ЗАКОННОСТЬ. 1. ЗАКОННОСТЬ. Принятые меры информационной безопасности не должны препятствовать обеспечению состояния защищенности жизненно важных интересов личности, общества, государства. Данный принцип предполагает разработку системы защиты информации на основе федерального законодательства в области информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственного управления в пределах их компетенции и ФОГВ, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры информационной безопасности не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных абонентов ЕАИС ФОГВ. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 55
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: СИСТЕМНОСТЬ И КОМПЛЕКСНОСТЬ. 2. СИСТЕМНОСТЬ И КОМПЛЕКСНОСТЬ. Данный принцип включает: - обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, начиная с анализа ее секретности (конфиденциальности), на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования технических средств, при информационном взаимодействии с другими информационными системами; - обеспечение надежной защиты информации от возможных угроз всеми доступными средствами, методами и мероприятиями; - способность системы к развитию и совершенствованию в соответствии с возможными изменениями условий функционирования. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 56
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: 3. СВОЕВРЕМЕННОСТЬ. 3. СВОЕВРЕМЕННОСТЬ. Данный принцип характеризует упреждающий характер мер обеспечения информационной безопасности. Он предполагает постановку задач по комплексной защите информации и реализацию мер обеспечения информационной безопасности на ранних стадиях разработки ЕАИС ФОГВ в целом и ее системы защиты информации. Реализация мер осуществляется в частности, на основе анализа и прогнозирования состояния мирового рынка, технических и программных средств и информационных технологий, угроз информационной безопасности, и предусматривает также разработку эффективных мер предупреждения посягательств на законные интересы государства. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 57
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: 4. НАУЧНО-ТЕХНИЧЕСКАЯ ОБОСНОВАННОСТЬ и РЕАЛИЗУЕМОСТЬ. 4. НАУЧНО-ТЕХНИЧЕСКАЯ ОБОСНОВАННОСТЬ и РЕАЛИЗУЕМОСТЬ. Предлагаемые технические и программные средства и информационные технологии, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно и технически обоснованы с точки зрения достижения заданного уровня информационной безопасности и должны соответствовать установленным нормам и требованиям по безопасности информации. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 58
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: 5. ЭКОНОМИЧЕСКАЯ ЦЕЛЕСООБРАЗНОСТЬ. 5. ЭКОНОМИЧЕСКАЯ ЦЕЛЕСООБРАЗНОСТЬ. Данный принцип заключается в процедуре сопоставимости возможного ущерба и затрат. Он предполагает адекватность уровня затрат на обеспечение информационной безопасности ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать экономические показатели работы ЕАИС ФОГВ, в которой эта информация циркулирует. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 59
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: 6. СПЕЦИАЛИЗАЦИЯ и ПРОФЕССИОНАЛИЗМ. 6. СПЕЦИАЛИЗАЦИЯ и ПРОФЕССИОНАЛИЗМ. Данный принцип предполагает привлечение к разработке и внедрению мер и средств защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация этих мер и средств должна осуществляться профессионально подготовленными специалистами ФОГВ. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 60
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: 7. ВЗАИМОДЕЙСТВИЕ и КООРДИНАЦИЯ 7. ВЗАИМОДЕЙСТВИЕ и КООРДИНАЦИЯ. Предполагает осуществление мер обеспечения информационной безопасности на основе взаимодействия всех заинтересованных субъектов управления при реализации Концепции использования информационных технологий в деятельности в федеральных органов государственной власти на период до 2010 года в области защиты информации, привлеченных для разработки системы защиты информации, координации их усилий для достижения поставленных целей (на этапе разработки и внедрения) и службами безопасности органов власти (на этапе функционирования системы), а также интеграции деятельности по защите информации с правоохранительными органами для защиты законных интересов государства, юридических и физических лиц. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 61
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: 8. ОБЯЗАТЕЛЬНОСТЬ и ЭФФЕКТИВНОСТЬ АУДИТА. 8. ОБЯЗАТЕЛЬНОСТЬ и ЭФФЕКТИВНОСТЬ АУДИТА. Данный принцип предполагает обязательность и своевременность выявления и пресечения попыток нарушения системы обеспечения информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 62
3) Основные принципы обеспечения информационной безопасности Основные принципы обеспечения информационной безопасности ФОГВ Российской Федерации представляют собой следующее семейство принципов: 9. ПРЕЕМСТВЕННОСТЬ и НЕПРЕРЫВНОСТЬ СОВЕРШЕНСТВОВАНИЯ. 9. ПРЕЕМСТВЕННОСТЬ и НЕПРЕРЫВНОСТЬ СОВЕРШЕНСТВОВАНИЯ. Этот принцип предполагает постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, деятельности кадрового аппарата, анализа функционирования системы защиты информации ЕАИС ФОГВ с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого отечественного и зарубежного опыта в этой области. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 63
4) Характеристика политики ФОГВ в области обеспечения информационной безопасности Ключевым элементом политики ФОГВ в области обеспечения информационной безопасности является отказ от взгляда на необходимость защиты только секретной информации и переход к осознанию необходимости защиты каждого чувствительного информационного ресурса ФОГВ. Реализация политики ФОГВ в области обеспечения информационной безопасности должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой, а отдельные разрабатываемые элементы системы обеспечения информационной безопасности объектов инфраструктуры ФОГВ должны рассматриваться как часть единой системы при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 64
4) Характеристика политики ФОГВ в области обеспечения информационной безопасности В связи с этим система обеспечения информационной безопасности ФОГВ должна представлять собой СОВОКУПНОСТЬ: подразделений, ответственных за обеспечение информационной безопасности, организационных, программных, технических и криптографических средств и мер по защите информации в процессе служебной деятельности ФОГВ при обработке и хранении информации в автоматизированных информационных системах различного уровня и назначения, при передаче информации по каналам связи, при ведении секретных и конфиденциальных переговоров, раскрывающих информацию с ограниченным доступом, а также при использовании импортных технических и программных средств. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 65
4) Характеристика политики ФОГВ в области обеспечения информационной безопасности Основой стратегии ФОГВ по выбору средств защиты информации является ориентация на отечественных производителей, имеющих лицензии ФСТЭК России и ФСБ России на проведение работ в области обеспечения безопасности информации и выпускающих только сертифицированные средства защиты. В зависимости от типа защищаемых информационных ресурсов ФОГВ комплекс принятых мер обеспечения информационной безопасности должен обеспечивать выполнение требований, предъявляемых соответствующими правовыми и нормативно- методическими документами. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 66
5) Основные направления обеспечения информационной безопасности ФОГВ Обеспечение информационной безопасности ФОГВ осуществляется по следующим основным направлениям: 1. Организационно-режимное обеспечение защиты сведений, составляющих государственную тайну, и конфиденциальной служебной информации. 2. Обеспечение физической защиты объектов и средств информатизации ФОГВ. 3. Обеспечение защиты информации от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче на объектах информатизации ФОГВ. 4. Обеспечение защиты информации от несанкционированного доступа в автоматизированных информационных системах и локальных вычислительных сетях ФОГВ. 5. Обеспечение конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 67
5) Основные направления обеспечения информационной безопасности ФОГВ Обеспечение информационной безопасности ФОГВ осуществляется по следующим основным направлениям: 6. Обеспечение радиоэлектронной безопасности объектов инфраструктуры ФОГВ. 7. Обеспечение безопасного информационного взаимодействия ФОГВ с отечественными и зарубежными субъектами права. 9. Обеспечение защиты информационных ресурсов ФОГВ от заражения компьютерными вирусами. 10. Организация, координация и финансирование научно- исследовательских и опытно-конструкторских работ (НИОКР) в области обеспечения информационной безопасности ФОГВ. 11. Совершенствование нормативно-методической базы обеспечения информационной безопасности ФОГВ. 12. Совершенствование организационно-штатной структуры подразделений, отвечающих за обеспечение информационной безопасности ФОГВ. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 68
5) Основные направления обеспечения информационной безопасности ФОГВ Обеспечение информационной безопасности ФОГВ осуществляется по следующим основным направлениям: 13. Подготовка, переподготовка и повышение квалификации специалистов по информационной безопасности. Конечная цель выполнения всех мероприятий по обеспечению информационной безопасности ФОГВ - аттестация всех объектов информатизации и автоматизированных информационных систем ФОГВ на соответствие требованиям руководящих документов по защите информации. ВОПРОС 4. ВОПРОС 4. ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 4. 69
ВВЕДЕНИЕ ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 70
ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 71
Защите подлежит любая документированная информация ограниченного распространения, составляющая государственную, служебную, коммерческую или иную охраняемую законом тайну, а также конфиденциальная информация, предоставленная данным ФОГВ другим государственными органами, предприятиями, учреждениями, организациями и гражданами в соответствии с законодательством Российской Федерации. Реализация мероприятий по обеспечению информационной безопасности (комплексной защите информации) является видом основной деятельности ФОГВ Российской Федерации. ФОГВ всех уровней и их структурные подразделения обязаны обеспечивать комплексную защиту информации в соответствии с возложенными на них задачами и в пределах своей компетенции. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 72
Документ; документированная информация зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Государственный стандарт Российской Федерации ГОСТ Р Делопроизводство и архивное дело. Термины и определения. 2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Федеральный закон Российской Федерации от ФЗ «Об информации, информационных технологиях и о защите информации». Комплексная защита информации Под комплексной защитой информации понимается реализация требований по защите: от НСД к информации, от утечки по техническим каналам, от возможно внедренных специальных электронных устройств и программ-«вирусов». Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 73
Общее руководство деятельностью по обеспечению информационной безопасности ФОГВ органов осуществляет руководитель ФОГВ. Непосредственное руководство осуществляет заместитель руководителя ФОГВ - председатель Совета по информационной безопасности ФОГВ. Ответственность за организацию и состояние обеспечения информационной безопасности в территориальном подразделении ФОГВ возлагается на его руководителя. Взаимодействие подразделений защиты информации ФОГВ с ФСТЭК России, ФСБ России и другими органами государственной власти по вопросам защиты информации осуществляется в соответствии с правовыми актами Президента и Правительства Российской Федерации. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 74
1. Организационная структура системы обеспечения информационной безопасности ФОГВ Система обеспечения информационной безопасности ФОГВ - составная часть государственной системы защиты информации. Рассмотрим Систему обеспечения информационной безопасности ФОГВ на примере таможенной службы. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 75
1. Организационная структура системы обеспечения информационной безопасности ФОГВ Организационная структура системы состоит из подразделений и коллегиальных органов ГТК России, отвечающих за организацию и реализацию обеспечения информационной безопасности таможенных органов Российской Федерации: 1. Совета по информационной безопасности таможенных органов Российской Федерации; 2. Управления безопасности (УБ) ГТК России; 3. Регионального информационно-технического таможенного управления (РИТТУ) 4. Отдела специальной информации ГТК России; 5. Регионального таможенного управления радиоэлектронной безопасности (РЭБ) объектов таможенной инфраструктуры; 6. Главного научно-информационного вычислительного центра (ГНИВЦ) ГТК России; 7. Советов (комиссий) по информационной безопасности региональных таможенных управлений и Российской таможенной академии; 8. Подразделений информационно-технической службы (отделений защиты информации), безопасности, радиоэлектронной безопасности (РЭБ) и специальной информации в таможенных органах Российской Федерации; 9. Подразделений таможенной охраны. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 76
1. Организационная структура системы обеспечения информационной безопасности ФОГВ Функции, права и полномочия подразделений и коллегиальных органов ГТК России, отвечающих за организацию и реализацию обеспечения информационной безопасности таможенных органов Российской Федерации, определяются положениями об этих подразделениях и органах, а также Положением о разграничении полномочий и ответственности подразделений ГТК России за обеспечение информационной безопасности (организацию комплексной защиты информации), утвержденным соответсвующим приказом ГТК России. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 77
2. Порядок организации разработки к эксплуатации системы обеспечения информационной безопасности ФОГВ Разработка систем обеспечения информационной безопасности является частью экономической и технической стратегии развития информационно- технической структуры ФОГВ и ведется параллельно с разработкой других систем, обеспечивающих функционирование данного ФОГВ. Основным отправным моментом для формирования системы информационной безопасности является выявление секретной (конфиденциальной) и иной чувствительной информации, обоснование уровня ее конфиденциальности (чувствительности) и документальное оформление в виде перечня сведений, подлежащих защите. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 78
2. Порядок организации разработки к эксплуатации системы обеспечения информационной безопасности ФОГВ Следующим этапом формирования системы информационной безопасности ФОГВ является организация системы распоряжения, владения и пользования информацией - разрешительной системы допуска исполнителей (пользователей) к работе с информацией ограниченного доступа. Эта система предусматривает: - установление полномочий должностных лиц по отнесению информации к государственной, служебной тайне, к иной конфиденциальной (чувствительной) информации, подлежащей защите; - установление полномочий должностных лиц на распоряжение информацией, т.е. какие и кому предоставлены права распоряжаться информационными ресурсами; - условия и порядок допуска должностных лиц ФОГВ и внешних пользователей к работе с информацией ограниченного доступа; - определение объема информации, необходимой и достаточной для эффективного выполнения сотрудниками ФОГВ своих должностных обязанностей и функций; - установление полномочий должностных лиц ФОГВ и внешних пользователей на использование этой информации, в том числе какие действия с информацией они могут совершать. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 79
2. Порядок организации разработки к эксплуатации системы обеспечения информационной безопасности ФОГВ При разработке систем защиты информации необходимо использовать сертифицированные по требованиям безопасности информации средства вычислительной техники и связи, средства защиты и контроля защищенности, либо образцы таких средств, прошедшие специальные исследования и получившие предписания на эксплуатацию. Стадия ввода в действие объектов информатизации ФОГВ и их отдельных компонентов завершается аттестацией на соответствие требованиям безопасности информации, осуществляемой органом по аттестации объектов информатизации в соответствии с нормативными документами ФСТЭК России и ФСБ России. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 80
3. Организация аудита состояния информационной безопасности Основные задачи аудита обеспечения информационной безопасности ФОГВ заключаются в проведении следующих мероприятий: получение объективных оценок состояния защиты государственной и служебной тайн в ФОГВ, оценка эффективности решения информационно- технических вопросов обеспечения информационной безопасности, оказание методической помощи по обеспечению режима секретности и организации зашиты информации от утечки по техническим каналам и несанкционированного доступа. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 81
3. Организация аудита состояния информационной безопасности Аудит состояния информационной безопасности ФОГВ в Российской Федерации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки эффективности ее защиты от иностранных технических разведок. Аудит заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений и рекомендаций ФСТЭК России, а также в оценке обоснованности и эффективности, принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации. При этом оценка эффективности мер ЗИ проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 82
3. Организация аудита состояния информационной безопасности Так, например, в системе таможенных органов Российской Федерации аудит обеспечения информационной безопасности осуществляют: - Региональное информационно-техническое таможенное управление и информационно-технические подразделения региональных таможенных управлений - в части решения информационно-технических вопросов обеспечения информационной безопасности таможенных органов и защиты информации в системах и средствах информатизации и связи; - отдел специальной информации ГТК России и соответствующие структурные подразделения региональных таможенных управлений - в части обеспечения режима секретности, шифрованной связи и лицензирования таможенных органов на допуск их к работам со сведениями, составляющих государственную тайну; - ФСТЭК России или ФСБ России - пределах их компетенции. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 83
3. Организация аудита состояния информационной безопасности Контроль обеспечения информационной безопасности в региональных таможенных управлениях, а также на предприятиях и в организациях, подведомственных ГТК России, осуществляется не реже одного раза в два года. Региональные таможенные управления осуществляют контроль обеспечения информационной безопасности в таможнях не реже одного раза в год. При этом обеспечение информационной безопасности таможенных органов Российской Федерации считается эффективным, если принимаемые меры соответствуют установленным требованиям или нормам. Несоответствие мер установленным требованиям или нормам по защите информации является нарушением. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 84
3. Организация аудита состояния информационной безопасности Нарушения по степени важности делятся на три категории: - ПЕРВАЯ КАТЕГОРИЯ - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам; - ВТОРАЯ КАТЕГОРИЯ - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам; - ТРЕТЬЯ КАТЕГОРИЯ - невыполнение других требований по защите информации. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 85
ВВЕДЕНИЕ ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 86
ВОПРОС 6. ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 87
Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу включают следующие группы мероприятий: 1) Основные мероприятия по решению задач организационно-режимного обеспечения защиты сведений, составляющих государственную тайну и конфиденциальную служебную информацию; 2) Основные мероприятия по решению задач физической защиты объектов и средств информатизации таможенных органов Российской Федерации; 3) Основные мероприятия по решению задач защиты информации от утечки по техническим каналам на объектах информатизации; ВОПРОС 6. ВОПРОС 6. ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» ВОПРОС 6. 88
Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу включают следующие группы мероприятий: 4) Основные мероприятия по решению задач защиты информации от несанкционированного доступа в автоматизированных информационных системах и локальных вычислительных сетях 5) Основные мероприятия по решению задач обеспечения конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и телефонных линиях связи: 6) Разработка единой методологии обеспечения таможенных органов ключевой документацией, используемой для защиты информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи таможенных органов. ВОПРОС 6. ВОПРОС 6. ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» ВОПРОС 6. 89
Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу включают следующие группы мероприятий: 7. Основные мероприятия по решению задач обеспечения радиоэлектронной безопасности объектов таможенной инфраструктуры 8. Основные мероприятия по решению задач обеспечения безопасного информационного взаимодействия ГТК России с отечественными и зарубежными организациями, министерствами и ведомствами 9. Основные мероприятия по решению задач защиты ресурсов информационных ресурсов таможенных органов от заражения компьютерными вирусами 10. Основные мероприятия по решению задач организации, координации и финансирования научно-исследовательских и опытно-конструкторских работ в области обеспечения информационной безопасности таможенных органов Российском Федерации. ВОПРОС 6. ВОПРОС 6. ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» ВОПРОС 6. 90
Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу включают следующие группы мероприятий: 11. Основные мероприятия по решению задач совершенствования нормативно-методической базы обеспечения информационной безопасности таможенных органов Российской Федерации 12. Основные мероприятия по решению задач совершенствования организационно-штатной структуры подразделений, отвечающих за обеспечение информационной безопасности таможенных органов Российской Федерации. 13. Задачи обеспечения информационной безопасности таможенных органов Российской Федерации на период с 2005 года по 2010 год. 14. Механизм реализации концепции обеспечения информационной безопасности таможенных органов. ВОПРОС 6. ВОПРОС 6. ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» ВОПРОС 6. 91
1) Основные мероприятия по решению задач организационно- режимного обеспечения защиты сведений, составляющих государственную тайну и конфиденциальную служебную информацию: 1. Завершение лицензирования таможенных органов на право работы со сведениями, составляющими государственную тайну. 2. Установление категорий объектов информатизации таможенных органов в соответствии с руководящими нормативно-методическими документами Гостехкомиссии России. 3. Устранение недостатков, отмеченных Гостехкомиссией России в актах комплексной проверки Дальневосточного, Западного, Северо-Западного и Уральского таможенных управлений и Внуковской, Домодедовской и Шереметьевской таможен. 4. Проведение проверок таможенных органов Российской Федерации с целью контроля выполнения требований по защите секретных сведений. 5. Введение системы учета всех машинных носителей информации. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 92
2) Основные мероприятия по решению задач физической защиты объектов и средств информатизации таможенных органов Российской Федерации Реализация организационных и инженерно-технических мер на вводимых в эксплуатацию объектах таможенной инфраструктуры по построению и обеспечению функционирования систем охраны, предусматривающих многорубежность построения (территории, здания, помещения и т.д.) с комплексным применением современных технических средств охраны, видеонаблюдения, сбора и обработки информации, обеспечивающих надежное обнаружение фактов несанкционированного проникновения в охраняемую зону, достоверное отображение и объективное документирование событий. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 93
3. Основные мероприятия по решению задач защиты информации от утечки по техническим каналам на объектах информатизации (например, для таможенных органов): 1. Разработка унифицированной (типовой) системы зашиты информации от утечки по техническим каналам на объекте информатизации таможенного органа. 2. Создание и оснащение специализированной техникой отделения технического контроля в ГНИВЦ. 3. Выполнение специальных работ по защите информации от утечки по техническим каналам и аттестации объектов информатизации управлений центрального аппарата ГТК России, специализированных региональных таможенных управлений, Западного, Московского и Северо-Западного таможенных управлений, Внуковской таможни. 4. Разработка методой контроля эффективности средств и мер защиты информации от утечки по техническим каналам на объектах информатизации таможенных органов. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 94
4) Основные мероприятия по решению задач защиты информации от несанкционированного доступа в автоматизированных информационных системах и локальных вычислительных сетях таможенных органов Российской Федерации 1. Разработка унифицированной (типовой) технологии защиты информации от НСД в автоматизированных информационных системах и локальных вычислительных сетях таможенных органах. 2. Разработка системы защиты информации от НСД для Центра таможенного оформления Западной таможни Московского таможенного управления и отработка унифицированной технологии защиты информации. 3. Внедрение унифицированной технологии защиты информации от НСД в Московском, Западном и Северо- Западном таможенных управлениях. 4. Внедрение унифицированной технологии защиты информации от НСД на таможнях, непосредственно подчиненных ГТК России. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 95
5) Основные мероприятия по решению задач обеспечения конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и телефонных линиях связи: 1. Обоснование состава сертифицированных средств для обеспечения конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи таможенных органов. 2. Опытная эксплуатация и отработка унифицированной технологии обеспечения конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи таможенных органов. 3. Оснащение управлений центрального аппарата ГТК России, специализированных таможенных управлений, оперативных таможен Западного, Московского и Северо-Западного таможенных управлений сертифицированными средствами для обеспечения конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи. 4. Дооснащение таможенных органов шифровальной аппаратурой. 5. Создание базисного криптографического ядра и ключевой системы, проведение их всестороннего исследования специализированными организациями ФСБ России. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 96
6. Разработка единой методологии обеспечения таможенных органов ключевой документацией, используемой для защиты информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи таможенных органов. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 97
7. Основные мероприятия по решению задач обеспечения радиоэлектронной безопасности объектов таможенной инфраструктуры: 1. Организация радиомониторинга на особо важных объектах таможенной инфраструктуры. 2. Проведение поисковых мероприятий по выявлению технических каналов утечки конфиденциальной информации на объектах таможенной инфраструктуры. 3. Оснащение подразделений РЭБ сертифицированными техническими средствами для проведения мероприятий специального назначения. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 98
8. Основные мероприятия по решению задач обеспечения безопасного информационного взаимодействия ГТК России с отечественными и зарубежными организациями, министерствами и ведомствами: 1. Анализ угроз информационной безопасности при подключении локальных сетей таможенных органов к открытым телекоммуникационным сетям при информационном взаимодействии с отечественными и зарубежными организациями, министерствами и ведомствами. 2. Разработка нормативно-правовых документов, определяющих порядок безопасного информационного взаимодействия таможенных органов с участниками внешнеэкономической деятельности и информационными системами государственных и коммерческих организаций. 3. Разработка средств обеспечения сетевой безопасности для локальных сетей таможенных органов Российской Федерации. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 5. 99
8. Основные мероприятия по решению задач обеспечения безопасного информационного взаимодействия ГТК России с отечественными и зарубежными организациями, министерствами и ведомствами: 4. Разработка унифицированной технологии обеспечения сетевой безопасности локальных сетей таможенных органов при подключении к открытым телекоммуникационным сетям. 5. Создание систем обеспечения сетевой безопасности локальных сетей управлений центрального аппарата ГТК России. 6. Организация безопасного информационного взаимодействия с ФСБ России, МВД России, ФСНП России, ГНС России при решении задач по защите экономической безопасности России. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
8. Основные мероприятия по решению задач обеспечения безопасного информационного взаимодействия ГТК России с отечественными и зарубежными организациями, министерствами и ведомствами: 7. Организация безопасного информационного взаимодействия с ВЭК России, Минфином России, Госстандартом России, РАО ЕЭС, РАО "Газпром". 8. Информационно-техническое обеспечение двусторонних соглашений о порядке и регламенте безопасного информационного взаимодействия. 9. Разработка и внедрение систем защиты информации при информационном взаимодействии с участниками Таможенного союза. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
9. Основные мероприятия по решению задач защиты ресурсов информационных ресурсов таможенных органов от заражения компьютерными вирусами: 1. Выбор средств защиты информационных ресурсов таможенных органов от заражения компьютерными вирусами. 2. Оснащение таможенных органов средствами защиты информационных ресурсов от заражения компьютерными вирусами. 3. Разработка инструментальных методик контроля разрабатываемого программно-информационного обеспечения на наличие преднамеренных программных закладок. 4. Создание системы контроля технологической безопасности программно-информационного обеспечения таможенных органов. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
10. Основные мероприятия по решению задач организации, координации и финансирования научно- исследовательских и опытно-конструкторских работ в области обеспечения информационной безопасности таможенных органов Российском Федерации: 1. Анализ технико-экономических параметров отечественных и зарубежных программно-технических средств обеспечения информационной безопасности. 2. Анализ отечественных и зарубежных технических и программных средств информатизации с точки зрения их соответствия требованиям по безопасности информации. 3. Формирование научно-технической программы исследований, разработок и совершенствования методов и средств обеспечения информационной безопасности таможенных органов. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
10. Основные мероприятия по решению задач организации, координации и финансирования научно- исследовательских и опытно-конструкторских работ в области обеспечения информационной безопасности таможенных органов Российском Федерации: 4. Решение вопросов целевого финансирования и материально-технического обеспечения создания системы информационной безопасности таможенных органов. 5. Разработка системы экономических и статистических показателей, характеризующих эффективность функционирования системы обеспечения информационной безопасности таможенных органов. Организация решения задач обеспечения информационной безопасности осуществляется на основе Концепции информационной безопасности таможенных органов, годовых планов НИОКР, централизованных закупок и эксплуатации средств защиты информации и информационно-технических средств. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
11. Основные мероприятия по решению задач совершенствования нормативно-методической базы обеспечения информационной безопасности таможенных органов Российской Федерации: 1. Анализ отечественной и зарубежных методологической и нормативно-правовой баз в области обеспечения информационной безопасности, в том числе и таможенных органов развитых стран. 2. Анализ состояния методологической и нормативно-правовой базы ГТК России в области обеспечения информационной безопасности. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
11. Основные мероприятия по решению задач совершенствования нормативно-методической базы обеспечения информационной безопасности таможенных органов Российской Федерации: 3. Разработка и введение в действие комплекса научно обоснованных, взаимосвязанных и согласованных первоочередных нормативно-методических документов обеспечения информационной безопасности таможенных органов Российской Федерации, регламентирующих процессы разработки, испытания, аттестации и эксплуатации автоматизированных информационных систем и средств защиты информации. 4. Разработка комплекса нормативно-правовых, организационно-технических и методических документов, устанавливающих требования к программно-техническим средствам, порядок и процедуры их разработки закупки, испытаний и ввода в эксплуатацию. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
11. Основные мероприятия по решению задач совершенствования нормативно-методической базы обеспечения информационной безопасности таможенных органов Российской Федерации: 5. Разработка нормативно-правовых документов, определяющих порядок безопасного информационного взаимодействия таможенных органов с участниками внешнеэкономической деятельности и информационными системами государственных и коммерческих организаций. 6. Разработка общей методологии и методов оценки эффективности обеспечения информационной безопасности таможенных органов Российской Федерации. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
12. Основные мероприятия по решению задач совершенствования организационно-штатной структуры подразделений, отвечающих за обеспечение информационной безопасности таможенных органов Российской Федерации 1. Создание подразделений защиты информации в региональных таможенных управлениях и таможнях, непосредственно подчиненных ГТК России. 2. Разработка программ курсов повышения квалификации сотрудников подразделений защиты информации и специалистов таможенных органов в области обеспечения информационной безопасности. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
12. Основные мероприятия по решению задач совершенствования организационно-штатной структуры подразделений, отвечающих за обеспечение информационной безопасности таможенных органов Российской Федерации 3. Создание учебно-методической и материальной базы подготовки сотрудников таможенных органов в области обеспечения информационной безопасности. 4. Создание в институте повышения квалификации при РТА курсов повышения квалификации сотрудников подразделений защиты информации и специалистов таможенных органов в области обеспечения информационной безопасности при работе на средствах вычислительной техники. 5. Создание отделения технического и инструментального контроля при отделе информационной безопасности ГНИВЦ. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
13. Задачи обеспечения информационной безопасности таможенных органов Российской Федерации на период с 2005 года по 2010 год: 1. Дальнейшее развитие Концепции обеспечения информационной безопасности таможенных органов Российской Федерации, формирование перспективных направлений обеспечения информационной безопасности, информационных таможенных и телекоммуникационных технологий и технологий связи, а также новых программно- аппаратных средств их реализации. 2. Анализ отечественной и зарубежных методологической и нормативно-правовой баз в области обеспечения информационной безопасности, в том числе и таможенных органов развитых стран. 3. Анализ состояния и совершенствование методологической, нормативно-правовой методической базы ГТК России в области обеспечения информационной безопасности. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
13. Задачи обеспечения информационной безопасности таможенных органов Российской Федерации на период с 2005 года по 2010 год: 4. Совершенствование организационно-штатной структуры подразделений таможенных органов, отвечающих за обеспечение информационной безопасности. 5. Совершенствование и развитие методологии формирования и функционирования системы обеспечения информационной безопасности таможенных органов Российской Федерации, а также методов оценки ее эффективности. 6. Завершение внедрения унифицированных (типовых) технологий обеспечения информационной безопасности на уровне таможен и таможенных постов. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
13. Задачи обеспечения информационной безопасности таможенных органов Российской Федерации на период с 2005 года по 2010 год: 7. Завершение аттестации всех автоматизированных информационных систем таможенных органов Российской Федерации на соответствие требованиям по защите информации от несанкционированного доступа. 8. Техническое обслуживание средств защиты информации и контроль эффективности обеспечения информационной безопасности таможенных органов Российской Федерации. 9. Модернизация и совершенствование систем обеспечения безопасного информационного взаимодействия с международными, зарубежными и отечественными организациями, министерствами, ведомствами и правоохранительными органами. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
13. Задачи обеспечения информационной безопасности таможенных органов Российской Федерации на период с 2005 года по 2010 год: 10. Анализ отечественных и зарубежных технических и программных средств информатизации с точки зрения их соответствия требованиям по безопасности информации, выбор перспективных направлений развития и принятие решений по их дальнейшему использованию. 11. Широкое внедрение в практическую деятельность по обеспечению информационной безопасности таможенных органов последних научных достижений, перспективных средств защиты информации от утечки по техническим каналам и несанкционированного доступа к ней. 12. Анализ криптографической стойкости и внедрение единой системы управления ключами для защиты информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи таможенных органов. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
14. Механизм реализации концепции обеспечения информационной безопасности таможенных органов Реализация Концепции обеспечения информационной безопасности таможенных органах Российской Федерации должна осуществляться на основе рассчитанных на период с 1999 по 2010 год конкретных программ и планов, которые ежегодно уточняются с учетом: - федеральных законов в области обеспечения информационной безопасности и защиты информации; - постановлений Правительства Российской Федерации; ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
14. Механизм реализации концепции обеспечения информационной безопасности таможенных органов Реализация Концепции обеспечения информационной безопасности таможенных органах Российской Федерации должна осуществляться на основе рассчитанных на период с 1999 по 2010 год конкретных программ и планов, которые ежегодно уточняются с учетом: - решений Межведомственной комиссии по информационной безопасности Совета Безопасности Российской Федерации; - организационно-распорядительных и руководящих документов ФСТЭК России и ФСБ России; ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
14. Механизм реализации концепции обеспечения информационной безопасности таможенных органов Реализация Концепции обеспечения информационной безопасности таможенных органах Российской Федерации должна осуществляться на основе рассчитанных на период с 1999 по 2010 год конкретных программ и планов, которые ежегодно уточняются с учетом: - реальных объемов ассигнований на обеспечение информационной безопасности таможенных органов Российской Федерации; - потребностей таможенных органов в средствах обеспечения информационной безопасности. ВОПРОС 5. ВОПРОС 5. ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС
ВВЕДЕНИЕ ВОПРОС 1. Организационно-распорядительная работа по подготовке Концепции информационной безопасности ВОПРОС 2. Разработка раздела «Общие положения» Концепции ВОПРОС 3. Разработка раздела «Состояние информационной безопасности ФОГВ» ВОПРОС 4. Разработка раздела «Принципы и основные направления обеспечения информационной безопасности ФОГВ» ВОПРОС 5. Разработка раздела «Организация обеспечения информационной безопасности» ВОПРОС 6. Разработка раздела «Основные мероприятия по решению задач обеспечения информационной безопасности на ближайшую перспективу» Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ 117
СПАСИБО ЗА ВНИМАНИЕ Лекция 16. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФЕДЕРАЛЬНОГО ОРГАНА ГОСУДАРСТВЕННОЙ ВЛАСТИ