Информационная безопасность вуза. Организация работ по защите информации при построении единого информационного пространства кандидат технических наук, - презентация

1 Информационная безопасность вуза. Организация работ по защите информмации при построении единого информмационного пространства кандидат технических наук, доцент Глыбовский Павел Анатольевич кандидат технических наук, доцент Мажников Павел Викторович Кафедра Систем сбора и обработки информмации ВКА имени А.Ф.Можайского

2 Система защиты информмации; Требования к системе защиты информмации; 1С:Документооборот Государственного учреждения. Требования по защите информмации. Организация работ по защите информмации при построении единого информмационного пространства

3 Разработка системы защиты информмации информмационной системы

4 Информационная система - совокупность содержащейся в базах данных информмации и обеспечивающих ее обработку информмационных технологий и технических средств. (ФЗ 2006 г. 149-ФЗ «Об информмации, информмационных технологиях и о защите информмации»). Государственные информмационные системы - Федеральные информмационные системы и региональные информмационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. (ФЗ 2006 г. 149-ФЗ «Об информмации, информмационных технологиях и о защите информмации»). Автоматизированная система. Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информмационную технологию выполнения установленных функций (ГОСТ ) Термины и определения

5 Система законодательства по ИБ

6

7 Информационные системы, средства информматизации, содержащие: Технические средства и системы обработки открытой информмации в помещениях, где обрабатывается информмация ограниченного доступа Помещения для ведения переговоров с использованием сведений ограниченного доступа Основные объекты защиты информмации ограниченного доступа, не содержащей сведений составляющих государственную тайну и открытой информмации Открытую информмацию Информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну КСИИ – ключевая система информ. инфраструк. ИСПДЛВСАРМ Средства печати, копирования Средства связи, коммутации и др. Бытовые устройства Средства пожарной и охранной сигнализации Телефоны и др.Средства связи Информационные системы. Государственные ИСМуниципальные ИС Иные ИС

8 Защита информмации Система защиты информмации - совокупность органов и (или) исполнителей, используемой ими техники защиты информмации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами в области защиты информмации. (ГОСТ Р Защита информмации. Основные термины и определения). Субъекты деятельности по защите информмации Органы власти, уполномоченные органы власти, организации, обрабатывающие информмацию на объектах информматизации, организации - лицензиаты Что подлежит защите Как защищать От каких угроз Объекты информматизации, ИС, в т.ч. программные средства, в которых обрабатывается и хранится информмация, на доступ к которой установлены ограничения федеральными законами, средства защиты информмации, общедоступная информмация От утечки по техническим каналам, неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Комплекс правовых, организационных и технических мер

9 Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. "Об утверждении Требований о защите информмации, не составляющей государственную тайну, содержащейся в государственных информмационных системах" Система законодательства по ИБ

10

11

12

13

14

15

16 информмация в электронной форме, которая присоединена к другой информмации в электронной форме (подписываемой информмации) или иным образом связана с такой информмацией и которая используется для определения лица, подписывающего информмацию Факт принятия прав и обязанностей в результате подписания документа Система законодательства по ИБ электронная подпись

17 Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи»; Указ Президента РФ от 3 апреля 1995 г. N 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информмации»; « Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информмации » (Положение ПКЗ-2005) Утверждено Приказом ФСБ РФ от 9 февраля 2005 г. N 66; Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информмации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». Система законодательства по ИБ электронная подпись

18 Система законодательства по ИБ электронная подпись

19 При использовании усиленных электронных подписей участники электронного взаимодействия обязаны: 1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия (ст.10 Федерального закона 63-ФЗ от 6 апреля 2011 г.); 2) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена (ст.10 Федерального закона 63-ФЗ от 6 апреля 2011 г.); 3) использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом (ст.10 Федерального закона 63-ФЗ от 6 апреля 2011 г.); 4) вести поэкземплярный учет по установленным формам СКЗИ, эксплуатационной и технической документацию к ним). (ст 26. приказа ФАПСИ 152 от 13 июня 2001 г. ). Система законодательства по ИБ электронная подпись

20 1С:Документооборот Государственного учреждения "1С:Документооборот государственного учреждения 8" предназначен для комплексного решения широкого спектра задач автоматизации учета документов, взаимодействия сотрудников, контроля и анализа исполнительской дисциплины в государственных и муниципальных учреждениях. ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ РАСПОРЯЖЕНИЕ от 2 октября 2009 г. N 1403-р Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти; Требования к информмационным системам электронного документооборота федеральных органов исполнительной власти, учитывающим в том числе необходимость обработки посредством данных систем служебной информмации ограниченного распространения (утверждены приказом Министерства связи и массовых коммуникаций Российской Федерации от ). 1С:Документооборот Государственного учреждения. Требования по защите информмации

21 Требования к информмационным системам электронного документооборота федеральных органов исполнительной власти, учитывающим в том числе необходимость обработки посредством данных систем служебной информмации ограниченного распространения (утверждены приказом Министерства связи и массовых коммуникаций Российской Федерации от ). 21. Для защиты служебной информмации ограниченного распространения должны использоваться сертифицированные в соответствии с требованиями безопасности информмации технические и (или) программные средства защиты информмации. 22. Требования по защите информмации и мероприятия по их выполнению, а также конкретные программно-технические средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности. 25. СЭД ФОИВ не должна иметь прямого (незащищенного) подключения к информмационно- телекоммуникационной сети Интернет в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информмационной безопасности Российской Федерации при использовании информмационно-телекоммуникационных сетей международного информмационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; 2008, N 43, ст. 4919; 2011, N 4, ст. 572). 1С:Документооборот Государственного учреждения. Требования по защите информмации

22 ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ РАСПОРЯЖЕНИЕ от 2 октября 2009 г. N 1403-р Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти 17. При организации взаимодействия системы межведомственного электронного документооборота с системой электронного документооборота должна обеспечиваться антивирусная защита. 18. Для защиты информмации, отнесенной к сведениям, составляющим служебную тайну, должны использоваться сертифицированные по требованиям безопасности информмации технические и (или) программные средства защиты информмации. Автоматизированные рабочие места шлюза и выделенные персональные электронно- вычислительные машины с адаптером системы электронного документооборота должны аттестовываться на соответствие требованиям по технической защите конфиденциальной информмации. 19. Требования по защите информмации и мероприятия по их выполнению, а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя. 1С:Документооборот Государственного учреждения. Требования по защите информмации

23 Внедрение системы защиты информмации информмационной системы

24 Спасибо за внимание! Вопросы? Кафедра Систем сбора и обработки информмации ВКА имени А.Ф.Можайского