Информационная безопасность в государственных системах

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Московский государственный технологический университет «СТАНКИН»

Кафедра информационных технологий и вычислительных систем

Основы новых информационных технологий

Реферат

Обеспечение безопасности государственных информационных систем

Выполнил: студент группы ИДБ 13-10 Мурзайкина О.А.

Проверил: Кузовкин К.Н.

Москва 2016



Содержание

Введение

Основная часть

Основные понятия

Организационные и технические меры защиты информации государственной информационной системы

О классификации ГИС и выборе мер защиты

О разработке модели угроз безопасности в ГИС

Использование документов ФСТЭК России для модели угроз на критические системы информационной инфраструктуры (КСИИ)

Выбор мер защиты информации и требования к реализации мер защиты

Требования к классам защищенности средств защиты информации

Примеры комплекса мероприятий для обеспечения защиты информации

Заключение

Список литературы



Введение

Интерес к вопросам безопасности информационных систем в последнее время вырос, что связывают с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением использования сетей, а, следовательно, и возможностей несанкционированного доступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Информация, циркулирующая в них, может быть незаконно изменена, похищена или уничтожена.

Цель работы - выяснить методы и критерии защиты информации государственной информационной системы.

В соответствии с намеченной целью основными задачами будут являться: определение основных понятий, изучение теоретических материалов по выбранной теме и выработка рекомендаций по проектированию системы защиты данных.



Основная часть

Основные понятия

Информационная система (ИС) -- система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д.), которые обеспечивают и распространяют информацию (ISO/IEC 2382:2015)

Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Информационная безопасность -- все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции -- от штрафа до более серьезных мер.



Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Организационные и технические меры защиты информации государственной информационной системы

Организационные и технические меры защиты информации определяются:

* масштабом ГИС (в документах предложено три масштаба ГИС);

* назначением ГИС;

* распределенностью сегментов ГИС.

ГИС имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

ГИС имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях. защита государственная информация

ГИС имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

Для обеспечения защиты информации, содержащейся в ГИС, проводятся следующие мероприятия:

1. формирование требований к защите информации, содержащейся в ГИС;

2. разработка системы защиты информации ГИС;

3. внедрение системы защиты информации ГИС;

4. аттестация ГИС по требованиям защиты информации и ввод ее в действие;

5. обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;

6. обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

Мероприятия достаточно стандартны, но следует обратить внимание специалистов по защите информации на жесткое мероприятие, указанное в п.6, которое осуществляется оператором и должно быть описано в документации на ГИС и включает:

* архивирование информации, содержащейся в ГИС;

* уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

Согласно новым документам ФСТЭК России организационные и технические меры защиты информации, реализуемые в ГИС в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:

1. идентификацию и аутентификацию субъектов доступа и объектов доступа;

2. управление доступом субъектов доступа к объектам доступа;

3. ограничение программной среды;

4. защиту машинных носителей информации;

5. регистрацию событий безопасности;

6. антивирусную защиту;

7. обнаружение (предотвращение) вторжений;

8. контроль (анализ) защищенности информации;

9. целостность информационной системы и информации;

10. доступность информации;

11. защиту среды виртуализации;

12. защиту технических средств;

13. защиту информационной системы, ее средств, систем связи и передачи данных.

Меры защиты информации выбираются и реализуются в ГИС в рамках ее системы защиты информации с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений.

Положительным моментом является появление требований ФСТЭК России к мобильным устройствам (в части ноутбуков, нетбуков, планшетов, смартфонов) требования к которым ранее не были формализованы в других документах ФСТЭК России.

О классификации ГИС и выборе мер защиты

Новыми документами ФСТЭК России установлены четыре класса защищенности ГИС, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс - четвертый, самый высокий - первый. Класс защищенности ГИС (первый класс К1, второй класс К2, третий класс К3, четвертый класс К4) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой ГИС, и масштаба ГИС (федеральный, региональный, объектовый).

Класс защищенности (К) = [уровень значимости информации; масштаб системы]. Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)], где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

ВЫСОКОЙ, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;

СРЕДНЕЙ, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;

НИЗКОЙ, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

При обработке в ГИС двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в ГИС, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации. Класс защищенности ГИС определяется в соответствии с таблицей:

Уровень значимости информации	Масштаб информационной системы
	Федеральный	Региональный	Объектовый
УЗ 1	К1	К1	К1
УЗ 2	К1	К2	К2
УЗ 3	К2	К3	К3
УЗ 4	К3	К3	К4

Результаты классификации ГИС оформляются актом классификации.

В Приложение N 2 к «Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» приведен «СОСТАВ МЕР ЗАЩИТЫ ИНФОРМАЦИИ И ИХ БАЗОВЫЕ НАБОРЫ ДЛЯ СООТВЕТСТВУЮЩЕГО КЛАССА ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ». Ниже приведен фрагмент таблицы.

Условное обозначение и номер меры	Меры защиты информации в информационных системах	Классы защищенности информационной системы
		1	2	3	4
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1	Идентификация и аутентификация пользователей, являющихся работниками оператора	+	+	+	+
ИАФ.2	Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных			+	+

"+" - мера защиты информации включена в базовый набор мер для соответствующего класса защищенности информационной системы.

Меры защиты информации, не обозначенные знаком "+", применяются при адаптации базового набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в информационной системе соответствующего класса защищенности.



О разработке модели угроз безопасности в ГИС

Модель угроз безопасности информации должна содержать описание ГИС и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

УБИ = [возможности нарушителя; уязвимости ГИС; способ реализации угрозы; последствия от реализации угрозы].

При определении угроз безопасности информации учитываются структурно-функциональные характеристики ГИС, применяемые информационные технологии и особенности (условия) функционирования ГИС. Эффективность принимаемых мер защиты информации в ГИС зависит от качества определения угроз безопасности информации для конкретной системы в конкретных условиях ее функционирования.

Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации для конкретной ГИС или группы информационных систем в определенных условиях их функционирования.

Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются (как сказано в новых нормативных документах ФСТЭК России) методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818).

Со ссылкой на методические документы, честно говоря, не понятно. Дело в том, что ФСТЭК России нигде четко не сказано о том, какие документы необходимо применять для разработки Модели угроз и модели нарушителя, если в государственной информационной системе обрабатывается только служебная тайна (с пометкой «для служебного пользования»).

Возможно, можно использовать для разработки Модели угроз безопасности информации и модели нарушителя для ГИС методологию, разработанную для персональных данных, отраженной в следующих документах:

* «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК России, 15 февраля 2008 г.;

* «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК России, 14 февраля 2008 г.

Использование документов ФСТЭК России для модели угроз на критические системы информационной инфраструктуры (КСИИ)

В системе защиты информации ГИС как правило применяются VPN-сети, криптосредства и электронная подпись, для защиты служебной информации. При этом ГИС (например - ситуационный центр) располагаемый на территории Российской Федерации, в дальнейшем может иметь необходимость взаимодействия с ситуационными центрами иностранных государств (присутствует трансграничная передача данных).

Какие документы необходимо использовать при разработке Модели угроз безопасности информации и модели нарушителя для государственной информационной системы, обрабатывающей только служебную тайну, в части выбора классов криптосредств?

Можно использовать для разработки Модели угроз безопасности информации и модели нарушителя для ГИС методологию, разработанную ФСБ России для персональных данных, отраженной в следующих документах:

* «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России от 21.02.2008 г. N 149/54-144;

* «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России от 21.02.2008 г. № 149/6/6-622.

Где юридическая запись?

ФСТЭК России и ФСБ России должны сделать информационное сообщение о том, какими документами ФСТЭК России и ФСБ России необходимо руководствоваться при разработки Модели угроз и модели нарушителя для ГИС, обрабатывающих только служебную тайну, для того чтобы не возникали вопросы при аттестации системы и проверках со стороны регуляторов.

Особое внимание специалистов по защите информации необходимо обратить на анализ уязвимостей ГИС проводимой в целях оценки возможности преодоления нарушителем системы защиты информации ГИС и предотвращения реализации угроз безопасности информации. Анализ уязвимостей ГИС включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения ГИС.

При анализе уязвимостей ГИС проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

В случае выявления уязвимостей ГИС, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение Модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Выбор мер защиты информации и требования к реализации мер защиты

В Методике защиты ГИС подробно приведено описание выбора мер защиты информации для их реализации и требования к ним (собственно требования для формирования ТЗ (ЧТЗ) на систему защиты) ГИС и включает (см. рисунок):

1. определение базового набора мер защиты информации для установленного класса защищенности ГИС;

2. адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам ГИС, информационным технологиям, особенностям функционирования системы;

3. уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в модель угроз безопасности информации;

4. дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных;

Меры защиты информации, выбираемые для реализации в ГИС, должны обеспечивать блокирование одной или нескольких угроз безопасности информации, включенных в модель угроз безопасности информации. Содержание мер защиты информации для их реализации в информационных системах приведено в приложении 2 к Методике защиты ГИС.

В ГИС должен быть, как минимум, реализован адаптированный базовый набор мер защиты информации, соответствующий установленному классу защищенности системы.

Общий порядок действий по выбору мер защиты информации для их реализации в ГИС

Выбранные и реализованные в ГИС в рамках ее системы защиты информации меры защиты информации должны обеспечивать:

в ГИС 1 класса защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;

в ГИС 2 класса защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего;

в ГИС 3 и 4 классов защищенности - нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом.

Ниже приведен пример меры защиты и требований по ее реализации для классов защищенности ГИС из раздела 3 Методики защиты ГИС:

3. СОДЕРЖАНИЕ МЕР ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

3.1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ ДОСТУПА И ОБЪЕКТОВ ДОСТУПА (ИАФ)

ИАФ.1 ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА

Требования к реализации ИАФ.1: В информационной системе должна обеспечиваться идентификация и аутентификация пользователей, являющихся работниками оператора.

При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.

К внутренним пользователям в целях настоящего документа относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами (инструкциями), утвержденными оператором, и которым в информационной системе присвоены учетные записи.

В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.

Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД.11.

Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации - определенной комбинации указанных средств.

В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами. Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно-распорядительных документах по защите информации.

Требования к усилению ИАФ.1:

1) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами привилегированных учетных записей (администраторов):

а) с использованием сети связи общего пользования, в том числе сети Интернет;

б) без использования сети связи общего пользования;

2) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами непривилегированных учетных записей (пользователей):

а) с использованием сети связи общего пользования, в том числе сети Интернет;

б) без использования сети связи общего пользования;

3) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами привилегированных учетных записей (администраторов);

4) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами непривилегированных учетных записей (пользователей);

5) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами привилегированных учетных записей (администраторов), где один из факторов обеспечивается аппаратным устройством аутентификации, отделенным от информационной системы, к которой осуществляется доступ;

6) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов обеспечивается устройством, отделенным от информационной системы, к которой осуществляется доступ;

7) в информационной системе должен использоваться механизм одноразовых паролей при аутентификации пользователей, осуществляющих удаленный или локальный доступ;

8) в информационной системе для аутентификации пользователей должно обеспечиваться применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации.



Требования к классам защищенности средств защиты информации

Согласно новых нормативных документов ФСТЭК России, технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В этом случае в ГИС 1 и 2 классовзащищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей, а также:

· средства вычислительной техники не ниже 5 класса;

· системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;

· межсетевые экраны не ниже 3 класса в случае взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена.

В ГИС 3 класса защищенности применяются:

· средства вычислительной техники не ниже 5 класса;

· системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса, в случае взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена, и не ниже 5 класса, в случае отсутствия взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена;

· межсетевые экраны не ниже 3 класса в случае взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия ГИС с информационно-телекоммуникационными сетями международного информационного обмена.

В ГИС 4 класса защищенности применяются:

· средства вычислительной техники не ниже 5 класса;

· системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

· межсетевые экраны не ниже 4 класса.

Примеры комплекса мероприятий для обеспечения защиты информации, обрабатываемых в ГИС

«Защита ГИС» представляет собой комплекс мероприятий для обеспечения защиты информации, обрабатываемых в ГИС, и состоит из следующих этапов:

	Ключевые задачи	Решения
Образование	· Взаимодействие с федеральными информационными системами: РИС ГИА (ФИС ЕГЭ), ЕИС ГА (ЕГИСМ), АС ФРДО, АИСТ ГБД · Концепция создания единой федеральной межведомственной системы КОНТИНГЕНТ	· Подключение выделенных АРМ · Подключение сегментов информационных систем
Здравоохранение	· Обработка в МИС персональных данных, требующих обеспечения высокого уровня защищенности · Взаимодействие с большим количеством ЛПУ, интеграция с ЕГИСЗ	· Комплексная система защиты информации в МИС · Защищенная сеть связи с ЛПУ, Удостоверяющие центры (подготовка к получению лицензии ФСБ, к аккредитации УЦ Минкомсвязью России)
Государственный заказ	· Выполнение единых требований для региональных (муниципальных) информационных систем в сфере закупок в соответствии с требованиями ПП № 1091 до 1 января 2016 года	· Региональные (муниципальные) информационные системы в защищенном исполнении · Создание комплексной системы защиты
Информатизация	· Размещение в ЦОД информационных систем других органов власти · Обеспечение защищенного, юридически значимого документооборота между органами власти региона, муниципалитета · Единая политика в сфере безопасности, типизация документации, создание эффективных инструментов управления процессами в сфере ИБ · Управление и контроль информатизации	· Комплексная система защиты центра обработки данных (ЦОД), регламентация размещения информационной системы · Создание Удостоверяющего центра, регламентация обмена электронными документами и использования средств электронной подписи, Электронный архив · Комплексный проект по внедрению «Alfa-doc» · Управление информатизацией региона



Заключение

Выбор способов защиты информации в информационной системе - сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.

После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.



Список литературы

1. «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608).

2. «Методический документ. Меры защиты информации в государственных информационных системах», утвержден приказом ФСТЭК России от 11 февраля 2014 г. (далее - Методика защиты ГИС).

3. Википедия

Размещено на Allbest.ru