Информационная безопасность

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

КУРСОВАЯ РАБОТА

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ



Содержание

Введение

1 Информационная безопасность

1.1 Информатизация общества и проблема информационной безопасности

1.2 Основные концептуальные положения системы защиты информации

2 Защита информации в муниципальных информационных системах

2.1 Понятие муниципальной информационной безопасности

2.2 Внедрение информационных технологий в муниципальные информационные системе

2.3 Угрозы информационным системам и защита от них

2.4 Защита персональных данных в МИС. Средства и методы защиты

Заключение

Список использованной литературы



Введение

Обеспечение информационной безопасности Российской Федерации  является одной  из ключевых составляющих развития информационного общества.

Под информационной безопасностью  Российской Федерации понимается состояние  защищенности ее национальных интересов  в информационной сфере, определяющихся совокупностью сбалансированных интересов  личности, общества и государства.

Министерство связи  и массовых коммуникаций Российской Федерации является федеральным органом исполнительной власти, наряду с другими ведомствами осуществляющим функции по выработке и реализации государственной политики по данному направлению.

Согласно Положению  о Министерстве, утвержденному постановлением Правительства Российской Федерации от 2 июня 2008 г. № 418, Минкомсвязь России уполномочено утверждать требования по информационной безопасности информационных систем, в том числе информационных систем персональных данных (за исключением информационных систем критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи, требования к формату данных в государственных информационных системах, акты по вопросам обеспечения контроля и надзора в установленной сфере ведения, а также требования к сетям и средствам связи для проведения оперативно-розыскных мероприятий по согласованию с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность.

В соответствии с поручениями  Правительства Российской Федерации Минкомсвязь России, совместно с ФСБ России, ФСО России, МВД России, ФСТЭК России и другими органами власти принимает участие в реализации программы по обеспечению информационной безопасности Российской Федерации, в том числе в подготовке проектов федеральных законов, нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации, а также иных.

Данная программа, в частности, призвана также обеспечить защиту информации в муниципальных информационных системах.

Цель курсовой работы - рассмотреть системы защиты информации в муниципальных информационных системах.

Для реализации данной цели необходимо решить следующие задачи:

- раскрыть понятие информационной безопасности;

- определить понятие муниципальной информационной системы (МИС);

- определить источники угроз для МИС, а также методы и средства защиты информации в МИС.



1 Информационная безопасность

1.1 Информатизация общества и проблема информационной безопасности

Развитие  глобального процесса информатизации общества, которое наблюдается  в  последние десятилетия XX века, породило новую глобальную социо-технологическую проблему - проблему информационной безопасности человека и общества.

Существо  этой проблемы состоит в следующем. Многие важнейшие интересы человека, общества, государства, да и всей мировой цивилизации уже в настоящее время в значительной степени определяется состоянием окружающей их информационной сферы. Поэтому целенаправленные или непреднамеренные воздействия на информационную сферу со стороны внешних или же внутренних источников могут наносить серьезный ущерб этим интересам и представляют собой угрозы для безопасности человека и общества.

Под информационной безопасностью в  дальнейшем понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах  граждан, организаций и государства. А под информационными угрозами - факторы или совокупности факторов, создающие опасность функционированию информационной среды общества.

Осознание связи между состоянием информационной среды общества и возможностями  достижения важнейших интересов  человека и общества произошло совсем недавно, практически на интервале последнего десятилетия. И, тем не менее, многие государства мира, в том числе и Россия, уже разработали свои национальные доктрины в области информационной безопасности, а также концепции государственной политики по ее обеспечению.

В 1998 году начата подготовка и проекта  международной концепции информационной безопасности.

Необходимо  отметить, что проблемы обеспечения  информационной безопасности государства, общества и отдельного человека в  значительной степени взаимосвязаны, хотя вполне естественно, что их основные интересы существенно различны. Так, например, на современном этапе развития общества интересы личности заключается в реальном обеспечении своих конституционных прав и свобод, личной безопасности, повышения качества и уровня жизни, возможности физического, интеллектуального и духовного развития.

 Интересы  общества заключаются в достижении и сохранении общественного согласия, повышении созидательной активности населения, духовного развития общества.

 Интересы  государства состоят в защите конституционного строя, суверенитета и территориальной целостности страны, установлении и сохранении политической и социальной стабильности, обеспечении законности и правопорядка, развитии равноправного международного сотрудничества.

1.2 Основные концептуальные положения системы защиты информации

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

- весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;

- значительное число фирм, специализирующихся на решении вопросов защиты информации;

- достаточно четко очерченная система взглядов на эту проблему;

- наличие значительного практического опыта и др.

И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.

Опыт также показывает, что:

- обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;

- безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

Ни какая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

- непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;

- плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

- конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

- активной. Защищать информацию необходимо с достаточной степенью настойчивости;

- надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;

- универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;

- комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.

Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообуславливающих друг друга сторон, свойств, тенденций.

Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

- охватывать весь технологический комплекс информационной деятельности;

- быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;

- быть открытой для изменения и дополнения мер обеспечения безопасности информации;

- быть простой для технического обслуживания и удобной для эксплуатации пользователями;

- быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;

- быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования:

- четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

- предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

- сведение к минимуму числа общих для нескольких пользователей средств защиты;

- учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

- обеспечение оценки степени конфиденциальной информации;

- обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:

- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;

- организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;

- аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;

- информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;

- программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;

- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств, злоумышленников, зон и норм необходимой защиты;

- лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;

- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.



2 Защита информации в муниципальных информационных системах

2.1 Понятие муниципальной информационной безопасности

Муниципальная информационная система - это целостная технологическая программа и информационная среда для создания, хранения, анализа и распространения информации в интересах муниципальных органов власти, предприятий и граждан.

Данный вид информационной системы представляется с программно-технологической  точки зрения как информационно - программный комплекс  и предназначается для создания комплексной информационной модели муниципального  образования и накопление статических данных, обеспечивающих функционирование органов управления.

Основные цели и задачи внедрения муниципальных информационных систем:

- сбор данных по различным категориям населения города для эффективного управления социальной инфраструктурой и упорядочения расходования бюджетных средств, направляемых на реализацию социальных программ;

- ведение единого городского кадастра для оптимизации градостроительных решений;

- ведение единого инженерного кадастра для координации деятельности инженерных служб и оперативного управления жизнеобеспечением города;

- ведение единого имущественного кадастра для эффективного управления муниципальным имуществом;

- мониторинг бюджета для поддержки оперативных решений по управлению расходами, обеспечение единой системы закупок и контрактов;

- оперативное информирование населения о деятельности муниципалитета для удовлетворения его информационных потребностей, обеспечения конструктивного взаимодействия населения с органами управления.

Построение муниципальной информационной системы состоит  в создании интегрированной информационной структуры города путем налаживания  стабильных информационных потоков от Центральных органов администрации города к пользователям этими данными.

Обобщенная  структура  муниципальной  информационной системы  состоит из следующих компонентов:

1. ИСЦАА - информационная система центрального аппарата администрации.

2. ИСГД - информационная система городской думы.

3. ИСТОМУ - информационная подсистема территориальных органов муниципального управления.

4. ИСООМУ - информационная подсистема функциональных органов отраслевого муниципального управления.

5. ИСФОМУ - информационная подсистема функциональных органов муниципального управления.

6. МИП - муниципальный интернет - портал.

7. ЦБД - центральная база данных.

8. ЕИП - единое информационное пространство города.

Если учитывать частные  задачи МИС, то структуру системы  можно дополнить следующими компонентами:

- подсистема бюджетного процесса;

- подсистема нормативно - правового обеспечения органов местного самоуправления;

- локальная вычислительная сеть мэрии;

- подсистема  документооборота и делопроизводства;

- комплекс учета муниципальной собственности.

При создании муниципальной информационной системы следует отталкиваться от задач функций органов местного самоуправления, так называемых «предметов ведения местного самоуправления» и тех задач, которые ставит перед собой администрация города.

Муниципальные информационные системы являются средством информационной поддержки муниципального управления, и ее необходимо рассматривать как объединение всех принятых в организации технологий обработки информации.

В общем виде процесс  создания муниципальных информационных систем представляет собой реализацию последовательных этапов формирования отдельных элементов системы, каждый из которых связан с решением конкретных вопросов местного значения. Создание каждого элемента муниципальной информационной системы обеспечивает автоматизацию и решение задач управления конкретных отраслей и функций муниципалитета, но в то же время является составным элементом и кирпичиком создаваемой интегрированной муниципальной информационной системы, способной решать задачи комплексного управления муниципальным образованием.

Муниципальные информационные системы создаются на основании решения органа местного самоуправления.

Оператором муниципальной  информационной системы является собственник  используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Особенности эксплуатации муниципальных информационных систем могут устанавливаться в соответствии с техническими регламентами, нормативными правовыми актами государственных органов, нормативными правовыми актами органов местного самоуправления, принимающих решения о создании таких информационных систем.

Также муниципальные  информационные системы включают:

1. Разработку, создание, ввод в эксплуатацию социальных регистров и муниципальных информационно-аналитических  систем.

2. Интегрированные информационно-аналитические системы для муниципальных администраций, городских и районных служб по работе с населением и городским хозяйством.

3. Специализированные информационно-аналитические системы и базы данных для действующих на территории муниципальных образований служб социальной защиты населения, общественных организаций, частных и государственных фондов поддержки инвалидов, военнослужащих,  малоимущих.

4. Специализированные инструменты анализа баз данных, функционирующих в муниципальных администрациях, городских и районных службах по работе с населением и городским хозяйством.

Можно выделить следующие  направления использования современных информационных технологий в деятельности органов муниципального управления:

- информационное взаимодействие субъектов муниципального управления;

- информационно - аналитическая поддержка управленческих решений;

- обеспечение безбумажной технологии обработки и хранения информации.



2.2 Внедрение информационных технологий в муниципальные информационные системы

Внимание хочется остановить на том, что в последнее десятилетие XX века информационно-коммуникационные технологии стали одним из важнейших факторов, влияющих на развитие общества. Их революционное воздействие касается государственных структур и институтов гражданского общества, экономической и социальной сфер, науки и образования, культуры и образа жизни людей. Многие развитые и развивающиеся страны в полной мере осознали те колоссальные преимущества, которые несут с собой развитие и распространение информационно-коммуникационных технологий. Ни у кого не вызывает сомнения тот факт, что движение к информационному обществу - это путь в будущее человеческой цивилизации.

Надо отметить, что в построении информационного общества отставание России  от развитых стран измеряется не десятилетиями, а годами, и это отставание постепенно сокращается. Такие тенденции вселяют определенную надежду, что информатизация общества поможет вытянуть из кризисного состояния российскую экономику.

К сожалению, процессы информатизации развивались стихийно, порождая этим проблемы, связанные с отсутствием  единой государственной информационной политики.

Главной из этих проблем являлась и является проблема самодостаточного характера отечественной информатизации, когда каждое министерство, ведомство, а на нашем муниципальном уровне, каждое муниципальное образование имело свою точку зрения и свое видение развития информационных технологий.

Несогласованность этих процессов привели к дублированию многих функций. Это связано с  закрытостью ведомственных информационных ресурсов, когда муниципалитеты не имели информации из баз данных "население", "предприятия  города" и т.д.

Отсутствие единых критериев  формирования банков данных, формируемых  в большей мере на территории муниципальных  образований, также создают трудности  для проведения комплексной работы по созданию единых общегородских ресурсов.

В этих условиях большие надежды возлагаются на утвержденную  ФЦП "Электронная Россия".

Утверждение ФЦП явилось толчком для многих муниципальных образований в части внедрения информационных технологий в систему управления городов.

Реализация  Программы позволит:

- преодолеть отставание России от развитых стран в уровне использования и развития ИКТ;

- обеспечить равноправное вхождение граждан России в глобальное информационное сообщество на основе соблюдения прав человека, в том числе права на свободный поиск, получение, передачу, производство и распространение информации, а также права на обеспечение конфиденциальности любой охраняемой законом информации, имеющейся в информационных системах.

- сформировать единую информационную и телекоммуникационную инфраструктуру, необходимую для совершенствования работы органов государственной власти и органов местного самоуправления, предприятий и других организаций;

- обеспечить права каждого на свободное получение информации муниципальных  информационных систем.

В этой связи безусловно актуальной является организация защиты информации в муниципальных информационных системах.

Безопасность информационной системы - свойство, заключающееся  в способности системы обеспечить конфиденциальность и целостность  информации.

2.3 Угрозы информационным системам и защита от них

Угрозы информационным системам можно объединить в следующие группы:

1. Угроза раскрытия информации.

2. Угроза нарушения целостности - умышленное несанкционированное или неумышленное изменение (удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.

3. Угроза отказа от обслуживания - блокировка доступа к некоторому ресурсу вычислительной системы.

По природе возникновения  угрозы можно разделить на:

- естественные;

- искусственные.

Естественные угрозы - это угрозы, связанные с воздействиями  на ИС объективных физических процессов или природных явлений.

Искусственные угрозы -  это угрозы информационной системе, связанные с деятельностью человека.

Пользователем ИС могут  быть осуществлены следующие непреднамеренные действия, представляющие угрозу безопасности информационной системы:

- доведение до состояния частичного или полного отказа системы, разрушения аппаратных, программных, информационных ресурсов системы (порча оборудования, носителей информации, удаление, искажение файлов и т.д.);

- неправомерное включение оборудования или изменение режимов работы устройств и программ;

- нелегальное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения служебных обязанностей, с последующим необоснованным расходованием ресурсов;

- заражение компьютера вирусами;

- разглашение конфиденциальной информации;

- разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования и т.д.);

- игнорирование организационных ограничений;

- некомпетентное использование, неправомерное отключение средств защиты информации;

- ввод ошибочных данных;

- повреждение каналов связи. 

Действия представляющие угрозу безопасности информации могут  быть и преднамеренными:

- физическое разрушение  системы или вывод из строя наиболее важных ее компонентов;

- отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи т.д.);

- дезорганизация функционирования системы (изменение режимов работы  устройств или программ);

- внедрение агентов  в число персонала (в том числе и в службу безопасности), вербовка персонала или отдельных пользователей, имеющих определенные полномочия;

- применение подслушивающих  устройств, видеосъемка;

- хищение носителей  информации;

- незаконное получение  паролей и других реквизитов  разграничения доступа;

- вскрытие шифров  криптозащиты информации;

- внедрение аппаратных  спецвложений, «троянских коней»;

- несанкционированное  копирование носителей информации.

Для защиты информации разрабатывают  систему защиты.

Система защиты - это совокупность специальных мер правового и административного характера, организационных мероприятий, программно-аппаратных средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности.

Для построения эффективной  системы защиты необходимо провести следующие работы:

§ определение угрозы безопасности;

§ выявить возможные каналы утечки информации и несанкционированного доступа к данным;

§ построить модель потенциального нарушителя;

§ выбрать соответствующие меры, методы, механизмы и средства защиты.

Отдельно хочется поговорить о том, как защитить информацию от компьютерных вирусов.

Компьютерный вирус - это, как  правило, небольшая по объему компьютерная программа, обладающая следующими свойствами:

- возможностью создавать свои копии и внедрять их в другие программы;

- скрытость существования до определенного момента;

- несанкционированность производимых ею действий;

- наличие отрицательных последствий от ее функционирования.

Для обнаружения и  удаления компьютерных вирусов разработано  много различных программ.

Антивирусные программы  можно разделить на:

· программы - детекторы (осуществляют поиск компьютерных вирусов в памяти машины и при их обнаружении сообщают об этом);

· программы - ревизоры (они запоминают исходное состояние программ, каталогов, системных областей и периодически или по указанию пользователя сравнивают его с текущим. При сравнении проверяется длина файлов, дата их создания и модификации);

· программы - фильтры (обеспечивают выявление подозрительных,  характерных для вирусов действий. При обнаружении посылают пользователю запрос о подтверждении правомерности таких процедур);

· программы - доктора, или дезинфекторы, фаги (самые распространенные: Kaspersky Antivirus, Doctor Web и т.д., которые не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные сектора дисков. Они сначала ищут вирусы в оперативной памяти и уничтожают их там, а затем лечат файлы и диски);

· программы - вакцины, или иммунизаторы (применяются для предотвращения заражения файлов и дисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой - вирусом уже зараженным, и поэтому вирус не внедряется).

Согласно ФЗ от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации» защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Раскроем подробнее данные пункты в аспекте муниципальной  информационной системы.

Доступ  к  информации о деятельности муниципальных  органов обеспечивается путем:

- обнародования (опубликования) органами местного самоуправления информации о своей деятельности в случаях, установленных законодательством Российской Федерации и нормативными правовыми актами органов местного самоуправления;

- размещения органами местного самоуправления информации о своей деятельности в информационных системах общего пользования;

- обеспечения доступа пользователей (потребителей) информации на заседания органов местного самоуправления в порядке, установленном нормативными правовыми актами органов местного самоуправления;

- получения пользователями (потребителями) информации о деятельности государственных органов и органов местного самоуправления по запросу.

Однако, в законе «Об общих принципах организации  местного самоуправления в РФ», новая  редакция которого утверждена совсем недавно, органы муниципальной власти не имеют полномочий в части информационного обеспечения.

Государственное регулирование  отношений в сфере защиты информации муниципальных информационных систем осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Обладатель информации, оператор муниципальной  информационной системы в случаях, установленных  законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Нарушение требований об использовании информации  влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. Доктрина информационной безопасности Российской Федерации.

Также в целях обеспечения  защиты информации используется, утвержденная президентом Российской Федерации 9 сентября 2004 года, №. Пр-1895.

Настоящая Доктрина служит основой для:

· формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;

· подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности Российской Федерации;

· разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Безусловно, в данной Доктрине определены положения для  муниципального уровня. Доктрина направлена на повышение безопасности данной муниципальной информационной системы, включая в свои задачи обеспечение безопасности первичных сетей связи муниципальной информационной системы и федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово - кредитной и банковской сфер, сферы хозяйственной деятельности на уровне органов местного самоуправления.

Источниками угроз безопасности информационных и систем могут являться:

· противоправные сбор и использование информации;

· нарушения технологии обработки информации;

· внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

· разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно - телекоммуникационных систем, в том числе систем защиты информации;

· уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;

· воздействие на парольно - ключевые системы защиты автоматизированных систем обработки и передачи информации;

· компрометация ключей и средств криптографической защиты информации;

· утечка информации по техническим каналам;

· внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;

· уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

· перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;

· использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии информационной инфраструктуры;

· несанкционированный доступ к информации, находящейся в банках и базах данных;

· нарушение законных ограничений на распространение информации.

Основными причинами  являются:

- на муниципальном уровне нет необходимой и достаточной координации деятельности направленной на формирование и реализацию единой государственной политики в области обеспечения информационной безопасности;

- недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

- неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

- недостаточное финансирование мероприятий по обеспечению информационной безопасности на муниципальном уровне;

- недостаточная экономическая мощь муниципалитета;

- снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

- недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

- отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно - финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

Проблема информационной безопасности также рассматривается в постановлении от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах».



2.4 Защита персональных данных в МИС. Средства и методы защиты

На уровне муниципального образования очень важно обеспечивать защиту персональных данных. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность  персональных данных при их обработке в муниципальных  информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в муниципальной информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке  в муниципальных информационных системах осуществляется защита речевой  информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

При защите персональных данных в муниципальной информационной системе должно быть обеспечено:

§ проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

§ своевременное обнаружение фактов несанкционированного доступа к персональным данным;

§ недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

§ возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

§ постоянный контроль за обеспечением уровня защищенности персональных данных.

Средства  защиты информации, предназначенные для обеспечения  безопасности персональных данных при  их обработке в муниципальной информационной системе, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Уже не раз было сказано  о том, что для обеспечения  информационной безопасности необходимо формирование единой государственной политики в области использования информационных технологий, как на государственном, так и на муниципальном уровнях. Эта политика должна включать единые положения, к которым можно отнести:

1. Подчинение процессов использования информационных технологий решению приоритетных задач социально-экономического развития, модернизации системы государственного управления, обеспечения обороноспособности и национальной безопасности страны.

2. Определение направлений и объемов бюджетных расходов в области использования информационных технологий в государственном управлении на основе конкретных измеримых результатов и показателей эффективности деятельности федеральных органов государственной власти.

3. Консолидация бюджетных средств на создании государственных информационных систем, имеющих важное социально-экономическое и политическое значение.

4. Централизованное создание общих для федеральных органов государственной власти элементов информационно-технологической инфраструктуры.

5. Обеспечение согласованности и сбалансированности внедрения информационных технологий в деятельность федеральных органов государственной власти.

6. Согласованность нормативной правовой и методической базы в сфере информационных технологий на всех уровнях.

7. Открытость и прозрачность использования информационных технологий в деятельности федеральных органов государственной власти.

8. Исключение дублирования бюджетных расходов на создание государственных информационных ресурсов и систем.

9. Унификация элементов информационно-технологической инфраструктуры, использование типовых решений при создании государственных информационных систем федеральных органов государственной власти.

Также можно предложить такой вариант защиты информации, как категорирование.

Присвоение категорий  безопасности информации и информационным системам производится на основе оценки ущерба, который может быть нанесен  нарушениями безопасности. Подобные инциденты могут помешать организации  в выполнении возложенной на нее  миссии, скомпрометировать активы, поставить компанию в положение нарушителя действующего законодательства, создать угрозу повседневной деятельности, подвергнуть опасности персонал. Категории безопасности используются совместно с данными об уязвимостях и угрозах в процессе анализа рисков, которым подвержена организация. информационный защита информации

При категорировании  информационной системы принимаются  во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой  информационной системы, т.е. берется максимум категорий по всем видам информации и активов.

Необходимо создавать, защищать и поддерживать регистрационные  журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности; обеспечить прослеживаемость действий в информационной системе с точностью до пользователя (подотчетность пользователей).

В задачи  протоколирования и аудита  также входит защита носителей:

Необходимо:

· защищать носители данных как цифровые, так и бумажные;

· предоставлять доступ к данным на носителях только авторизованным пользователям;

· санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования.

С целью защиты систем и коммуникаций:

· отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах информационной системы;

· применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности информационной системы.

Для обеспечения  целостности систем и данных:

· своевременно идентифицировать дефекты информационной системы и данных, докладывать о них и исправлять;

· защищать информационную систему от вредоносного программного обеспечения;

· отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.

Также необходимо сформировать политику информационной безопасности муниципальной информационной системы, в которую нужно включить:

- определение и разработка руководящих документов и стандартов в области информационной безопасности;

- сформировать принципы администрирования системы информационной безопасности и управление доступом к вычислительным и телекоммуникационным средствам, программам и информационным ресурсам, а также доступом в помещения, где они располагаются;

- принципы контроля состояния систем защиты информации, способы информирования об инцидентах в области информационной безопасности и выработку корректирующих мер, направленных на устранение угроз;

- принципы использования информационных ресурсов персоналом компании и внешними пользователями; организацию антивирусной защиты и защиты против несанкционированного доступа и действий хакеров;

- уточнить вопросы резервного копирования данных и информации;

- разработать порядок проведения профилактических, ремонтных и восстановительных работ;

- предусмотреть программу обучения и повышения квалификации персонала;

- разработать методологию выявления и оценки угроз и рисков их осуществления, определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков;

- определить порядок сертификации на соответствие стандартам в области информационной безопасности. Должна быть определена периодичность проведения совещаний по тематике информационной безопасности на уровне муниципалитета, включая периодический пересмотр положений политики информационной безопасности, а также порядок обучения всех категорий пользователей муниципальной информационной системы по вопросам информационной безопасности.

Следующим этапом построения комплексной системы информационной безопасности служит приобретение, установка и настройка рекомендованных на предыдущем этапе средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие.

Для правильного и  эффективного применения установленных  средств защиты необходим квалифицированный  персонал.

Стандартный набор  средств комплексной защиты информации в составе современной информационной системы обычно содержит следующие компоненты:

· средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System - FES);

· средства авторизации и разграничения доступа к информационным ресурсам, а также защиту от несанкционированного доступа к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch - memory, ключи для USB-портов и т.п.);

· средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);

· средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;

· средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (VPN);

· средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection);

· средства обеспечения централизованного управления системой информационной безопасности в соответствии с согласованной и утвержденной "Политикой безопасности компании".

Стоит отметить также основные положения государственной  политики в области защиты информации. Эти положения должны соблюдаться  и на уровне муниципального образования.

Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах:

· соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации;

· открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;

· правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;

· приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.



Заключение

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

Это предполагает:

· оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования;

· создание организационно - правовых механизмов обеспечения информационной безопасности;

· определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере;