Защита информации в сфере государственных (муниципальных) услуг
Проблемы обеспечения защиты информации в сфере государственных услуг. Обеспечение информационной безопасности в процессе оказания услуг удостоверяющих центров через центры оказания государственных и муниципальных услуг. Классификация угроз безопасности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 23.11.2019 |
Размер файла | 37,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Содержание
Введение
1. Теоретические основы защиты информации
1.1 Понятие конфиденциальной информации, ее виды
1.2 Классификация угроз информационной безопасности
2. Проблемы обеспечения защиты информации в сфере государственных услуг
2.1 Защита информации в органах власти
2.2 Обеспечение информационной безопасности в процессе оказания услуг удостоверяющих центров через центры оказания государственных и муниципальных услуг
3. Оценка защиты конфиденциальной информации в Администрации МО "Карагайский район" Пермский край
3.1 Организация работы по защите конфиденциальной информации и персональных данных в Администрации МО "Карагайский район"
3.2 Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края
Заключение
Список литературы
Введение
Актуальность темы обусловлена тем, что информация является важным продуктом общественного производства, непрерывно увеличивающимся ресурсом человечества; на сегодняшний день это самый ценный и актуальный объект в международных экономических отношениях. На международных уровнях сформировалась система взглядов на информации как на ценные ресурсы жизнеобеспечения общества, который имеет социальное значение. информация безопасность государственный
Вся информация имеет разную ценность для субъектов и, соответственно, ее раскрытие может приводить к угрозам экономической безопасности разной степени опасности. Страх потерять такие активы заставляет основывать разные системы защиты, в том числе организационные, а основное - юридические. В связи с этим информация делится на три группы: информация для публичного использования каждым потребителем в любых формах; информация ограниченного доступа лишь для органов с соответствующими законными правами (полиция, налоговая инспекция, прокуратура); информации лишь для сотрудников (или руководителей) организации. Информация, которая относится ко второй и третьей группам, является конфиденциальной и имеет ограничения в распространении. Часть данной информации представляет собой специальный блок и может быть отнесена к секрету.
В современном обществе неизбежность и целесообразность применения информационных технологий и глобальных коммуникаций влечет за собой неизбежность угроз информационной безопасности и утечки "закрытой" информации.
Потери информаций в персональном компьютере в итоге проникновения вируса ощутима для его владельцев, но нарушения систем государственного управления, муниципального самоуправления, систем жизнеобеспечения затрагивает интересы общества, национальные интересы в целом.
Масштабы угроз информационной безопасности, признанные международным сообществом, отражены в документах всемирного саммита по информационному обществу, который призывает всех участников информационного общества принять надлежащие меры и принять законодательные меры для предотвращения неправомерного использования информационные и телекоммуникационные технологии (ИКТ).
Россия также инициировала постановку проблем международной информационной безопасности (МИБ) на уровне ООН и разработку соответствующих рекомендаций.
Проблема защиты конфиденциальной информации муниципальных органов власти в настоящее время является наиболее острой, поскольку угрозы нарушений информационной безопасности носят глобальный и трансграничный характер;методы реализаций угрозы информационной безопасности и формы их проявлений непрерывно улучшаются; Высокая технология данных угроз требует адекватных контрмер, накладывает требования к квалификациям специалистов по информационной безопасности.
Конфиденциальная информация является наиболее важнейшей составляющей любых информационных отношений. Вопросы правового регулирования применения и распространения информации в последнее время занимают существенное место в юридической литературе. Это связано, прежде всего, с тем, что содержания юридически значимого секрета заключается в том, что его предметом является информация, не предназначенная для обширных кругов лиц, и ее раскрытие может повлечь нежелательные последствия для владельцев и обладателей секрета.
Стоит сказать, что в современное время законодательное регулирование общественных отношений, которые связаны с применением определенных видов конфиденциальной информации, несовершенно. На вопрос нормативного регулирования секретности влияет Федеральный закон от 27 июля 2006 г. № 149-ФЗ (с изменениями от 06.04.2011 г.) "Об информации, информационных технологиях и защите информации ", который является основой для выделения соответствующее направление научных исследований. Эти проблемы определяют актуальность данного исследования.
В научной литературе некоторые аспекты, которые связаны с обеспечениями механизма защиты определенных видов конфиденциальной информации ограниченного доступа, отражены в научных трудах юристов, и проблема правовой защиты конфиденциальной информации практически не изучалась самостоятельно.
Объект исследования работы - виды конфиденциальной информации.
Предмет исследования работы - правовые отношения в сфере конфиденциальной информации.
Цель работы - выявить особенности защиты конфиденциальной информации.
Для достижения поставленной цели определены следующие задачи работы:
1) рассмотреть понятие, признаки и структуру конфиденциальной информации;
2) изучить основные способы и каналы утечки и распространения информации ограниченного доступа;
3) изучить нормативно-правовые основы защиты конфиденциальной информации;
4) проанализировать систему защиты конфиденциальной информации, в том числе и персональных данных в органах муниципального самоуправления;
5) обосновать предложения и рекомендации по совершенствованию правовой защиты сведений, составляющих конфиденциальную информацию в органах местного самоуправления.
1. Теоретические основы защиты информации
1.1 Понятие конфиденциальной информации, ее виды
Информация, используемая в деловой деятельности, очень разнообразна. Его можно разделить на два типа: промышленный и коммерческий. Промышленная информация включает информацию о производственных технологиях и методах, технических открытиях и запасах, ноу-хау, проектной документации, программном обеспечении и т. Д. Коммерческая информация - о финансово-экономическом положении предприятия (финансовая отчетность), кредитах и банковских операциях, контрактах и контрагенты, структура капитала и инвестиционные планы, стратегические маркетинговые планы, анализ своей продукции, клиенты, планы развития производства, деловая переписка и т. д.
Вся эта информация имеет различную ценность для предпринимателей и, соответственно, ее раскрытие может (или не может) приводить к угрозам экономической безопасности различной степени опасности. Поэтому информацию следует разделить на три группы:
информация для публичного использования любым потребителем в любой форме;
информация только для ограниченного доступа для органов с соответствующими юридически установленными правами (полиция, налоговая полиция, прокуратура);
Информация только для сотрудников (или менеджеров) компании.
Информация, которая относится ко второй и третьей группам, является конфиденциальной и имеет ограничения в распространениях. Конфиденциальная информация - документированная (то есть записанная на материальных носителях и содержащая информацию, позволяющая ее идентифицировать) информация, доступы к которой ограничены в соответствии с законодательством Российской Федерации. Часть этой коммерческой информации является специальной единицей и может быть классифицирована как коммерческая тайна.
Хотя конфиденциальность является синонимом секретности, данный термин обширно применяется исключительно для обозначений ограниченных информационных ресурсов, не классифицируемых как государственные секреты.
Конфиденциальность отражает ограничение, требуемое владельцем информации для доступа к ней других лиц, то есть владелец устанавливает правовой режим этой информации в соответствии с законом.
Коммерческая тайна, в соответствии с гражданским законодательством Российской Федерации, представляет собой информацию, имеющую текущую или потенциальную коммерческую ценность из-за ее неизвестности третьим лицам, юридически доступ к ней недоступен, и владелец принимает меры для защиты ее конфиденциальности. Поэтому коммерческая тайна не может быть общедоступной и общедоступной информацией, ее открытое использование является угрозой экономической безопасности предпринимательской деятельности, и поэтому предприниматель предпринимает меры по сохранениям ее конфиденциальности и защите от незаконного применения.
Анализ видов конфиденциальной информации затруднен из-за несоответствий и недостатков в национальном законодательстве. Согласно пункту 2 статьи 10 Федерального закона "Об информации..." документированная информация с ограниченными доступами в соответствии с ее правовыми режимами подразделяется на информацию, которая отнесена к государственной тайне и конфиденциальную. Это предмет серьезной критики. Во-первых, понятия "секрет", "конфиденциальность", "секрет" эквивалентны, в результате парадокс-секретная информация (государственная тайна) исключается из сферы действия секрета.
Таким образом, конфиденциальная информация должна включать в себя всю ограниченную информацию, составляющую какой-либо секрет.
1.2 Классификация угроз информационной безопасности
Анализ и выявления угроз информационной безопасности является второй важнейшей функцией административного уровня информационной безопасности. Появление разработанной системы защиты и состав ее механизмов реализации во многом устанавливается потенциальными угрозами, которые выявлены на данном этапе. К примеру, если пользователи компьютернойсети организации имеют доступ к Интернету, число угроз информационной безопасности резко увеличивается, соответственно, это влияет на способы и средства защиты и т. Д.
Угроза "информационной безопасности" - это потенциальные возможности нарушений режима информационной безопасности. Умышленное внедрение угрозы именуется атакой на информационную систему. Лица, которые намеренно реализуют угрозы, являются злоумышленниками.
Зачастую угроза является следствием наличия уязвимостей в защитах информационных систем, например, неконтролируемого доступа к персональным компьютерам или нелицензионного программного обеспечения (к сожалению, даже лицензионное программное обеспечение не лишено уязвимости).
История формирования информационных систем показывает, что новые уязвимости возникают постоянно. С такой же регулярностью, но с небольшим отставанием есть и лекарства. По большей части средства безопасности появляются в ответ на возникающие угрозы, например, постоянно появляются исправления для программного обеспечения Microsoft, устраняются его следующие уязвимости и т. Д. Такой подход к безопасности неэффективен, поскольку между моментом времени всегда существует временной интервал. обнаружение угрозы и ее устранение. Именно в этот период злоумышленник может нанести непоправимый вред информации.
В связи с этим более уместен другой способ - метод проактивной защиты, которая заключается в разработках механизмов защиты от возможных, предполагаемых и потенциальных угроз.
Обратите внимание, что некоторые угрозы нельзя считать следствиями целенаправленных действий вредного характера. Имеются угрозы, которые вызваны случайными ошибками или техногенными явлениями.
Знания возможных угроз информационной безопасности, а также уязвимостей системы защиты нужно для выбора более экономичного и результативного средства обеспечения безопасности.
Угрозы информационной безопасности классифицируются по нескольким критериям:
* о компонентах информационной безопасности (доступности, целостности, конфиденциальности), против которых, прежде всего, направлены угрозы;
* компоненты информационных систем, на которые нацелены угрозы (данные, программы, оборудование, персонал);
* по характеру воздействия (случайные или преднамеренные, естественные или искусственные действия);
* по месту нахождения источника угрозы (внутри или вне рассматриваемой информационной системы).
Отправной точкой в анализе угроз информационной безопасности является установление компонента информационной безопасности, который может быть нарушен конкретной угрозой: конфиденциальность, целостность или доступность.
Проанализируем угрозы по характеру воздействия.
Опыт проектирования, изготовления и эксплуатаций информационных систем показывает, что информации подвергаются разным случайным воздействиям на всех этапах цикла жизни системы.
Причинами случайных влияний при эксплуатации могут быть:
* аварийные ситуации из-за стихийных бедствий и отключений электропитания (природные и техногенные воздействия);
* отказы и сбои аппаратуры;
* ошибки в программном обеспечении;
* ошибки в работе персонала;
* помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные воздействия - это целенаправленные действия злоумышленников. В качестве злоумышленника могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть определены различными мотивами, к примеру:
* недовольствами служащих служебным положением;
* любопытством;
* конкурентной борьбой;
* уязвленным самолюбием и т.д.
Угрозы, которые классифицируются по расположениям источника угроз, бывают внутренние и внешние.
Внешние угрозы определены применениями вычислительных сетей и основание на их основе информационных систем.
Главная специфика любой вычислительной сети заключается в том, что ее компоненты распределены в пространствах. Связи между узлами сети реализуются физически при помощи сетевых линий и программно при помощи механизма сообщений. При этом управляющие сообщения и данные, которые пересылаются между узлами сети, передаются в виде пакетов обмена. Специфика этого вида угроз состоит в том, что место положение злоумышленника изначально неизвестно.
2. Проблемы обеспечения защиты информации в сфере государственных услуг
2.1 Защита информации в органах власти
Защита информации - это комплекс мер, направленных на предотвращение утечки защищенной информации, предотвращение несанкционированного проникновения на защищенную информацию. Защита информации в государственных органах особенно важна. Данные, которыми располагают государственные органы, часто являются частными. Некоторая информация является секретной, поэтому ее распространение в любом месте недопустимо.
Сегодня существуют различные способы защиты информации, в том числе обеспечение определенных режимов секретности, шифрование, защита компьютера и так далее.
До середины 70-х годов XX века не было возможности полностью обеспечить качество защиты информации. Сегодня существует множество способов защитить его, технологии не стоят на месте, появились новые системы, которые могут предотвращать информационные атаки, но зачастую они недостаточно эффективны.
Например, некоторые государства отключают свои информационные ресурсы от глобальной сети Интернет, поскольку атаки на государственные информационные ресурсы в последнее время усилились. В частности, так сделали американские спецслужбы. Методы и перспективы защиты информации в органах государственной власти штата используют различные ИТ-специалисты, которые создают специальное программное обеспечение, обеспечивающее высокий уровень защиты информации, хранящейся на компьютерных носителях.
Однако появляются все новые и новые способы нападения на государство, в том числе секретные, ресурсы. Некоторые правительственные организации, которые используют секретную информацию, имеют свои собственные методы защиты. Например, во многих правоохранительных органах запрещено подключать компьютеры к Интернету, использовать флешки для сохранения информации и конфиденциальной информации.
Кроме того, многие органы, например, в системе Министерства внутренних дел, имеют свои подразделения в области защиты информации, которые реализуют функции по защите конфиденциальной информации.
В целях обеспечения национальной безопасности России сегодня выполняются следующие действия:
развивается информационная нормативно-правовая база;
создается пространство информационной безопасности как для граждан, так и для отдельных структур и организаций;
производится соответствующее программное обеспечение различных государственных организаций;
соблюдение стандартов информационной безопасности в Российской Федерации контролируется;
выявлены и пересекаются правонарушения, связанные с посягательством на информацию в различных областях;
с так называемой киберпреступностью ведется активная борьба;
проводится общая политика в этой области;
обеспечивается контроль за лицензированием информационной деятельности в различных сферах;
проводится анализ качества программных продуктов;
международное сотрудничество осуществляется в области информационной безопасности, обмена международным опытом.
Однако, несмотря на приложенные усилия, в настоящее время невозможно сказать о полном обеспечении информационной безопасности на территории России. Каждый день обычные пользователи сталкиваются с постоянно обновляемыми вирусами, с помощью которых осуществляется контроль за передачей конфиденциальной информации граждан.
То же самое можно сказать и о государственных органах власти, кое-где в Интернете POP выявляет конфиденциальную информацию, которую хакеры взламывают и выставляют на всеобщее обозрение. В настоящее время действующее законодательство не предоставляет достаточного набора инструментов для борьбы с киберпреступностью. Все программные средства, которыми в настоящее время обладают правоохранительные органы, недостаточны для эффективной борьбы с правонарушителями в этой области.
Для обеспечения эффективного функционирования правоохранительных органов необходимо не только обеспечить их соответствующим техническим оборудованием и программным обеспечением, но и соответствующим персоналом, а именно программистами, которые позволили бы внедрить эффективные системы защиты информации.
2.2 Обеспечение информационной безопасности в процессе оказания услуг удостоверяющих центров через центры оказания государственных и муниципальных услуг
Сфера предоставления государственных и муниципальных услуг (дальше - государственные услуги) на территории Российской Федерации в современное время активно улучшается [1]. В то же время, основным направлением развития государственных услуг является повышение уровня жизни граждан и улучшение деловой среды. Устранены административные барьеры, сокращены сроки оказания услуг, упрощена процедура получения согласований и разрешений. Граждане имеют возможности получать услуги по принципам "одного окна", когда гражданин представляет органу власти минимальный набор документов, который необходим для принятия решения, а органы самостоятельно собирают всю необходимую информацию исправки в границах межведомственного сотрудничество.
Также для оказания государственных услуг открыты специализированные центры по оказаниям государственных и муниципальных услуг "Мои документы" (далее - "Мои документы"). "Мои документы" - организация, основанная в организационно-правовой форме государственного или муниципального учреждения (в том числе автономного учреждения), которая отвечает требованиям и уполномочена на организации предоставления государственных и муниципальных услуг, в том числе в электронной форме, по принципам "одного окна" (Федеральный закон от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг").
Последующим развитием сферы государственных услуг стало внедрение услуг в электронном виде. В качестве платформы для предоставления государственных услуг был разработан "Единый портал государственных и муниципальных услуг", который предоставляет услуги различным государственным и муниципальным органам власти (например, Федеральной таможенной службе [2]). Гражданин может зарегистрироваться на этом портале самостоятельно на своем рабочем месте или в любом офисе "Мои документы " [3]. По данным Министерства связи и массовых коммуникаций Российской Федерации [4], на данный момент больше 30% граждан пользуются электронными услугами.
Принимая во внимание основное преимущество предоставления услуг в электронных форматах, а именно значительное снижение стоимости социальных коммуникаций для граждан, существует явный недостаток - очень специфический способ придания электронным документам юридической силы. Собственность официального документа, которая вызывает правовые последствия (ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов информационного, библиотечного и издательского дела. Делопроизводство и архивное дело. Термины и определения). Документ приобретает эту силу лишь при условиях, что в нем содержатся ряды обязательных реквизитов, в том числе подпись, соответственно, если речь идет об электронном документе, электронной подписи. Информация электронной подписи в электронной форме, которая прикрепляется к другой информации в электронной форме (подписанной информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию (Федеральный закон от 06.04.2011 № 63-ФЗ " на электронную подпись "). Существует несколько типов электронной подписи: простая и расширенная электронная подпись, расширенная электронная подпись делится на неквалифицированную и квалифицированную.
Некоторые государственные и муниципальные услуги, которые предоставляются в электронном виде, определяют применение исключительно квалифицированной электронной подписи (далее - КЭП), к примеру, подача 3-ярусной налоговой декларации в Федеральную налоговую службу, получение информации из государственной недвижимости кадастр Федеральной службы государственной регистрации, кадастр и картография и др. [5].
Чтобы получить CEP, необходимо обратиться в аккредитованный сертификационный центр - сертификационный центр, который провел процедуру соответствия требованиям Федерального закона от 06.04.2011 № 63-ФЗ (дальше - ОК), с набором документы, в том числе: заявления на основание сертификата ключа проверки электронной подписи, другие документы или их надлежащим образом заверенные копии, которые подтверждают сведения, предоставленные заявителем для включений в квалифицированный сертификат (дальше - комплект документов).
Гражданину для получения услуг в электронной форме, которые определяют использования КООС, сначала необходимо связаться с УНЦ, после чего следует взаимодействие с государственными и / или муниципальными органами власти через различные информационные системы государственных и муниципальных органов власти или Единый портал общественности. Сервисы. Эта схема имеет серьезный недостаток, а именно необходимость связаться с третьей стороной для получений электронной подписи.
На данный момент на территории Российской Федерации действует 402 аккредитованных ПСК [6]. Однако существует тенденция к тому, чтобы UCS находился исключительно в больших населенных пунктах, тогда как пользователи в удаленных населенных пунктах сталкиваются с сложностями при получениях сертификата ключа проверки электронной подписи (в дальнейшем именуемого UPC). Заявитель предпочел бы предоставить услугу в бумажных форматах.
В качестве оптимизаций госуслуг в электронном виде может быть предложена схема взаимодействий между ОТС и Моими документами, где результаты КЭП будут оформляться не в ОТС, а в соседней с гражданским кабинетом "Моих документах".
Согласно электронному ресурсу MFC.RF, сеть "Мои документы" охватывает 85 регионов Российской Федерации, по всей стране насчитывается около 1200 офисов моих документов [7]. Кроме того, по данным Министерства связи и массовых коммуникаций Российской Федерации, ежемесячный прирост пользователей электронных услуг превысил миллион человек [8].
Но, так как большой объем информации, в том числе конфиденциальной информации, такой как персональные данные (далее - ПД), обрабатывается во время предоставления услуг ПД, процесс взаимодействия между ПД и "Моими документами" требует детального рассмотрения вопросов безопасности.
Можно выделять по крайней мере один вариант взаимодействий гражданина, который обращается в УЦ для получений КЭП через офисы "Мои Документы", обеспечивающий сервисы безопасности передаваемой информации:
1) Пользователь избирает самостоятельно ли он будет готовить комплект документов или комплект документов будет готовиться работником "Мои Документы". При самостоятельной подготовке комплекта документов пользователь оформляет этот комплект по образцам, представленным на сайтах УЦ и "Мои Документы", производит оплаты услуг УЦ по реквизитам, которые также представлены на данных информационных ресурсах.
2) Пользователь путем специального программного обеспечения генерирует ключевую пару и создает запрос на создание СКПЭП (формат файла-запроса определён спецификацией Инженерного Общества Интернета (IETF) [9]).
3а) Если пользователь выбрал самостоятельную подготовку комплекта документов, ему необходимо зашифровать созданные им раньше документы в электронном формате, запрос на основание СКПЭП, квитанцию об оплате услуг УЦ для передачи по сетям общего пользования. Шифрование является вынужденной мерой, которая может обеспечивать конфиденциальной передаваемой информации, в том числе ПДн пользователя. Происходят шифрования при помощи средств ЭП, получивших сертификат соответствия требованиям ФСБ РФ, путем СКПЭП уполномоченного лица, который будет представлен на сайтах УЦ и "Мои Документы".
4а) При посещениях "Мои Документы", пользователь предоставляет оригиналы или должным образом заверенные копии бумажных документов, которые передавались им на этапе № 3 в электронном виде. Необходимость предоставлений документов в бумажном виде определена обязанностью хранения этой информации согласно статье № 15 Федерального закона от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи".
3б) Если пользователь избрал оформление документов для получений СКПЭП (заявление на создание СКПЭП, договор на предоставление услуг УЦ и т.д.) при помощи сотрудника "Мои Документы", то при посещениях "Мои Документы" ему потребуется предоставить оригинальный комплект документов. Также необходимо передать запрос на создание СКПЭП на переносном машинном носителе.
4б) Дальше пользователь получает счет на отплату услуг УЦ.
5б) После оплаты счета пользователь предоставляет в офис "Мои Документы" квитанцию об оплате.
6б) Следующим этапом оператор "Мои Документы" оформляет документы на основание СКПЭП для пользователя.
После предоставлений документов и проверки факта оплаты услуг сотрудник "Мои Документы" обрабатывает полученный запрос на СКПЭП .
Завершающий этап пользователь получает СКПЭП в бумажном и электронном виде.
Генерация пары ключей пользователем самостоятельно позволяет обеспечивать невозможность компрометаций ключа подписи со стороны сотрудника УЦ и свести к минимуму временные затраты и затраты на социальные коммуникации, однако следует отметить, что этот процесс следует проводить лишь при помощи сертифицированных средств ЭП. Это исключает наличия каких-то программных ошибок, которые могут привести к компрометациям ключа подписи пользователя.
Взаимодействие заключается из двух ссылок: ссылка между гражданином и "Мои документы", связь между "Мои документы" и УЦ. Что касается сообщения "Мои документы", в УЦ также имеется необходимость в передаче информаций, как в электронном, так и в бумажном виде.
Передача документов в бумажном формате проходит непосредственно между сотрудником "Мои документы" и уполномоченным сотрудником ОТС по принципам "из рук в руки". В офисах "Мои документы ", в связи с видом деятельности этой организации, есть необходимые меры для предотвращения несанкционированного доступа к защищенной информации. Возможна передача документов через курьерскую службу, в этом случае курьер отвечает за сохранение конфиденциальности данных.
УЦ является одним из элементов инфраструктуры открытого ключа [10]. Для реализаций своих функций УЦ применяет набор программного и аппаратного обеспечения (далее - инструменты УЦ). Чтобы иметь возможность использовать вышеуказанную схему в офисе "Мои документы", необходимо установить один из компонентов УЦ tools - Автоматизированное рабочее место администратора центра регистрации. Электронная информация во взаимодействии "Мои документы" УЦ - это информация, передаваемая между компонентами средств УЦ . Монтаж средств ОТС должен производиться в строгом соответствии с эксплуатационной и технической документацией на эти средства. Документация создается разработчиками в соответствии с нормативными актами регуляторов, регламентирующими процесс обеспечения информационной безопасности применительно к средствам УЦ и информации, передаваемой между ними.
3. Оценка защиты конфиденциальной информации в Администрации МО "Карагайский район" Пермский край
3.1 Организация работы по защите конфиденциальной информации и персональных данных в Администрации МО "Карагайский район"
Одним из органов местного самоуправления муниципального образования "Карагайский район" является Администрация муниципального образования "Карагайский район" Пермского края.
Администрация района является исполнительным и административным органом местного самоуправления муниципалитета, наделенным Уставом полномочиями по решению вопросов местного значения и полномочиями по осуществлению определенных государственных полномочий, переданных органам местного самоуправления федеральными законами.
Согласно Уставу муниципального образования "Карагайский район" в состав администрации района входят:
1) глава района - глава администрации района;
2) заместители главы районной администрации;
3) руководство, комитеты, отделы, службы администрации района;
4) другие структурные подразделения в соответствии с их полномочиями.
Администрация в своей деятельности руководствуется Конституцией Российской Федерации, Уставом МО "Карагайский район" Пермского края, правовыми актами местного самоуправления и Положением об администрации муниципального образования "Карагайский район" г. Перми. край.
Деятельность администрации основана на принципах законности, независимости в решении вопросов, входящих в ее компетенцию, прозрачности и учета мнения населения, ответственности за решения, подотчетности и подотчетности.
Администрация в рамках своих полномочий выполняет исполнительные и административные функции по решению вопросов местного значения и отдельных государственных полномочий, передаваемых федеральными законами в интересах населения области, обеспечивает исполнение законодательства Российской Федерации, Устав МО "Карагайский район", нормативные правовые акты органов местного самоуправления, принятые в пределах их компетенции, осуществляет координацию и связь между органами государственной власти и местного самоуправления на территории области, способствует реализации прав граждан на участие в осуществлении местного самоуправления.
Рассмотрим вопрос защиты конфиденциальной информации в администрации МО "Карагайский район". Организация работы с документами, содержащими государственную, коммерческую и служебную тайну, информацию о персональных данных, осуществляется пятью управлениями Администрации: Главным управлением, Управлением кадров и муниципальной службы, Мобилизационным управлением, Контрольно-правовым управлением, Департаментом автоматизированные системы.
Отдел мобилизации несет ответственность:
- ведение документации и хранение информации, составляющей конфиденциальную информацию;
- защита информации, содержащей конфиденциальную информацию.
Отдел автоматизированных систем отвечает за:
- организация использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
- организация работы по анализу внутренних и внешних угроз конфиденциальной информации и разработка мер по обеспечению ее защиты;
В отдел кадров и коммунального хозяйства, в главный отдел при содействии контрольно-правового отдела возложена обязанность:
- хранение и ведение кадровой документации, рабочих тетрадей и личных дел;
- защита персональных данных работников организации.
Сотрудники администрации района, имеющие доступ к персональным данным, осуществляют обработку:
1) персональные данные граждан;
2) персональные данные сотрудников Администрации.
Доступ к конфиденциальным информационным данным имеют только сотрудники администрации района в соответствии с утвержденным списком.
Рассмотрим на основании Администрации МО "Карагайский район" Пермского края наиболее распространенный вид конфиденциальной информации - персональные данные и порядок их обработки.
В сферу персональных данных входят:
- ФИО;
- Дата рождения;
- адрес проживания;
- паспортные данные;
- социальный статус;
- семейный состав;
- информация о доходах;
- детали собственности;
- номер аккаунта;
- сумма субсидии;
- адрес электронной почты;
- Телефон.
Обработка персональных данных - это сбор, хранение, объединение, передача или любое другое использование персональных данных.
Основанием для обработки персональных данных граждан являются их запросы в районную администрацию и соответствующие документы, указанные в Федеральном законе "О порядке рассмотрения граждан Российской Федерации", Жилищный кодекс Российской Федерации, градостроительный кодекс РФ, Земельный кодекс РФ.
Сотрудник Администрации района обрабатывает персональные данные граждан через автоматизированные информационные системы.
Гражданин, обратившийся в районную администрацию, имеет право беспрепятственного доступа к документированной информации (персональным данным) о себе, включая информацию на машиночитаемом носителе, для уточнения этой информации с целью обеспечения ее полноты и достоверности, а также имеет право знать, кто и для каких целей использует или использовал эту информацию, кем и кому она предоставляется.
Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и полномочий даются в письменной форме на бланке районной администрации и в объеме, позволяющем не разглашать чрезмерную информацию о носителях персональных данных.
Передача информации, содержащей информацию о персональных данных граждан, по телефону, факсу, электронной почте запрещена.
Персональные компьютеры, содержащие личные данные, защищены паролями доступа операционной системы и автоматизированными системами обработки личных данных.
Под личными данными сотрудников Администрации понимается информация, относящаяся к определенному или определяемая на основании такой информации субъекту персональных данных, включая его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семью, социальное, имущественное положение, образование, профессия, доход, а также информация о фактах, событиях и обстоятельствах жизни работника, позволяющая установить его личность.
3.2 Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края
Основные проблемы, с которыми сталкиваются органы местного самоуправления при организации защиты конфиденциальной информации, включают в себя:
1. Большой объем обрабатываемых персональных данных разных категорий.
2. Большой объем нормативных документов, подлежащих пересмотру в рамках создания системы защиты конфиденциальной информации.
3. Низкая степень автоматизации процессов обработки информации из-за недостаточно развитой информационной инфраструктуры.
4. Недостаточное финансирование расходов, связанных с технической защитой муниципальных информационных систем.
Наличие проблем, связанных с технической поддержкой защиты конфиденциальной информации, касается как технических средств, так и программного обеспечения, прежде всего системного. Эта проблема признана ведущими странами Европы и Азии, которые ищут альтернативу продуктам Microsoft в разработке национальных программных продуктов на основе систем с открытым исходным кодом. Такие разработки необходимы и России, заказчиком которой, безусловно, должно быть государство. Исследователи обращают внимание на то, что емкость рынка информационных компьютерных технологий в России увеличивается за счет покупки импортных технологий, а доля отечественных технологий на рынке уменьшается.
Существуют также проблемы регулирования работы сотрудников с персональными данными на основе внутренних административно-методических документов.
Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 предусматривает, что государственные или муниципальные органы, обрабатывающие персональные данные, обязаны принять ряд документов, в том числе:
- правила обработки персональных данных, определяющие для каждой цели обработки персональных данных содержание обрабатываемых данных, категории субъектов, данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении других законных оснований;
Документы, определяющие политику обработки персональных данных, публикуются на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.
Поскольку определенная доля в утечке конфиденциальной информации имеет "человеческий фактор", необходимо иметь более четкое нормативно-методическое регулирование организации обработки ПД (персональных данных). Среди основных факторов, способствующих ненадлежащему распространению персональных данных, можно выделить:
- отсутствие необходимых компетенций для работы с персональными данными в кадровой службе;
- отсутствие системы мотивации сотрудников;
- отсутствие навыков организации защиты информации, в том числе личных данных, во время встреч, переговоров, публичных выступлений;
- незнание современных технологий обработки персональной и конфиденциальной информации и др.
Недостаточная "проработка" организационных мер, направленных на защиту персональных данных, может способствовать формированию каналов утечки (потери) персональных данных работников. Эти каналы включают в себя:
- потеря или ненадлежащее уничтожение документа, пакета документов, личного файла, других конфиденциальных записей, содержащих личные данные;
- чрезмерная разговорчивость сотрудника с коллегами, родственниками, друзьями, с другими лицами, особенно в общественных местах (важно отметить, что переход информации от сотрудника администрации к постороннему является довольно распространенным явлением, хотя и не всегда приемлемый);
- работа с документами ограниченного доступа в присутствии посторонних лиц, а также несанкционированная передача другому сотруднику;
- использование ограниченной информации в открытой документации, публикациях, интервью, личных делах, дневниках;
- наличие информации ограниченного доступа в повседневных документах;
- несанкционированное копирование сотрудником информации из кадровой документации в личных целях.
Каждый сотрудник Администрации (государственный и государственный служащий) должен быть ознакомлен с Регламентом и руководящими принципами организации обработки и защиты персональных данных и персональной ответственности под подписью. Также необходимо ограничить доступ сотрудников и пользователей информационных систем к персональным данным.
Лица, чей доступ к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допущены к соответствующим персональным данным на основании "Списка лиц, допущенных к персональным данным" и требуют от этих лиц обязательства не разглашать личные данные, которые стали им известны, вследствие исполнения служебных обязанностей в письменном виде.
Для повышения эффективности защиты конфиденциальной информации в целом и персональных данных в частности в Администрации района, необходимо разработать документацию в соответствии с Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211. Список документов может включать:
1.Orders:
- о назначении лица, ответственного за организацию обработки ПД;
- о назначении ответственных лиц для обеспечения безопасности ПД с распределением их полномочий на проведение всех мероприятий, касающихся организации защиты ПД;
- об установлении Списка лиц, допущенных к обработке ПД;
- о возложении личной ответственности на работников, связанных с обработкой ПД. Внесение соответствующих изменений и дополнений в должностные инструкции.
Заключение
Теоретический анализ литературы по исследуемой в работе проблеме позволил сделать следующие выводы:
Конфиденциальная информация - это информация, доступ к которой имеет ограниченный круг лиц, не подлежащая как предоставлению - передаче определенному кругу лиц, так и распространению - передаче неопределенному кругу лиц. Любая несанкционированная передача конфиденциальной информации нарушает установленный режим конфиденциальности и снижает ценность такой информации (значимой в силу неизвестности ее третьим лицам). Распространенная конфиденциальная информация полностью теряет свою ценность как объект права для ее обладателя. Предоставленная третьим лицам информация теряет часть такой ценности. Общество как обладатель информации не заинтересовано ни в первом, ни во втором.
Отношения по поводу информации в целом и конфиденциальной информации в частности, регулируются правом.
При работе с конфиденциальной информацией государственные и негосударственные структуры руководствуются нормативно-правовыми актами РФ, внутренними положениями о работе с документацией ограниченного доступа. Несоблюдение организации работы с конфиденциальной информацией может стать причиной её утечки.
В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
В курсовой работе были предложены рекомендации по организации защиты персональных данных в Администрации района. Эти рекомендации относятся как к техническому, так и к нормативному регулированию защиты ПДн. Однако стоит отметить, что разработка и внедрение любого мероприятия требует определенных финансовых затрат. Например, выделение должностного лица, ответственного за организацию защиты ПДн, предусматривает расходы на поиск и привлечение специалиста определенной квалификации, введение его в штатную единицу Администрации (заработная плата). Высокие затраты предусматривает также анализ и модернизация ИТ.
Следовательно, повысить эффективность защиты как конфиденциальной информации в целом, так и ПДн в частности на уровне муниципального органа самоуправления возможно, ещё и при условии государственной финансовой поддержки.
В заключении следует заметить, что недостаточное исполнение требований ФЗ "О персональных данных" и Постановления правительства может повлечь для Администрации района следующие риски:
1. Жалобы и иски со стороны субъектов ПДн - граждан, клиентов или работников учреждения.
2. Приостановка или прекращение обработки персональных данных в учреждении.
3. Привлечение руководителя и иных должностных лиц учреждения к административной, уголовной, гражданской, дисциплинарной и иных видов ответственности.
4. Репутационные риски для муниципальных органов власти, допустивших разглашение или утечку персональных данных граждан.
Список литературы
1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2016. - 136 c.
2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2017. - 324 c.
3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2017. - 384 c.
4. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2016. - 239 c.
5. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт. Монография. Гриф УМЦ "Профессиональный учебник". Гриф НИИ образования и науки. / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ, 2016. - 239 c.
6. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.1 - Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников, Н.Г Милославская. - М.: ГЛТ, 2017. - 536 c.
7. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 - Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. - М.: ГЛТ, 2018. - 558 c.
8. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. - М.: ГЛТ, 2016. - 280 c.
9. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2016. - 432 c.
10. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2016. - 296 c.
11. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2017. - 277 c.
12. Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2017. - 336 c.
Размещено на Allbest.ru
Подобные документы
Классификация информационных технологий как одного из важнейших ресурсов общества и сферы услуг, этапы их развития. Результаты маркетинговых исследований в сфере оказания IT-услуг. Перспективы и направления развития IT-услуг в Республике Беларусь.
курсовая работа [75,1 K], добавлен 19.12.2015Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.
контрольная работа [26,6 K], добавлен 26.05.2010Особенности защиты информации при построении локальных сетей государственных учреждений, анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности, особенности программных средств защиты, реализующих технологию VPN.
курсовая работа [762,8 K], добавлен 21.06.2011Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Понятие и сущность информации. Исторические этапы развития информационной безопасности, ее принципы и необходимость, цели обеспечения. Виды угроз и способы защиты. Последствия утечек информации. Классификация различных средств защиты информации.
реферат [32,8 K], добавлен 21.09.2014Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014