![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Обеспечение безопасности информационных ресурсов в органах налоговой службы. ⇐ ПредыдущаяСтр 5 из 5
В соответствии с требованиями к АИС налоговой службы должна быть обеспечена безопасность информационных ресурсов, хранимой и обрабатываемой информации. Решением этой задачи является построение специализированной подсистемы - подсистемы безопасности АИС. Согласно действующему Руководящему документу (РД) Гостехкомиссии РФ «Концепция защиты автоматизированных систем от несанкционированного доступа» работа подсистемы безопасности обеспечивается согласованными мерами на законодательном, организационном и программно-техническом уровнях. На законодательном уровне необходимо обеспечить соответствие подсистемы безопасности требованиям нормативных документов РФ. Защита на организационном уровне обеспечивается формированием политики безопасности, описывающей категории информации, хранимой и обрабатываемой в АИС, соотнесение существующих и планируемых информационных ресурсов информации различных категорий, основные риски, связанные с информационными сервисами. Среди организационных мер выделяются процедурные меры, обеспечивающие реализацию политики безопасности персоналом, использующим АИС и осуществляющим ее обслуживание. Для реализации политики безопасности создается комплекс программно-техническях средств, обеспечивающих формирование рубежей защиты информации с реализацией на них следующих механизмов безопасности: -аутентификации и авторизации; -разграничения доступа; -мониторинга и аудита; -шифрования; -сегментации и экранирования. Основой проработки решений подсистемы безопасности является анализ рисков, проводимый при проектировании и построении АИС. При этом принимаются во внимание классы рисков: техногенные, антропогенные, стихийные. К техногенным рискам относятся: -отказы программного и аппаратного обеспечения (выход из строя аппаратных компонентов, проявление программных ошибок в сервере СУБД либо в базовом или прикладном программном обеспечении); -разрушение данных (выход из строя носителей информации, уничтожение информации в результате аппаратной или программной ошибки). К антропогенным рискам относятся: Риски со стороны обслуживающего персонала: -отступление (случайное или умышленное) от установленных правил эксплуатации либо отсутствие необходимых регламентов в сочетании с неквалифицированными действиями персонала; -ошибки при (пере)конфигурировании системы (непонимание устройства информационной системы и вызванные этим некорректные действия либо небрежность при выполнении переконфигурирования); -разрушение информации в результате неквалифицированных действий персонала или воздействия вредоносного ПО (вирусы и т.п.); -нежелание выполнения обслуживающим персоналом своих обязанностей. Риски со стороны потенциальных злоумышленников: -разрушение или повреждение аппаратуры (террористический акт, акты вандализма и т.п.); -нарушение работы систем связи, электропитания, водоснабжения, кондиционирования (как результат злонамеренных действий); К стихийным рискам относятся: -разрушение или повреждение аппаратуры, информации (аварии, пожары, протечки и другие стихийные бедствия); -нарушение работы систем связи, электропитания, водоснабжения (как результат стихийных бедствий); -разрушение или повреждение помещений (как результат стихийных бедствий); -исчезновение ключевых сотрудников; -пропажа документов. На основе предварительного анализа рисков выделяются рекомендации по мерам организационного и процедурного характера и строится многоуровневая подсистема безопасности АИС. Организационный уровень. Организационные меры, должностные обязанности администратора безопасности и порядок их выполнения определяются в документе «План обеспечения безопасности информационной системы предприятия». Этот документ описывает наиболее общие вопросы, связанные с безопасностью системы, и содержит ссылки на следующие документы: -план восстановления работоспособности АИС в случае аварии; -план проведения аудита; -программы обучения и проведения инструктажей пользователей и администраторов АИС; -процедура резервного копирования и восстановления; -должностные инструкции администраторов, пользователей и обслуживающего персонала. Программно-технический уровень. Используемые программно-технические средства подсистемы безопасности АИС представляют встроенно-наложенную структуру. Безопасность и надежность всей системы обеспечивается комплексом механизмов, имеющимся в составе используемых приложений и ОС (таких, как аутентификация пользователей, разграничение доступа к данным и приложениям, журнализирование, шифрование, сегментирование сети и т.д.), с последующим наложением дополнительных специализированных средств к использованию межсетевых экранов, резервированию), обеспечивающих комплексное решение задач по интеграции встроенных механизмов безопасности, установлению дополнительных рубежей защиты информационных ресурсов.
|