Информационная безопасность вуза. Организации работ по

Кафедра Систем сбора и обработки информации
ВКА имени А.Ф.Можайского
Информационная безопасность вуза. Организация
работ по защите информации при построении
единого информационного пространства
кандидат технических наук, доцент
Глыбовский Павел Анатольевич
кандидат технических наук, доцент
Мажников Павел Викторович
Организация работ по защите информации при построении единого
информационного пространства
• Система защиты информации;
• Требования к системе защиты информации;
• 1С:Документооборот Государственного
учреждения. Требования по защите
информации.
Разработка системы защиты информации информационной системы
Термины и определения
Информационная система - совокупность содержащейся в базах данных
информации и обеспечивающих ее обработку информационных
технологий и технических средств.
(ФЗ 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о
защите информации»).
Государственные информационные системы - Федеральные
информационные системы и региональные информационные системы,
созданные на основании соответственно федеральных законов, законов
субъектов Российской Федерации, на основании правовых актов
государственных органов.
(ФЗ 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о
защите информации»).
Автоматизированная система. Система, состоящая из персонала и
комплекса средств автоматизации его деятельности, реализующая
информационную технологию выполнения установленных функций
(ГОСТ 34.003-90)
Система законодательства по ИБ
Система законодательства по ИБ
Основные объекты защиты информации ограниченного доступа, не содержащей сведений
составляющих государственную тайну и открытой информации
Информационные системы.
Государственные ИС
Муниципальные ИС
Иные ИС
1
Информационные системы, средства информатизации, содержащие:
Информацию ограниченного
доступа, не содержащую
сведений, составляющих
государственную тайну
КСИИ – ключевая
система
инфор. инфраструк.
2
ЛВС
АРМ
Средства печати,
копирования
Средства связи,
коммутации и др.
Технические средства и системы обработки открытой информации в помещениях, где обрабатывается
информация ограниченного доступа
Бытовые
устройства
3
ИСПД
Открытую
информацию
Средства
пожарной и охранной сигнализации
Средства связи.
Телефоны и др.
Помещения для ведения переговоров с использованием сведений ограниченного доступа
Защита информации
Система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также
объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно распорядительными и нормативными документами в области защиты информации .
(ГОСТ Р 50922-2006 Защита информации. Основные термины и определения).
Субъекты
деятельности
по защите
информации
Органы власти,
уполномоченные органы
власти, организации,
обрабатывающие
информацию на объектах
информатизации,
организации лицензиаты
Что
подлежит
защите
От каких
угроз
Как
защищать
Объекты информатизации, ИС, в т.ч.
программные средства, в которых
обрабатывается и хранится информация,
на доступ к которой установлены
ограничения федеральными законами,
средства защиты информации,
общедоступная информация
От утечки по техническим каналам,
неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования,
предоставления, распространения, а также от иных
неправомерных действий.
Комплекс правовых, организационных и
технических мер
Система законодательства по ИБ
Приказ Федеральной службы по техническому и
экспортному контролю (ФСТЭК России) от 11
февраля 2013 г. N 17 г.
"Об утверждении Требований о защите
информации, не составляющей
государственную тайну, содержащейся в
государственных информационных системах"
Система законодательства по ИБ
Система законодательства по ИБ
Система законодательства по ИБ
Система законодательства по ИБ
Система законодательства по ИБ
Система законодательства по ИБ
Система законодательства по ИБ
электронная подпись
информация в электронной форме,
которая присоединена к другой
информации в электронной форме
(подписываемой информации) или
иным образом связана с такой
информацией и которая
используется для определения
лица, подписывающего информацию
Факт принятия прав и обязанностей в
результате подписания документа
Система законодательства по ИБ
электронная подпись
•
•
•
•
Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ
«Об электронной подписи»;
Указ Президента РФ от 3 апреля 1995 г. N 334 «О мерах по соблюдению
законности в области разработки, производства, реализации и эксплуатации
шифровальных средств, а также предоставления услуг в области шифрования
информации»;
« Положение о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации »
(Положение ПКЗ-2005) Утверждено Приказом ФСБ РФ от 9 февраля 2005 г. N
66;
Приказ ФАПСИ от 13 июня 2001 г. N 152
«Об утверждении Инструкции об организации и обеспечении безопасности
хранения, обработки и передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом, не
содержащей сведений, составляющих государственную тайну».
Система законодательства по ИБ
электронная подпись
Система законодательства по ИБ
электронная подпись
При использовании усиленных электронных подписей участники электронного
взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не
допускать использование принадлежащих им ключей электронных подписей без их
согласия (ст.10 Федерального закона 63-ФЗ от 6 апреля 2011 г.);
2) не использовать ключ электронной подписи при наличии оснований полагать, что
конфиденциальность данного ключа нарушена (ст.10 Федерального закона 63-ФЗ от
6 апреля 2011 г.);
3) использовать для создания и проверки квалифицированных электронных
подписей, создания ключей квалифицированных электронных подписей и
ключей их проверки средства электронной подписи, получившие
подтверждение соответствия требованиям, установленным в соответствии с
настоящим Федеральным законом (ст.10 Федерального закона 63-ФЗ от 6
апреля 2011 г.);
4) вести поэкземплярный учет по установленным формам СКЗИ,
эксплуатационной и технической документацию к ним). (ст 26. приказа
ФАПСИ №152 от 13 июня 2001 г. ).
1С:Документооборот Государственного учреждения.
Требования по защите информации
1С:Документооборот Государственного учреждения
"1С:Документооборот государственного учреждения 8" предназначен для комплексного решения
широкого спектра задач автоматизации учета документов, взаимодействия сотрудников, контроля и
анализа исполнительской дисциплины в государственных и муниципальных учреждениях.
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ РАСПОРЯЖЕНИЕ от 2 октября 2009 г. N
1403-р
Технические требования к организации взаимодействия системы межведомственного
электронного документооборота с системами электронного документооборота
федеральных органов исполнительной власти;
Требования к информационным системам электронного документооборота
федеральных органов исполнительной власти, учитывающим в том числе
необходимость обработки посредством данных систем служебной информации
ограниченного распространения
(утверждены приказом Министерства связи и массовых коммуникаций Российской
Федерации от 02.09.2011 № 221).
1С:Документооборот Государственного учреждения.
Требования по защите информации
Требования к информационным системам электронного документооборота
федеральных органов исполнительной власти, учитывающим в том числе
необходимость обработки посредством данных систем служебной информации
ограниченного распространения (утверждены приказом Министерства связи и
массовых коммуникаций Российской Федерации от 02.09.2011 № 221).
21. Для защиты служебной информации ограниченного распространения должны использоваться
сертифицированные в соответствии с требованиями безопасности информации технические и
(или) программные средства защиты информации.
22. Требования по защите информации и мероприятия по их выполнению, а также конкретные
программно-технические средства защиты должны определяться и уточняться в зависимости от
установленного класса защищенности.
25. СЭД ФОИВ не должна иметь прямого (незащищенного) подключения к информационнотелекоммуникационной сети Интернет в соответствии с Указом Президента Российской Федерации
от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской
Федерации при использовании информационно-телекоммуникационных сетей международного
информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110;
2008, N 43, ст. 4919; 2011, N 4, ст. 572).
1С:Документооборот Государственного учреждения.
Требования по защите информации
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ РАСПОРЯЖЕНИЕ от 2 октября 2009 г. N 1403-р
Технические требования к организации взаимодействия системы межведомственного
электронного документооборота с системами электронного документооборота
федеральных органов исполнительной власти
17. При организации взаимодействия системы межведомственного электронного
документооборота с системой электронного документооборота должна обеспечиваться
антивирусная защита.
18. Для защиты информации, отнесенной к сведениям, составляющим служебную тайну,
должны использоваться сертифицированные по требованиям безопасности
информации технические и (или) программные средства защиты информации.
Автоматизированные рабочие места шлюза и выделенные персональные электронновычислительные машины с адаптером системы электронного документооборота
должны аттестовываться на соответствие требованиям по технической защите
конфиденциальной информации.
19. Требования по защите информации и мероприятия по их выполнению, а также
конкретные средства защиты должны определяться и уточняться в зависимости от
установленного класса защищенности на основании разрабатываемой модели угроз
и действий нарушителя.
Внедрение системы защиты информации информационной системы
Кафедра Систем сбора и обработки информации
ВКА имени А.Ф.Можайского
Спасибо за внимание!
Вопросы?
mpvdagli@mail.ru