Безопасность информации в автоматизированных системах казначейства

ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

Государственное образовательное  учреждение

высшего профессионального  образования

Нижегородский государственный  университет им. Н.И. Лобачевского

 

 

Четвёртый факультет дистанционного обучения.

 

 

 

 

 

Реферат

по дисциплине: Информационная безопасность.

на тему: " Безопасность информации в автоматизированных системах казначейства".

 

 

 

 

 

 

 

                                                 

 

 

                                                                               

                                                                                     Выполнил (а):

                                                                                                            студентка 3 курса 4 Ф.Д.О

                                                                                                  группы 4-33 ФК/13

                                                                                        Бембен Е.Н..

                                                                                    Проверил (а):

                                                                                                              Ясенев О.В.

 

Выкса 2010г.

Оглавление.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

   Безопасность информации в автоматизированных системах казначейства является очень важной и всегда актуальной задачей, потому что в основном все сведения получаемой и исходящей информации составляют государственную тайну. Внутренний контроль и защита информации в целом модернизируются чуть ли не каждодневно и этому уделено огромное внимание. Большой проблемой защиты информации, является несанкционированный доступ к ней, в большей части этому и посвящен данный реферат.

   Мы рассмотрим  и цели и механизм защиты  информации, угрозы, классификацию  угроз и модели нарушителя  безопасности и постараемся выяснить  на каком уровне находится  информационная безопасность казначейства  в настоящее время.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

І. Обеспечение защиты информации.

 

   Важной характеристикой программного обеспечение является безопасность его использования, т.е. способность обеспечить юридическую значимость электронных документов и защитить систему от несанкционированного доступа.

   Так как при исполнении бюджетов обрабатывается конфиденциальная информация, большое внимание уделяется защите данных от несанкционированного доступа к ним.

1.1. Цели защиты информации.

   Основными целями защиты информации в автоматизированных системах федерального казначейства РФ является:

• предотвращение утечки, хищения, утраты, несанкционированного       

                 уничтожения или копирования, модификации (подделки),

                 блокирования информации;

• сохранение целостности и достоверности информации в базах

                  данных и программах обработки;

• обеспечение конфиденциальности информации в соответствии с        

                  законодательством;

• предотвращение незаконного вмешательства в информационные

                  системы.

   Защита информации в автоматизированных системах федерального казначейства РФ должна строиться исходя из следующих основных принципов:

1. Обеспечение физического разделения областей, предназначенных

                для обработки секретной и несекретной информации.

2. Обеспечение криптографической защиты информации.
3. Обеспечение аутентификации абонентов и абонентских установок.
4. Обеспечение разграничения доступа субъектов и их процессов к  

                информации.

5. Обеспечение установления подлинности и целостности

                  документальных сообщений при их передачи по каналам связи.

6. Обеспечение защиты от отказов от авторства и содержания

                   электронных документов.

7. Обеспечение защиты оборудования и технических средств

                  системы, помещений, где они размещаются, от утечки    

                 конфиденциальной информации по техническим каналам.

8. Обеспечение защиты шифротехники, оборудования, технических и

                  программных средств от утечки информации за счет аппаратных и

                  программных закладок.

9. Обеспечение контроля целостности программной и

                  информационной части автоматизированной системы.

10. Использование в качестве механизмов защиты только

                  отечественных разработок.

11. Обеспечение организационно-режимных мер защиты.

                 Целесообразно использование и дополнительных мер по   

                 обеспечению безопасности связи в системе.

12. Организация защиты сведений об интенсивности,

                  продолжительности и графиках обмена информации.

13. Использование для передачи и обработки информации каналов и

                  способов, затрудняющих перехват.

14. Реализация безопасного администрирования финансовой системы.

1.2. Механизм обеспечения защиты информации.

   К механизмам обеспечения защиты информации  в автоматизированных системах относятся:

• контроль доступа к информационным ресурсам;
• шифрование данных (криптографическая защита);
• электронная цифровая подпись;
• обеспечение целостности и достоверности данных;
• обеспечение аутентификации (подтверждение подлинности

                  отправителя и получателя информации);

• маскировка трафика (затруднение анализа потоков информации

                  без ее вскрытия).¹

ІІ. Угрозы безопасности информации ИТКС ФК

 

   Наиболее значимыми угрозами, способами нанесения ущерба субъектам информационных отношений безопасности ИТКСИ (далее информационно -телекоммуникационной системы) ФК являются:

• нарушение конфиденциальности (разглашение, утечка) сведений, составляющих государственную, служебную или коммерческую тайну, а также персональных данных;
• нарушение работоспособности (дезорганизация работы) ИТКС ФК, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИТКС ФК, а также фальсификация (подделка) электронных документов.

   Основными источниками угроз безопасности информации ИТКС ФК являются:

• непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентом работ по вводу, обработке и передаче информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений МФ РФ при эксплуатации ИТКС ФК, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного доступа, потере ценной информации или нарушению работоспособности отдельных рабочих станций (автоматизированных рабочих мест - АРМ), подсистем или ИТКС ФК в целом;
• преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений МФ РФ, допущенных к работе с ИТКС ФК, с целью получения несанкционированного доступа к информации;
• воздействия из других логических и физических сегментов ИТКС ФК со стороны сотрудников других подразделений МФ РФ, в том числе программистов - разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети МФ РФ, из АС взаимодействующих с МФ РФ организаций и учреждений министерств и ведомств и из внешних сетей общего назначения (прежде всего Internet) через каналы подключения сети МФ РФ к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам ИТКС ФК;
• деятельность международных и отечественных преступных групп и формирований, , а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонентов;
• деятельность иностранных специальных служб, в том числе с использованием технических каналов утечки информации, направленная против государственных интересов России;
• ошибки, допущенные при проектировании ИТКС ФК и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) ИТКС ФК;
• аварии, стихийные бедствия и т.п. .

   К основным источникам угроз объектам обеспечения информационной безопасности относятся:

• деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, а также противозаконные действия персонала органов федерального казначейства, направленные на получение информации ограниченного доступа;
• ошибки персонала, участвующего в технологическом процессе обработки информации органов федерального казначейства;
• чрезвычайные ситуации (пожары, наводнения, землетрясения, ураганы и т. п.);
• использование не сертифицированных, в соответствии с требованиями информационной безопасности, средств и систем информатизации и связи, а также средств защиты информации и контроля эффективности защиты информации;
• несовершенство технологий обработки информации органов федерального казначейства;
• привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности;
• недостаточное финансирование мероприятий по обеспечению информационной безопасности и стимулирование работников, отвечающих за их выполнение;
• недостаточная проработанность организационно-распорядительной документации органов федерального казначейства, регулирующей отношения в информационной сфере;
• неблагоприятный морально-психологический климат в коллективе.

2.1. Классификация угроз безопасности автоматизированной системе ФК

   Под угрозой безопасности информации при её обработке в ИТКС ФК и передаче по каналам связи, как было указано выше, понимается потенциальная возможность нарушения ее основных качественных характеристик (свойств)

• Доступность информации
• Целостность информации
• Авторство информации
• Конфиденциальность информации
• Актуальность информации

  Нарушение этих свойств информации в автоматизированной системе может привести к трем основным последствиям:

• нарушение исполнения бюджета РФ,
• нарушение доступности ИТКС ФК для пользователей,
• хищение денежных средств.

   Угрозы автоматизированной системе по способу их создания можно условно разделить на следующие три типа: природные, технические, созданные людьми (см. таблицу Приложение 1).

2.2. Модель нарушителя в ИТКС ФК

   Под нарушителем ИТКС ФК подразумевается лицо, которое в результате предумышленных или непредумышленных действий потенциально могут нанести ущерб ресурсам системы.

   Попытка нанесения ущерба ресурсам системы называется атакой. Атака может быть осуществлена непосредственно нарушителем или процессом, выполняемым программно-аппаратными средствами ИТКС ФК.

   Для  ИТКС ФК используется следующая модель нарушителя по признаку принадлежности к МФ РФ. В соответствии с этой моделью все нарушители делятся на две группы: внутренние и внешние.

Внутренний нарушитель

   Внутренним нарушителем может быть лицо из следующих категорий сотрудников:

• пользователи ИТКС ФК;
• обслуживающий персонал (системные администраторы, администраторы ЛВС, инженеры);
• программисты-разработчики ПО
• сотрудники-программисты, сопровождающие системное и прикладное программное обеспечение;
• технический персонал (рабочие подсобных специальностей, уборщицы), работающий в зданиях, в которых размещается оборудование ИТКС ФК;
• другие сотрудники подразделений МФ РФ, имеющие санкционированный доступ в здания, где расположено оборудование передачи и обработки информации ИТКС ФК.