Защита информации в муниципальных информационных системах

Основными причинами  являются:

1. на муниципальном уровне нет необходимой и достаточной координации деятельности направленной на формирование и реализацию единой государственной политики в области обеспечения информационной безопасности;

2. недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

3. неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

4. недостаточное финансирование мероприятий по обеспечению информационной безопасности на муниципальном уровне;

5. недостаточная экономическая мощь муниципалитета;

6. снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

7. недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

8. отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно - финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.⁷

Проблема информационной безопасности также рассматривается в ПОСТАНОВЛЕНИИ от 17 ноября 2007 г. N 781 «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ».

На уровне муниципального образования очень важно обеспечивать защиту персональных данных. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в муниципальных  информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в муниципальной информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.⁸

Для обеспечения безопасности персональных данных при их обработке  в муниципальных информационных системах осуществляется защита речевой  информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

При защите персональных данных в муниципальной информационной системе должно быть обеспечено:

1. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

2. своевременное обнаружение фактов несанкционированного доступа к персональным данным;

3. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

4. возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5. постоянный контроль за обеспечением уровня защищенности персональных данных.

Средства защиты информации, предназначенные для обеспечения  безопасности персональных данных при  их обработке в муниципальной информационной системе, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.⁹

Уже не раз было сказано  о том, что для обеспечения  информационной безопасности необходимо формирование единой государственной политики в области использования информационных технологий, как на государственном, так и на муниципальном уровнях. Эта политика должна включать единые положения, к которым можно отнести:

1. подчинение процессов использования информационных технологий решению приоритетных задач социально-экономического развития, модернизации системы государственного управления, обеспечения обороноспособности и национальной безопасности страны;
2. определение направлений и объемов бюджетных расходов в области использования информационных технологий в государственном управлении на основе конкретных измеримых результатов и показателей эффективности деятельности федеральных органов государственной власти;
3. консолидация бюджетных средств на создании государственных информационных систем, имеющих важное социально-экономическое и политическое значение;
4. централизованное создание общих для федеральных органов государственной власти элементов информационно-технологической инфраструктуры;
5. обеспечение согласованности и сбалансированности внедрения информационных технологий в деятельность федеральных органов государственной власти;
6. согласованность нормативной правовой и методической базы в сфере информационных технологий на всех уровнях;
7. открытость и прозрачность использования информационных технологий в деятельности федеральных органов государственной власти;
8. исключение дублирования бюджетных расходов на создание государственных информационных ресурсов и систем;
9. унификация элементов информационно-технологической инфраструктуры, использование типовых решений при создании государственных информационных систем федеральных органов государственной власти.

Также можно предложить такой вариант защиты информации, как категорирование.

Присвоение категорий  безопасности информации и информационным системам производится на основе оценки ущерба, который может быть нанесен  нарушениями безопасности. Подобные инциденты могут помешать организации  в выполнении возложенной на нее  миссии, скомпрометировать активы, поставить компанию в положение нарушителя действующего законодательства, создать угрозу повседневной деятельности, подвергнуть опасности персонал. Категории безопасности используются совместно с данными об уязвимостях и угрозах в процессе анализа рисков, которым подвержена организация.

При категорировании  информационной системы принимаются  во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой  информационной системы, т.е. берется максимум категорий по всем видам информации и активов.¹⁰

Также используют протоколирование и аудит: 

 

Необходимо создавать, защищать и поддерживать регистрационные  журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности; обеспечить прослеживаемость действий в информационной системе с точностью до пользователя (подотчетность пользователей).

В задачи  протоколирования и аудита  также входит защита носителей:

Необходимо:

 

• защищать носители данных как цифровые, так и бумажные;
• предоставлять доступ к данным на носителях только авторизованным пользователям;
• санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования.

С целью защиты систем и коммуникаций:

 

• отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах информационной системы;
• применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности информационной системы.

Для обеспечения  целостности систем и данных:

 

• своевременно идентифицировать дефекты информационной системы и данных, докладывать о них и исправлять;
• защищать информационную систему от вредоносного программного обеспечения;
• отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.

Также необходимо сформировать политику информационной безопасности муниципальной информационной системы, в которую нужно включить:

1. определение и разработка руководящих документов и стандартов в области информационной безопасности:

2. сформировать: принципы администрирования системы информационной безопасности и управление доступом к вычислительным и телекоммуникационным средствам, программам и информационным ресурсам, а также доступом в помещения, где они располагаются; принципы контроля состояния систем защиты информации, способы информирования об инцидентах в области информационной безопасности и выработку корректирующих мер, направленных на устранение угроз; принципы использования информационных ресурсов персоналом компании и внешними пользователями; организацию антивирусной защиты и защиты против несанкционированного доступа и действий хакеров;

3. уточнить вопросы резервного копирования данных и информации;

4. разработать порядок проведения профилактических, ремонтных и восстановительных работ;

5. предусмотреть программу обучения и повышения квалификации персонала.

6. разработать методологию выявления и оценки угроз и рисков их осуществления, определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.

7. определить порядок сертификации на соответствие стандартам в области информационной безопасности. Должна быть определена периодичность проведения совещаний по тематике информационной безопсности на уровне муниципалитета, включая периодический пересмотр положений политики информационной безопасности, а также порядок обучения всех категорий пользователей муниципальной информационной системы по вопросам информационной безопасности.

Следующим этапом построения комплексной системы информационной безопасности служит приобретение, установка и настройка рекомендованных на предыдущем этапе средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие.¹¹

Для правильного и  эффективного применения установленных  средств защиты необходим квалифицированный  персонал.

Стандартный набор  средств комплексной защиты информации в составе современной информационной системы обычно содержит следующие компоненты:

• средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System - FES);
• средства авторизации и разграничения доступа к информационным ресурсам, а также защиту от несанкционированного доступа к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.);
• средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);
• средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;
• средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (VPN);
• средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection);
• средства обеспечения централизованного управления системой информационной безопасности в соответствии с согласованной и утвержденной "Политикой безопасности компании".

Стоит отметить также основные положения государственной  политики в области защиты информации. Эти положения должны соблюдаться  и на уровне муниципального образования.

Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах:

• соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации;
• открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;
• правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
• приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации.

Это предполагает:

• оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования;
• создание организационно - правовых механизмов обеспечения информационной безопасности;
• определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере;
• создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления;
• разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий;
• разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе;
• совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.