При разработке нормативной правовой базы АС ГРН необходимо учитывать принципы и рекомендации европейского законодательства, гарантирующие:
· защиту конституционных прав и свобод личности;
· отсутствие ограничений и запретов на обмен персональными данными по причинам, связанным с защитой прав и свобод личности;
· предоставление личности возможности непосредственного контроля правильности записи и использования персональных данных;
· создание системы государственного надзора за операциями по обработке персональных данных и др.
Учитывая трудоемкость и значительную стоимость создания баз данных АС ГРН, а также недопустимость несанкционированного доступа к ним необходимо решить вопросы, связанные с компенсацией финансовых потерь от различного рода действий, разрушающих информацию. Важное значение при функционировании АС ГРН приобретает вопрос возмещения ущерба населению при неправомочном использовании персональных данных. Указанные вопросы должны решаться с использованием страховых механизмов. Необходимо разработать “Положение о страховании информационных рисков при функционировании АС ГРН”.
Разрабатываемые правовые акты по созданию и функционированию АС ГРН должны обеспечивать:
· распределение персональных данных по степеням защищенности и по категориям доступа;
· правовые механизмы, обеспечивающие защиту информации;
· организацию работ по защите информации;
· выполнение положений государственной системы защиты информации (ГСЗИ);
· сертификацию технических средств, программных средств и средств защиты персональных данных;
· лицензирование информационной деятельности по формированию и использованию данных АС ГРН;
· страхование информационных рисков.
Помимо нормативно-правовых актов, обеспечивающих защиту информации в базах данных, существуют нормативно-технические акты, преследующие такие же цели.
Основным видом защиты информации в АС ГРН является система защиты от несанкционированного доступа (СЗИ НСД). Для реализации такой защиты необходимо выставлять требования на разработку всей нормативно-технической документации на всех стадиях проектирования и ввода системы в эксплуатацию.
Система защиты от несанкционированного доступа в АС ГРН должна соответствовать следующим нормативным документам:
· ГОСТ Р50739-95. СВТ. Защита от НСД к информации. ОТТ.
· Руководящие документы Гостехкомиссии России (1992 г.):
o РД АС. Защита от НСД к информации. Классификация АС и требования по защите информации.
o РД СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.
o РД. Концепция защиты СВТ и АС от НСД к информации.
· ИСО МЭК. Защита информации. Обозначение сертификатов.
· ИСО МЭК. 7498-98. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель.
· МЭК. ППС 10181. ИТ. Взаимосвязь открытых систем. Основы защиты информации в открытых системах.
При создании телекоммуникационной сети АС ГРН для подтверждения авторства сообщений и обеспечения их целостности должны применяться средства электронной цифровой подписи.
Средства электронной цифровой подписи должны удовлетворять требованиям:
· ГОСТ Р3410-94. Процедура выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.
· ГОСТ Р3411-94. Функция хеширования.
· Положение о порядке разработки, производства, реализации и использовании средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99).
При взаимодействии региональных баз персональных данных АС ГРН и баз данных федеральных органов государственной власти используется ИТКС специального назначения и сертифицированные средства криптографической защиты, удовлетворяющие дополнительно следующим требованиям:
· ГОСТ 28147-89. Система обработки информации. Защита криптографическая, Алгоритмы криптографического преобразования;
· Нормативным документам Федерального агентства правительственной связи и информации при Президенте Российской Федерации:
· Временные требования к средствам криптографической защиты конфиденциальной информации;
· Временные требования к устройствам типа межсетевые экраны.
Указанные нормативно-технические документы должны быть положены в основу создания и функционирования АС ГРН. Проектирование системы должно проводиться по модульному принципу. На каждый модуль системы должен быть определен отечественный профиль. Отечественные профили и технические условия на систему являются основой сертификации каждого модуля и системы в целом.
Построение АС ГРН должно предусматривать решение проблемы обеспечения гарантированной защиты данных о конкретных лицах. Средства защиты информации должны обеспечивать:
· защиту информации от несанкционированной модификации и разрушения на всех этапах ее обработки, хранения и передачи;
· аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);
· разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам АС ГРН , а также при хранении и предоставлении конфиденциальной информации, в том числе защиту от несанкционированного доступа пользователей ведомственных информационных систем к информационным ресурсам АС ГРН ;
· возможность доказательства неправомочности действий пользователей и обслуживающего персонала АС ГРН ;
· защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов АС ГРН (возможность несанкционированного изменения или уничтожения этой информации, как и несанкционированное получение, изменение или уничтожение информации о гражданах третьими лицами должны быть исключены);
· защиту от несанкционированной модификации программного обеспечения, включая защиту от внедрения “вирусов” в программные продукты;
· защиту информации от случайных разрушений;
· дублирование информации путем создания резервных копий;
· выполнение специальных требований для используемых импортных аппаратных средств;
· защиту от утечки по побочным каналам технических средств, предназначенных для обработки и хранения конфиденциальной информации;
· защиту баз данных различного уровня;
· защиту каналов передачи информации;
· подтверждение авторства сообщений с использованием электронной цифровой подписи информации;
· живучесть АС ГРН ;
· для любого гражданина возможность беспрепятственного ознакомления с данными о нем самом.
При формировании на основе первичных данных АС ГРН аналитической и агрегированной информации в соответствующих информационно-аналитических системах могут быть использованы средства криптографической защиты, соответствующие категорийности формируемой информации.
Используемые криптографические средства защиты должны иметь сертификат ФАПСИ. Используемые криптографические средства защиты должны удовлетворять “Временным требованиям к средствам криптографической защиты конфиденциальной информации, не составляющей государственной тайны” по классу не ниже, чем “В”.
Выбор средств защиты информации от НСД должен основываться на указанных выше требованиях к системе защиты информации в АС ГРН и на анализе существующих средств защиты в стране. Эти средства должны быть, по возможности, отечественными и должны отвечать следующим требованиям:
· иметь сертификат в системе сертификации средств защиты;
· функциональные возможности средств защиты должны обеспечивать выполнение основных контрольных процедур до загрузки операционной системы;
· спектр выпускаемых на аттестованных производствах средств защиты информации должен решать проблемы защиты в гетерогенных сетях, основанных на интеграции широко применяемых в России операционных систем;
· состав атрибутов, на основе которых описываются правила разграничения доступа к объектам АС ГРН, должен быть таким, чтобы обеспечить возможность описания любой разумной непротиворечивой политики безопасности;
· для применения в сетевых решениях обязательным является наличие средств централизованного управления безопасностью и средств аудита.
Важнейшим критерием выбора средств защиты информации является анализ практики применения этих средств.
1. Конституция Российской Федерации
2. Постановление Губернатора Московской области от 8 октября 1998 г. N 311-ПГ "О защите информационных ресурсов Московской области, составляющих государственную тайну".
3. Постановление Правительства Российской Федерации от 21.02.1996 г. № 226 “О государственном учете и регистрации баз и банков данных”
4. Указ Президента Российской Федерации от 06.03.1992 г. № 188 "Об утверждении перечня сведений конфиденциального характера"
5. Федеральный закон от 04.07.1996г. № 85-ФЗ "Об участии в международном информационном обмене"
6. Федеральный закон от 05.03.1992 г. № 2446-1 "О безопасности"
7. Федеральный закон от 10.06. 1993 г. № 5154-1 "О стандартизации"
8. Федеральный закон от 20.02.1995г. № 24-ФЗ "Об информации, информатизации и защите информации"
9. Федеральный закон от 21.07.1993 г. № 5485-1 "О государственной тайне"
10. Информатика: данные, технология, маркетинг. / Под ред. А.П. Романова. М.: Финансы и статистика, 1991
11. Кукин В.Н. Информатика: организация и управление. М.: Экономика, 1991
12. Майоров С.И. Информационный бизнес: коммерческое распространение и маркетинг. М.: Финансы и статистика, 1993