Смекни!
smekni.com

Необходимость защиты информации (стр. 2 из 2)

При разработке нормативной правовой базы АС ГРН необходимо учитывать принципы и рекомендации европейского законодательства, гарантирующие:

· защиту конституционных прав и свобод личности;

· отсутствие ограничений и запретов на обмен персональными данными по причинам, связанным с защитой прав и свобод личности;

· предоставление личности возможности непосредственного контроля правильности записи и использования персональных данных;

· создание системы государственного надзора за операциями по обработке персональных данных и др.

Учитывая трудоемкость и значительную стоимость создания баз данных АС ГРН, а также недопустимость несанкционированного доступа к ним необходимо решить вопросы, связанные с компенсацией финансовых потерь от различного рода действий, разрушающих информацию. Важное значение при функционировании АС ГРН приобретает вопрос возмещения ущерба населению при неправомочном использовании персональных данных. Указанные вопросы должны решаться с использованием страховых механизмов. Необходимо разработать “Положение о страховании информационных рисков при функционировании АС ГРН”.

Разрабатываемые правовые акты по созданию и функционированию АС ГРН должны обеспечивать:

· распределение персональных данных по степеням защищенности и по категориям доступа;

· правовые механизмы, обеспечивающие защиту информации;

· организацию работ по защите информации;

· выполнение положений государственной системы защиты информации (ГСЗИ);

· сертификацию технических средств, программных средств и средств защиты персональных данных;

· лицензирование информационной деятельности по формированию и использованию данных АС ГРН;

· страхование информационных рисков.

Нормативно-технические акты, обеспечивающие защиту информации в АС ГРН

Помимо нормативно-правовых актов, обеспечивающих защиту информации в базах данных, существуют нормативно-технические акты, преследующие такие же цели.

Основным видом защиты информации в АС ГРН является система защиты от несанкционированного доступа (СЗИ НСД). Для реализации такой защиты необходимо выставлять требования на разработку всей нормативно-технической документации на всех стадиях проектирования и ввода системы в эксплуатацию.

Система защиты от несанкционированного доступа в АС ГРН должна соответствовать следующим нормативным документам:

· ГОСТ Р50739-95. СВТ. Защита от НСД к информации. ОТТ.

· Руководящие документы Гостехкомиссии России (1992 г.):

o РД АС. Защита от НСД к информации. Классификация АС и требования по защите информации.

o РД СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.

o РД. Концепция защиты СВТ и АС от НСД к информации.

· ИСО МЭК. Защита информации. Обозначение сертификатов.

· ИСО МЭК. 7498-98. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель.

· МЭК. ППС 10181. ИТ. Взаимосвязь открытых систем. Основы защиты информации в открытых системах.

При создании телекоммуникационной сети АС ГРН для подтверждения авторства сообщений и обеспечения их целостности должны применяться средства электронной цифровой подписи.

Средства электронной цифровой подписи должны удовлетворять требованиям:

· ГОСТ Р3410-94. Процедура выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.

· ГОСТ Р3411-94. Функция хеширования.

· Положение о порядке разработки, производства, реализации и использовании средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99).

При взаимодействии региональных баз персональных данных АС ГРН и баз данных федеральных органов государственной власти используется ИТКС специального назначения и сертифицированные средства криптографической защиты, удовлетворяющие дополнительно следующим требованиям:

· ГОСТ 28147-89. Система обработки информации. Защита криптографическая, Алгоритмы криптографического преобразования;

· Нормативным документам Федерального агентства правительственной связи и информации при Президенте Российской Федерации:

· Временные требования к средствам криптографической защиты конфиденциальной информации;

· Временные требования к устройствам типа межсетевые экраны.

Указанные нормативно-технические документы должны быть положены в основу создания и функционирования АС ГРН. Проектирование системы должно проводиться по модульному принципу. На каждый модуль системы должен быть определен отечественный профиль. Отечественные профили и технические условия на систему являются основой сертификации каждого модуля и системы в целом.

Требования к средствам защиты информации

Построение АС ГРН должно предусматривать решение проблемы обеспечения гарантированной защиты данных о конкретных лицах. Средства защиты информации должны обеспечивать:

· защиту информации от несанкционированной модификации и разрушения на всех этапах ее обработки, хранения и передачи;

· аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);

· разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам АС ГРН , а также при хранении и предоставлении конфиденциальной информации, в том числе защиту от несанкционированного доступа пользователей ведомственных информационных систем к информационным ресурсам АС ГРН ;

· возможность доказательства неправомочности действий пользователей и обслуживающего персонала АС ГРН ;

· защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов АС ГРН (возможность несанкционированного изменения или уничтожения этой информации, как и несанкционированное получение, изменение или уничтожение информации о гражданах третьими лицами должны быть исключены);

· защиту от несанкционированной модификации программного обеспечения, включая защиту от внедрения “вирусов” в программные продукты;

· защиту информации от случайных разрушений;

· дублирование информации путем создания резервных копий;

· выполнение специальных требований для используемых импортных аппаратных средств;

· защиту от утечки по побочным каналам технических средств, предназначенных для обработки и хранения конфиденциальной информации;

· защиту баз данных различного уровня;

· защиту каналов передачи информации;

· подтверждение авторства сообщений с использованием электронной цифровой подписи информации;

· живучесть АС ГРН ;

· для любого гражданина возможность беспрепятственного ознакомления с данными о нем самом.

При формировании на основе первичных данных АС ГРН аналитической и агрегированной информации в соответствующих информационно-аналитических системах могут быть использованы средства криптографической защиты, соответствующие категорийности формируемой информации.

Используемые криптографические средства защиты должны иметь сертификат ФАПСИ. Используемые криптографические средства защиты должны удовлетворять “Временным требованиям к средствам криптографической защиты конфиденциальной информации, не составляющей государственной тайны” по классу не ниже, чем “В”.

Выбор средств защиты информации от несанкционированного доступа

Выбор средств защиты информации от НСД должен основываться на указанных выше требованиях к системе защиты информации в АС ГРН и на анализе существующих средств защиты в стране. Эти средства должны быть, по возможности, отечественными и должны отвечать следующим требованиям:

· иметь сертификат в системе сертификации средств защиты;

· функциональные возможности средств защиты должны обеспечивать выполнение основных контрольных процедур до загрузки операционной системы;

· спектр выпускаемых на аттестованных производствах средств защиты информации должен решать проблемы защиты в гетерогенных сетях, основанных на интеграции широко применяемых в России операционных систем;

· состав атрибутов, на основе которых описываются правила разграничения доступа к объектам АС ГРН, должен быть таким, чтобы обеспечить возможность описания любой разумной непротиворечивой политики безопасности;

· для применения в сетевых решениях обязательным является наличие средств централизованного управления безопасностью и средств аудита.

Важнейшим критерием выбора средств защиты информации является анализ практики применения этих средств.

Список литературы

1. Конституция Российской Федерации

2. Постановление Губернатора Московской области от 8 октября 1998 г. N 311-ПГ "О защите информационных ресурсов Московской области, составляющих государственную тайну".

3. Постановление Правительства Российской Федерации от 21.02.1996 г. № 226 “О государственном учете и регистрации баз и банков данных”

4. Указ Президента Российской Федерации от 06.03.1992 г. № 188 "Об утверждении перечня сведений конфиденциального характера"

5. Федеральный закон от 04.07.1996г. № 85-ФЗ "Об участии в международном информационном обмене"

6. Федеральный закон от 05.03.1992 г. № 2446-1 "О безопасности"

7. Федеральный закон от 10.06. 1993 г. № 5154-1 "О стандартизации"

8. Федеральный закон от 20.02.1995г. № 24-ФЗ "Об информации, информатизации и защите информации"

9. Федеральный закон от 21.07.1993 г. № 5485-1 "О государственной тайне"

10. Информатика: данные, технология, маркетинг. / Под ред. А.П. Романова. М.: Финансы и статистика, 1991

11. Кукин В.Н. Информатика: организация и управление. М.: Экономика, 1991

12. Майоров С.И. Информационный бизнес: коммерческое распространение и маркетинг. М.: Финансы и статистика, 1993