Приказ Минфина России от 07 июля 2014 года № 208 «О Концепции обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации» Поделиться в социальных сетях
В целях совершенствования подходов, правил, процедур обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации, предотвращения ущерба в результате противоправных действий, приводящих к разглашению, уничтожению, искажению, блокированию или незаконному использованию информации, нарушению работы информационных систем и информационно-телекоммуникационной инфраструктуры Министерства финансов Российской Федерации, приказываю:
1. Утвердить прилагаемую Концепцию обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации.
2. Департаменту информационных технологий в сфере управления государственными и муниципальными финансами и информационного обеспечения бюджетного процесса (Е.Е. Чернякова) совместно с департаментами Министерства финансов Российской Федерации обеспечить реализацию Концепции обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации.
3. Контроль за исполнением настоящего приказа возложить на первого заместителя Министра финансов Российской Федерации Т.Г. Нестеренко.
Настоящая Концепция обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации (далее — Концепция) разработана в целях реализации Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и защите информации».
В Концепции определяются цель, задачи, принципы, основные направления и этапы совершенствования обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации (далее — Министерство).
Концепция не распространяется на информационные системы Министерства, в которых содержатся сведения, составляющие государственную тайну.
В настоящее время в Министерстве в целях реализации функций и полномочий, определенных Положением о Министерстве финансов Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 30 июня 2004 г. N 329, и иными нормативно-правовыми актами, осуществляется автоматизированная и неавтоматизированная обработка различных видов информации: общедоступной информации, информации ограниченного доступа (служебная тайна, коммерческая тайна, банковская тайна, персональные данные и др.).
Для обеспечения выполнения требований по защите информации в информационно-телекоммуникационной инфраструктуре Министерства выделено два контура:
закрытый контур внутренней локальной вычислительной сети (далее — ЗКВС), в котором обрабатывается информация, содержащая сведения конфиденциального характера;
открытый контур внутренней локальной вычислительной сети (далее — ОКВС), в котором размещены доступные из информационно-телекоммуникационной сети «Интернет» сервисы Министерства, в том числе официальный сайт Министерства.
Ключевой системой информационной инфраструктуры Министерства является автоматизированная информационная система Министерства финансов Российской Федерации «Финансы» (далее — АИС «Финансы»), которая представляет собой совокупность аппаратных, программных и организационных средств. В состав АИС «Финансы» входит прикладное программное обеспечение, информационные сервисы, официальный сайт, порталы, а также информационно-телекоммуникационная инфраструктура Министерства.
4) По месту действия:
При разработке системы безопасности могут учитываться следующие ограничения и предположения о характере возможных действий нарушителей:
Работа по подбору кадров и спец.организованные мероприятия затрудняют создание коалиции нарушителей, т.е. объединения их целенаправленных действий по преодолению системы защиты 2+ нарушителей.
Нарушитель, планируя попытки НСД, скрывает свои НСДействия от других сотрудников.
НСДействия м.б. следствием ошибок пользователей и администраторов системы, обслуживающего и эксплуатирующего персонала, а также недостатков в технологии обработки информации и т.д.
Модель нарушителя, построенная для конкретной АС и технологии обработки информации, к.п. представляется перечислением вариантов его облика, и каждый вид нарушителя д.б. охарактеризован значениями характеристик, приведенных выше.
ОСНОВНЫЕ МЕРЫ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ БЕЗОПАСНОСТИ. ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ. ОСНОВНЫЕ МЕХАНИЗМЫ ЗАЩИТЫ
По способам осуществления все меры обеспечения безопасности АС можно поделить на:
К правовым методамотносятся действующие в стране законы, указы, нормативные акты, которые регламентируют правила обращения с инф., определяют права и обязанности участников инф. отношений и устанавливают ответственность за нарушение этих правил.
Морально-этические нормы– это нормы поведения, которые традиционно сложились и складываются по мере распространения компьютерной техники и ИС в обществе. Эти нормы не являются обязательными, однако их несоблюдение может привести к падению авторитета или престижа группы лиц, организаций. М.б. неписаные и писаные
Организационные меры– это меры орг-ого характера, которые регламентируют процесс функционирования ИС, действия персонала, порядок вз/действия пользователя с системой, таким образом, чтобы в максимальной степени затруднить или исключить возможность реализации угрозы безопасности. Они включают:
1. Мероприятия, которые осуществляются при проектировании, строительстве и оборудовании вычислительных центров и других объектов СОД.
2. Мероприятия по разработке правил доступа пользователей к системе и ее ресурсам системы(разработка политики безопасности).
5. Организация учёта, хранения, исп-я и уничтожения документов и носителей информации.
Физические мерызащиты основаны на применении различного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физ. препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой инф., а также ТС визуального наблюдения, связи и охранной сигнализации.
Технические (аппаратно-программные) мерызащиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих самостоятельно, либо в комплексе с другими средствами, функции защиты, к которым относятся:
разграничение доступа к ресурсам, регистрация событий, криптографическое закрытие инф.
ОСНОВНЫЕ МЕХАНИЗМЫ ЗАЩИТЫ КОМПЬЮТЕРНЫХ СИСТЕМ ОТ ПРОНИКНОВЕНИЯ С ЦЕЛЬЮ ДЕОРГАНИЗАЦИИ ИХ РАБОТЫ И НСД К ИНФОРМАЦИИ
Объект— пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
Субъект— активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
2 Организационные меры
- для обрабатываемых персональных данных – не реже раза в неделю;
- для технологической информации – не реже раза в месяц;
- эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы ИСПДн – не реже раза в месяц, и каждый раз при внесении изменений в эталонные копии (выход новых версий).
Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования.
Носители должны храниться в несгораемом шкафу или помещении оборудованном системой пожаротушения.
Носители должны храниться не менее года, для возможности восстановления данных.
Заключение
Обеспечение информационной безопасности — сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению ИБ, подхода, требующего разумных трудовых и материальных затрат и способного дать практически приемлемые результаты для большинства организаций.
Загрузка...
