Защита информации в гос.структурах

Внимание! Сдесь много букв и совсем нет картинок. 🙂

Сметая стериотипы, в пятницу вечером я решил написать про защиту информации при ее обработке в государственных структурах.

В недавнем прошлом я присутствовал на совещании, где обсуждалась проблематика защиты информации, содержащую персональные данные и прочие секреты. Оператора, государственную организацию, вопрос защиты живо интересовал, в отличии от владельцев этих данных.

Мне даже стало немножко завидно, т.к. голова насчет 152-ФЗ у этих счастливчиков не болела :). Основной упор делался на использование давно откатанных и, несомненно, эффективных технологий маршрутизации VLAN, НО с помощью несертифицированных средств. Дабы использовать то, что есть и обрезать до минимума бюджет.

По следам того совещания, я собрал по всем доступным источникам и систематизировал информацию, которая, на мой взгляд, достаточно аргументированно объясняет, почему в гос. структурах использование подобных средств недопустимо.
Специфика информационного взаимодействия органов государственной власти, органов местного самоуправления состоит в том, что в их информационных системах накапливается и обрабатывается информация, которая в соответствии с действующим законодательством (указ Президента РФ №188 от 06 марта 1997) классифицируется как конфиденциальная.

Кроме того, в конце января 2007 года вступил в силу Федеральный закон №152-ФЗ «О персональных данных» от 27 июля 2006г.. Ст.19 данного закона устанавливает требования по обязательности использования шифровальных (криптографических средств) для защиты персональных данных при осуществлении их обработки.

Согласно статье 16 ФЗ N 149 «Об информации, информационных технологиях и о защите информации» Обладатель информации в случаях, установленных законодательством Российской Федерации, обязан обеспечить:

  • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  • своевременное обнаружение фактов несанкционированного доступа к информации;
  • предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  • возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  • постоянный контроль за обеспечением уровня защищенности информации.

Само подключение информационных систем к сетям общего пользования (в т.ч. ) или использование незащищенных коммуникаций может привести к возникновению целого ряда реальных угроз безопасности.

Возложенные обязанности по защите информации и созданию и эксплуатации информационных систем требуют от Организаций:

  • обеспечить защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в Ваших информационных системах;
  • перекрыть каналы утечки и кражи конфиденциальной информации;
  • обеспечить защиту от уничтожения данных вследствие незаконного вмешательства в информационные ресурсы и информационные системы;
  • предотвращения возможности искажения, подделки хранимой и обрабатываемой информации

Осуществляя деятельность по защите информации, Организации в том числе должны руководствоваться Указом Президента РФ «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» устанавливает запрет на использование организациями и предприятиями несертифицированных шифровальных средств.

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005) (Приложение к Приказу ФСБ России от 9 февраля 2005г. №66): п. 12 данного положения говорит о том, что «для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, установленным в соответствии с законодательством Российской Федерации».

Последнее требование, в совокупности с требованием, установленным ФЗ «О персональных данных» означает, что для защиты персональных данных, которые в свою очередь являются сведениями конфиденциального характера (в соответствии с п.1 Указа Президента РФ от 6 марта 1997г. №188 «Об утверждении перечня сведений конфиденциального характера»), необходимо использовать СКЗИ и эти СКЗИ должны быть сертифицированными.

В соответствии с Доктриной информационной безопасности Российской Федерации, необходимо принять меры к обеспечению информационной безопасности ИС и обмена данными, как при взаимодействии Оператора с внешними организациями, так и непосредственно внутри организационной структуры.

Обеспечение необходимого уровня безопасности информационных систем и ресурсов государственного учреждения, их целостности и конфиденциальности должно быть основано на:

  • применении единых принципов и требований по защите информации от несанкционированного доступа или изменения на всех уровнях;
  • применении средств защиты от воздействия компьютерных атак и вирусов
  • использовании сертифицированных аппаратных и программных средств предупреждения и обнаружения компьютерных атак и защиты информации, разрабатываемых и производимых организациями, получившими в установленном порядке необходимые лицензии.

Мероприятия по защите информации, передаваемой по каналам связи должны обеспечивать защиту от несанкционированного доступа, просмотра и модификации информации, передаваемой по внешним каналам, посредством использования цифровых сертификатов и протоколов строгой аутентификации для взаимной аутентификации сторон при установлении сетевого соединения и криптографических алгоритмов для обеспечения конфиденциальности и целостности передаваемой информации.

Используемые СКЗИ, должны реализовывать разрешенный к использованию на территории Российской Федерации криптоалгоритм. При этом, должны выполняться требования (рекомендации), указанные в технической документации и сертификате на СКЗИ.

Для защиты потоков данных должны использоваться отечественные криптографические алгоритмы ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 28147-89

Мероприятия по организации межсетевого экранирования должны обеспечивать:

  • защиту информационных ресурсов ИС от несанкционированного доступа из внешних сетей;
  • разграничение и контроль доступа к сегментам и отдельным узлам ИС;
  • контроль доступа пользователей «удаленных рабочих мест», партнерских предприятий (при наличии планов организатора МФЦ по выводу структуры на самоокупаемость), а также пользователей ИС к ресурсам глобальной сети Интернет;
  • разграничение доступа пользователей к общим информационным ресурсам.

В соответствии с указом Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» № 611, 2004 г. необходимо ограничить рабочие станции, в которых обрабатывается информация, содержащая сведения, составляющие служебную тайну, а также для которых установлены особые правила доступа к информационным ресурсам от сети Интернет.

Резюме:

В соответствии с вышесказанным, мое мнение следующее: отказ от использования сертифицированных средств защиты информации при обработке конфиденциальной информации в государственных органах ведет к нарушению целого ряда Федеральных Законов и других нормативных актов. Статья 24 закона № 152-ФЗ гласит: “Лица, виновные в нарушении требований настоящего федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность”. Использование сколь угодно надежных, но не сертифицированных средств, при организации обработки информации ограниченного доступа между операторами ПД и другой конфиденциальной информации неизбежно влечет за собой ответственность оператора в случае утечки или проверки контролирующего органа.

Связанные записи

Метки: , , , , , ,