Обеспечение безопасности информационных ресурсов в органах налоговой службы

В соответствии с требованиями к АИС налоговой службы должна быть обеспечена безопасность информационных ресурсов, хранимой и обрабатываемой информации. Решением этой задачи является построение специализированной подсистемы - подсистемы безопасности АИС.

Согласно действующему Руководящему документу (РД) Гостехкомиссии РФ «Концепция защиты автоматизированных систем от несанкционированного доступа» работа подсистемы безопасности обеспечивается согласованными мерами на законодательном, организационном и программно-техническом уровнях. На законодательном уровне необходимо обеспечить соответствие подсистемы безопасности требованиям нормативных документов РФ.

Защита на организационном уровне обеспечивается формированием политики безопасности, описывающей категории информации, хранимой и обрабатываемой в АИС, соотнесение существующих и планируемых информационных ресурсов информации различных категорий, основные риски, связанные с информационными сервисами.

Среди организационных мер выделяются процедурные меры, обеспечивающие реализацию политики безопасности персоналом, использующим АИС и осуществляющим ее обслуживание.

Для реализации политики безопасности создается комплекс программно-техническях средств, обеспечивающих формирование рубежей защиты информации с реализацией на них следующих механизмов безопасности:

-аутентификации и авторизации;

-разграничения доступа;

-мониторинга и аудита;

-шифрования;

-сегментации и экранирования.

Основой проработки решений подсистемы безопасности является анализ рисков, проводимый при проектировании и построении АИС. При этом принимаются во внимание классы рисков: техногенные, антропогенные, стихийные.

К техногенным рискам относятся:

-отказы программного и аппаратного обеспечения (выход из строя аппаратных компонентов, проявление программных ошибок в сервере СУБД либо в базовом или прикладном программном обеспечении);

-разрушение данных (выход из строя носителей информации, уничтожение информации в результате аппаратной или программной ошибки).

К антропогенным рискам относятся:

Риски со стороны обслуживающего персонала:

-отступление (случайное или умышленное) от установленных правил эксплуатации либо отсутствие необходимых регламентов в сочетании с неквалифицированными действиями персонала;

-ошибки при (пере)конфигурировании системы (непонимание устройства информационной системы и вызванные этим некорректные действия либо небрежность при выполнении переконфигурирования);

-разрушение информации в результате неквалифицированных действий персонала или воздействия вредоносного ПО (вирусы и т.п.);

-нежелание выполнения обслуживающим персоналом своих обязанностей.

Риски со стороны потенциальных злоумышленников:

-разрушение или повреждение аппаратуры (террористический акт, акты вандализма и т.п.);

-нарушение работы систем связи, электропитания, водоснабжения, кондиционирования (как результат злонамеренных действий);

К стихийным рискам относятся:

-разрушение или повреждение аппаратуры, информации (аварии, пожары, протечки и другие стихийные бедствия);

-нарушение работы систем связи, электропитания, водоснабжения (как результат стихийных бедствий);

-разрушение или повреждение помещений (как результат стихийных бедствий);

-исчезновение ключевых сотрудников;

-пропажа документов.

На основе предварительного анализа рисков выделяются рекомендации по мерам организационного и процедурного характера и строится многоуровневая подсистема безопасности АИС.

Организационный уровень.

Организационные меры, должностные обязанности администратора безопасности и порядок их выполнения определяются в документе «План обеспечения безопасности информационной системы предприятия». Этот документ описывает наиболее общие вопросы, связанные с безопасностью системы, и содержит ссылки на следующие документы:

-план восстановления работоспособности АИС в случае аварии;

-план проведения аудита;

-программы обучения и проведения инструктажей пользователей и администраторов АИС;

-процедура резервного копирования и восстановления;

-должностные инструкции администраторов, пользователей и обслуживающего персонала.

Программно-технический уровень.

Используемые программно-технические средства подсистемы безопасности АИС представляют встроенно-наложенную структуру. Безопасность и надежность всей системы обеспечивается комплексом механизмов, имеющимся в составе используемых приложений и ОС (таких, как аутентификация пользователей, разграничение доступа к данным и приложениям, журнализирование, шифрование, сегментирование сети и т.д.), с последующим наложением дополнительных специализированных средств к использованию межсетевых экранов, резервированию), обеспечивающих комплексное решение задач по интеграции встроенных механизмов безопасности, установлению дополнительных рубежей защиты информационных ресурсов.