2.6. Обеспечение защиты информации
2.6.1. Объекты защиты информации МЧС России.
2.6.1.1. Основными объектами защиты информации МЧС России являются:
информационные ресурсы с ограниченным доступом;
процессы обработки АС информации - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей информационных систем и ее обслуживающий персонал;
информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены критические (чувствительные к воздействию угроз) компоненты АС МЧС России и автономные АРМ.
2.6.1.2. Категории пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и иным ресурсам МЧС России:
пользователи АС МЧС России (должностные лица организаций МЧС России), в том числе пользователи баз данных;
пользователи, использующие автономные АРМ;
разработчики информации с ограниченным доступом;
администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС;
системные программисты, ответственные за сопровождение общего программного обеспечения на серверах и рабочих станциях пользователей;
разработчики прикладного программного обеспечения;
специалисты по обслуживанию технических средств вычислительной техники;
администраторы защиты информации.
2.6.1.3. Наиболее доступными и уязвимыми компонентами АС МЧС России являются сетевые рабочие станции, входящие в состав АС МЧС России. Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации в сети и совершения несанкционированных действий. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения служебных задач и выходу из строя отдельных АРМ и подсистем.
Кроме сетевых рабочих станций особое внимание должно уделяться защите мостов, шлюзов, маршрутизаторов, коммутаторов и других сетевых устройств, каналов и средств связи. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации и реализации других способов вмешательства в процессы обмена данными.
2.6.2. Основные угрозы безопасности информации в МЧС России.
2.6.2.1. В соответствии с Доктриной информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г. № Пр-1895, разработана Концепция информационной безопасности МЧС России, утвержденная приказом МЧС России от 07.03.2007 № 121. Концепцией определены следующие угрозы безопасности:
противоправные сбор и использование информации;
нарушения технологии обработки информации;
внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
воздействие на системы защиты автоматизированных систем обработки и передачи информации;
компрометация ключей и средств криптографической защиты информации;
утечка информации по техническим каналам;
внедрение в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, учреждений, организаций и предприятий электронных устройств для перехвата информации;
уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
несанкционированный доступ к информации, находящейся в банках и базах данных;
нарушение законных ограничений на распространение информации. Из них в числе основных угроз безопасности информации, циркулирующей в системах и средствах информатизации и связи МЧС России (способов нанесения ущерба субъектам информационных отношений) можно выделить:
разглашение и утечка (нарушение конфиденциальности) информации с ограниченным доступом, содержащей сведения, отнесенные к государственной или служебной тайне;
нарушение работоспособности (дезорганизация работы) АС МЧС России и автономных АРМ, блокирование информации, нарушение технологических процессов, срыв своевременного решения служебных задач;
нарушение целостности (искажение, подмена, уничтожение) информационных, программных и иных ресурсов АС МЧС России, информации, обрабатываемой на автономных АРМ, а также фальсификация (подделка) документов.
2.6.2.2. Основными источниками угроз безопасности информации, циркулирующей в системах и средствах информатизации и связи МЧС России, являются:
непреднамеренные нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты информации) при эксплуатации систем и средств информатизации и связи МЧС России, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений с ограниченным доступом, потере ценной информации или нарушению работоспособности автономных и локальных АРМ, подсистем или АС МЧС России в целом;
преднамеренные (совершенные в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.д.) действия должностных лиц МЧС России, допущенных к работе с информацией ограниченного доступа, а также специалистов подразделений, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;
воздействия сотрудников, в том числе программистов-разработчиков прикладных задач, на логические и (или) физические сегменты АС МЧС России;
деятельность иностранных разведывательных и специальных служб;
ошибки, допущенные при проектировании АС МЧС России, систем защиты информации, ошибки в программном обеспечении, отказы и сбои технических средств и систем информатизации и связи МЧС России, в том числе средств защиты информации и контроля эффективности защиты;
аварии, ЧС и стихийные бедствия.
2.6.3. Меры, методы и средства обеспечения безопасности информационных ресурсов МЧС России.
2.6.3.1. Меры обеспечения безопасности информационных ресурсов подразделяются на:
законодательные (правовые);
организационные (административные);
физические;
технические (аппаратные и программные).
2.6.3.2. К законодательным (правовым) мерам обеспечения безопасности информации относятся законы РФ и другие нормативные правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
В соответствии с положениями Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:
свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
установление ограничений доступа к информации только федеральными законами;
открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
равноправие языков народов РФ при создании информационных систем и их эксплуатации;
обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
достоверность информации и своевременность ее предоставления;
неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
Законодательные (правовые) меры требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом информационных систем.
2.6.3.3. Организационные (административные) меры обеспечения безопасности информации - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с информационной системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
2.6.3.4. Физические меры обеспечения безопасности информации основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационных систем и защищаемой информации с ограниченным доступом, а также технических средств визуального наблюдения, связи и охранной сигнализации.
2.6.3.5. Технические (аппаратно-программные) меры обеспечения безопасности информации основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем МЧС России и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты информации - идентификацию и аутентификацию пользователей, разграничение доступа к информационным ресурсам, регистрацию событий, криптографическую защиту и т.д.
а) с учетом всех требований и принципов обеспечения безопасности информации в информационных системах МЧС России по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
аутентификации пользователей и элементов АС МЧС России (терминалов, функциональных задач, баз данных и т.п.), в соответствии со степенью конфиденциальности информации;
аутентификации пользователей автономных АРМ;
разграничения доступа к информационным ресурсам;
криптографической защиты информации в линиях связи, каналах передачи и в базах данных;
регистрации обращения и контроля за использованием защищаемой информации;
реагирования на обнаруженный несанкционированный доступ;
снижения уровня и информативности ПЭМИН, создаваемых различными элементами систем и средств информатизации и связи МЧС России;
снижения уровня акустических излучений, сопровождающих функционирование элементов систем и средств информатизации и связи МЧС России;
маскировки от оптических (визуальных) средств наблюдения;
электрической развязки, как элементов систем и средств информатизации и связи МЧС России, так и конструктивных элементов помещений, в которых они размещаются, включая водопроводную и канализационную систему;
активного зашумления в радио- и акустическом диапазонах.
б) на технические средства защиты от несанкционированного доступа в соответствии с руководящими документами ФСТЭК (Гостехкомиссии) России и ГОСТ возлагается решение следующих основных задач:
идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств;
регламентация доступа пользователей к физическим устройствам рабочей станции (дискам, портам ввода-вывода);
избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
полномочное (мандатное) разграничение доступа к защищаемым ресурсам (данным) на рабочей станции и на файловом сервере;
создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций, входящих в АС;
защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
оповещение администратора безопасности обо всех случаях несанкционированного доступа, происходящих на рабочих станциях;
оперативный контроль за работой пользователей АС, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.
в) эффективность применения технических средств защиты обеспечивается выполнением следующих требований организационных (административных) и физических мер обеспечения безопасности информации:
обеспечена физическая целостность всех компонент информационных систем МЧС России;
каждый пользователь информационной системы имеет уникальное системное имя и минимально необходимые для выполнения функциональных обязанностей полномочия по доступу к информационным ресурсам;
ограничено и строго регламентировано использование на рабочих станциях АС МЧС России и автономных АРМ инструментальных и технологических программ (тестовых утилит, отладчиков и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты информации;
разработка и отладка программ осуществляется за пределами защищенных информационных систем, программирующие пользователи в них отсутствуют;
все изменения конфигурации технических и программных средств информационных систем производятся строго установленным порядком и только на основании распоряжений руководства;
сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних лиц (специальных помещениях, шкафах, и т.п.);
осуществляется непрерывное управление и административная поддержка функционирования средств защиты информации.
2.6.4. Планирование мероприятий по обеспечению безопасности информации.
2.6.4.1. В целях реализации установленного порядка функционирования комплексной системы обеспечения безопасности информации в МЧС России ежегодно планируются мероприятий по обеспечению безопасности информации с ограниченным доступом. Запланированные мероприятия включаются в установленном порядке в планы основных мероприятий или планы по обеспечению режима секретности соответствующих организаций по согласованию с подразделениями по защите информации.
2.6.4.2. Результаты выполнения мероприятий, предусмотренных указанными выше планами, включаются отдельным разделом в отчетность, представляемую в установленном порядке, по вопросам защиты государственной тайны.
2.6.5. Организация обеспечения безопасности информационных ресурсов в случае возникновения ЧС.
2.6.5.1. В соответствии с положениями Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации № Пр-1895 от 9 сентября 2000 г., наиболее уязвимыми объектами обеспечения информационной безопасности в условиях ЧС являются система принятия решений по оперативным действиям (реакциям), связаннымс развитием таких ситуаций и ходом ликвидации их последствий, а также система сбора и обработки информации о возможном возникновении ЧС.
2.6.5.2. Особое значение для нормального функционирования указанных объектов имеет обеспечение безопасности информационной инфраструктуры при авариях, катастрофах и стихийных бедствиях. Сокрытие, задержка поступления, искажение и разрушение оперативной информации, несанкционированный доступ к ней отдельных лиц или групп лиц могут привести как к человеческим жертвам, так и к возникновению разного рода сложностей при ликвидации ЧС, связанных с особенностями информационного воздействия в экстремальных условиях: к приведению в движение больших масс людей, испытывающих психический стресс, к быстрому возникновению и распространению среди них паники и беспорядков на основе слухов, ложной или недостоверной информации.
2.6.5.3. К специфическим для данных условий направлениям обеспечения информационной безопасности относятся:
разработка эффективной системы мониторинга объектов повышенной опасности, нарушение функционирования которых может привести к возникновению ЧС, и прогнозирования ЧС;
совершенствование системы информирования населения об угрозах возникновения ЧС, об условиях их возникновения и развития;
повышение надежности систем обработки и передачи информации, обеспечивающих деятельность МЧС России;
прогнозирование поведения населения под воздействием ложной или недостоверной информации о возможных ЧС и выработка мер по оказанию помощи большим массам людей в условиях этих ситуаций;
разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами.
- Министерство российской федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий
- I. Общие положения
- 1.1. Основные понятия, термины и определения
- 1.2. Органы управления силами и средствами рсчс
- 1.3. Режимы функционирования органов управления рсчс
- 1.4. Порядок взаимодействия органов управления рсчс
- II. Организация управления рсчс
- 2.1. Основы работы по организации управления рсчс
- 2.2. Пункты управления рсчс
- 2.3. Организация связи и оповещения
- 2.4. Особенности организации связи в различных условиях
- 2.5. Организация межведомственного взаимодействия при информировании населения через сми
- 2.6. Обеспечение защиты информации
- 2.7. Применение навигационных систем
- 2.8. Обеспечение скрытности управления
- 2.9. Управление асднр при ликвидации чрезвычайных ситуаций
- III. Организация работы органов управления рсчс в повседневном режиме
- 3.1. Подготовка органов управления рсчс к оперативному (экстренному) реагированию и ведению асднр
- 3.2. Поддержание постоянной готовности органов управленияРсчс
- IV. Особенности работы органов управления и сил рсчс в различных условиях
- 4.1. Особенности работы органов управления рсчс при
- Угрозе возникновения чрезвычайной ситуации, происшествия
- 4.2. Особенности работы органов управления рсчс при возникновении чрезвычайной ситуации, происшествия
- 4.3. Особенности работы органов управления и сил рсчс при проведении асднр
- 4.4. Особенности работы органов управления и сил рсчс в сложных условиях обстановки
- 4.5. Особенности действий сил рсчс в особых условиях
- V. Работа органов управления рсчс по
- 5.2. Разведка
- 5.3. Радиационная и химическая защита
- 5.4. Инженерное обеспечение
- 5.5. Противопожарное обеспечение
- 5.6. Дорожное обеспечение
- 5.7. Гидрометеорологическое обеспечение
- 5.8. Техническое обеспечение
- 5.9. Метрологическое обеспечение
- 5.10. Материальное обеспечение
- 5.11. Транспортное обеспечение
- 5.12. Медицинское обеспечение
- 5.13. Организация комендантской службы
- 5.14. Организация охраны общественного порядка
- VI. Организация оперативного (экстренного) реагирования при ликвидации чрезвычайных ситуаций (происшествий)
- 6.1. Права и обязанности специалистов оперативного (экстренного) реагирования, участвующих в ликвидации чрезвычайных ситуаций, происшествий
- 6.2. Организация мероприятий по готовности к оперативному (экстренному) реагированию на чрезвычайные ситуации, происшествия
- 6.3. Организация и ведение асднр
- 6.4. Информационно-психологическое обеспечение асднр
- 6.5. Морально-психологическое обеспечение асднр
- 6.6. Материально-техническое обеспечение асднр
- 6.7. Медицинское обеспечение асднр
- VII. Анализ чрезвычайных ситуаций, происшествий, организации управления в системе рсчс при оперативном (экстренном) реагировании и ведении асднр
- VIII. Обобщение и распространение опыта ликвидации чрезвычайных ситуаций
- Сокращения, используемые в Наставлении
- Оглавление