Пользователями ИВС Росстата являются сотрудники ЦА Росстата, ГМЦ и ТОГС и в ограниченном объеме представители внешних организаций. Пользователи ИВС Росстата имеют различные права доступа к информации, циркулирующей в системе:
· пользователи баз данных, содержащих открытую информацию;
· пользователи баз данных, содержащих конфиденциальную информацию;
· ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);
· администраторы ЛВС, баз данных;
· системные программисты, ответственные за сопровождение системного и прикладного программного обеспечения на серверах и рабочих станциях;
· разработчики прикладного программного обеспечения;
· специалисты по обслуживанию технических средств вычислительной техники;
· администраторы информационной безопасности (средств защиты информации).
Цели и задачи обеспечения безопасности
При использовании ИВС Росстата и обеспечении безопасности информации субъектами правоотношений являются:
· Росстат как собственник информационных ресурсов;
· юридические лица и индивидуальные предприниматели без образования юридического лица, представляющие сведения о своей деятельности по формам федерального статистического наблюдения, которые собираются, обрабатываются, накапливаются и хранятся в ИВС Росстата;
· физические лица при проведении переписи населения;
· другие юридические и физические лица, задействованные в процессе создания и функционирования автоматизированной системы (разработчики, обслуживающий персонал, организации, привлекаемые для оказания услуг в области информационных технологий и др.).
· Перечисленные субъекты информационных отношений заинтересованы в обеспечении:
· конфиденциальности определенной части информации;
· целостности, достоверности информации;
· своевременного доступа (за приемлемое для них время) к необходимой им информации;
· ответственности за нарушения установленных правил обращения с информацией;
· возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.
Основная цель обеспечения информационной безопасности
Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений от возможного нанесения им ощутимого ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИВС Росстата или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.
Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и АС ее обработки: доступности, конфиденциальности, целостности и аутентичности.
Для достижения основной цели защиты и обеспечения указанных свойств информации и АС ее обработки система информационной безопасности должна обеспечивать эффективное решение следующих задач:
· защиту от вмешательства в процесс функционирования ИВС Росстата посторонних лиц;
· разграничение прав доступа зарегистрированных пользователей к информационным ресурсам, аппаратным, программным средствам и средствам защиты информации;
· регистрацию действий пользователей при использовании защищаемых ресурсов ИВС Росстата в системных журналах, периодический контроль корректности действий пользователей специалистами по защите информации;
· обеспечение целостности среды исполнения программ и ее восстановление в случае нарушения;
· защиту от несанкционированной модификации и внедрения, а также контроль целостности используемых программных средств;
· защиту конфиденциальной информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
· обеспечение авторизации и аутентификации пользователей;
· проведение мониторинга возможных угроз и информационной защищенности;
· создание условий для минимизации и локализации наносимого ущерба от неправомерных действий физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.
Основные пути достижения целей защиты
Основными путями достижения целей защиты информации являются:
· строгий учет всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ);
· обеспечение полноты, реальной выполнимости и непротиворечивости требований организационно-распорядительных документов Росстата по вопросам обеспечения безопасности информации;
· персональная ответственность за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам ИВС Росстата;
· реализация технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
· принятие эффективных мер обеспечения физической целостности технических средств, обеспечивающих инженерных систем и непрерывного поддержания необходимого уровня защищенности компонентов ИВС Росстата;
· юридическая защита интересов Росстата при информационном взаимодействии его подразделений с внешними организациями от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;
· проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработка и реализация предложений по совершенствованию системы защиты информации в ИВС Росстата.
Принципы построения системы информационной безопасности
Организация и функционирование системы информационной безопасности должны соответствовать нижеследующим принципам.
Максимальной дружественности. Следует учесть совместимость создаваемой системы защиты информации с используемой операционной и программно-аппаратной структурой системы и сложившимися технологиями Росстата в обмене информационными потоками.
Прозрачности. Система защиты информации должна работать в «фоновом» режиме, быть максимально «незаметной» и не мешать пользователям в основной работе, но при этом выполнять все возложенные на нее функции.
Превентивности. Устранение последствий проявления угроз безопасности информации потребует существенных финансовых, временных и материальных затрат, гораздо более значительных, чем затраты на создание системы защиты информации.
Оптимальности. Оптимальный выбор соотношения между различными методами и способами парирования угроз безопасности информации при принятии решения позволит в значительной степени сократить расходы на создание системы защиты информации.
Обоснованности. Используемые возможности и средства защиты информации должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности.
Системного подхода. Такой подход позволяет заложить комплекс мероприятий по парированию угроз безопасности информации уже на стадии проектирования защищенной системы, обеспечив оптимальное сочетание организационных и инженерно-технических мер защиты информации. Оборудование действующей незащищенной системы средствами защиты информации - сложнее и дороже, чем изначальное проектирование и построение ее в защищенном варианте.
Адаптивности. Система защиты информации должна строиться с учетом возможного изменения конфигурации системы, числа пользователей и степени конфиденциальности и ценности информации. При этом введение каждого нового элемента системы или изменение действующих условий не должно снижать достигнутый уровень защищенности системы в целом.
Доказательности. При создании системы защиты информации необходимо соблюдение организационных мер внутри системы, включая применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Реализация данного принципа требует применения электронной цифровой подписи при работе с удаленными и внешними рабочими местами и терминалами, связанными с ИВС Росстата.
Самозащиты и конфиденциальности системы защиты информации. Принципы противодействия угрозам применимы к самой системе защиты и предполагают соблюдение конфиденциальности реализованных механизмов защиты информации. Реализация данного принципа позволяет контролировать целостность системы защиты информации, управлять безопасностью через администратора безопасности, восстанавливать систему защиты при ее компрометации и отказах оборудования.
Специализации. Разработка, внедрение, эксплуатация системы защиты информации должны осуществляться профессионально подготовленными специалистами.
Основные угрозы информационной безопасности
Модель угроз информационной безопасности
Угрозы безопасности информации в системе Росстата при их обработке в информационных системах в составе ИВС Росстата делятся на:
- угрозы нарушения доступности;
- угрозы нарушения целостности;
- угрозы нарушения конфиденциальности.
Модель угроз информационной безопасности содержит систематизированный перечень актуальных угроз безопасности при их обработке в ИВС Росстата, источников актуальных угроз безопасности конфиденциальной информации, уровней реализации угроз безопасности, типов материальных объектов среды обработки информации (далее – актуальные угрозы безопасности).
Актуальная угроза безопасности – угроза безопасности информации, реализация которой влечет негативные последствия для информационной системы или ИВС Росстата в целом.