Точное название дисциплины: Организация и технология защиты информации
Часть 1
Часть 3
1.4 Обоснование комплексной системы защиты информации (КСЗИ) - возможные угрозы - особенности системы безопасности
Система защиты информации в России – это организованная совокупность специальных законодательных и иных нормативных актов, органов, служб, методов, мероприятий и средств, обеспечивающих безопасность информации от внутренних и внешних угроз.
Принципы защиты информации
1. Комплексность. Предполагает:
А) обеспечение безопасности обслуживающего персонала, материальных и финансовых ресурсов от всех возможных угроз всеми доступными законными средствами, методами и мероприятиями;
Б) обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, во всех технологических процессах и операциях их создания, обработки, использования и уничтожения;
В) способность системы защиты информации к развитию и совершенствованию в соответствии с изменяющимися внешними и внутренними условиями.
2. Своевременность – упреждающий характер защиты информации. Предполагает постановку задач по комплексной защите информации на стадии проектирования (создания) системы ее защиты на основе анализа известных и прогнозирования возможных угроз безопасности информации, которые могут появиться в будущем после запуска системы защиты в эксплуатацию.
3. Непрерывность
- постоянное поддержание работоспособности и развитие системы защиты информации.
4. Активность
- настойчивость в достижении целей и задачи защиты информации. Предполагает постоянный маневр силами и средствами защиты информации, а также принятие нестандартных мер защиты.
5. Законность
- разработка системы защиты информации на основе действующего законодательства, а также иных нормативных актов, регламентирующих безопасность информации. В ходе последующей реализации системы защиты информации.
- применение всех законных методов и средств обнаружения и пресечения правонарушений в области безопасности информации.
6. Обоснованность. Заключается в том, что все методы и средства защиты информации должны быть научно обоснованными и современными, соответствовать последним достижениям науки и техники. В своей совокупности они должны отвечать всем установленным требованиям и нормам по защите информации.
7. Экономическая целесообразность – затраты на разработку и реализацию (обеспечение заданных параметров) системы защиты информации не должны превышать размеры потенциального ущерба, который может наступить в результате нарушения безопасности защищаемой информации.
8. Специализация. Предполагает привлечение к разработке и внедрению методов и средств защиты информации специализированных субъектов, имеющих государственную лицензию на определенный вид деятельности в сфере оказания услуг по защите информации. Применяемые ими средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
9. Взаимодействие и координация деятельности. Предусматривает организацию четкого взаимодействия между всеми субъектами защиты информации, действующими в рамках единой системы защиты информации, а также координацию их усилий и осуществляемых работ в этой сфере для достижения общих целей. Заключается в интеграции и последовательности деятельности по защите конкретных информационных ресурсов.
10. Совершенствование. Предусматривает совершенствование и разработку новых законодательных, организационных и технических мер защиты информации под воздействием объективных и субъективных факторов.
11. Централизация управления.
Предполагает наличие единого координационного центра (субъекта), занимающегося общими вопросами управления системой защиты информации, а также единых требований по обеспечению безопасности информации.
Для специалистов очевидна необходимость использования комплексной системы защиты информации, основным элементом которой является человек. Однако между людьми часто возникают конфликты, которые могут привести к негативным воздействиям на уязвимость информации. Поэтому цель данного вопроса доказать, что социально-психологические конфликты оказывают существенное влияние на безопасность информации и что с помощью конкретных рекомендаций можно воздействовать и даже управлять социально-психологической обстановкой в коллективе, повышая тем самым степень защиты объекта в целом.
Основные типы конфликтов в сфере защиты информации.
Возможные угрозы
С позиции обеспечения безопасности информации в компьютерных системах такие системы целесообразно рассматривать в виде единства трех компонент, оказывающих взаимное влияние друг на друга:
- информация;
- технические и программные средства;
- обслуживающий персонал и пользователи.
В отношении приведенных компонент иногда используют и термин «информационные ресурсы», который в этом случае трактуется значительно шире, чем в Федеральном законе РФ «Об информации, информатизации и защите информации». Целью создания любой КС является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» в КС и выступает в виде центральной компоненты системы. Безопасность информации на уровне КС обеспечивают две другие компоненты системы.
Причем эта задача должна решаться путем защиты от внешних и внутренних неразрешенных (несанкционированных) воздействий. Особенности взаимодействия компонент заключаются в следующем. Внешние воздействия чаще всего оказывают несанкционированное влияние на информацию путем воздействия на другие компоненты системы. Следующей особенностью является возможность несанкционированных действий, вызываемых внутренними причинами, в отношении информации со стороны технических, программных средств, обслуживающего персонала и пользователей.
В этом заключается основное противоречие взаимодействия этих компонент с информацией. Причем, обслуживающий персонал и пользователи могут сознательно осуществлять попытки несанкционированного воздействия на информацию.
Таким образом, обеспечение безопасности информации в КС должно предусматривать защиту всех компонент от внешних и внутренних воздействий (угроз). Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Все множество потенциальных угроз безопасности информации в КС может быть разделено на два класса (рис 1).
Случайные угрозы. Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным - до 80% от ущерба, наносимого информационным ресурсам КС любыми угрозами). При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию.
Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для КС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.
Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы от-18дельных узлов и устройств могут также привести к нарушению конфиденциальности информации. Например, сбои и отказы средств выдачи информации могут привести к несанкционированному доступу к информации путем несанкционированной ее выдачи в канал связи, на печатающее устройство и т. п. Ошибки при разработке КС, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств.
Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы КС. Особую опасность представляют ошибки в операционных системах (ОС) и в программных средствах зашиты информации. Согласно данным Национального Института Стандартов и Технологий США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты. Характеризуя угрозы информации в КС, не связанные с преднамеренными действиями, в целом, следует отметить, что механизм их реализации изучен достаточно хорошо, накоплен значительный опыт противодействия этим угрозам. Современная технология разработки технических и программных средств, эффективная система эксплуатации КС, включающая обязательное резервирование информации, позволяют значительно снизить потери от реализации угроз этого класса.
Преднамеренные угрозы - второй класс угроз безопасности информации в КС составляют преднамеренно создаваемые угрозы. Данный класс угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам:
- традиционный или универсальный шпионаж и диверсии;
- несанкционированный доступ к информации;
- электромагнитные излучения и наводки;
- модификация структур КС;
- вредительские программы.
Рис 2. Угрозы безопасности информации в компьютерных системах
Особенности системы безопасности
Обеспечение безопасности информации на объектах Распределенной Компьютерной Системы практически не отличается от решения такой задачи для сосредоточенных систем. Особенностью защиты объектов РКС является необходимость поддержки механизмов аутентификации и разграничения доступа удаленных процессов к ресурсам объекта, а также наличие в сети специальных коммуникационных компьютерных систем. Учитывая важность проблемы подтверждения подлинности удаленных процессов (пользователей), механизмы ее решения выделены в отдельную группу.
Все элементы коммуникационной подсистемы, за исключением каналов связи, рассматриваются как специализированные ком-184муникационные компьютерные системы. В защищенных корпоративных сетях концентраторы, коммуникационные модули (серверы), шлюзы и мосты целесообразно размещать на объектах совместно с КС пользователей.
Особенностью всех коммуникационных КС является информация, которая обрабатывается этими системами. В таких КС осуществляется смысловая обработка только служебной информации. К служебной части относится адресная информация, избыточная информация для защиты сообщений от искажений, идентификаторы пользователей, метки времени, номера сообщений (пакетов), атрибуты шифрования и другая информация. Информация пользователей, заключенная в сообщениях (рабочая информация), на уровне коммуникационных КС рассматривается, как последовательность бит, которая должна быть доставлена по коммуникационной подсистеме без изменений. Поэтому в таких системах имеется принципиальная возможность не раскрывать содержание рабочей информации. Она не должна быть доступной операторам и другому обслуживающему персоналу коммуникационных компьютерных систем для просмотра на экране монитора, изменения, уничтожения, размножения, запоминания в доступной памяти, получения твердой копии.
Такая информация не должна сохраняться на внешних запоминающих устройствах после успешной передачи сообщения другому элементу коммуникационной подсистемы. В закрытых системах рабочая информация, кроме того, в пределах коммуникационной подсети циркулирует в зашифрованном виде. Различают два вида шифрования в КС: шифрование в коммуникационной подсистеме - линейное - и меж концевое шифрование - абонентское. Абонент перед отправкой осуществляет зашифрованные сообщения с помощью симметричного или открытого ключа.
На входе в коммуникационную подсистему сообщение подвергается линейному зашифрованию, даже если абонентское шифрование и не выполнялось. При линейном шифровании сообщение зашифровывается полностью, включая все служебные данные.
Причем линейное шифрование может осуществляться в сети с разными ключами. В этом случае злоумышленник, имея один ключ, может получить доступ к информации, передаваемой в ограниченном количестве каналов. Если используются различные ключи, то в коммуникационных модулях осуществляется расшифрование не только служебной информации, а всего сообщения полностью (рабочая информация остается зашифрованной на абонентском уровне). По открытой служебной информации осуществляется проверка целостности сообщения, выбор дальнейшего маршрута и передача «квитанции» отправителю. Сообщение подвергается зашифрованию с новым ключом и передается по соответствующему каналу связи. Особые меры защиты должны предприниматься в отношении центра управления сетью. Учитывая концентрацию информации, критичной для работы всей сети, необходимо использовать самые совершенные средства защиты информации специализированной КС администратора сети, как от непреднамеренных, так и преднамеренных угроз. Особое внимание должно обращаться на защиту процедур и средств, связанных с хранением и работой с ключами.
Администратор сети, как и все операторы коммуникационной подсети, работает только со служебной информацией. Если в сети ключи для абонентского шифрования распределяются из центра управления сетью, то администратор может получить доступ ко всем ключам сети, а, следовательно, и ко всей передаваемой и хранимой в сети информации. Поэтому в специализированной КС администратора сети должны быть предусмотрены механизмы, блокирующие возможность работы с информационной частью сообщений, которые не предназначаются администратору.
Более надежным является способ управления ключами, когда они неизвестны ни администратору, ни абонентам. Ключ генерируется датчиком случайных чисел и записывается в специальное ассоциативное запоминающее устройство, и все действия с ним производятся в замкнутом пространстве, в которое оператор КС не может попасть с целью ознакомления с содержимым памяти. Нужные ключи выбираются из специальной памяти для отсылки или проверки в соответствии с идентификатором абонента или администратора. При рассылке ключей вне РКС их можно записывать, например, на смарт-карты. Считывание ключа с таких карт возможно только при положительном результате аутентификации КС и владельца ключа.
2. Организационные средства обеспечения информационной безопасности
Любые действия по управлению сложными организационно-техническими системами должны быть спланированы. В полной мере это относится и к управлению информационной безопасностью. Планирование начинается после проведения анализа риска и выбора средств защиты информации в соответствии с ранжированием рисков.
На стадии планирования, если цель системы определена, определяется в известном смысле политика информационной безопасности, будущий образ действий и методы достижения целей, обеспечивается основа для последующих долгосрочных решений.
Цель планирования:
- координация деятельности соответствующих подразделений по обеспечению информационной безопасности,
- наилучшее использование всех выделенных ресурсов, предотвращение ошибочных действий, могущих привести к снижению вероятность достижения цели.
Различают два вида планирования: стратегическое или перспективное и тактическое или текущее.
Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.
Тактическое планирование заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.
Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом; требует более мощных ресурсов. Фактически стратегический план представляет собой системный проект, без которого тактические планы, реализуемые на разных отрезках времени (этапах) совершенствования системы, окажутся не взаимосвязанными, а значит малоэффективными или вовсе бессмысленными.
С тактическим планированием тесно связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.
Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование либо такой исход должен быть предусмотрен на стадии планирования.
Планирование включает в себя определение, разработку или выбор:
- конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
- требований к системе защиты информации;
- средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
- политики информационной безопасности;
- совокупности мероприятий защиты, проводимых в различные периоды времени;
- порядка ввода в действие средств защиты;
- ответственности персонала;
- порядка пересмотра плана и модернизации системы защиты;
- совокупности документов, регламентирующих деятельность по защите информации.
Планирование это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.
Результатом этапа планирования является развернутый план защиты АСУ, содержащий перечень защищаемых компонентов АСУ и возможных воздействий на них, цель защиты информации в АСУ, правила обработки информации в АСУ, обеспечивающие ее защиту от различных воздействий, а также описание планируемой системы защиты информации.
Принципиально план защиты включает в себя две группы мероприятий – мероприятия по построению (формированию) системы защиты информации и мероприятия по использованию сформированной системы для защиты информации.
Планирование - это начальный этап управления информационной безопасностью. После составления плана и реализации его первого этапа часто оказывается возможным и целесообразным внести коррективы в первоначальный план, осуществить так называемое перепланирование.
Пересмотр “Плана защиты” рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонент объекта:
Люди. Пересмотр “Плана защиты” может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т.д.
Техника. Пересмотр “Плана защиты” может быть вызван подключением других локальных сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
Помещения. Пересмотр “Плана защиты” может быть вызван изменением территориального расположения компонентов объекта.
Структура и содержание плана
План защиты информации представляет собой вербально - графический документ, который должен содержать следующие сведения:
- характеристика защищаемого объекта: назначение, перечень решаемых задач, размещение технических средств и программного обеспечения и их характеристики; (информационно-логическая структура объекта защиты)
- цели и задачи защиты информации, перечень пакетов, файлов, баз данных, подлежащих защите и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации;
- перечень и приоритетность значимых угроз безопасности, от которых требуется защита и наиболее вероятных путей нанесения ущерба;
- политика информационной безопасности - организационные и технические мероприятия, определяющие – разграничение по уровням конфиденциальности, контроль целостности технической и программной среды, контроль за действиями пользователей, защиту от НСД, антивирусную защиту, организацию доступа на объект, контроль помещений и технических каналов утечки информации и ряд других;
- функциональная схема системы защиты и план размещения средств защиты информации на объекте;
- порядок ввода в действие средств защиты (календарный план проведения организационно-технических мероприятий);
- перечень мероприятий, проводимых единовременно, периодически, по необходимости и постоянно ответственность персонала;
- смета затрат на внедрение системы защиты;
- порядок пересмотра плана и модернизации средств защиты.
Весьма важным организационным документом Плана защиты является Положение о защите информации, включающее:
- Организационную и функциональную структуру системы защиты информации;
- Обобщенную структуру законодательных и нормативных документов по безопасности информации;
- Положение об отделе защиты информации;
- Положение об администраторе безопасности (инструкция администратора);
- Правила назначения прав доступа;
- Порядок допуска посторонних лиц на объект;
- Порядок допуска персонала и посетителей в помещения, в которых обрабатывается критичная информация;
- Порядок проведения служебного расследования по факту нарушения информационной безопасности;
- Требования к процессу разработки программных продуктов;
- Порядок приема-сдачи программного обеспечения в эксплуатацию;
- Инструкцию по обеспечению безопасности речевой информации;
- Правила ведения телефонных переговоров;
- Порядок проведения конфиденциальных переговоров;
- Требования к оснащению выделенных помещений;
- Инструкцию пользователю по соблюдению режима информационной безопасности
Еще одним важным документом является Положение о коммерческой тайне, включающее:
- Перечень сведений, составляющих коммерческую тайну
- Материалы обоснования предложений экспертной комиссии по включению сведений в развернутый перечень
- Номенклатуру должностей работников, допускаемых к сведениям, составляющим коммерческую тайну
- Договор-обязательство (контракт) о сохранении коммерческой тайны
- Специальные обязанности руководителей подразделений по защите коммерческой тайны
- Специальные обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну
Не менее важным является план действий персонала в критических ситуациях и способов сохранения информации. Такой план, назначение которого состоит в снижении возможных потерь, связанных с разрушением данных и программ или отказом оборудования, называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:
- цели обеспечения непрерывности процесса функционирования объекта, своевременности восстановления ее работоспособности и чем она достигается;
- перечень и классификация возможных кризисных ситуаций;
- требования, меры и средства обеспечения непрерывности функционирования и восстановления процесса обработки информации (порядок ведения текущих, долговременных и аварийных архивов (резервных копий), а также использования резервного оборудования);
- обязанности и порядок действий различных категорий персонала в кризисных ситуациях по ликвидации последствий кризисных ситуаций, минимизации наносимого ущерба и восстановлению нормального процесса функционирования объекта.
При организации работ по защите информации не обойтись без Технологических инструкций, включающих формы заявок на отключение/подключение, на период отпуска/болезни сотрудника, на возвращение сотрудника после отпуска/болезни.
Ну, и, наконец, еще один документ, необходимый при обмене с партнерами информацией по электронной почте - Договор о порядке организации обмена электронными документами, который должен отражать следующие вопросы:
- разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
- определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
- определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
- определение порядка разрешения споров в случае возникновения конфликтов.
Таким образом, План защиты включает в себя несколько пакетов документов, каждый из которых отражает одно из направлений деятельности по защите информации.
Детально и качественно разработанные документы плана защиты информации – залог дальнейших успехов в деятельности службы информационной безопасности или администратора безопасности сети.
Информационно-техническое обеспечение оперативно-служебной деятельности дежурных частей строится, исходя из комплекса реальных задач, которые, в свою очередь, делятся на группу функциональных задач и группу обеспечивающих задач. В свою очередь, функциональные задачи строятся по иерархическому принципу и определяются комплексом функциональных задач дежурных частей МВД РФ, ГУ МВД России по федеральным округам, МВД, ГУВД, УВД субъектов РФ и дежурных частей городских, районных и линейных отделов (управлений) внутренних дел.
Комплекс функциональных задач дежурных частей первой группы определяется следующими направлениями:
- сбор, обработка, доклад руководителям МВД, ГУВД, УВД информации об оперативной обстановке в республике, крае, области; подготовка и передача ее в вышестоящие органы внутренних дел, органы государственного управления, органы прокуратуры, силовые структуры государственного аппарата и другие заинтересованные организации;
- прием заявлений, сообщений о преступлениях, правонарушениях и происшествиях; обеспечение оперативного реагирования на них и осуществление контроля за своевременностью разрешения заявлений и сообщений о преступлениях и происшествиях;
- обеспечение оперативного управления силами и средствами, находящимися в распоряжении подчиненных МВД, УВД органов и учреждений при возникновении массовых беспорядков, стихийных бедствий и других чрезвычайных обстоятельств;
- осуществление контроля и руководство органами внутренних дел при введении оперативных планов, поддержание взаимодействия между сопредельными органами внутренних дел, а также соседними МВД, УВД;
- контроль за передвижением иностранных транспортных средств по автомобильным дорогам республики, края, области;
- осуществление контроля над деятельностью дежурных частей, подразделений, учреждений органов внутренних, дед, подчиненных МВД, УВД;
- обеспечение сохранности служебной документации, вооружения, специальных средств, средств связи и информационно-вычислительной техники, средств индивидуальной бронезащиты и активной обороны, оперативной и криминалистической техники, числящихся за дежурной частью;
- поддержание внутреннего порядка в дежурной части, обеспечение контроля над состоянием зданий МВД, ГУВД, УВД.
Комплекс функциональных задач дежурных частей ОВД муниципальных образований непосредственно обеспечивает практическую организацию работ по охране общественного порядка и по борьбе с преступностью. Наряду с выполнением аналогичных задач первой группы (но в меньших объемах) дежурные части ОВД МР обязаны обеспечить:
- оперативное реагирование на поступающие заявления, сообщения о преступлениях и происшествиях, контроль за своевременностью разрешения данных задач;
- разбирательство с гражданами, доставленными в дежурную часть;
- водворение и освобождение из ИВС задержанных и заключенных под стражу, а также их конвоирование;
- контроль за, состоянием охраны ИВС, соблюдением правил пожарной безопасности в административном здании ОВД и на прилегающей к нему территории.
В соответствии с функциональными обязанностями дежурных частей и других подразделений органов внутренних дел задачи можно классифицировать по трем основным группам:
- информационные задачи;
- аналитические задачи;
- оптимизационные задачи.
Решение классов информационных задач связано с обработкой информации о лицах, состоящих на оперативных учетах, преступлениях ими совершенных, похищенных вещах, утерянном, похищенном и находящемся на хранении боевом и охотничьем оружии (гладкоствольном и нарезном), автотранспорте, похищенных и утерянных документах, лицах, объявленных в местный и федеральный розыск, пропавших без вести, неопознанных трупах, чрезвычайных происшествиях, и преступлениях, и административно-правовых нарушениях.
Весьма важным направлением в плане информационного обеспечения как деятельности дежурных частей и подразделений органов внутренних дел, так и других служб, является Постановление Правительства Российской Федерации № 13-19 от 23 декабря 1993 года "Об организационных мерах по созданию общегосударственной системы учета населения и официальных документов, удостоверяющих личность граждан''. В нем говорится о том, чтобы принять предложение МВД «О создании общегосударственной автоматизированной системы учета населения и официальных документов, удостоверяющих личность граждан», и внести в установленном порядке в Правительство РФ согласованный проект целевой программы по созданию общегосударственной автоматизированной системы учета.
На основании вышеуказанного Постановления в ряде регионов Российской Федерации ведутся разработки такой системы. В частности, в УВД города Новосибирска, ГУВД города Екатеринбурга уже функционирует автоматизированная система "Учет населения". Технические параметры по ее созданию были разработаны и утверждены в 1993 году. После создания подсистем информационного, программного, технического и технологического обеспечения автоматизированная информационная система "Учет населения" передана в опытную эксплуатацию.
Разработка подобных систем позволяет объединить в единый итерированный банк данные информационных потоков, поступающие в дежурные части подразделений органов внутренних дел, и обеспечить оперативный доступ к нему пользователей в реальном масштабе времени.
Создавая информационную систему, необходимо выделить и описать ту предметную область, в которой будет работать система, и те задачи, которые она будет решать, то есть надо сформировать модель предметной области.
К числу основных задач системы следует отнести:
- регистрацию и хранение информации, содержащуюся в заявлениях и сообщениях о происшествиях;
- регистрацию и хранение информации о лицах, доставленных в ОВД;
- редактирование и вывод на печатающее устройство введенной информации (в виде карточек учета);
- формирование и вывод на печатающее устройство административных протоколов;
- поиск информации по запросам пользователей;
- выдачу статистической информации;
- передачу имеющейся информации по имеющимся каналам связи в центральную базу данных.
На основании этой модели выбираются элементы базы данных и программные элементы, требующиеся для реализации соответствующих процессов. Модель представляет собой совокупность процессов, накопителей и внешних объектов, объединенных потоками данных.
Схематично это можно отобразить следующим образом:
Модель предполагает использование как минимум двух таблиц для обслуживания описанных в ней операционных процессов:
- таблица для регистрации доставленных лиц;
- таблица для регистрации заявлений и сообщений о происшествиях.
Следующий шаг, полагаем, должен состоять в детализации структуры данных, представляемых объектами накопителей информации, т.е. в определении столбцов, которые должны содержать таблицы.
Всю необходимую информацию для определения структуры данных можно взять из имеющихся форм и документов. В таблицах 2 и 3 представлены списки столбцов.
Таблица 2 Список столбцов таблицы ДОСТАВЛЕННЫЕ
№ п/п
|
Столбец
|
№ п/п
|
Столбец
|
1
|
ОВД
|
32
|
Дом работы
|
2
|
Год
|
33
|
Корпус работы
|
3
|
Номер
|
34
|
Кабинет работы
|
4
|
Фамилия
|
35
|
Телефон работы
|
5
|
Имя
|
36
|
Дата доставления
|
6
|
Отчество
|
37
|
Время доставления
|
7
|
Дата рождения
|
38
|
Место задержания
|
8
|
Пол
|
39
|
Улица задержания
|
9
|
Страна рождения
|
40
|
Дом задержания
|
10
|
Область рождения
|
41
|
Корпус задержания
|
11
|
Район рождения
|
42
|
Квартира задержания
|
12
|
Пункт рождения
|
43
|
Подразделение доставившее
|
13
|
Вид документа
|
44
|
Фамилия доставившего
|
14
|
Номер документа
|
45
|
Протокол личного досмотра
|
15
|
Серия документа
|
46
|
Административный протокол
|
16
|
Дата выдачи
|
47
|
Фамилия дежурного
|
17
|
Кем выдан
|
48
|
Должность дежурного
|
18
|
Страна проживания
|
49
|
Звание дежурного
|
19
|
Область применения
|
50
|
Кодекс
|
20
|
Район проживания
|
51
|
Статья
|
21
|
Пункт проживания
|
52
|
Знак
|
22
|
ОВД проживания
|
53
|
Часть
|
23
|
Улица проживания
|
54
|
Пункт
|
24
|
Дом проживания
|
55
|
Обстоятельства доставления
|
25
|
Корпус проживания
|
56
|
Принятое решение
|
26
|
Квартира
|
57
|
Наложенное взыскание
|
27
|
Телефон проживания
|
58
|
Дата освобождения
|
28
|
Место работы
|
59
|
Время освобождения
|
29
|
Должность
|
60
|
Дата корректировки
|
30
|
ОВД работы
|
61
|
Время корректировки
|
31
|
Улица работы
|
62
|
Служебный код
|
Таблица 3. Список столбцов таблицы ЗАЯВЛЕНИЯ
№ п/п
|
Столбец
|
№ п/п
|
Столбец
|
1
|
ОВД
|
33
|
Улица
|
2
|
Год
|
34
|
Дом
|
3
|
Номер
|
35
|
Корпус
|
4
|
Дата заявления
|
36
|
Квартира
|
5
|
Время заявления
|
37
|
Фабула
|
6
|
Фамилия
|
38
|
Выезд СО группы
|
7
|
Имя
|
39
|
СО группа
|
8
|
Отчество
|
40
|
Имеется подозреваемый
|
9
|
Звание
|
41
|
Раскрыто
|
10
|
Должность
|
42
|
Дата поручения
|
11
|
Вид заявления
|
43
|
Время поручения
|
12
|
Талон уведомления
|
44
|
Исполнитель
|
13
|
Номер рапорта
|
45
|
Дата исполнения
|
14
|
Страна проживания
|
46
|
Время исполнения
|
15
|
Область проживания
|
47
|
Принятое решение
|
16
|
Район проживания
|
48
|
Уголовное дело
|
17
|
Пункт проживания
|
49
|
Дата УД
|
18
|
ОВД проживания
|
50
|
Статья
|
19
|
Улица проживания
|
51
|
Знак
|
20
|
Дом проживания
|
52
|
Часть
|
21
|
Корпус проживания
|
53
|
Пункт
|
22
|
Квартира проживания
|
54
|
Статья 415 УПК
|
23
|
Телефон проживания
|
55
|
Дата статьи 415 УПК
|
24
|
ОВД работы
|
56
|
Материал об отказе
|
25
|
Улица работы
|
57
|
Дата отказного материала
|
26
|
Дом работы
|
58
|
Материал о передаче
|
27
|
Корпус работы
|
59
|
Дата материала о передаче
|
28
|
Кабинет работы
|
60
|
Передано в подразделение
|
29
|
Телефон работы
|
61
|
Дополнительно
|
30
|
Дата происшествия
|
62
|
Дата корректировки
|
31
|
Время происшествия
|
63
|
Время корректировки
|
32
|
Вид происшествия
|
64
|
Служебный код
|
В соответствии с приказами МВД РФ первоочередной задачей органов внутренних дел по раскрытию преступлений является систематизированный и полный сбор, обработка, хранение и выдача информации, анализ и оценка оперативной обстановки, без которых квалифицированное управление силами и средствами невозможно, а также внедрение в практическую деятельность ОВД новых форм и методов деятельности дежурных подразделений, основанных на достижениях научно-технического прогресса.
Располагая полной и систематизированной информацией об оперативной обстановке, получаем возможность успешно справиться с задачей разработки и реализации комплексных мероприятий по предупреждению преступных проявлений. Эффективность управления всецело зависит от способности управляющей системы организовать получение надежной информации, а также от возможности и умения оперировать ею. Решение этой задачи может быть обеспечено лишь в том случае, если поступающая в дежурную часть информация будет систематизирована.
2.1. Основные направления, принципы и условия организационной защиты информации
Организационная защита информации – это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает: организацию охраны, режима, работу с кадрами, с документами; использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Для конкретной информационной системы политика безопасности должна быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и так далее.
Следует рассматривать такие направления организационной защиты информации:
- Защита объектов информационной системы;
- Защита процессов, процедур и программ обработки информации;
- Защита каналов связи;
- Подавление побочных электромагнитных излучений;
- Управление системой защиты.
Очевидно, что каждое из указанных направлений должно быть детализировано в зависимости от особенностей структуры информационной системы.
Организационная защита информации предполагает соблюдение следующих принципов:
- Принцип невозможности миновать защитные средства означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через средства защиты информации. Не должно быть «тайных» модемных входов или тестовых линий, идущих в обход экрана.
- Надежность любого средства защиты информации определяется самым слабым звеном. Часто таким звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.
- Принцип недопустимости перехода в открытое состояние означает, что при любых обстоятельствах (в том числе нештатных), средства защиты информации полностью выполняют свои функции, либо должны полностью блокировать доступ.
- Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
- Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно для предотвращения злонамеренных или неквалифицированных действий системного администратора.
- Принцип многоуровневой защиты предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом и, как последний рубеж, - протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.
- Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления средств защиты информации.
- Принцип простоты и управляемости информационной системы в целом и СЗИ в особенности определяет возможность формального или неформального доказательства корректности реализации механизмов защиты. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.
- Принцип всеобщей поддержки мер безопасности носит нетехнический характер. Рекомендуется с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.
Условия организационной защиты информации
Коммуникационный процесс и его базовые элементы: источник информации, отправитель, сообщение, канал, получатель. Источники конфиденциальной информации: люди, документы, изделия, технические носители и средства коммуникации. Организационные каналы передачи информации и каналы утечки информации и несанкционированного доступа к ней. Классификация организационных каналов утечки конфиденциальной информации. Основания классификации: по каналам коммуникации и источникам конфиденциальной информации; по источникам угроз; времени воздействия и места их возникновения; по направлениям деятельности организации и характеру конфиденциальной информации; по характеру взаимоотношений с партнерами; по способам и средствам несанкционированного доступа к конфиденциальной информации; по способам, средствам и методам защиты информации от утечки и несанкционированного доступа к ней; по степени формализации каналов утечки и так далее.
Основные организационные каналы утечки и несанкционированного доступа к информации: разглашение информации персоналом организации: разглашение информации при осуществлении сотрудничества с другими организациями, в частности в ходе переговоров, при проведении совещаний, при приеме в организации посетителей; при осуществлении рекламной и публикаторской деятельности.
Соотношение организационных и правовых методов защиты информации при взаимоотношениях с государственными и муниципальными организациями (налоговой инспекцией, санитарной и пожарной службами, органами статистики, правоохранительными органами и т.п.), с другими организациями на основе договоров (банками, адвокатскими конторами, аудиторскими фирмами, страховыми компаниями, службами связи, охранными агентствами и т.п.). Соотношение организационных и технических методов защиты информации при использовании технических, в гом числе электронных средств передачи, обработки, хранения конфиденциальной информации.
Совокупности каждого из методов защиты информации, используемых для перекрытия каналов утечки информации, как основные направления организационной защиты информации.
Продолжение >>