Информационная безопасность налоговых органов
Обновлено: 27.04.2024
Описание деятельности районной налоговой инспекции. Разработка структурной и инфологической моделей информационной системы государственного учреждения. Квалификация угроз, актуальных для данной информационной системы. Разработка политОписание деятельности
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 15.11.2009 |
| Размер файла | 185,9 K |
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Министерство образования и науки РФ
Федеральное Агентство по образованию
Российский Государственный Университет инновационных технологий и предпринимательства
Выполнил: ст. гр. 02и1
Глинский О.Г.
Принял: к.т.н., доцент
Зефиров С.Л.
Пенза 2007
СУБД - система управления базами данных;
БД - база данных;
ОБД - общая база данных налоговой службы ;
ИБ - информационная безопасность;
ИС - информационная система - любая компьютерная система, включающая технические, программные, методические средства и совокупность массивов данных, которая может осуществлять обработку, хранение и преобразование данных;
ОС - операционная система - комплекс программ в машинных кодах, предназначенных для управления всеми главными действиями процесса обработки информации и работой аппаратных средств компьютера ;
ПО - программное обеспечение;
ПК - персональный компьютер;
РФ - Российская Федерация;
ВСЗ - внешний сервер защиты;
СИБ - сервер информационной безопасности;
ИР - информационный ресурс;
ТЗ - теоретическое задание
Содержание:
- Введение 4
- 1 Описание деятельности государственной организации 5
- 2. Разработка структурной и инфологической моделей информационной системы госучреждения 8
- 3. Перечень и анализ угроз 15
- 4. Квалификация угроз актуальных для информационной системы 43
- 5. Разработка политики безопасности 49
- Заключение 51
- Список использованныхисточников 52
Введение
Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы.
Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы и возможная анонимность доступа, возможность "информационных диверсий". Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.
Проблема обеспечения защиты информации является одной из важнейших при построении надежной информационной структуры учреждения на базе ЭВМ.
В рамках данной курсовой работы проведем анализ угроз и разработана политика безопасности для информационной системы Районной налоговой инспекции.
1. Описание деятельности государственной организации
Районная налоговая инспекция (РНИ) - это государственная организация выполняющая функции связанные с соблюдением гражданами и государством налогового законодательства Российской Федерации.
РНИ, согласно Налоговому Кодексу РФ, выполняет следующие функции:
1. Учет налогоплательщиков;
2. Контроль за соблюдением налогового законодательства участниками налоговых правоотношений;
3. Определение в установленных случаях суммы налогов, подлежащих уплате в бюджет налогоплательщиками;
4. Ведение оперативно-бухгалтерского учета сумм налогов;
5. Возврат или зачет излишне уплаченных или излишне взысканных сумм налогов, пеней и штрафов;
6. Разъяснительная работа и информирование налогоплательщиков о порядке применения налогового законодательства;
7. Применение мер ответственности к нарушителям налогового законодательства;
8. Взыскание недоимок, пеней и штрафов с нарушителей налогового законодательства;
9. Контроль за соблюдением законодательства о наличном денежном обращении;
10. Сотрудничество с зарубежными и международными налоговыми инспекциями.
Из данного перечня необходимо выделить функции (бизнес - цели), автоматизируемые с помощью информационной системы:
1. Учет налогоплательщиков;
2. Контроль за соблюдением налогового законодательства участниками налоговых правоотношений;
3. Определение в установленных случаях суммы налогов, подлежащих уплате в бюджет налогоплательщиками;
4. Ведение оперативно-бухгалтерского учета сумм налогов;
5. Возврат или зачет излишне уплаченных или излишне взысканных сумм налогов, пеней и штрафов;
Представим данные функции в виде рабочих процессов:
1. Учет налогоплательщика:
- прием сведений о налогоплательщике;
- занесение сведений о налогоплательщике в БД;
- ведение учетных записей налогоплательщика;
2. Ведение оперативно-бухгалтерского учета сумм налогов:
- сбор сведений о суммах уплаченных налогов;
- сравнение с суммами необходимыми к уплате, согласно налоговому законодательству РФ;
- выдача сведений о неуплаченных или излишне уплаченных суммах, начисление пеней и штрафов;
Доступ к процессу обработки данных имеет непосредственно оператор АРМ, на котором происходит данная операция. Каждый оператор однозначно определен и это дает возможность осуществления мониторинга за действиями операторов АРМ. Фактическая обработка данных происходит также операторами АРМ при помощи специальных программных средств. Происходит изменение учетных записей о клиенте (налогоплательщике). В автоматическом режиме, при помощи программного обеспечения производятся расчеты (налоговые суммы, размеры выплат и штрафов).
Затем происходит сохранение новых данных в БД, при этом данные проходят проверку программными средствами, на соответствие установленным нормам. Также возможно удаление данных из БД учетных записей о налогоплательщике, в этом случае данная операция также проходит проверку на соответствие установленным нормам.
Данная функция реализует регулировку соответствия данных из учетных записей и стандартов и норм, принятых законодательством РФ.
Ввод данных происходит лишь в виде запроса из БД сведений о налогоплательщике. Это также производится оператором АРМ.
В процессе обработки происходит сравнение с суммами необходимыми к уплате, согласно налоговому законодательству РФ.
Сделанные выводы могут бать представлены в виде отчетов о состоянии налогоплательщика, относительно исполнения им обязанностей перед государством, либо в виде уведомления налогоплательщика в письменной форме о необходимости выполнения своих обязательств. Также выходными сведениями могут быть статистические данные, доступ к которым имею круг уполномоченных лиц.
2. Разработка структурной и инфологической моделей информационной системы госучреждения
Исходя из краткого описания работы системы можно выделить элементы, составляющие эту систему. Это необходимо для построения структурной модели ИС приведенной на рисунке 1.
Элементы, составляющие эту систему:
- автоматизированные рабочие места (АРМ), с которых операторы заносят информацию в БД и на которых происходит обработка полученных данных;
- сервер безопасности, обеспечивающий мониторинг за АРМ и сведениями поступающими в БД;
- сервер внешней защиты, через который происходит связь с ОБД;
- Администратор ИБ, отдельное АРМ администратора информационной безопасности осуществляющего контроль за СИБ;
- Сервер БД, хранящий БД и осуществляющий управление БД;
- Сервер общей базы данных налоговой службы, хранящий копии БД всех отделений налоговых инспекций РФ.
Рисунок 1 - Структурная модель
Используя сведения полученные из структурной модели составим таблицу, содержащую сведения об аппаратных ресурсах, пользователях, ответственных лицах и их обязанностях (см. подробнее таблица 1).
Обязанности ответственного персонала
Сотрудники налоговой инспекции
Имеет доступ к БД, а также к сведениям ОБД
Сотрудники налоговой инспекции (сотрудник несет ответственность за свои действия)
Обязанности сотрудников обусловлены их деятельностью и оговорены в перечне обязанностей согласно занимаемой должности
Сервер информационной безопасности
Имеет доступ к СИБ
Поддержка работоспособности СИБ
Обязанности ответственного персонала
Внешний сервер защиты
Имеет доступ к ВСЗ
Поддержка работоспособности ВСЗ
АРМ администратора ИБ
Имеет доступ к СИБ
Поддержка работоспособности СИБ и ВСЗ
Сотрудники налоговой инспекции, администратор, администратор ИБ, администратор сервера ОБД
Имеет доступ к БД
Поддержка работоспособности сервера БД, осуществление контроля за своевременным резервированием БД на ОБД, взаимодействие администратором ИБ
В целях обеспечения информационной безопасности, конфиденциальности и защиты информации, соблюдения режима налоговой тайны в системе ФНС России приказываю:
1. Утвердить Концепцию информационной безопасности Федеральной налоговой службы (далее - Концепция) согласно приложению к настоящему приказу.
2. Начальникам структурных подразделений центрального аппарата ФНС России, руководителям (исполняющим обязанности руководителя) территориальных органов ФНС России и организаций, находящихся в ведении ФНС России, организовать ознакомление всех работников с Концепцией и обеспечить соблюдение ее требований в практической работе.
в месячный срок разработать и представить на утверждение руководителю ФНС России план мероприятий по реализации Концепции;
в трехмесячный срок представить предложения о приведении нормативных актов ФНС России в части информационной безопасности в соответствие с Концепцией.
| АИС | Автоматизированная информационная система |
| АРМ | Автоматизированное рабочее место |
| АС | Автоматизированная система |
| БД | База данных |
| ВТСС | Вспомогательные технические средства и системы |
| ВЧВС | Виртуальная частная вычислительная сеть |
| ЕСКД | Единая система конструкторской документации |
| ЕСПД | Единая система программной документации |
| ЕСТД | Единая система технологической документации |
| ЗИ | Защита информации |
| ЗП | Защищаемое помещение |
| ИБ | Информационная безопасность |
| ИТКС | Информационно-телекоммуникационная система |
| КЗ | Контролируемая зона |
| КСЗИ | Комплексная система защиты информации |
| ЛВС | Локальная вычислительная сеть |
| НСД | Несанкционированный доступ |
| ОБИ (ОИБ) | Обеспечение безопасности информации |
| ОТСС | Основные технические средства и системы |
| ПО | Программное обеспечение |
| ПС | Программные средства |
| РД | Руководящий документ |
| СЗИ НСД | Система защиты информации от НСД |
| СКЗИ | Средство криптографической защиты информации |
| СПД | Система передачи данных |
| СПО | Специальное программное обеспечение |
| СТК | Система телекоммуникаций; |
| СУБД | Система управления базами данных |
| ТП | Технический проект |
| ТТ | Технические требования |
| УЦ | Удостоверяющий центр |
| ФНС России | Федеральная налоговая служба России |
| ФСБ России | Федеральная служба безопасности России |
| ФСТЭК России | Федеральная служба по техническому и экспертному контролю России |
| ЦА ФНС России | Центральный аппарат ФНС России |
| ЭЦП | Электронная цифровая подпись |
Термины и определения действующих Законов, ГОСТ, Руководящих документов, используемых в "Концепции информационной безопасности ФНС России" (Федеральный закон от 04.07.96 г. N 24-ФЗ, N 85-ФЗ, ГОСТ Р 50992-96, СТР-К, РД ФСТЭК России "Защита от несанкционированного доступа к информации. Термины и определения"):
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
Администратор защиты - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации
Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях
Доступ к информации - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию.
Защита от несанкционированного доступа - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защищаемые помещения - помещения, специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Защищенное средство вычислительной техники (защищенная автоматизированная система) - средство вычислительной техники (автоматизированная система), в которой реализован комплекс средств защиты.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Комплекс средств защиты - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
Контролируемая зона - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации
Несанкционированный доступ - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Нарушитель правил разграничения доступа - субъект доступа, осуществляющий несанкционированный доступ к информации.
Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Основные технические средства и системы - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации
Система разграничения доступа - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах
Санкционированный доступ к информации - доступ к информации, не нарушающий правила разграничения доступа.
Сертификат защиты - документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных.
Система защиты информации от несанкционированного доступа - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.
Средство защиты от несанкционированного доступа - программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
Средство криптографической защиты информации - реализующие алгоритмы криптографического преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Целостность информации - устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.
Настоящая Концепция определяет систему взглядов на проблему обеспечения комплексной безопасности информации и устанавливает порядок организации и правила обеспечения информационной безопасности в Федеральной налоговой службе России (далее по тексту ФНС России), распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками ФНС России, требования по информационной безопасности к информационным средствам, применяемым в ФНС России. Документ представляет собой методологическую основу для разработки и реализации комплексных целевых программ обеспечения защиты информации на объектах информатизации ФНС России.
Требования настоящей Концепции обязательны для всех структурных подразделений ФНС России и распространяются на:
В целях обеспечения информационной безопасности, конфиденциальности и защиты информации, соблюдения режима налоговой тайны в системе ФНС России приказываю:
1. Утвердить Концепцию информационной безопасности Федеральной налоговой службы (далее - Концепция) согласно приложению к настоящему приказу.
2. Начальникам структурных подразделений центрального аппарата ФНС России, руководителям (исполняющим обязанности руководителя) территориальных органов ФНС России и организаций, находящихся в ведении ФНС России, организовать ознакомление всех работников с Концепцией и обеспечить соблюдение ее требований в практической работе.
в месячный срок разработать и представить на утверждение руководителю ФНС России план мероприятий по реализации Концепции;
в трехмесячный срок представить предложения о приведении нормативных актов ФНС России в части информационной безопасности в соответствие с Концепцией.
Концепция информационной безопасности Федеральной налоговой службы (утв. приказом Федеральной налоговой службы от 29 августа 2006 г. N САЭ-3-27/559)
Список используемых сокращений
| АИС | Автоматизированная информационная система |
| АРМ | Автоматизированное рабочее место |
| АС | Автоматизированная система |
| БД | База данных |
| ВТСС | Вспомогательные технические средства и системы |
| ВЧВС | Виртуальная частная вычислительная сеть |
| ЕСКД | Единая система конструкторской документации |
| ЕСПД | Единая система программной документации |
| ЕСТД | Единая система технологической документации |
| ЗИ | Защита информации |
| ЗП | Защищаемое помещение |
| ИБ | Информационная безопасность |
| ИТКС | Информационно-телекоммуникационная система |
| КЗ | Контролируемая зона |
| КСЗИ | Комплексная система защиты информации |
| ЛВС | Локальная вычислительная сеть |
| НСД | Несанкционированный доступ |
| ОБИ (ОИБ) | Обеспечение безопасности информации |
| ОТСС | Основные технические средства и системы |
| ПО | Программное обеспечение |
| ПС | Программные средства |
| РД | Руководящий документ |
| СЗИ НСД | Система защиты информации от НСД |
| СКЗИ | Средство криптографической защиты информации |
| СПД | Система передачи данных |
| СПО | Специальное программное обеспечение |
| СТК | Система телекоммуникаций; |
| СУБД | Система управления базами данных |
| ТП | Технический проект |
| ТТ | Технические требования |
| УЦ | Удостоверяющий центр |
| ФНС России | Федеральная налоговая служба России |
| ФСБ России | Федеральная служба безопасности России |
| ФСТЭК России | Федеральная служба по техническому и экспертному контролю России |
| ЦА ФНС России | Центральный аппарат ФНС России |
| ЭЦП | Электронная цифровая подпись |
Основные термины и определения
Термины и определения действующих Законов, ГОСТ, Руководящих документов, используемых в "Концепции информационной безопасности ФНС России" (Федеральный закон от 04.07.96 г. N 24-ФЗ, N 85-ФЗ, ГОСТ Р 50992-96, СТР-К, РД ФСТЭК России "Защита от несанкционированного доступа к информации. Термины и определения"):
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
Администратор защиты - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации
Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях
Доступ к информации - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию.
Защита от несанкционированного доступа - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защищаемые помещения - помещения, специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Защищенное средство вычислительной техники (защищенная автоматизированная система) - средство вычислительной техники (автоматизированная система), в которой реализован комплекс средств защиты.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Комплекс средств защиты - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
Контролируемая зона - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации
Несанкционированный доступ - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Нарушитель правил разграничения доступа - субъект доступа, осуществляющий несанкционированный доступ к информации.
Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Основные технические средства и системы - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации
Система разграничения доступа - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах
Санкционированный доступ к информации - доступ к информации, не нарушающий правила разграничения доступа.
Сертификат защиты - документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных.
Система защиты информации от несанкционированного доступа - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.
Средство защиты от несанкционированного доступа - программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
Средство криптографической защиты информации - реализующие алгоритмы криптографического преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Целостность информации - устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.
1. Общие положения
1.1. Назначение Концепции
Настоящая Концепция определяет систему взглядов на проблему обеспечения комплексной безопасности информации и устанавливает порядок организации и правила обеспечения информационной безопасности в Федеральной налоговой службе России (далее по тексту ФНС России), распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками ФНС России, требования по информационной безопасности к информационным средствам, применяемым в ФНС России. Документ представляет собой методологическую основу для разработки и реализации комплексных целевых программ обеспечения защиты информации на объектах информатизации ФНС России.
1.2. Сфера применения Концепции
Требования настоящей Концепции обязательны для всех структурных подразделений ФНС России и распространяются на:
Читайте также:
- Производство по делу о налоговом правонарушении взыскание налоговой санкции
- Бухгалтерский учет агентства недвижимости на усн
- Увеличение таможенных пошлин на импортные лекарства и витаминные добавки к пище
- Усн в бюджетном учреждении
- Ответственность налоговых органов и должностных лиц налоговых органов