Материалы для служебного пользования на твердых носителях в налоговой инспекции виды угроз

Обновлено: 15.05.2024

Во исполнение пункта 1.5 Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, утверждённого постановлением Правительства Российской Федерации от 03.11.1994 № 1233, в целях упорядочения обращения с несекретной информацией, доступ к которой ограничен федеральным законодательством, а также служебной информацией, ограничение на распространение которой диктуется служебной необходимостью в налоговых органах, приказываю:

порядок организации защиты служебной информации ограниченного распространения в налоговых органах согласно приложению № 1 к настоящему приказу;

категории должностных лиц налоговых органов, уполномоченных относить служебную информацию к разряду ограниченного распространения, согласно приложению № 2 к настоящему приказу;

порядок передачи служебной информации ограниченного распространения другим органам и организациям согласно приложению № 3 к настоящему приказу;

порядок снятия пометки "Для служебного пользования" с носителей служебной информации согласно приложению № 4 к настоящему приказу.

2. Признать утратившим силу приказ ФНС России от 31.12.2009 № ММ-7-6/728@ "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в налоговых органах".

3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы, координирующего и контролирующего деятельность Управления информационной безопасности.

Утвержден
приказом ФНС России
от 21 апреля 2021 г. № ЕД-7-24/391@

Порядок
организации защиты служебной информации ограниченного распространения в налоговых органах

1. Настоящий документ определяет порядок организации защиты информационных ресурсов, документов (бумажных носителей информации), а также других носителей информации, содержащих служебную информацию ограниченного распространения.

2. К служебной информации ограниченного распространения в рамках настоящего Порядка относится несекретная информация, доступ к которой ограничен федеральным законодательством (налоговая тайна, персональные данные), а также служебная информация, ограничение на распространение которой диктуется служебной необходимостью.

3. Настоящий Порядок разработан в соответствии с Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, утверждённым постановлением Правительства Российской Федерации от 03.11.1994 г. № 1233.

4. Ответственность за организацию защиты информационных ресурсов, документов (бумажных носителей информации), а также других носителей информации, содержащих служебную информацию ограниченного распространения, а также выполнение требований настоящего Порядка возлагается на руководителей налоговых органов и работников, в функции которых в соответствии с их должностным регламентом входит организация и обеспечение мероприятий по защите информации в налоговых органах.

5. Должностные лица, принявшие решение об отнесении служебной информации к разряду ограниченного распространения (или о снятии пометки "Для служебного пользования"), несут персональную ответственность за обоснованность принятого решения и за соблюдение ограничений по отнесению документов к служебной информации ограниченного распространения.

6. Целями защиты служебной информации ограниченного распространения являются:

- предотвращение утечки, хищения служебной информации ограниченного распространения по техническим каналам;

- предотвращение несанкционированного уничтожения, искажения, подделки, копирования, распространения служебной информации ограниченного распространения;

- предотвращение неправомерного или случайного доступа неуполномоченных должностных лиц к служебной информации ограниченного распространения;

- соблюдение конфиденциальности служебной информации ограниченного распространения;

- обеспечение полноты, целостности и достоверности служебной информации ограниченного распространения в системах подготовки, учёта, хранения и обработки данных и документов;

- формирование и сохранение возможности управления процессом обработки и пользования служебной информации ограниченного распространения.

7. При наличии в документе служебной информации ограниченного распространения в качестве грифа ограничения доступа на документе ставится пометка "Для служебного пользования" (далее - пометка "ДСП").

8. Создание, хранение и обработка документов с пометкой "ДСП" осуществляется с использованием средств вычислительной техники, имеющих действующие аттестаты соответствия требованиям безопасности информации, или входящие в состав аттестованных информационных систем (далее - аттестованные СВТ). Аттестация на соответствие требованиям безопасности информации проводится в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждёнными приказом ФСТЭК России от 11.02.2013 № 17.

Разрешается хранение документов на серверах и рабочих местах, входящих в состав аттестованных информационных систем, при условии ограничения доступа к ним в соответствии с Политикой управления доступом ФНС России, утверждённой приказом ФНС России от 15.05.2019 № ММВ-7-6/249@.

9. Печать электронных документов, а также электронных образов документов на бумажном носителе с пометкой "ДСП" осуществляется с использованием средств печати и копирования, подключённых к аттестованным СВТ.

10. Копирование документов с пометкой "ДСП" (за исключением случаев, когда копирование документа прямо запрещено), а также хранение электронных копий документов с пометкой "ДСП" осуществляется только в составе аттестованных СВТ. Допускается запись и хранение документов с пометкой "ДСП" на машинном носителе информации, учитываемом в установленном порядке. Запрещается хранить документы "Для служебного пользования" на неучтённых носителях.

11. Оперативное хранение машинных и бумажных носителей информации, содержащих документы с пометкой "ДСП", осуществляется исключительно в надёжно запираемых и опечатываемых шкафах (ящиках, хранилищах) или в помещениях с ограниченным доступом (под помещениями с ограниченным доступом понимаются помещения, в которых приняты организационно-технические меры, направленные на исключение несанкционированного доступа в указанные помещения посторонних лиц, не являющихся сотрудниками, допущенными к работе в этих помещениях; в случае необходимости присутствия посторонних лиц в указанных помещениях, обеспечивается контроль за их действиями и обеспечивается невозможность доступа к защищаемой информации).

12. Документы с пометкой "ДСП" на бумажных носителях в пределах здания налогового органа доставляются в закрытых папках.

13. Документы с пометкой "ДСП", имеющие предупредительную надпись "Копии снимать запрещено", тиражированию не подлежат.

14. Проверка наличия документов и иных носителей информации с пометкой "ДСП" проводится в налоговых органах не реже одного раза в год специальной комиссией, образуемой приказом налогового органа. Результаты проверок оформляются актами (Приложение № 1).

Приложение № 1
к Порядку организации
защиты служебной информации
ограниченного распространения
в налоговых органах

____________________________________ (Руководитель налогового органа) (личная подпись, инициалы, фамилия) (дата)

АКТ от. (дата). № проверки наличия документов "Для служебного пользования"

Основание: приказ от. (дата). № Составлен комиссией в составе - председателя комиссии (должность, инициалы, фамилия) и членов комиссии: (должность, инициалы, фамилия). Проверкой установлено: I. Всего числится по описям (номенклатурам дел, журналам регистрации и учёта): . (документов, дел); 1) Из них в наличии: . 2) Не обнаружено: . (номера документов)

II. Обнаружено не внесённых в описи (номенклатуры дел, журналы регистрации и учёта) документов.

III. Выводы и предложения комиссии.

Решение по результатам проверки.

Председатель комиссии . (личная подпись) . (инициалы, фамилия)

Члены комиссии . (личная подпись) . (инициалы, фамилия)

Утвержден
приказом ФНС России
от 21 апреля 2021 г. № ЕД-7-24/391@

Категории
должностных лиц налоговых органов, уполномоченных относить служебную информацию к разряду ограниченного распространения

Центральный аппарат Федеральной налоговой службы:

- руководитель ФНС России;

- заместители руководителя ФНС России;

- помощники (советники) руководителя ФНС России;

- начальники структурных подразделений ЦА ФНС России.

Управления Федеральной налоговой службы по субъектам Российской Федерации:

- руководители УФНС России по субъектам Российской Федерации;

- заместители руководителя УФНС России по субъектам Российской Федерации.

Межрегиональные инспекции Федеральной налоговой службы:

- начальники МИ ФНС России;

- заместители начальника МИ ФНС России.

Инспекции по районам, районам в городах, городам без районного деления, инспекции ФНС России межрайонного уровня:

- начальники ИФНС России;

- заместители начальника ИФНС России.

Утвержден
приказом ФНС России
от 21 апреля 2021 г. № ЕД-7-24/391@

Порядок
передачи служебной информации ограниченного распространения другим органам и организациям

2. Документы с пометкой "Для служебного пользования", содержащие служебную информацию ограниченного распространения (далее - документы с пометкой "ДСП"), разработанные в налоговых органах, не подлежат передаче, распространению и разглашению без разрешения должностного лица соответственного налогового органа, уполномоченного относить служебную информацию к разряду ограниченного распространения.

Поступившие в налоговые органы документы с пометкой "ДСП", разработанные в других федеральных органах исполнительной власти и организациях, не подлежат передаче (разглашению или распространению) без письменного разрешения соответствующего органа (или его должностного лица), которым данная служебная информация отнесена к разряду ограниченного распространения. Документы с пометкой "ДСП", содержащие информацию, ограничение доступа к которой диктуется организационно-распорядительными документами ФНС России, не подлежат передаче, разглашению или распространению без разрешения должностного лица ЦА ФНС России.

3. Передача документов с пометкой "ДСП", содержащих информацию, доступ к которой ограничен федеральным законодательством, осуществляется исключительно в случаях, предусмотренных законодательством Российской Федерации, с учётом требований законодательства о защите информации ограниченного доступа.

4. Документы с пометкой "ДСП" пересылаются другим органам и организациям фельдъегерской связью, заказными или ценными почтовыми отправлениями, или с использованием системы межведомственного электронного документооборота (при выполнении требований по защите информации, установленных в отношении информационных систем электронного документооборота), а также могут быть переданы с федеральным государственным гражданским служащим (работником организации) под расписку.

5. Документы с пометкой "ДСП" могут быть переданы в зашифрованном виде с использованием сертифицированных средств криптографической защиты информации исключительно в налоговые органы на адреса ведомственной адресной книги ФНС России защищённых почтовых ящиков.

6. При необходимости направления документов с пометкой "ДСП" нескольким адресатам такие документы направляются каждому из адресатов отдельно.

7. Для передачи документов с пометкой "ДСП" фельдъегерской связью, заказными или ценными почтовыми отправлениями, с федеральным государственным гражданским служащим (работником организации) в налоговом органе используются пакеты, изготовленные из плотной бумаги. На пакете указываются пометка "Для служебного пользования", адрес получателя, а под ним данные об отправителе корреспонденции и регистрационные номера вложенных в пакет документов (в случае передачи документов с пометкой "ДСП" на машинном носителе информации на пакете также указывается учётный номер машинного носителя информации).

8. При направлении нескольких экземпляров одного документа на пакете и в реестре после регистрационного номера документа с пометкой "ДСП" в скобках указываются номера экземпляров.

9. Государственный гражданский служащий налогового органа, отправляющий документы с пометкой "ДСП", сверяет номера и экземпляры, указанные на документах с пометкой "ДСП", с номерами и экземплярами, указанными на пакете, и вкладывает в пакет (в случае передачи документов с пометкой "ДСП" на машинном носителе информации также сверяется учётный номер машинного носителя информации, на котором содержится служебная информация, с учётным номером машинного носителя информации, указанным на пакете). Пакет запечатывается, а на его скрепляющий клапан проставляется оттиск печати с наименованием структурного подразделения, на которое возложены функции по ведению делопроизводства.

10. Совмещение документов с пометкой "ДСП" и информации, не относящейся к документам с пометкой "ДСП", в одном пакете или конверте не допускается.

11. Отправка документов с пометкой "ДСП" строго запрещена следующими способами:

по незащищённым каналам компьютерно-модемной, факсимильной и телеграфной связи;

по электронной почте, за исключением случаев, указанных в пункте 5 настоящего Порядка;

средствами прикладного программного обеспечения информационных систем, не предназначенных для обработки служебной информации ограниченного распространения и (или) не имеющими подтверждения соответствия требованиям безопасности информации (аттестата соответствия).

Утвержден
приказом ФНС России
от 21 апреля 2021 г. № ЕД-7-24/391@

Порядок
снятия пометки "Для служебного пользования" с носителей служебной информации ограниченного распространения

1. При возникновении обстоятельств, вследствие которых дальнейшая защита служебной информации ограниченного распространения нецелесообразна, по решению должностных лиц налогового органа, уполномоченных относить служебную информацию к разряду ограниченного распространения (далее при совместном упоминании - уполномоченные лица), с носителей информации, содержащих документы с пометкой "Для служебного пользования" (далее соответственно - пометка "ДСП", документы с пометкой "ДСП"), снимается пометка "ДСП".

Предложения о снятии с документов пометки "ДСП", в том числе и с документов, необоснованно отнесённых к этой категории, вносятся:

в ЦА ФНС России - начальниками структурных подразделений ЦА ФНС России, подготовивших эти документы, или структурных подразделений, к которым в соответствии с их Положением относятся функции, относящиеся к теме документа;

в территориальных налоговых органах - начальниками структурных подразделений, подготовивших указанные документы, или структурных подразделений, к которым в соответствии с их Положением относятся функции, относящиеся к теме документа.

2. При передаче документов с пометкой "ДСП" на архивное хранение, структурными подразделениями, подготовившими указанные документы, проводится их экспертиза с целью возможного снятия с них пометки "ДСП".

Снятие пометки "ДСП" с носителей информации, содержащих документы с пометкой "Для служебного пользования" и находящихся на архивном хранении, не предусматривается.

3. Снятие пометки "ДСП" осуществляется уполномоченными лицами:

- с документов на бумажном носителе (копий документов на бумажном носителе) - путём зачёркивания на подлиннике документа (копии документа на бумажном носителе) указанной пометки с проставлением своей подписи и даты, а также указанием должности, фамилии и инициалов;

- с электронных документов - путём подписания отдельного документа, содержащего указание о снятии с электронного документа пометки "ДСП". Формирование отдельного документа осуществляется в соответствии с инструкцией по делопроизводству в налоговом органе.

4. После снятия с документа с пометкой "ДСП" пометки "ДСП" уполномоченное лицо официальными письмами информирует о снятии пометки "ДСП" всех адресатов, которым данный документ направлялся.

В зависимости от событий потенциальных воздействий угроз и мер, снижающих их влияние, система защиты переходит в определенные состояния, соответствующим событиям.

Состояние 1 — защита информации обеспечена, если при наличии условий, способствующих появлению угроз, их воздействие на защищаемую информацию предотвращено или ликвидированы последствия такого воздействия.

Состояние 2 — защита информации нарушена, если невозможно предотвратить воздействие на нее угроз, однако оно обнаружено и локализовано.

Состояние 3 — защиты информации разрушена, если результаты воздействий на нее угроз не только не предотвращены, но и не локализованы.

Множество функций защиты информации определяется следующей последовательностью действий , обеспечивающей выполнение конечной цели — достижение требуемого уровня информационной безопасности. Прежде всего, необходимо попытаться предупредить возникновение условий, благоприятствующих появлению угроз информации. Выполнение этой функции в связи с большим количеством таких угроз и случайным характером их проявлений имеет вероятность, близкую к нулю. Поэтому следующим шагом должно быть своевременное обнаружение проявившихся угроз и предупреждение их воздействия на информацию. Если все-таки такое воздействие произошло, необходимо вовремя его обнаружить и локализовать с целью недопущения распространения этого воздействия на всю конфиденциальную информацию, обрабатываемую на объекте. И последней функцией защиты должна быть ликвидация последствий указанного воздействия для восстановления требуемого состояния безопасности информации. Рассмотрим эти функции несколько подробнее.

Функция 1 — предупреждение проявления угроз. Реализация этой функции носит упреждающую цель и должна способствовать такому архитектурно-функциональному построению современных систем обработки и защиты информации, которое обеспечивало бы минимальные возможности появления дестабилизирующих факторов в различных условиях функционирования систем. Например, для предупреждения возможности установки в помещении закладных устройств необходимо с помощью технических средств и организационных мероприятий обеспечить невозможность несанкционированного доступа в него.

Функция 2 — обнаружение проявившихся угроз и предупреждение их воздействия на информацию. Основными целями реализации функции осуществляется комплексом мероприятий, в результате которых проявившиеся угрозы будут обнаружены до их воздействия на защищаемую информацию, а также недопущение воздействий этих угроз на защищаемую информацию в условиях их проявления и обнаружения. Так для нейтрализации закладных устройств необходимо регулярно проводить спецпроверки помещений, устанавливать системы их автоматического поиска, а для предупреждения их воздействия на конфиденциальную информацию использовать устройства защиты типа генераторов объемного зашумления, позволяющих создавать вокруг устройств обработки информации шумовое поле.

Функция 3 — обнаружение воздействия угроз на защищаемую информацию и локализация этого воздействия. Содержание функции направлено на непрерывный контроль средств, комплексов, систем обработки, защиты информации и различных компонентов защищаемой информации с целью своевременного обнаружения фактов воздействия на их угроз. Своевременное обнаружение предполагает обеспечение реальной возможности локализации воздействия на информацию, т.е. минимизацию возможного нарушения ее целостности и защищенности и недопущение распространения этого воздействия за пределы допустимых размеров. В компьютерных системах, например, эту функцию реализуют аппаратно-программные средства контроля и регистрации попыток несанкционированного доступа в систему или к информации (цифровая подпись).

Функция 4 — ликвидация последствий воздействия угроз. Функция предусматривает проведение мероприятий защиты в отношении обнаруженного и локализованного воздействия угроз на информацию с целью обеспечения защиты и локализованного воздействия угроз на информацию с целью обеспечения защиты и дальнейшей обработки информации без результатов воздействий, т.е. осуществляется восстановление системы обработки, защиты информации и состояния защищаемой информации применением соответствующего множества средств, способов и мероприятий защиты

Тема: Компьютерная система как объект информационной безопасности
Цель работы:

- закрепление знаний основного понятийного аппарата, применяемого в области защиты информации

- формирование навыка работы с нормативными документами по исследуемому вопросу

Объект защиты — информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

Цель защиты информации — заранее намеченный результат защиты информации.

Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки — защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Защита информации от разглашения — защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

Защита информации от НСД — защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной.
Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п.

Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы:

• аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.);

• программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

• данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

• персонал — обслуживающий персонал и пользователи.

Одной из особенностей обеспечения информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде:

• для представления информации — машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.;

• объектам системы — пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;

• субъектам системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.
Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.


  1. Выбрать объект защиты информации (ОЗИ) из предложенного перечня.

  2. Указать наименование и назначение ОЗИ.

  3. Описать пространственную модель ОЗИ, включающую (в качестве основы можно взять таблицу из приложения №1):

  • описание помещения, где находится ОЗИ,

  • инженерные конструкции,

  • коммуникации,

  • средства связи,

  • основные параметры электронных устройств, находящихся в одном помещении с ОЗИ,

  • технические средства безопасности.

Наименование объекта защиты информации:


  1. Одиночно стоящий компьютер в бухгалтерии.

  2. Сервер в бухгалтерии.

  3. Почтовый сервер.

  4. Веб-сервер.

  5. Компьютерная сеть материальной группы.

  6. Одноранговая локальная сеть без выхода в Интернет.

  7. Одноранговая локальная сеть с выходом в Интернет.

  8. Сеть с выделенным сервером без выхода в Интернет.

  9. Сеть с выделенным сервером с выхода в Интернет.

  10. Телефонная база данных (содержащая и информацию ограниченного пользования) в твердой копии и на электронных носителях.

  11. Телефонная сеть.

  12. Средства телекоммуникации (радиотелефоны, мобильные телефоны, пейджеры).

  13. Банковские операции (внесение денег на счет и снятие).

  14. Операции с банковскими пластиковыми карточками.

  15. Компьютер, хранящий конфиденциальную информацию о сотрудниках предприятия.

  16. Компьютер, хранящий конфиденциальную информацию о разработках предприятия.

  17. Материалы для служебного пользования на твердых носителях в производстве.

  18. Материалы для служебного пользования на твердых носителях на закрытом предприятии.

  19. Материалы для служебного пользования на твердых носителях в архиве.

  20. Материалы для служебного пользования на твердых носителях в налоговой инспекции.

Приложение №1
Пример оформления пространственной модели контролируемых зон

Сертификат и скидка на обучение каждому участнику

Любовь Богданова

Выберите документ из архива для просмотра:

Выбранный для просмотра документ pr10_mdk_03_02.doc













Выбранный для просмотра документ pr1_MDK_03_02.doc

Практическая работа №1

Тема : Компьютерная система как объект информационной безопасности

Цель работы :

- исследование терминологической базы

- закрепление знаний основного понятийного аппарата, применяемого в области защиты информации

- формирование навыка работы с нормативными документами по исследуемому вопросу

- описание выбранного объекта защиты информации для дальнейшего исследования

Теоретическая часть:

Защита информации — деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Объект защиты — информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

Цель защиты информации — заранее намеченный результат защиты информации.

Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки — защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Защита информации от разглашения — защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

Защита информации от НСД — защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной.
Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п.

Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы:

• аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.);

• программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

• данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

• персонал — обслуживающий персонал и пользователи.

Одной из особенностей обеспечения информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде:

• для представления информации — машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.;

• объектам системы — пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;

• субъектам системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.
Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.

Литература:

1. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895.

2. Стратегия развития информационного общества в Российской Федерации, утверждённая Президентом Российской Федерации 07.02.2008 № Пр-212.

3. Федеральный закон Российской Федерации от 28 декабря 2010 г № 380 - ФЗ "О безопасности"

7. Специальные требования и рекомендации по технической защите конфиденциальной информации. Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.

12. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г.

13. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения, Решение председателя Гостехкомиссии России от 30 марта 1992 г.

14. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г.

15. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г.

16. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники, Решение председателя Гостехкомиссии России от 30 марта 1992 г.

17. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации Решение председателя Гостехкомиссии России от 25 июля 1997 г.

18. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. № 187 ( часть 1 , часть 2 , часть 3 ).

19. Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003 год.

20. Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты, Гостехкомиссия России, 2003 год.

21. Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты, Гостехкомиссия России, 2003 год.

22. Руководство по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003 год.

23. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России.

24. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России.

26. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России.

28. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.

29. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.

Задание (оформить в виде отчета):

1. Выбрать объект защиты информации (ОЗИ) из предложенного перечня.

2. Указать наименование и назначение ОЗИ.

3. Описать пространственную модель ОЗИ, включающую (в качестве основы можно взять таблицу из приложения №1):

- описание помещения, где находится ОЗИ,

- основные параметры электронных устройств, находящихся в одном помещении с ОЗИ,

- технические средства безопасности.

Наименование объекта защиты информации:

1. Одиночно стоящий компьютер в бухгалтерии.

2. Сервер в бухгалтерии.

3. Почтовый сервер.

5. Компьютерная сеть материальной группы.

6. Одноранговая локальная сеть без выхода в Интернет.

7. Одноранговая локальная сеть с выходом в Интернет.

8. Сеть с выделенным сервером без выхода в Интернет.

9. Сеть с выделенным сервером с выхода в Интернет.

10. Телефонная база данных (содержащая и информацию ограниченного пользования) в твердой копии и на электронных носителях.

11. Телефонная сеть.

12. Средства телекоммуникации (радиотелефоны, мобильные телефоны, пейджеры).

13. Банковские операции (внесение денег на счет и снятие).

14. Операции с банковскими пластиковыми карточками.

15. Компьютер, хранящий конфиденциальную информацию о сотрудниках предприятия.

16. Компьютер, хранящий конфиденциальную информацию о разработках предприятия.

17. Материалы для служебного пользования на твердых носителях в производстве.

18. Материалы для служебного пользования на твердых носителях на закрытом предприятии.

19. Материалы для служебного пользования на твердых носителях в архиве.

20. Материалы для служебного пользования на твердых носителях в налоговой инспекции.

Читайте также: