Санкт-Петербург


УДК 004.49  АНАЛИЗ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПОСТРОЕНИИ



Download 10,56 Mb.
Pdf ko'rish
bet70/198
Sana24.02.2022
Hajmi10,56 Mb.
#209176
1   ...   66   67   68   69   70   71   72   73   ...   198
Bog'liq
1 almanakh 2018 tom1

УДК 004.49 
АНАЛИЗ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПОСТРОЕНИИ 
АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ В ЗАЩИЩЕННОМ 
ИСПОЛНЕНИИ ДЛЯ УЧРЕЖДЕНИЙ ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ 
ГОСУДАРСТВЕННОЙ ВЛАСТИ 
Садикова А.А., Двойникова А.А., Титова Ю.А. 
Научный руководитель – к.т.н., доцент Кузнецов А.Ю. 
Безопасность информации в автоматизированной системе базируется на способности этой системы 
сохранять конфиденциальность при обработке, передаче, хранении данных, а также на способности 
противостоять их разрушению, хищению. К автоматизированной системе в защищенном исполнении 
также предъявляется требование доступности циркулирующей в ней информации. В работе 
проанализированы методы защиты информации при проектировании различных автоматизированных 
систем в защищенном исполнении для учреждений органов государственной власти. 
Ключевые слова: автоматизированная система в защищенном исполнении, защита информации, 
ФСТЭК, ИСПДн, АСУ ТП, ГИС. 
Для обработки информации, необходимость защиты которой определяется 
законодательством Российской Федерации (РФ) или решением ее обладателя, должны 
создаваться автоматизированные системы в защищенном исполнении (АСЗИ), в которых 
реализованы в соответствии с действующими нормативными правовыми актами требования 
о защите информации (ЗИ) [1]. 
Проблема защиты информации в автоматизированных системах является актуальным с 
начала использования средств вычислительной техники для обработки информации. 
Реальность угроз информации в автоматизированных системах (АС) и высокая мера их 


Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
107 
опасности, как показывает практика, остается и в настоящее время. Существует большое 
количество каналов для несанкционированного проникновения к информации и способов 
использования этих каналов [2]. 
Цель работы – проанализировать методы ЗИ при проектировании различных АСЗИ для 
учреждений органов государственной власти. 
Процесс создания АСЗИ подразумевает выполнение комплекса мероприятий, которые 
направлены на разработку и применение информационной технологии, занимающиеся ЗИ, 
установленные в соответствии с требованиями стандартов и (или) нормативных 
документов по ЗИ как во вновь создаваемых, так и в действующих автоматизированных 
системах. 
При создании (модернизации) АСЗИ необходимо руководствоваться следующими 
общими требованиями: 
– система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от 
несанкционированного доступа (НСД), от утечки защищаемой информации по 
техническим каналам, от несанкционированных и непреднамеренных воздействий на 
информацию (на носители информации) применительно к конкретной АСЗИ; 
– система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности 
реализации требований о защите обрабатываемой информации при использовании в 
АСЗИ 
методов 
и 
программно-аппаратных 
средств 
организации 
сетевого 
взаимодействия; 
– система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования 
различных вариантов ее построения, а также расширения возможностей ее составных 
частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о 
ЗИ; 
– ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в 
обработке защищаемой информации; 
– входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны 
препятствовать нормальному функционированию АСЗИ; 
– программное обеспечение системы ЗИ должно быть совместимым с программным 
обеспечением других составных частей (сегментов) АСЗИ и не должно снижать 
требуемый уровень защищенности информации в АСЗИ; 
– программно-технические средства, используемые для построения системы ЗИ, должны 
быть совместимы между собой (корректно работать совместно) и не должны снижать 
уровень защищенности информации в АСЗИ [1]. 
В работе рассмотрена ЗИ в таких автоматизированных системах, как: 
информационная система персональных данных (ИСПДн), автоматизированная система 
управления технологическими процессами (АСУ ТП), государственная информационная 
система (ГИС). 
Вопросы выполнения требований по защите персональных данных (ПДн) не теряют 
своей актуальности. На основе Постановления Правительства РФ от 01.11.2012 № 1119 «Об 
утверждении требований к защите персональных данных при их обработке в 
информационных системах персональных данных» (ПП № 1119) был разработан приказ 
ФСТЭК от 18 февраля 2013 г. № 21 (приказ № 21), в котором описаны состав и содержание 
организационных и технических мер по обеспечению безопасности ПДн при их обработке в 
ИСПДн. Данный приказ позволяет операторам ПДн отказываться от базовых мер в сторону 
компенсирующих, учитывая их экономическую целесообразность. Требования к классам 
сертифицированных средств защиты информации (СЗИ) приведены к уровням 
защищенности (УЗ) [3]. УЗ ИСПДн определяется согласно ПП № 1119. Для каждого из 
четырех УЗ ПДн предполагаются соответствующие им способы, обеспечивающие 
безопасность ПДн. В приказе № 21 обозначено 109 мер защиты, которые классифицированы 
в 15 групп, из которых 40 мер являются компенсирующими. После определения списка мер и 


Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
108 
проверки нейтрализации ими актуальных угроз, оператор должен добавить к текущему 
списку меры, предусмотренные другими нормативными актами (например, ПП № 1119, 
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»). В итоге получается 
окончательный список мер, необходимых к выполнению. 
Приказ ФСТЭК от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению 
защиты 
в 
автоматизированных 
системах 
управления 
производственными 
и 
технологическими процессами на критически важных объектах, потенциально опасных 
объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья 
людей и для окружающей природной среды» (приказ № 31) разработан во исполнение 
поручения Президента РФ. Он должен подкреплять Федеральный закон от 26.07.2017 № 187-
ФЗ «О безопасности критической информационной инфраструктуры Российской 
Федерации», который вступил в силу с 01 января 2018 г. ФСТЭК признает, что в АСУ ТП 
возможно применение СЗИ, сертифицированных в ФСТЭК, либо прошедших оценку 
соответствия по Федеральному закон от 27.12.2002 № 184-ФЗ «О техническом 
регулировании». Также в документе указано, что для АСУ ТП не обязательна аттестация. 
Для каждого класса защищенности (КЗ), которых в данном нормативном акте три, 
предполагаются соответствующие меры ЗИ. В данном приказе обозначено 167 мер защиты, 
классифицированных в 21 группу, из которых 41 мера является компенсирующей. Для 
снижения рисков угроз безопасности следует опираться на следующие нормативные акты и 
ресурсы: 
– приказ № 31; 
– ГОСТ Р ИСО/МЭК 27034-1. Безопасность приложений; 
– ГОСТ Р 56939-2016. Разработка безопасного программного обеспечения; 
– методические рекомендации по обновлению сертифицированных средств защиты 
информации; 
– также создан и развивается Банк данных угроз безопасности информации. 
К защите информации, содержащейся в ГИС, предъявляются законодательные 
требования, определяемые Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об 
информации, информационных технологиях и о защите информации» и Приказом ФСТЭК 
России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не 
составляющей государственную тайну, содержащейся в государственных информационных 
системах». Для ЗИ, содержащейся в ГИС, необходимо для начала определить перечень 
защищаемой информации и КЗ. Для каждого КЗ, количество которых аналогично количеству 
в приказе № 31, предполагаются соответствующие меры ЗИ. В данном приказе обозначено 
113 мер защиты, систематизированных в 13 групп, из которых 30 мер являются 
компенсирующими. Для защиты информации разрабатывается модель угроз безопасности 
информации и классификация. После составляется перечень мер защиты для нейтрализации 
актуальных угроз. На основании данного перечня реализуется техническое проектирование и 
внедрение проектных решений. Далее следует аттестация и техническое сопровождение 
аттестованной системы ЗИ. В случае, когда защищаемая ГИС содержит ПДн, мероприятия 
по ЗИ рассматриваются в комплексе. 
В настоящее время законодательная база РФ в области информационной безопасности 
постоянно изменяется и расширяется. При оптимизации АС следует особое внимание 
уделять системе безопасности обработки данных, поскольку качество технологии обработки 
значительно зависит от системы ее защиты. Таким образом, защита информации, 
обрабатываемой и поступающей в АС, является интегральной, т.е. представляет из себя 
комплекс методов и средств, которые обеспечивают конфиденциальность, целостность, 
доступность защищаемой информации, а также аутентичность (обеспечение истинности 
источника информации) и неотказуемость (гарантирует невозможность отказа от авторства 
или факта получения информации). 


Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
109 

Download 10,56 Mb.

Do'stlaringiz bilan baham:
1   ...   66   67   68   69   70   71   72   73   ...   198




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish