УДК 004.49  АНАЛИЗ МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПОСТРОЕНИИ

Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
107 
опасности, как показывает практика, остается и в настоящее время. Существует большое 
количество каналов для несанкционированного проникновения к информации и способов 
использования этих каналов [2]. 
Цель работы – проанализировать методы ЗИ при проектировании различных АСЗИ для 
учреждений органов государственной власти. 
Процесс создания АСЗИ подразумевает выполнение комплекса мероприятий, которые 
направлены на разработку и применение информационной технологии, занимающиеся ЗИ, 
установленные в соответствии с требованиями стандартов и (или) нормативных 
документов по ЗИ как во вновь создаваемых, так и в действующих автоматизированных 
системах. 
При создании (модернизации) АСЗИ необходимо руководствоваться следующими 
общими требованиями: 
– система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от 
несанкционированного доступа (НСД), от утечки защищаемой информации по 
техническим каналам, от несанкционированных и непреднамеренных воздействий на 
информацию (на носители информации) применительно к конкретной АСЗИ; 
– система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности 
реализации требований о защите обрабатываемой информации при использовании в 
АСЗИ 
методов 
и 
программно-аппаратных 
средств 
организации 
сетевого 
взаимодействия; 
– система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования 
различных вариантов ее построения, а также расширения возможностей ее составных 
частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о 
ЗИ; 
– ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в 
обработке защищаемой информации; 
– входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны 
препятствовать нормальному функционированию АСЗИ; 
– программное обеспечение системы ЗИ должно быть совместимым с программным 
обеспечением других составных частей (сегментов) АСЗИ и не должно снижать 
требуемый уровень защищенности информации в АСЗИ; 
– программно-технические средства, используемые для построения системы ЗИ, должны 
быть совместимы между собой (корректно работать совместно) и не должны снижать 
уровень защищенности информации в АСЗИ [1]. 
В работе рассмотрена ЗИ в таких автоматизированных системах, как: 
информационная система персональных данных (ИСПДн), автоматизированная система 
управления технологическими процессами (АСУ ТП), государственная информационная 
система (ГИС). 
Вопросы выполнения требований по защите персональных данных (ПДн) не теряют 
своей актуальности. На основе Постановления Правительства РФ от 01.11.2012 № 1119 «Об 
утверждении требований к защите персональных данных при их обработке в 
информационных системах персональных данных» (ПП № 1119) был разработан приказ 
ФСТЭК от 18 февраля 2013 г. № 21 (приказ № 21), в котором описаны состав и содержание 
организационных и технических мер по обеспечению безопасности ПДн при их обработке в 
ИСПДн. Данный приказ позволяет операторам ПДн отказываться от базовых мер в сторону 
компенсирующих, учитывая их экономическую целесообразность. Требования к классам 
сертифицированных средств защиты информации (СЗИ) приведены к уровням 
защищенности (УЗ) [3]. УЗ ИСПДн определяется согласно ПП № 1119. Для каждого из 
четырех УЗ ПДн предполагаются соответствующие им способы, обеспечивающие 
безопасность ПДн. В приказе № 21 обозначено 109 мер защиты, которые классифицированы 
в 15 групп, из которых 40 мер являются компенсирующими. После определения списка мер и 

Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
108 
проверки нейтрализации ими актуальных угроз, оператор должен добавить к текущему 
списку меры, предусмотренные другими нормативными актами (например, ПП № 1119, 
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»). В итоге получается 
окончательный список мер, необходимых к выполнению. 
Приказ ФСТЭК от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению 
защиты 
в 
автоматизированных 
системах 
управления 
производственными 
и 
технологическими процессами на критически важных объектах, потенциально опасных 
объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья 
людей и для окружающей природной среды» (приказ № 31) разработан во исполнение 
поручения Президента РФ. Он должен подкреплять Федеральный закон от 26.07.2017 № 187-
ФЗ «О безопасности критической информационной инфраструктуры Российской 
Федерации», который вступил в силу с 01 января 2018 г. ФСТЭК признает, что в АСУ ТП 
возможно применение СЗИ, сертифицированных в ФСТЭК, либо прошедших оценку 
соответствия по Федеральному закон от 27.12.2002 № 184-ФЗ «О техническом 
регулировании». Также в документе указано, что для АСУ ТП не обязательна аттестация. 
Для каждого класса защищенности (КЗ), которых в данном нормативном акте три, 
предполагаются соответствующие меры ЗИ. В данном приказе обозначено 167 мер защиты, 
классифицированных в 21 группу, из которых 41 мера является компенсирующей. Для 
снижения рисков угроз безопасности следует опираться на следующие нормативные акты и 
ресурсы: 
– приказ № 31; 
– ГОСТ Р ИСО/МЭК 27034-1. Безопасность приложений; 
– ГОСТ Р 56939-2016. Разработка безопасного программного обеспечения; 
– методические рекомендации по обновлению сертифицированных средств защиты 
информации; 
– также создан и развивается Банк данных угроз безопасности информации. 
К защите информации, содержащейся в ГИС, предъявляются законодательные 
требования, определяемые Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об 
информации, информационных технологиях и о защите информации» и Приказом ФСТЭК 
России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не 
составляющей государственную тайну, содержащейся в государственных информационных 
системах». Для ЗИ, содержащейся в ГИС, необходимо для начала определить перечень 
защищаемой информации и КЗ. Для каждого КЗ, количество которых аналогично количеству 
в приказе № 31, предполагаются соответствующие меры ЗИ. В данном приказе обозначено 
113 мер защиты, систематизированных в 13 групп, из которых 30 мер являются 
компенсирующими. Для защиты информации разрабатывается модель угроз безопасности 
информации и классификация. После составляется перечень мер защиты для нейтрализации 
актуальных угроз. На основании данного перечня реализуется техническое проектирование и 
внедрение проектных решений. Далее следует аттестация и техническое сопровождение 
аттестованной системы ЗИ. В случае, когда защищаемая ГИС содержит ПДн, мероприятия 
по ЗИ рассматриваются в комплексе. 
В настоящее время законодательная база РФ в области информационной безопасности 
постоянно изменяется и расширяется. При оптимизации АС следует особое внимание 
уделять системе безопасности обработки данных, поскольку качество технологии обработки 
значительно зависит от системы ее защиты. Таким образом, защита информации, 
обрабатываемой и поступающей в АС, является интегральной, т.е. представляет из себя 
комплекс методов и средств, которые обеспечивают конфиденциальность, целостность, 
доступность защищаемой информации, а также аутентичность (обеспечение истинности 
источника информации) и неотказуемость (гарантирует невозможность отказа от авторства 
или факта получения информации). 

Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
109 

Download 10,56 Mb.

Do'stlaringiz bilan baham: