Новий Гуманітарний Університет Наталії Нестерової
Факультет туризму та готельного бізнесу
РЕФЕРАТ
з інформатики
на тему:
НЕОБХІДНІСТЬ ЗАХИСТУ ІНФОРМАЦІЇ
Москва
2002
Зміст
Необхідність захисту інформації. 4
АС ГРН .. 4
Нормативно-правові акти щодо захисту інформації в АС ГРН .. 7
Нормативно-технічні акти, що забезпечують захист інформації в АС ГРН 9
Вимоги до засобів захисту інформації. 11
Вибір засобів захисту інформації від несанкціонованого доступу. 13
Список літератури .. 14
Соціальні та економічні зміни в останні роки створили умови для широкого впровадження в Росії новітніх інформаційних технологій, створення та використання перспективних інформаційних, телекомунікаційних систем зв'язку та обробки інформації баз даних як в державному, так і в недержавному секторах економіки. З входженням України у світове інформаційне простір, розвитком глобальних міжнародних мереж користувачі отримали можливість доступу до інформаційних ресурсів незалежно від свого територіального розташування.
У світовій економіці в даний час частка комп'ютерних та інформаційних технологій дуже істотна. Інформаційна індустрія, як і всяка інша індустрія, розвивається за звичним економічним законам. Але вона має деякі істотні особливості, які відрізняють її від усієї попередньої соціально-економічної практики. При формуванні та використанні інформаційних ресурсів виникають певні відносини між учасниками. Регулювати подібні відносини покликані нормативно-правові акти - закони, постанови, положення та ін Розглянемо докладніше, як захищена інформація в одній з автоматизованих систем державного сектору економіки - автоматизованої системи "Державний регістр населення".
Державний реєстраційний облік громадян в Російській Федерації має здійснюватися в інтересах громадян і держави і грунтується на системі реєстрації громадян за місцем проживання і за місцем перебування, а також на системі реєстрації актів громадянського стану. Реєстрацію громадян за місцем проживання і за місцем перебування здійснюють паспортно-візові служби органів внутрішніх справ спільно з органами місцевого самоврядування. Державну реєстрацію актів громадянського стану здійснюють органи РАГС, утворені органами державної влади суб'єктів Російської Федерації. Координація діяльності щодо державної реєстрації актів цивільного стану здійснює Міністерство юстиції Російської Федерації.
Діюча система реєстраційного обліку забезпечує збір основних ідентифікаційних відомостей про всіх громадян, які проживають на території Російської Федерації. Однак, існуюче в даний час стан цієї системи характеризується низьким рівнем автоматизації і технічної оснащеності паспортно-візових служб органів внутрішніх справ та органів РАЦС, відсутністю інформаційного обміну між органами ЗАГС і паспортно-візовими службами, наслідком чого є недостатня оперативність отримання паспортно-візовими службами інформації про померлих, про що змінили прізвище, ім'я, по батькові, обмежена можливість оперативного використання наявної інформації органами виконавчої влади, господарюючими суб'єктами, громадськими організаціями та громадянами.
Необхідність оперативного отримання актуальної та достовірної інформації про проживає на території Російської Федерації населенні настійно вимагає впровадження нових інформаційних технологій у сфері державних реєстраційного обліку громадян. Впровадження таких технологій не зводиться до установки обчислювальної техніки в органах, що здійснюють реєстрацію громадян. Потрібно вирішити досить складні питання нормативних правового забезпечення системи реєстрації та обміну даними в умовах інформатизації.
При автоматизації процесів реєстрації обліку населення необхідно, з одного боку, запобігати спробам порушення прав людини, а з іншого боку, забезпечити захист прав і свобод особи і ефективний соціальний розвиток суспільства в інтересах усього населення і кожної особистості.
Створення АС ГРН буде сприяти подоланню недоліків і вирішення наявних проблемних ситуацій. Створення АС ГРН є важливою соціально-економічною проблемою, вирішення якої вимагає використання програмно-цільових методів.
Автоматизована система "Державний регістр населення" (АС ГРН) є державною територіально-розподіленої інформаційно-телекомунікаційною системою, що забезпечує в автоматизованому режимі формування, ведення та використання баз даних Державного регістра населення, ефективне інформаційну взаємодію автоматизованих інформаційних систем (АІС) обліку різних категорій населення, інформаційне обслуговування органів державної влади, органів місцевого самоврядування, господарюючих суб'єктів і населення.
АС ГРН включає: державний інформаційний ресурс "Державний регістр населення"; засоби інформатизації - програмно-технічний комплекс і телекомунікаційну систему, що здійснюють автоматизований збір і зберігання даних ГРН і забезпечують доступ до них; єдиний інформаційно-лінгвістичне забезпечення; організаційно-правове забезпечення її створення та функціонування.
Державний регістр населення (ГРН) - сукупність мінімально необхідних персональних реєстраційних даних громадян Російської Федерації, однозначно ідентифікують особу, та документи реєстраційного обліку населення, збір яких регламентований державними нормативними правовими актами.
Відповідно до статті 24 Конституції Російської Федерації в ГРН збираються, зберігаються і використовуються тільки відомості реєстраційного обліку громадян. Збір та зберігання в ГРН інформації про приватне життя громадян не допускається. Кожен громадянин має право ознайомитися зі складом і змістом інформації про себе, що зберігається в ГРН.
· Конституція Російської Федерації;
· Закон Російської Федерації від 05.03.1992 р. № 2446-1 "Про безпеку";
· Закон Російської Федерації від 21.07.1993 р. № 5485-1 "Про державну таємницю";
· Закон Російської Федерації від 10.06. 1993 р. № 5154-1 "Про стандартизацію";
· Федеральний закон від 20.02.1995г. № 24-ФЗ "Про інформацію, інформатизації і захисту інформації";
· Федеральний закон від 04.07.1996г. № 85-ФЗ "Про участь в міжнародному інформаційному обміні";
· Указ Президента Російської Федерації від 06.03.1992 р. № 188 "Про затвердження переліку відомостей конфіденційного характеру";
· Постанова Уряду Російської Федерації від 21.02.1996г. № 226 "Про державному обліку та реєстрації баз і банків даних".
Інформаційну основу АС ГРН складають персональні дані. На відміну від інших видів інформації персональні дані мають свої особливості, оскільки безпосередньо зачіпають інтереси кожного громадянина, правове становище якого визначається Конституцією Російської Федерації і регулюється федеральним законодавством. Персональні дані про громадян вимагають особливого режиму державного захисту від спроб порушення прав людини. У той же час держава повинна забезпечити права доступу кожного громадянина до реєстраційних даних про нього, можливість внесення доповнень і змін в особисті дані, а також забезпечити доступ до персональних даних державних органів влади та юридичних осіб, що забезпечують свободу і права особистості, розвиток інфраструктури життєзабезпечення людини і суспільства. З цією метою необхідно розробити нормативні правові документи, що гарантують права людини, визначені у статті 24 Конституції Російської Федерації.
Важливе значення для забезпечення захисту даних мають постанову Уряду Російської Федерації від 15.09.1993 р. № 912-51, яка затверджує "Положення про державну систему захисту інформації в Російській Федерації від іноземних технічних розвідок і від її витоку технічними каналами", постанови Уряду Російської Федерації про реєстрацію громадян за місцем проживання (місцем перебування), а також нормативні правові документи, що стосуються реєстрації актів громадянського стану, положення про органи і інструкції з технології проведення реєстрації. При створенні та функціонуванні АС ГРН ці нормативні правові та інші акти повинні бути змінені у відповідності з новими вимогами.
При розвитку правової бази, що регулює створення АС ГРН і використання персональних даних, необхідно враховувати вимоги і досвід світового співтовариства у сфері захисту персональних даних, зокрема, вимоги Конвенції Ради Європи від 28.01.1991 р. № 108 "Про захист особистості стосовно автоматизованої обробки персональних даних ", Директиви 95 ЄС Європейського парламенту та Ради Європейського Союзу" Про захист прав приватних осіб щодо обробки персональних даних і про вільний обіг цих даних "та Директиви 97Европейского парламенту та Ради Європейського Союзу" Про обробку персональних даних і захисту права на невтручання в приватне життя в сфері телекомунікації ".
При розробці нормативно-правової бази АС ГРН необхідно враховувати принципи та рекомендації європейського законодавства, що гарантують:
· Захист конституційних прав і свобод особистості;
· Відсутність обмежень і заборон на обмін персональними даними з причин, пов'язаних із захистом прав і свобод особистості;
· Надання особистості можливості безпосереднього контролю правильності запису та використання персональних даних;
· Створення системи державного нагляду за операціями з обробки персональних даних та ін
Враховуючи трудомісткість і значну вартість створення баз даних АС ГРН, а також неприпустимість несанкціонованого доступу до них необхідно вирішити питання, пов'язані з компенсацією фінансових втрат від різного роду дій, що руйнують інформацію. Важливе значення при функціонуванні АС ГРН набуває питання відшкодування шкоди населенню при неправомочному використанні персональних даних. Зазначені питання повинні вирішуватися з використанням страхових механізмів. Необхідно розробити "Положення про страхування інформаційних ризиків при функціонуванні АС ГРН".
Розробляються правові акти щодо створення та функціонування АС ГРН повинні забезпечувати:
· Розподіл персональних даних за ступенями захищеності і за категоріями доступу;
· Правові механізми, що забезпечують захист інформації;
· Організацію робіт із захисту інформації;
· Виконання положень державної системи захисту інформації (ГСЗІ);
· Сертифікацію технічних засобів, програмних засобів і засобів захисту персональних даних;
· Ліцензування інформаційної діяльності з формування і використання даних АС ГРН;
· Страхування інформаційних ризиків.
Основним видом захисту інформації в АС ГРН є система захисту від несанкціонованого доступу (СЗІ НСД). Для реалізації такого захисту необхідно виставляти вимоги на розробку всієї нормативно-технічної документації на всіх стадіях проектування і введення системи в експлуатацію.
Система захисту від несанкціонованого доступу в АС ГРН повинна відповідати наступним нормативним документам:
· ГОСТ Р50739-95. СВТ. Захист від НСД до інформації. ОТТ.
· Керівні документи Гостехкомиссии Росії (1992 р.):
o РД АС. Захист від НСД до інформації. Класифікація АС і вимоги щодо захисту інформації.
o РД СВТ. Захист від НСД до інформації. Показники захищеності від НСД до інформації.
o РД. Концепція захисту СВТ і АС від НСД до інформації.
· ІСО МЕК. Захист інформації. Позначення сертифікатів.
· ІСО МЕК. 7498-98. ІТ. Взаємозв'язок відкритих систем. Базова еталонна модель.
· МЕК. ППС 10181. ІТ. Взаємозв'язок відкритих систем. Основи захисту інформації у відкритих системах.
При створенні телекомунікаційної мережі АС ГРН для підтвердження авторства повідомлень і забезпечення їх цілісності повинні застосовуватися засоби електронного цифрового підпису.
Засоби електронного цифрового підпису повинні задовольняти вимогам:
· ГОСТ Р3410-94. Процедура вироблення і перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму.
· ГОСТ Р3411-94. Функція хешування.
· Положення про порядок розробки, виробництва, реалізації та використанні засобів криптографічного захисту інформації з обмеженим доступом, що не містить відомостей, що становлять державну таємницю (Положення ПКЗ-99).
При взаємодії регіональних баз персональних даних АС ГРН і баз даних федеральних органів державної влади використовується ІТКМ спеціального призначення та сертифіковані засоби криптографічного захисту, що задовольняють додатково наступним вимогам:
· ГОСТ 28147-89. Система обробки інформації. Захист криптографічний, Алгоритми криптографічного перетворення;
· Нормативним документам Федерального агентства урядового зв'язку та інформації при Президентові Російської Федерації:
· Тимчасові вимоги до засобів криптографічного захисту конфіденційної інформації;
· Тимчасові вимоги до пристроїв типу міжмережеві екрани.
Зазначені нормативно-технічні документи повинні бути покладені в основу створення і функціонування АС ГРН. Проектування системи має проводитися за модульним принципом. На кожен модуль системи повинен бути визначений вітчизняний профіль. Вітчизняні профілі та технічні умови на систему є основою сертифікації кожного модуля і системи в цілому.
· Захист інформації від несанкціонованої модифікації та руйнування на всіх етапах її обробки, зберігання та передачі;
· Аутентифікацію сторін, що проводять обмін інформацією (підтвердження дійсності відправника і одержувача);
· Розмежування прав користувачів і обслуговуючого персоналу при доступі до інформаційних ресурсів АС ГРН, а також при зберіганні та наданні конфіденційної інформації, в тому числі захист від несанкціонованого доступу користувачів відомчих інформаційних систем до інформаційних ресурсів АС ГРН;
· Можливість докази неправомірності дій користувачів і обслуговуючого персоналу АС ГРН;
· Захист інформації від несанкціонованого доступу засобами перевірки повноважень користувачів і обслуговуючого персоналу на використання інформаційних ресурсів АС ГРН (можливість несанкціонованого зміни або знищення цієї інформації, як і несанкціоноване одержання, зміна або знищення інформації про громадян третіми особами повинні бути виключені);
· Захист від несанкціонованої модифікації програмного забезпечення, включаючи захист від впровадження "вірусів" в програмні продукти;
· Захист інформації від випадкових руйнувань;
· Дублювання інформації шляхом створення резервних копій;
· Виконання спеціальних вимог для використовуваних імпортних апаратних засобів;
· Захист від витоку по побічних каналах технічних засобів, призначених для обробки та зберігання конфіденційної інформації;
· Захист баз даних різного рівня;
· Захист каналів передачі інформації;
· Підтвердження авторства повідомлень з використанням електронного цифрового підпису інформації;
· Живучість АС ГРН;
· Для будь-якого громадянина можливість безперешкодного ознайомлення з даними про нього самого.
При формуванні на основі первинних даних АС ГРН аналітичної та агрегованої інформації у відповідних інформаційно-аналітичних системах можуть бути використані засоби криптографічного захисту, відповідні категорійності формованої інформації.
Використовувані криптографічні засоби захисту повинні мати сертифікат ФАПСИ. Використовувані криптографічні засоби захисту повинні задовольняти "Тимчасовим вимогам до засобів криптографічного захисту конфіденційної інформації, яка не становить державної таємниці" за класом не нижче, ніж "В".
· Мати сертифікат у системі сертифікації засобів захисту;
· Функціональні можливості засобів захисту повинні забезпечувати виконання основних контрольних процедур до завантаження операційної системи;
· Спектр випускаються на атестованих виробництвах засобів захисту інформації повинен вирішувати проблеми захисту в гетерогенних мережах, заснованих на інтеграції широко застосовуються в Росії операційних систем;
· Склад атрибутів, на основі яких описуються правила розмежування доступу до об'єктів АС ГРН, повинен бути таким, щоб забезпечити можливість опису будь-якої розумної несуперечливої політики безпеки;
· Для застосування в мережевих рішеннях обов'язковим є наявність засобів централізованого управління безпекою та коштів аудиту.
Найважливішим критерієм вибору засобів захисту інформації є аналіз практики застосування цих засобів.
2. Постанова Губернатора Московської області від 8 жовтня 1998 р. N 311-ПГ "Про захист інформаційних ресурсів Московської області, що становлять державну таємницю".
3. Постанова Уряду Російської Федерації від 21.02.1996 р. № 226 "Про державному обліку та реєстрації баз і банків даних"
4. Указ Президента Російської Федерації від 06.03.1992 р. № 188 "Про затвердження переліку відомостей конфіденційного характеру"
5. Федеральний закон від 04.07.1996г. № 85-ФЗ "Про участь в міжнародному інформаційному обміні"
6. Федеральний закон від 05.03.1992 р. № 2446-1 "Про безпеку"
7. Федеральний закон від 10.06. 1993 р. № 5154-1 "Про стандартизацію"
8. Федеральний закон від 20.02.1995г. № 24-ФЗ "Про інформацію, інформатизації і захисту інформації"
9. Федеральний закон від 21.07.1993 р. № 5485-1 "Про державну таємницю"
10. Інформатика: дані, технологія, маркетинг. / Под ред. А.П. Романова. М.: Фінанси і статистика, 1991
11. Кукін В.М. Інформатика: організація та управління. М.: Економіка, 1991
12. Майоров С.І. Інформаційний бізнес: комерційне поширення і маркетинг. М.: Фінанси і статистика, 1993
Факультет туризму та готельного бізнесу
РЕФЕРАТ
з інформатики
на тему:
НЕОБХІДНІСТЬ ЗАХИСТУ ІНФОРМАЦІЇ
Москва
2002
Зміст
Необхідність захисту інформації. 4
АС ГРН .. 4
Нормативно-правові акти щодо захисту інформації в АС ГРН .. 7
Нормативно-технічні акти, що забезпечують захист інформації в АС ГРН 9
Вимоги до засобів захисту інформації. 11
Вибір засобів захисту інформації від несанкціонованого доступу. 13
Список літератури .. 14
Необхідність захисту інформації
Соціальні та економічні зміни в останні роки створили умови для широкого впровадження в Росії новітніх інформаційних технологій, створення та використання перспективних інформаційних, телекомунікаційних систем зв'язку та обробки інформації баз даних як в державному, так і в недержавному секторах економіки. З входженням України у світове інформаційне простір, розвитком глобальних міжнародних мереж користувачі отримали можливість доступу до інформаційних ресурсів незалежно від свого територіального розташування. У світовій економіці в даний час частка комп'ютерних та інформаційних технологій дуже істотна. Інформаційна індустрія, як і всяка інша індустрія, розвивається за звичним економічним законам. Але вона має деякі істотні особливості, які відрізняють її від усієї попередньої соціально-економічної практики. При формуванні та використанні інформаційних ресурсів виникають певні відносини між учасниками. Регулювати подібні відносини покликані нормативно-правові акти - закони, постанови, положення та ін Розглянемо докладніше, як захищена інформація в одній з автоматизованих систем державного сектору економіки - автоматизованої системи "Державний регістр населення".
АС ГРН
Створення автоматизованої системи "Державний регістр населення" обумовлено необхідністю вирішення проблем, які виникають при вирішенні завдань соціально-економічного розвитку країни і регіонів, у сфері соціального забезпечення населення, в системі державного реєстраційного обліку громадян та використання первинних реєстраційних даних про громадян, у забезпеченні функціонування та взаємодії створюваних автоматизованих систем обліку різних категорій громадян, у сфері інформаційного обслуговування населення і господарюючих суб'єктів.Державний реєстраційний облік громадян в Російській Федерації має здійснюватися в інтересах громадян і держави і грунтується на системі реєстрації громадян за місцем проживання і за місцем перебування, а також на системі реєстрації актів громадянського стану. Реєстрацію громадян за місцем проживання і за місцем перебування здійснюють паспортно-візові служби органів внутрішніх справ спільно з органами місцевого самоврядування. Державну реєстрацію актів громадянського стану здійснюють органи РАГС, утворені органами державної влади суб'єктів Російської Федерації. Координація діяльності щодо державної реєстрації актів цивільного стану здійснює Міністерство юстиції Російської Федерації.
Діюча система реєстраційного обліку забезпечує збір основних ідентифікаційних відомостей про всіх громадян, які проживають на території Російської Федерації. Однак, існуюче в даний час стан цієї системи характеризується низьким рівнем автоматизації і технічної оснащеності паспортно-візових служб органів внутрішніх справ та органів РАЦС, відсутністю інформаційного обміну між органами ЗАГС і паспортно-візовими службами, наслідком чого є недостатня оперативність отримання паспортно-візовими службами інформації про померлих, про що змінили прізвище, ім'я, по батькові, обмежена можливість оперативного використання наявної інформації органами виконавчої влади, господарюючими суб'єктами, громадськими організаціями та громадянами.
Необхідність оперативного отримання актуальної та достовірної інформації про проживає на території Російської Федерації населенні настійно вимагає впровадження нових інформаційних технологій у сфері державних реєстраційного обліку громадян. Впровадження таких технологій не зводиться до установки обчислювальної техніки в органах, що здійснюють реєстрацію громадян. Потрібно вирішити досить складні питання нормативних правового забезпечення системи реєстрації та обміну даними в умовах інформатизації.
При автоматизації процесів реєстрації обліку населення необхідно, з одного боку, запобігати спробам порушення прав людини, а з іншого боку, забезпечити захист прав і свобод особи і ефективний соціальний розвиток суспільства в інтересах усього населення і кожної особистості.
Створення АС ГРН буде сприяти подоланню недоліків і вирішення наявних проблемних ситуацій. Створення АС ГРН є важливою соціально-економічною проблемою, вирішення якої вимагає використання програмно-цільових методів.
Автоматизована система "Державний регістр населення" (АС ГРН) є державною територіально-розподіленої інформаційно-телекомунікаційною системою, що забезпечує в автоматизованому режимі формування, ведення та використання баз даних Державного регістра населення, ефективне інформаційну взаємодію автоматизованих інформаційних систем (АІС) обліку різних категорій населення, інформаційне обслуговування органів державної влади, органів місцевого самоврядування, господарюючих суб'єктів і населення.
АС ГРН включає: державний інформаційний ресурс "Державний регістр населення"; засоби інформатизації - програмно-технічний комплекс і телекомунікаційну систему, що здійснюють автоматизований збір і зберігання даних ГРН і забезпечують доступ до них; єдиний інформаційно-лінгвістичне забезпечення; організаційно-правове забезпечення її створення та функціонування.
Державний регістр населення (ГРН) - сукупність мінімально необхідних персональних реєстраційних даних громадян Російської Федерації, однозначно ідентифікують особу, та документи реєстраційного обліку населення, збір яких регламентований державними нормативними правовими актами.
Відповідно до статті 24 Конституції Російської Федерації в ГРН збираються, зберігаються і використовуються тільки відомості реєстраційного обліку громадян. Збір та зберігання в ГРН інформації про приватне життя громадян не допускається. Кожен громадянин має право ознайомитися зі складом і змістом інформації про себе, що зберігається в ГРН.
Нормативно-правові акти щодо захисту інформації в АС ГРН
Правову основу захисту даних в АС ГРН повинні складати правові акти Російської Федерації:· Конституція Російської Федерації;
· Закон Російської Федерації від 05.03.1992 р. № 2446-1 "Про безпеку";
· Закон Російської Федерації від 21.07.1993 р. № 5485-1 "Про державну таємницю";
· Закон Російської Федерації від 10.06. 1993 р. № 5154-1 "Про стандартизацію";
· Федеральний закон від 20.02.1995г. № 24-ФЗ "Про інформацію, інформатизації і захисту інформації";
· Федеральний закон від 04.07.1996г. № 85-ФЗ "Про участь в міжнародному інформаційному обміні";
· Указ Президента Російської Федерації від 06.03.1992 р. № 188 "Про затвердження переліку відомостей конфіденційного характеру";
· Постанова Уряду Російської Федерації від 21.02.1996г. № 226 "Про державному обліку та реєстрації баз і банків даних".
Інформаційну основу АС ГРН складають персональні дані. На відміну від інших видів інформації персональні дані мають свої особливості, оскільки безпосередньо зачіпають інтереси кожного громадянина, правове становище якого визначається Конституцією Російської Федерації і регулюється федеральним законодавством. Персональні дані про громадян вимагають особливого режиму державного захисту від спроб порушення прав людини. У той же час держава повинна забезпечити права доступу кожного громадянина до реєстраційних даних про нього, можливість внесення доповнень і змін в особисті дані, а також забезпечити доступ до персональних даних державних органів влади та юридичних осіб, що забезпечують свободу і права особистості, розвиток інфраструктури життєзабезпечення людини і суспільства. З цією метою необхідно розробити нормативні правові документи, що гарантують права людини, визначені у статті 24 Конституції Російської Федерації.
Важливе значення для забезпечення захисту даних мають постанову Уряду Російської Федерації від 15.09.1993 р. № 912-51, яка затверджує "Положення про державну систему захисту інформації в Російській Федерації від іноземних технічних розвідок і від її витоку технічними каналами", постанови Уряду Російської Федерації про реєстрацію громадян за місцем проживання (місцем перебування), а також нормативні правові документи, що стосуються реєстрації актів громадянського стану, положення про органи і інструкції з технології проведення реєстрації. При створенні та функціонуванні АС ГРН ці нормативні правові та інші акти повинні бути змінені у відповідності з новими вимогами.
При розвитку правової бази, що регулює створення АС ГРН і використання персональних даних, необхідно враховувати вимоги і досвід світового співтовариства у сфері захисту персональних даних, зокрема, вимоги Конвенції Ради Європи від 28.01.1991 р. № 108 "Про захист особистості стосовно автоматизованої обробки персональних даних ", Директиви 95 ЄС Європейського парламенту та Ради Європейського Союзу" Про захист прав приватних осіб щодо обробки персональних даних і про вільний обіг цих даних "та Директиви 97Европейского парламенту та Ради Європейського Союзу" Про обробку персональних даних і захисту права на невтручання в приватне життя в сфері телекомунікації ".
При розробці нормативно-правової бази АС ГРН необхідно враховувати принципи та рекомендації європейського законодавства, що гарантують:
· Захист конституційних прав і свобод особистості;
· Відсутність обмежень і заборон на обмін персональними даними з причин, пов'язаних із захистом прав і свобод особистості;
· Надання особистості можливості безпосереднього контролю правильності запису та використання персональних даних;
· Створення системи державного нагляду за операціями з обробки персональних даних та ін
Враховуючи трудомісткість і значну вартість створення баз даних АС ГРН, а також неприпустимість несанкціонованого доступу до них необхідно вирішити питання, пов'язані з компенсацією фінансових втрат від різного роду дій, що руйнують інформацію. Важливе значення при функціонуванні АС ГРН набуває питання відшкодування шкоди населенню при неправомочному використанні персональних даних. Зазначені питання повинні вирішуватися з використанням страхових механізмів. Необхідно розробити "Положення про страхування інформаційних ризиків при функціонуванні АС ГРН".
Розробляються правові акти щодо створення та функціонування АС ГРН повинні забезпечувати:
· Розподіл персональних даних за ступенями захищеності і за категоріями доступу;
· Правові механізми, що забезпечують захист інформації;
· Організацію робіт із захисту інформації;
· Виконання положень державної системи захисту інформації (ГСЗІ);
· Сертифікацію технічних засобів, програмних засобів і засобів захисту персональних даних;
· Ліцензування інформаційної діяльності з формування і використання даних АС ГРН;
· Страхування інформаційних ризиків.
Нормативно-технічні акти, що забезпечують захист інформації в АС ГРН
Крім нормативно-правових актів, що забезпечують захист інформації в базах даних, існують нормативно-технічні акти, що переслідують такі ж цілі.Основним видом захисту інформації в АС ГРН є система захисту від несанкціонованого доступу (СЗІ НСД). Для реалізації такого захисту необхідно виставляти вимоги на розробку всієї нормативно-технічної документації на всіх стадіях проектування і введення системи в експлуатацію.
Система захисту від несанкціонованого доступу в АС ГРН повинна відповідати наступним нормативним документам:
· ГОСТ Р50739-95. СВТ. Захист від НСД до інформації. ОТТ.
· Керівні документи Гостехкомиссии Росії (1992 р.):
o РД АС. Захист від НСД до інформації. Класифікація АС і вимоги щодо захисту інформації.
o РД СВТ. Захист від НСД до інформації. Показники захищеності від НСД до інформації.
o РД. Концепція захисту СВТ і АС від НСД до інформації.
· ІСО МЕК. Захист інформації. Позначення сертифікатів.
· ІСО МЕК. 7498-98. ІТ. Взаємозв'язок відкритих систем. Базова еталонна модель.
· МЕК. ППС 10181. ІТ. Взаємозв'язок відкритих систем. Основи захисту інформації у відкритих системах.
При створенні телекомунікаційної мережі АС ГРН для підтвердження авторства повідомлень і забезпечення їх цілісності повинні застосовуватися засоби електронного цифрового підпису.
Засоби електронного цифрового підпису повинні задовольняти вимогам:
· ГОСТ Р3410-94. Процедура вироблення і перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму.
· ГОСТ Р3411-94. Функція хешування.
· Положення про порядок розробки, виробництва, реалізації та використанні засобів криптографічного захисту інформації з обмеженим доступом, що не містить відомостей, що становлять державну таємницю (Положення ПКЗ-99).
При взаємодії регіональних баз персональних даних АС ГРН і баз даних федеральних органів державної влади використовується ІТКМ спеціального призначення та сертифіковані засоби криптографічного захисту, що задовольняють додатково наступним вимогам:
· ГОСТ 28147-89. Система обробки інформації. Захист криптографічний, Алгоритми криптографічного перетворення;
· Нормативним документам Федерального агентства урядового зв'язку та інформації при Президентові Російської Федерації:
· Тимчасові вимоги до засобів криптографічного захисту конфіденційної інформації;
· Тимчасові вимоги до пристроїв типу міжмережеві екрани.
Зазначені нормативно-технічні документи повинні бути покладені в основу створення і функціонування АС ГРН. Проектування системи має проводитися за модульним принципом. На кожен модуль системи повинен бути визначений вітчизняний профіль. Вітчизняні профілі та технічні умови на систему є основою сертифікації кожного модуля і системи в цілому.
Вимоги до засобів захисту інформації
Побудова АС ГРН повинно передбачати рішення проблеми забезпечення гарантованого захисту даних про конкретних осіб. Засоби захисту інформації повинні забезпечувати:· Захист інформації від несанкціонованої модифікації та руйнування на всіх етапах її обробки, зберігання та передачі;
· Аутентифікацію сторін, що проводять обмін інформацією (підтвердження дійсності відправника і одержувача);
· Розмежування прав користувачів і обслуговуючого персоналу при доступі до інформаційних ресурсів АС ГРН, а також при зберіганні та наданні конфіденційної інформації, в тому числі захист від несанкціонованого доступу користувачів відомчих інформаційних систем до інформаційних ресурсів АС ГРН;
· Можливість докази неправомірності дій користувачів і обслуговуючого персоналу АС ГРН;
· Захист інформації від несанкціонованого доступу засобами перевірки повноважень користувачів і обслуговуючого персоналу на використання інформаційних ресурсів АС ГРН (можливість несанкціонованого зміни або знищення цієї інформації, як і несанкціоноване одержання, зміна або знищення інформації про громадян третіми особами повинні бути виключені);
· Захист від несанкціонованої модифікації програмного забезпечення, включаючи захист від впровадження "вірусів" в програмні продукти;
· Захист інформації від випадкових руйнувань;
· Дублювання інформації шляхом створення резервних копій;
· Виконання спеціальних вимог для використовуваних імпортних апаратних засобів;
· Захист від витоку по побічних каналах технічних засобів, призначених для обробки та зберігання конфіденційної інформації;
· Захист баз даних різного рівня;
· Захист каналів передачі інформації;
· Підтвердження авторства повідомлень з використанням електронного цифрового підпису інформації;
· Живучість АС ГРН;
· Для будь-якого громадянина можливість безперешкодного ознайомлення з даними про нього самого.
При формуванні на основі первинних даних АС ГРН аналітичної та агрегованої інформації у відповідних інформаційно-аналітичних системах можуть бути використані засоби криптографічного захисту, відповідні категорійності формованої інформації.
Використовувані криптографічні засоби захисту повинні мати сертифікат ФАПСИ. Використовувані криптографічні засоби захисту повинні задовольняти "Тимчасовим вимогам до засобів криптографічного захисту конфіденційної інформації, яка не становить державної таємниці" за класом не нижче, ніж "В".
Вибір засобів захисту інформації від несанкціонованого доступу
Вибір засобів захисту інформації від НСД повинен грунтуватися на зазначених вище вимоги до системи захисту інформації в АС ГРН і на аналізі існуючих засобів захисту в країні. Ці кошти повинні бути, по можливості, вітчизняними і повинні відповідати наступним вимогам:· Мати сертифікат у системі сертифікації засобів захисту;
· Функціональні можливості засобів захисту повинні забезпечувати виконання основних контрольних процедур до завантаження операційної системи;
· Спектр випускаються на атестованих виробництвах засобів захисту інформації повинен вирішувати проблеми захисту в гетерогенних мережах, заснованих на інтеграції широко застосовуються в Росії операційних систем;
· Склад атрибутів, на основі яких описуються правила розмежування доступу до об'єктів АС ГРН, повинен бути таким, щоб забезпечити можливість опису будь-якої розумної несуперечливої політики безпеки;
· Для застосування в мережевих рішеннях обов'язковим є наявність засобів централізованого управління безпекою та коштів аудиту.
Найважливішим критерієм вибору засобів захисту інформації є аналіз практики застосування цих засобів.
Список літератури
1. Конституція Російської Федерації2. Постанова Губернатора Московської області від 8 жовтня 1998 р. N 311-ПГ "Про захист інформаційних ресурсів Московської області, що становлять державну таємницю".
3. Постанова Уряду Російської Федерації від 21.02.1996 р. № 226 "Про державному обліку та реєстрації баз і банків даних"
4. Указ Президента Російської Федерації від 06.03.1992 р. № 188 "Про затвердження переліку відомостей конфіденційного характеру"
5. Федеральний закон від 04.07.1996г. № 85-ФЗ "Про участь в міжнародному інформаційному обміні"
6. Федеральний закон від 05.03.1992 р. № 2446-1 "Про безпеку"
7. Федеральний закон від 10.06. 1993 р. № 5154-1 "Про стандартизацію"
8. Федеральний закон від 20.02.1995г. № 24-ФЗ "Про інформацію, інформатизації і захисту інформації"
9. Федеральний закон від 21.07.1993 р. № 5485-1 "Про державну таємницю"
10. Інформатика: дані, технологія, маркетинг. / Под ред. А.П. Романова. М.: Фінанси і статистика, 1991
11. Кукін В.М. Інформатика: організація та управління. М.: Економіка, 1991
12. Майоров С.І. Інформаційний бізнес: комерційне поширення і маркетинг. М.: Фінанси і статистика, 1993