Защита информации в ГИС

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Все государственные структуры вне зависимости от уровня (федеральные, муниципальные, региональные, местные) имеют электронные информационные комплексы, облегчающие взаимодействие структурных подразделений между собой. Сегодня на территории РФ функционирует свыше 100 государственных информационных систем (ГИС), каждая из которых внесена в Реестр федеральных государственных информационных систем (ФГИС). 

Согласно Приказу ФСТЭК РФ (Федеральная служба по техническому и экспортному контролю Российской Федерации) № 17 для подключения организации к ГИС и защиты своей информации требуется аттестация и получение специальных сертификатов ФСТЭК или ФСБ (Федеральная служба безопасности). ФСТЭК – это федеральный орган исполнительной власти, который обеспечивает безопасность информации в государственных информационных системах путем принятия соответствующих нормативно-правовых документов – актов, распоряжений, рекомендаций. 

Такие жесткие требования обусловлены наличием сведений, относящихся к информации ограниченного доступа. По этой причине вопрос защиты информации в ГИС является актуальным, поскольку данные (сведения о физических и юридических лицах) должны быть надежно защищены от несанкционированного копирования, искажения, уничтожения или хищения третьими лицами.

Что представляют собой ГИС сегодня

Сложность защиты информации, содержащейся в ГИС, обусловливается широтой этого понятия, а также огромными массивами данных, которые обрабатываются для получения нужных сведений. Современные государственные информационные системы – это сложные комплексы технических, электронных и аудиовизуальных средств, с помощью которых происходит сбор, хранение и анализ данных, необходимых для эффективного функционирования всей государственной машины. От качества функционирования информационного комплекса зависит эффективность взаимодействий государственных структурных подразделений между собой.

Современные ГИС включают сложные системы управления базами данных (СУБД), а также аналитические комплексы, которые активно применяются в экономике, оборонной промышленности, землеустройстве, метрологии, картографии, экономике, транспорте и прочих областях государственной деятельности. Государственная информационная система обеспечивает реализацию полномочий госорганов, способствует достижению задач, поставленных Правительством РФ, а также информационному обмену между службами. 

Актуальность эффективной защиты

ГИС – это сложный государственный информационный комплекс, состоящий из множества структурных компонентов и машинного анализа данных. Любой, даже самый незначительный, сбой может привести к искажению информации, ее порче или искажению. По этой причине обеспечение информационной безопасности решается с применением только комплексного подхода, когда учитываются все возможные (потенциальные) факторы риска.

Если говорить о правовой основе, то на территории Российской Федерации действуют требования о защите ГИС, изложенные и закрепленные в Приказе ФСТЭК России № 17 от 11.02.2013 и Постановления Правительства РФ № 555 от 11.05.2017. Существует также «Методический документ. Меры защиты информации в государственных информационных системах», утвержденный приказом ФСТЭК России от 11 февраля 2014 г. (Методика охраны). 

Чтобы обеспечить сохранность данных требуется подробный анализ технических средств, которые используются в аналитическом комплексе доступа. Исходя из этого, разрабатываются меры, включающие в себя определение уровней доступа, авторизацию, резервное хранение (backup copy) и прочие операции. Если информация применяется для решения частных (корпоративных) задач, то она обладает коммерческой ценностью и подпадает под определение коммерческой тайны или конфиденциальных сведений. Если же речь идет об информации массового использования, то на первое место выходит защита авторского права, что подразумевает под собой защиту от копирования или же обязательную ссылку на автора контента.

Исходя из этого, становится понятным, что применяемые на предприятиях системы защиты информации должны соответствовать современным требованиям, чтобы успешно противостоять всем потенциальным угрозам. Не следует также забывать о том, что обеспечивать охрану информации, содержащейся в ГИС, следует еще на этапе ее создания, чтобы исключить утечку важных государственных данных.

Согласно Приказу ФСТЭК № 17 операторы ГИС должны обеспечить следующие мероприятия по защите информации:

  • сформировать требования, касающиеся защиты сведений, содержащихся в информационной системе;
  • разработать и внедрить на производство программу защиты информационного комплекса;
  • пройти аттестацию ИСПДн (Информационная система персональных данных) для получения документа, подтверждающего соответствие требованиям;
  • обеспечить эффективную защиту информации при эксплуатации системы (вводе и выводе данных). 

На любой стадии существует потенциальный риск утечки информации, поэтому очень важно с самого начала организовать эффективную систему контроля и защиты данных. Особое внимание уделяют человеческому фактору, поскольку в большинстве случаев утечки случаются по вине людей. Исследование, проведенное аналитическим центром  «СёрчИнформ» в 2018 году, свидетельствует о том, что виновниками утечек ИБ-инцидентов стали 26% руководителей  и 74% рядовых сотрудников. Это достаточно высокий показатель, свидетельствующий о необходимости принятия комплекса мер, предотвращающих риск утечки информации. Для этого, прежде всего, ограничивают доступ сотрудников к социальным сетям на рабочем месте, что повышает также результат от выполняемой работы. 

Структурно-функциональные компоненты информационной системы, подверженные угрозам

Для обеспечения эффективной защиты данных всю информационную систему разделяют на несколько функциональных компонентов. Это позволяет точно определить уязвимые стороны (слабые места) и защитить информацию государственного значения от хищения, копирования или искажения. 

Выделяют следующие структурные элементы: 

  • главный сетевой сервер, на котором хранится программное обеспечение, используемое для работы. Также на нем хранится СУБД (система управления базами данных), поэтому защите этого оборудования уделяется особое внимание.
  • автоматизированные рабочие места пользователей (АРМ). Выделяют прикладное и системное программное обеспечение, которое используют сотрудники для получения доступа к информации. 
  • телекоммуникационные системы связи. Они обеспечивают передачу информации по выделенным каналам связи и Интернету с использованием маршрутизаторов и модемов.

В состав любой ГИС также входит технический персонал, главной задачей которого является поддержание системы в рабочем состоянии. Речь идет о программистах, системных администраторах и других специалистах, без которых система не может исправно функционировать. Работе с персоналом со стороны службы внутреннего контроля уделяется повышенное внимание, чтобы не допустить утечку информации вследствие человеческого фактора. 

Основные виды угроз

Современные ГИС создаются также с целью практического использования обычными гражданами, чтобы физические лица могли пользоваться государственными услугами. Контакт информации, которая относится к категории конфиденциальной, с внешней средой (к примеру, получение гражданином данных о задолженности по своим налогам: недвижимости, авто) порождает угрозы. Вот наиболее вероятные из них:

  • Перехват ценных сведений по используемым линиям связи. Обычно осуществляется путем использования побочного электромагнитного излучения или же по специальному акустическому сигналу. Риск перехвата растет во время обмена сведениями между сервером и АРМ пользователей с использованием телекоммуникационных систем.
  • Кража данных с целью несанкционированного копирования. Данная угроза возникает на этапе первичного сбора информации при вводе паролей и логинов, поэтому очень важно, чтобы сотрудники компании очень ответственно относились к их хранению.
  • Искажение и подмена данных. Серьезная угроза, которая ставит под удар объективность хранимой информации. Обычно возникает на этапе аутентификации и идентификации.
  • Уничтожение данных и программного обеспечения, которое используется для работы с информационной системой.

Как видим, существует широкий спектр потенциальных угроз, которые могут стать причиной нарушения целостности государственной информационной системы, поэтому очень важно предпринимать эффективные меры по защите информации. Причинами несанкционированного доступа обычно становятся ошибки при установке ПО, слабый уровень антивирусной защиты, нарушение правил доступа (взлом), а также устаревание технического оборудования (низкая скорость обработки информации, недостаточный объем оперативной памяти для обработки сложных процессов).

Комплекс принимаемых мер по защите данных в ГИС

Согласно требованиям ГОСТа Р ИСО/МЭК 17799-2005 безопасность информации сводится к защите целостности и конфиденциальности обрабатываемых данных. Государственный стандарт определяет следующие понятия:

  • конфиденциальность – доступ к информации только авторизованных пользователей;
  • целостность – достоверность и полнота информации и методов ее обработки;
  • доступность – доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Для обеспечения эффективной защиты важно принять во внимание масштабы, назначение и сферу практического применения системы. Исходя из этого, подбираются соответствующие методы для практического выполнения поставленной задачи.

Сегодня на российском рынке работают специализированные фирмы, предлагающие государственным организациям услуги по комплексной защите данных с применением новейших технологий и средств. Благодаря их услугам госслужбы могут обеспечить эффективную защиту своих данных от утечек и взлома сервера.

Полный комплекс действий включает следующее: 

  1. Анализ информации и определение данных, подлежащих защите.
  2. Моделирование потенциальных угроз.
  3. Разработка технического задания с целью формирования конкретных требований к защите данных.
  4. Проектирование средств защиты информации. 
  5. Непосредственная реализация защитных мер: построение нужной сетевой структуры, защита серверов и АРМ, построение виртуальной среды.
  6. Разработка соответствующей правовой документации, включая приказы, распоряжения и акты по предприятию с целью ознакомления сотрудников с требованиями мер безопасности.
  7. Проведение аттестации.

Классы защищенности информационной системы

Говоря о средствах и методах защиты информации в информационных системах, следует отметить наличие показателей, которые характеризуют степень защищенности сведений.     

Уровень значимости (УЗ) Масштаб инфомационной системы
 Федеральная  Региональная Объектовая 
УЗ 1 К1  К1 К1
УЗ 2 К1  К2  К2
УЗ 3  К2 К3 К3
УЗ 4 К3 К3 К4

Класс защищенности (К1, К2, К3, К4) определяется исходя из степени возможного ущерба, который может быть причинен обладателю информации вследствие ее искажения, хищения, копирования или уничтожения. Самый высокий класс защищенности – это первый; самый низкий – четвертый. 

Основные выводы по защите информации в ГИС

Существенная роль современных информационных технологий состоит в ускорении способов получения нужной информации, что способствует свободному распространению знаний на пользу общества. Повышение качества интеллектуальных ресурсов улучшает качество жизни людей, повышая также уровень их образования. Вместе с тем для сохранения целостности требуется эффективная защита информации, для чего со стороны государства разрабатываются специальные нормативно-технические требования и рекомендации. На практике для защиты информации требуется осуществить комплексный анализ с выявлением всех источников потенциальных угроз. 

При должной защите информации риск хищения конфиденциальных данных, а также сведений, относящихся к государственной тайне, существенно снижается. Практика показывает, что с каждым годом государственные информационные системы становятся все более защищенными, что подтверждается многоступенчатой аутентификацией, требованием использовать сложные пароли и периодически менять их. Для эффективного противодействия существующих рисков техническая защита информации должны постоянно совершенствоваться, а государство разрабатывать новые нормативные требования к обеспечению безопасности. Только регулярное обновление и усовершенствование технических средств противодействия хищению позволяет снизить до минимума риск утечки важных данных.

07.10.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними