Модели технологии и методика оценки состояния системы обеспечения информационной безопасности в органе власти, организации тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Люльченко, Андрей Николаевич

Введение

Актуальность темы исследования. В настоящее время, использование информации способствует развитию всех сфер деятельности государства в целом и отдельно взятого предприятия в частности, и, в конечном счете, приводит к значительным успехам в экономике, бизнесе, финансах и т.д. Обладание ценной информацией, предоставляет существенные преимущества, при этом возлагает на ее обладателей, высокую степень ответственности за ее сохранность и защиту от возможного внешнего воздействия различного рода факторов и событий, носящих как преднамеренный, так и случайный характер.

Обеспечение информационной безопасности в органах власти и организациях (далее - организации) является неотъемлемой частью общей системы управления, необходимой для достижения уставных целей и задач. Значимость систематической целенаправленной деятельности по обеспечению информационной безопасности становится тем более высокой, чем выше степень автоматизации на предприятии бизнес-процессов.

Обеспечение информационной безопасности, основные требования, организационные и технические меры и процедуры непосредственно регламентируются федеральным законодательством, и надзор за выполнением требований осуществляется федеральными органами власти [2, 5, 8, 9, 10 и др.].

В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации [11].

Одним из основных этапов процесса управления информационной безопасностью (ИБ) является оценка состояния системы обеспечения информационной безопасности (СОИБ).

Оценка состояния СОИБ выполняется:

при осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных, оценке эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных, при проведении контроля за принимаемыми мерами по обеспечению безопасности персональных данных [8, 13].

на этапах предпроектного обследования и аттестации государственных и иных информационных систем, обрабатывающих ИОД, не содержащую сведений составляющих государственную тайну, а также общедоступную информацию

[и];

при оценке эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных [12,14];

при контроле выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн [9].

Оценка состояния ИБ выполняется по всем ИС, функционирующим в организации.

В ходе оценки состояния проверке подвергаются: разработанные в организации организационно-распорядительные документы; наличие и квалификация специалистов; выполнение технических мер по защите информации для каждого сегмента ИС, обрабатывающей защищаемую информацию.

Так, для защиты информации ограниченного доступа (служебная информация, коммерческая тайна) в соответствии с [11] необходимо разработать и иметь в наличии 17 документов для защищаемого помещения и 27 документов на АС.

Для обеспечения безопасности ПДн операторы должны разработать и иметь в наличии от 69 до 78 документов [2, 8, 9, 12, 16]. В свою очередь оценка соответствия состава мер защиты ИОД, не содержащей сведений, составляющих

государственную тайну, должна осуществляться для ИС 4-го уровня защиты как минимум по 36 параметрам, входящим в базовый набор требований, а для ИС 1-го уровня защиты - по 83 параметрам [11]. Для общедоступной информации оценка должна проводиться по 18 параметрам [11]. Оценка соответствия состава мер защиты для ИСПДн 4-го уровня защищенности ПДн должна выполняться по 26

параметрам, входящим в базовый набор требований, а для ИСПДн 1-го уровня

»

защищенности ПДН - по 68 параметрам [12].

Таким образом, если принять, что в организации имеется только по одной ИС, обрабатывающей соответственно служебную информацию, персональные данные, коммерческую тайну и общедоступную информацию, т.е. имеется четыре сегмента, то в этом случае оценке подлежат 157 - 168 организационно-распорядительных документа и 116 параметров, если в организации функционируют ИС 4-го уровня защиты и ИСПДн 4-го уровня защищенности ПДн, если в организации функционируют ИС 1 -го уровня защиты и ИСПДн 1 -го уровня защищенности ПДн, то оценка должна проводиться по 282 параметрам.

Результаты оценки состояния (контроля эффективности) принятых мер защиты информации должны представляться как в качественном, так и количественном формате. Следовательно, задача оценки эффективности мер защиты информации, является достаточно сложной, емкой, рутинной и требует привлечения квалифицированных экспертов (специалистов). Очевидно, решение этой задачи обусловливает необходимость применения методик базирующихся на современном математическом аппарате с возможностью автоматизации этой процедуры.

В настоящее время, проблемам обеспечения информационной безопасности посвящены работы таких известных российских ученых как: H.H. Безруков, Ю.В. Бородакий, В.А. Герасименко, В.Г. Герасименко, П.Д. Зегжда, A.M. Ивашко, В.И. Курбатов, А.Г. Лукацкий, А.Г. Мамиконов, Ю.М. Мельников, H.A. Молдовян, Ю.К. Язов и других. Большой вклад в развитие информационной безопасности внесли зарубежные исследователи: К. Лендвер, Д. Маклин, Р. Сандху, Дж. М. Кэррол, и другие. Основы управления защитой информации изложены в работах

В.А. Герасименко, О.Ю. Домарева, A.A. Воробьева и других. Вопросы безопасности глобальных сетевых технологий, теоретические основы компьютерной безопасности изложены в работах A.A. Молдовяна, Б.Я. Советова, П.Н. Девянина. Отдельные направления защиты информации достаточно подробно описаны в трудах: О.Б. Макаревича, JI.K. Бабенко, А.Г. Остапенко, Ю.А. Печеневского, A.A. Малюка, А.Г. Корченко, В.Г. Шведа, A.A. Шумского. Вопросам управления информационными рисками посвящены работы С.А. Петренко, С.В. Симонова, И.В. Котенко и других.

В теоретическом плане одним из актуальных направлений обеспечения информационной безопасности является разработка методик (методов) оценки эффективности (состояния) защиты информации на этапах проектирования, разработки и функционирования ИС (систем защиты информации).

Важность этого направления заключается, прежде всего, в обосновании необходимости применения тех или иных средств защиты информации и способов их использования, а также в определении их достаточности для конкретной ИС. Результаты исследований показали, что по своей сути оценка эффективности системы защиты информации (СЗИ) является комплексной. Комплексность проявляется в том, что она характеризует уровень безопасности информации и поддерживающей инфраструктуры от всей совокупности угроз и на всех стадиях жизненного цикла ИС.

Анализ современных методов оценки состояния СЗИ (СОИБ) [27, 28, 36, 38, 55, 65, 70, 76, 80, 81, 91, 93, 94, 95] показал, что существующие методы не в полной мере удовлетворяют требованиям оценки состояния СОИБ. Это обусловлено тем, что в рассмотренных методиках вопрос оценки состояния рассматривается только с точки зрения вычисления отдельных показателей, а не как технологии, включающей в себя четко регламентированную последовательность выполнения операций, действий, этапов разной степени сложности над данными, характеризующими информационную безопасность. В предлагаемых методиках, как правило, осуществляется оценка по одному из видов информации ограниченного доступа (ИОД), не рассматриваются вопросы в случае

функционирования в организациях различных защищаемых информационных систем и комплексное влияние правовых, организационных и технических мер на обеспечение информационной безопасности организации в целом.

Такое состояние дел обусловливает необходимость совершенствования и улучшения существующего научно-методического аппарата оценки состояния систем обеспечения информационной безопасности в органах власти и организациях, что делает тему диссертационного исследования необходимой и актуальной.

Объект исследования. Система обеспечения информационной безопасности органа власти, организации.

Предмет исследования. Модели и методы технологии оценки состояния системы обеспечения информационной безопасности.

Цель и задача исследования. Повышение эффективности оценки состояния СОИБ путем разработки моделей технологии и методики оценки состояния системы обеспечения информационной безопасности.

В соответствии с целью в работе поставлены и решены следующие задачи: анализ состояния информационной безопасности в органах власти и организациях;

анализ существующей технологии оценки состояния системы обеспечения информационной безопасности;

разработка комплексной модели технологии оценки состояния системы обеспечения информационной безопасности;

разработка математической модели оценки состояния системы обеспечения информационной безопасности;

разработка методики оценки состояния системы обеспечения информационной безопасности;

проведение экспериментальных исследований и оценка эффективности, предлагаемых решений;

разработка рекомендаций по реализации, предлагаемых решений.

Методы исследования. Для решения поставленных задач использованы методы теории вероятностей, математической статистики и квалиметрии, методы вычислительной математики и математической логики, экспертные методы, а также методы теории принятия решений.

Положения выносимые на защиту:

1. Комплексная модель технологии оценки состояния СОИБ.

2. Математическая модель оценки состояния СОИБ.

3. Методика проведения оценки состояния СОИБ.

Новизна результатов исследования.

1. Впервые разработана комплексная модель технологии оценки состояния СОИБ, которая в отличие от существующих рассматривает оценку состояния не только как вычисления показателей состояния, а как процесс, использующий совокупность средств, методов сбора, накопления и обработки информации для получения информации нового качества о состоянии СОИБ в целом. Этот процесс состоит из четко регламентированной последовательности выполнения операций, действий, этапов разной степени сложности над данными, характеризующими информационную безопасность организации. Основная цель технологии оценки состояния — своевременное получение необходимой и достоверной для пользователя информации о состоянии СОИБ.

2. Разработанная математическая модель оценки состояния СОИБ в отличие от существующих, обеспечивает возможность вычисления комплексных показателей состояния СОИБ в целом, уровня защищенности информационных системах, а также степени выполнения требований нормативных документов по отдельным защищаемым ИС, обрабатывающим информацию различного уровня конфиденциальности, по правовым, организационным и техническим мерам ОИБ, по функциональным подсистема СЗИ информационных систем организации.

3 Разработанная методика, проведения оценки состояния СОИБ в отличии от существующих, представляет собой экспертную систему и позволяет выполнять экспресс-оценку состояния информационной безопасности организации при проведении аудита информационной безопасности, периодического контроля

эффективности обеспечения ЗИ, автоматизировать процесс выработки рекомендаций по совершенствованию информационной безопасности организации.

Практическая ценность результатов работы.

Результаты исследований могут использоваться: в органах власти и организациях на всех этапах жизненного цикла СОИБ; в организациях, оказывающих услуги в области защиты информации конфиденциального характера при разработке СЗИ; при проведении аудита информационной безопасности и аттестации ИС по требованиям безопасности информации; оценки эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн, проводимой оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. В научно-исследовательских организациях при проведении научно-исследовательских и опытно-конструкторских работ по вопросам проектирования и создания систем защиты информации.

Достоверность выводов и рекомендаций достигается: использованием аналитических и экспериментальных методов проверки и доказательства достоверности результатов; методологической основой научного задела по рассматриваемой тематике; опорой на основные положения теории информационной безопасности; использованием комплекса надежных и проверенных на практике методов; обработкой полученных данных с помощью математического аппарата; высокими результатами внедрения разработок, полученных в ходе исследования; широким апробированием основных результатов работы на конференциях с положительной оценкой результатов; публикациями по теме диссертационной работы.

Апробация и внедрение результатов исследования. Основные результаты диссертационной работы прошли апробацию в ходе докладов и обсуждений докладов на научно-технических конференциях:

1. XII всероссийская конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ - 2013", Сочи, 2013 г.

2. IV Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур», СПб, 2013 г.

3. III Всероссийский конгресс молодых ученых, СПб, 2014 г.

4. Межвузовская научно-теоретическая конференция, СПб, 2014 г.

5. XIII всероссийская конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ - 2014", Алушта, 2014 г.

Практическая реализация результатов исследования подтверждается 5 актами внедрения.

Публикации. По теме диссертации опубликовано 7 печатных работ, из которых 5 опубликованы в журналах, входящих в утвержденный Высшей Аттестационной комиссией «Перечень ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора и кандидата наук».

Личный вклад соискателя. Все изложенное в диссертационной работе результаты исследования получены либо соискателем лично, либо при его непосредственном участии. Личный вклад состоял в разработке моделей технологии оценки состояния СОИБ, математической модели и методики оценки состояния СОИБ.

1 Состояние вопроса и задачи исследования

1.1 Информационная безопасность в общей системе безопасности Российской Федерации

В настоящее время обладание информацией позволяет контролировать и оказывать влияние на решение любых проблем мирового сообщества. Информация стала фактором, способным привести к крупномасштабным авариям, военным конфликтам, успеху и поражению в них, дезорганизации управления и финансовой системы, как на уровне государства, так и на уровне отдельных регионов, предприятий и учреждений. В то же время эффективное использование информации способствует развитию всех сфер деятельности государства в целом и отдельно взятого предприятия в частности, и, в конечном счете, приводит к значительным успехам в экономике, бизнесе, финансах и т.д. Обладание ценной информацией, предоставляет существенные преимущества, при этом возлагает на ее обладателей, высокую степень ответственности за ее сохранность и защиту от возможного внешнего воздействия различного рода факторов и событий, носящих как преднамеренный, так и случайный характер.

Деятельность государства охватывает следующие сферы: внутриполитическую; социальную; экономическую; международную; военную; науки и образования; оборонно-промышленную; экологическую; общественной безопасности; продовольственной безопасности; духовную и информационную [!]•

Эти сферы, как показано на рисунке 1.1, объединяются информационной инфраструктурой в которой циркулирует как общедоступная информация (ОдИ), так и информация ограниченного доступа (ИОД), которая в соответствии с требованиями статьи 16 Федерального закона «Об информации, информационных технологиях и защите информации» [2] подлежит защите.

Как видно из рисунка 1.1 информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности

Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость возрастает.

национальной безопасности

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства [3].

Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться:

противоправные сбор и использование информации;

нарушения технологии обработки информации;

внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно - телекоммуникационных систем, в том числе систем защиты информации;

уничтожение, повреждение или разрушение средств и систем обработки информации, телекоммуникации и связи;

компрометация ключей и средств криптографической защиты информации; утечка информации по техническим каналам;

внедрение электронных устройств перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;

уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

несанкционированный доступ к информации, находящейся в банках и базах данных и др. [3].

Источники угроз информационной безопасности Российской федерации подразделяются на внешние и внутренние [3]. К внешним источникам:

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;

стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

обострение международной конкуренции за обладание информационными технологиями и ресурсами;

деятельность международных террористических организаций; деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные

сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним. К внутренним источникам относятся:

неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;

недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;

снижение эффективности системы образования, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности и др.

Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационные, технические и экономические. К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.

Наиболее важными направлениями этой деятельности являются: внесение изменений и дополнений в законодательство Российской Федерации, регулирующих отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с

международными соглашениями, к которым присоединилась Россия, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;

законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие информации конфиденциального характера, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;

законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;

создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;

усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль выполнения специальных требований по защите информации;

сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

контроль действий персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;

Список терминов

аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности

информационная безопасность объекта информатизации: Состояние защищенности объекта информатизации, при котором обеспечивается безопасность информации и автоматизированных средств ее обработки базовые защитные меры: Минимальный набор защитных мер, установленный для системы или организации

доступность информации [ресурсов информационной системы]: Состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно, защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности

защита информации: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию

защита от несанкционированного доступа: Предотвращение или существенное затруднение несанкционированного доступа

категорирование защищаемой информации: Установление градаций важности защищаемой информации

класс защищенности автоматизированной системы: Определенная совокупность требований по защите информации, предъявляемых к автоматизированной системе

контроль эффективности защиты информации: Проверка соответствия качественных и количественных показателей эффективности мероприятий по защите информации требованиям или нормам эффективности защиты информации

конфиденциальность информации: Состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право мероприятия по защите информации: Совокупность действий, направленных на разработку и/или практическое применение способов и средств защиты информации

модель угроз информационной безопасности: Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и/или правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации

оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации

система защиты информации автоматизированной системы: Совокупность всех технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации

рекомендации: Описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей

система: Множество (совокупность) материальных объектов (элементов) любой, в том числе различной физической, природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами)

система информационной безопасности: Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение

система обеспечения информационной безопасности: Совокупность системы информационной безопасности и системы управления информационной безопасностью организации

система управления информационной безопасностью: Часть общей системы управления организации, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы

средство защиты информации: Техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации технология: Совокупность взаимосвязанных методов, способов, приемов предметной деятельности

технологический процесс: Процесс, реализующий некоторую технологию

требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации

уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации

фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней

источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации

целостность информации: Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)

1. Стратегия национальной безопасности Российской Федерации до 2020 года, утвержденная указом Президента Российской Федерации от 12.09.2012 г. № 537.

2. Доктрина информационной безопасности Российской Федерации, утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895

3. Федеральный закон от 27.07.06 г. № 149 - ФЗ «Об информации, информационных технологиях и защите информации»

4. Закон Российской Федерации «О государственной тайне» от 21.07.93 № 5485-1 (с изменениями и дополнениями)

5. "Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" от 15 сентября 1993 г. № 912-51 (Извлечения), интернет ресурс: www.sotis-zgt.ru/fz-pzi93.html

6. Федеральный закон от 27.07.06 г. № 152-ФЗ «О персональных данных».

7. Указ Президента Российской Федерации от 06.03.97 № 188 "Об утверждении Перечня сведений конфиденциального характера"

8. Федеральный закон от 28.08.2004 г. № 98-ФЗ «О коммерческой тайне».

9. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн».

10. Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 г. "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

11. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную

тайну, содержащейся в государственных информационных системах».

12. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

13. ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения. - М.: Издательство стандартов. - 24 с.

14. ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624).

15. Международный стандарт ИСО/МЭК 27001-2005 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.

16. ГОСТ Р ИСО/МЭК 11799-2005 Информационная технология. Практические правила управления информационной безопасностью.

17. Азамов О. В. Информационная безопасность [Текст] / О. В. Азамов, К. Ю. Будылин, Е. Г. Бунев, С. А. Сакун, Д. Н. Шакин (Электронный ресурс) URL: http://www.naukaxxi.ru/materials/41/

18. Азгальдов Г. Г. О квалиметрии / Г. Г. Азгальдов, Э. П. Райхман, А. В. Гличев. -М.: Стандартиздат, 1973.

19. Анфилатов А.А., Емельянов А.А. Кукушкин А.А. Системный анализ в

управлении. Учебное пособие. М.: ФиС, 2007. - 113-127

20. Амосов А.А, Дубинский Ю.А, Копченова Н.В. Вычислительные методы для инженеров: Учеб. пособие. - М.: Высш. шк., 1994. - 544 е.; ил

21. Волков А.В. Обеспечение информационной безопасности в вузах//Журнал «Information Security/ Информационная безопасность». 2006г. №3.

22. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

23. Байбурин В.Б. Введение в защиту информации [Текст] / В.Б. Байбурин,

М.Б. Бровкина и др.- М.: ФОРУМ: ИНФРА, 2004. - 128 с.

24. Басовский, JI. Е. Управление качеством: учеб. для вузов / Л. Е. Басовский, В. В. Протасов. - М.: ИНФРА-М, 2000. - 212 с.

25. Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов A.A. Основы информационной безопасности. Учебное пособие для вузов. - М.: Горячая линия - Телеком, 2006г. - 544 е.: ил.

26. Богатырев В.А. Оценка функциональной безопасности систем, связанных с безопасностью / В.А. Богатырев, C.B. Бибиков. // Технико-технологические проблемы сервиса. 2011. № 4 (18). С. 45-47.

27. Бондарь И.В., Золотарев В.В., Попов A.M. Методика оценки защищенности информационной системы по требованиям стандартов информационной безопасности. Красноярск: Моделирование систем, 2010. №4 (26).-С. 3-12.

28. Булдакова Т.И., Глазунов Б.В., Ляпина Н.С. Оценка эффективности защиты систем электронного документооборота. Доклады ТУСУРа, № 1 (25), часть 2, июнь 2012.

29. Введение в информационную безопасность [Текст] / A.A. Малюк, B.C. Горбатов, В.И. Королев и др.; под ред. B.C. Горбатова. - М.: Горячая линия - Телеком, 2013. - 288 с.

30. Гатчин Ю.А. Теория информационной безопасности и методология защиты информации [Текст] / Ю.А. Гатчин, В.В. Сухостат - СПб., СПбГУ ИТМО, 2010. - 98 с.

31. Галатенко В.А. Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791 // Информационный бюллетень Jetlnfo. 2005. № 7. С. 21-28.

32. Гвоздик Я.М., Кусов Е.В., Марков О.Н. Оценка соответствия информационной безопасности объекта аудита требованиям нормативных документов // Проблемы информационной безопасности. Компьютерные системы. 2006. №3. С. 80-85.

33. Гринберг A.C. Защита информационных ресурсов государственного управления [Текст] / A.C. Гринберг, H.H. Горбачев, A.A. Тепляков. - М.: ЮНИТИ, 2003.-327 с.

34. Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. М.: Яхтсмен, 1996. 187 с.

35. Домарев В.В. Моделирование процессов создания и оценки эффективности систем защиты информации, www.security.ukrnet.net

36. Дровникова И.Г., Никитин A.A. Оценка эффективности программных средств защиты информации сертифицированного общего программного обеспечения. Воронежский институт МВД России, В/Ч 28683.. Интернет-журнал "Технологии техносферной безопасности" (http://ipb.mos.ru/ttb) Выпуск № 1 (47), 2013 г.

37. Ерохин С.С., Р.В. Мещеряков, С.С. Бондарчук. Оценка защищенности информационных систем электронной коммерции. // Информация и безопасность. Воронежский государственный технический университет, 2009. №2. С. 195-206.

38. Железняк В.К., Макаров Ю.К., Хорев A.A. Некоторые методические подходы к оценке эффективности защиты речевой информации// Специальная техника. - М.: 2000. - № 4 - С. 39 - 45.

39. Заварихин А.Е. Создание математической модели управления познавательной деятельности обучающегося на основе метода анализа иерархий // http://ito.edu.ru/2003/VI/VI-0-2946.html

40. Завгородний В.И. Комплексная защита в компьютерных системах [Текст] / В.И. Завгородний. - М.: Логос, 2001. - 264 с.

41. Зегжда Д.П., А.М. Ивашко. Как построить защищенную информационную систему. СПб.: НПО «Мир и семья-95», 1997.312 с.

42. Иванов В.П. Математическая оценка защищенности информации от несанкционированного доступа // Специальная техника. 2004. №1.

43. Калайда И. А., Трубачев А. П. Современное состояние и направления

совершенствования нормативной базы в области IT-безопасности // Информационная безопасность. 2004. № 3. С. 32-35.

44. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям // Информационный бюллетень Jetinfo. 2004. №6. С. 38-43.

45. Конев И.Р. Информационная безопасность предприятия [Текст] / И.Р. Конев, A.B. Беляев. - СПб.: БХВ-Петербург, 2003. - 752 с.

46. Конявский В. А. Основные направления обеспечения информационной безопасности в информационных системах и сетях // Управление защитой информации.2001.№2. С. 147-157.

47. Конявский В. А., Фролов Г. В. Компьютерная преступность и информационная безопасность. Мн.: АРИЛ, 2000. 230 с.

48. Липаев В.В. Обеспечение качества программных средств. Методы и стандарты. Серия «Информационные технологии». М.: СИНТЕГ, 2001.380 с.

49. Люльченко А.Н., Швед В.Г. Методический подход к автоматизации деятельности структурного подразделения по защите государственной тайны /А.Н. Люльченко, В.Г. Швед // Научно-технический сборник. СПб-Петродворец: ВТИ ЖДВ и ВОСО. - 2013. № 27.

50. Люльченко А.Н. Описание проблемных ситуаций функционирования систем защиты информации /А.Н. Люльченко // Научно-технический сборник. СПб-Петродворец: ВТИ ЖДВ и ВОСО. - 2013. - № 27.

51. Люльченко А.Н., Носов М.И., Швед В.Г. Метод выбора и обоснования требований к системе управления информационной безопасностью /А.Н. Люльченко, М.И. Носов, В.Г. Швед //Сборник научных статей по материалам Пленарного заседания международной межвузовской научно-теоретической конференции на тему: «Проблемы и пути совершенствования системы материально-технического обеспечения», часть 2. - СПб: ВАМТО. - 2014.

52. Люльченко А.Н., Носов М.И., Швед В.Г. Система показателей и критерия оценки состояния защиты информации /А.Н. Люльченко, М.И. Носов, В.Г. Швед //Сборник научных статей по материалам Пленарного заседания международной межвузовской научно-теоретической конференции на тему: «Проблемы и пути совершенствования системы материально-технического обеспечения», часть 2. - СПб: ВАМТО. -2014.

53. Люльченко А.Н., Москаленко A.B., Швед В.Г. Принятие управленческих решений в системах обеспечения информационной безопасности органов военного управления /А.Н. Люльченко, A.B. Москаленко, В.Г. Швед //Сборник научных статей по материалам Пленарного заседания международной межвузовской научно-теоретической конференции на тему: «Проблемы и пути совершенствования системы материально-технического обеспечения», часть 2. - СПб: ВАМТО. - 2014.

54. Люльченко А.Н. Модель оценки эффективности защиты информации в органах власти (организациях). / А.Н. Люльченко, В.Г. Швед // Межвузовский сборник трудов IV Всероссийская научно-техническая конференция НИУ ИТМО, Санкт-Петербург, 2013

55. Малюк A.A. Проблемы кадрового обеспечения информационной безопасности. / A.A. Малюк // Безопасность информационных технологий. -1998 - №2

56. Малюк A.A. Информационная безопасность: концептуальные и методологические основы защиты информации. / А.А Малюк. - М.: Горячая линия - Телеком, 2004. - 280 с.

57. Майерс Г. Надежность программного обеспечения. М.: Мир, 1980. 360 с.

58. Международная информационная безопасность: проблемы и перспективы [Текст] (Электронный ресурс), URL: http://www.mid.ru/ns-vnpop.nsf/.

59. Мельников В. П. Информационная безопасность и защита информации

[Текст] / В.П. Мельников, С.А. Клейменов, М.Петраков; под. ред. С.А.Клейменова. -М.: Издательский центр «Академия», 2009. - 336 с.

60. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14 февраля 2008 г.

61. Минниханов Р.Н. Защита от несанкционированного доступа в специализированных информационных системах. Казань, 1999. 199с.

62. Наваркин В.В. Оценка эффективности защиты информации, обрабатываемой средствами вычислительной техники, при применении средств активной защиты.: "Специальная Техника" №6 2004 г.

63. Никитин Е.В., Саксонов Е.А., Шередин Р.В., Нгуен Нгок Хуэ. Классификация информационных систем // Качество. Инновации. Образование. 2010. №6. С. 64-70.

64. Нефедов Л.И., Щеголь A.A., Шевченко В.А. Модели определения точек контроля и контролируемых показателей качества транспорта газа на компрессионной станции

65. Орлов А.И. Экспертные оценки. Учеб. пособие. - М.: 2002.

66. Орлов А.И. Высокие статистические технологии: Экспертные оценки: Учебник/ А.И.Орлов - М.: Издательство «Экзамен», 2007. - 372с.

67. Орлов А.И. Экспертные оценки. - М.: «Экзамен», 2007. - 84-115с.

68. Орлов А.И. Теория принятия решений Учебное пособие. - М.:

Издательство "Март", 2004

69. Основы квалиметрии. Версия 1.0 [Электронный ресурс] : электрон, учеб. пособие / А. А. Недбай, Н. В. Мерзликина. - Электрон, дан. (2 Мб). -Красноярск : ИПК СФУ, 2008.

70. Павлухин Д.В. Теория информационной безопасности и методология защиты информации [Текст] / Д.В. Павлухин. - Тамбов: Изд-во ТГУ им. Г.Р. Державина, 2005. - 104 с.

71. Петренко С.А., Симонов C.B. Экономически оправданная безопасность. М.: Изд. ДМК, 2003. 218 с.

72. Попов Г.А., Штонда К.Н. Процедура оценки информационной безопасности АСУТП на основе классификации важности показателей. Астрахань: АГТУ, Вестник АГТУ. № 1 (42) 2008. - С. 66 - 73.

73. Приказ Министерства здравоохранения и социального развития Российской Федерации от 22 апреля 2009 г. N 205

74. Родичев Ю.А. Информационная безопасность: нормативно-правовые аспекты: [Текст] / Ю.А. Родичев. - СПб.: Питер, 2008. - 272с.

75. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 2001. 376 с.

76. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации» утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

77. Ряпалова Т.С.. Комплексная оценка качества функционирования типовой программной системы защиты информации. Интернет ресурс www.np.vspu.ac.ru/

78. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993.

79. Садердиниов A.A., Информационная безопасность предприятия [Текст] / A.A. Садердиниов, В.А. Трайнев, A.A. Федулов. - М.: Дашков и К, 2004. -336 с.

80. Сердюк В.А. Аудит информационной безопасности - основа эффективной защиты предприятия // BYTE/Россия. 2006. №4(92). С. 3235.

81. Сёмкин С. Н., Беляков Э. В., Гребенев С. В., Козачок В. И. Основы организационного обеспечения информационной безопасности объектов информатизации. М.: «Гелиос АРБ», 2005. 324 с.

82. Смирнов С. Н. Вероятностные модели обеспечения информационной

безопасности автоматизированных систем // Безопасность информационных технологий. 2006. №2. С. 12-17.

83. СТО БР ИББС-1.2-2010 Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010. М.: Стандарт Банка России. 2010. С.74.

84. Тарасюк М.В. Защищенные информационные технологии: Проектирование и применение [Текст] / М.В. Тарасюк. - М.: COJIOH-Пресс, 2004. - 192 с.

85. Фомин В.Н. Квалиметрия. Управление качеством. Сертификация: Учебное пособие. - 2-е изд., перераб. и доп. - М.: Ось-89, 2007. - 384 с.

86. Характеристики методов экспертных оценок [Электронный ресурс]: http://examen.od.ua/upravlen/pagell6.html.

87. Хорев А.А. Оценка эффективности защиты вспомогательных технических средств// Специальная техника. - М.: 2007. - № 2 — С. 48 -60; - № 3 - С. 50-63.

88. Хорев А.А., Макаров Ю.И. Оценка эффективности систем виброакустической маскировки//Вопросы защиты информации. - М.: 2001.-№ 1-С. 21-28.

89. Шакин Д.Н. Информационная безопасность [Текст] / Д.Н. Шакин, Е.Г.Бунев, С.М. Доценко, А.П. Ильин, П.С. Марголин, B.C. Пирумов, С.И. Тынянкин. - М.: ЗАО «Издательский дом «Оружие и технологии»», 2009. - 256 с.

90. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей [Текст]: учебное пособие / В.Ф. Шаньгин. - М.: ИД «ФОРУМ»: ИНФРА-М, 2009.-416 с.

91. Швандер, В. Л. Стандартизация и управление качеством продукции. М., 2001.-212 с

92. Швед В. Г. Многоуровневая технология обеспечения качества АСУ Т. -

СПб.: ВАТТ, докт. дис. 1998. - 245 с.

93. Шивдяков JI.A. Бозарный И.Н., Язов Ю.К. Система показателей оценки состояния обеспечения безопасности информации в автоматизированной системе по результатам контроля/ Информация и безопасность: научный журнал. - Воронеж: ГОУ ВПО Воронежский государственный технический университет, 2009. вып.2. с.251- 257.

94. Эйтингон В.Н., Кравец М.А., Панкратова Н.П. Методы организации экспертизы и обработка экспертных оценок в менеджменте. - Воронеж, 2004

95. Экспертные оценки. // StatSoft: SPC Consulting. [Электронный ресурс]: http://www.spc-consulting.ru/app/expert.htm.

96. Язов Ю.К. Основы методологии количественной оценки эффективности защиты информации в компьютерных системах. Ростов-на-Дону: Изд-во СКНЦ ВШ, 2006. 274 е.: ил.

97. Ярочкин В.И. Информационная безопасность [Текст] / В.И. Ярочкин -М.: Академический проект, 2008. - 544 с.

98. Information Technology. Code of practice for Information security management. Internationalstandard ISO/ IES 17799: 2000(E).

99. McCallister E., Grance T., Scarfone K. Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) // Recomendations of the National Institute of Standard and Technology (NIST). U.S. Department of Commerce, 2010.

100. Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30.

101. hUp://www.pcoф/u-net/com/risk.htm.

102. http://www.aexis.de/RA%20T00Lpage.htm.

103. Интернет ресурс сайт fstec.ru/.

104. http://www.security.ase.md/publ/ru/pubru91.

105. http://rm-inv.enisa.europa.eu/methods_tools/m_marion.html

106. http://www.razveli.ru.

Нормативные правовые акты РФ в области информационной безопасности

Законодательные Акты

• Конституция Российской Федерации (1993 г.)

• Закон РФ "О государственной тайне" от 21.07.1993г. №5485-1 (с изм. и доп., вступающими в силу с 15.12.2007)

• ФЗ РФ "Об информации, информационных технологиях и о защите информации" от 27.07.2006г. №149-ФЗ

. ФЗ РФ "О коммерческой тайне" от 29 июля 2004 г. N 98-ФЗ

• ФЗ РФ "О персональных данных" от 27 июля 2006 г. N 152-ФЗ

• ФЗ "О техническом регулировании" от 27 декабря 2002 г. N 184-ФЗ

• ФЗ РФ "Об обеспечении единства измерений" от 26 июня 2008 года № 102-ФЗ

• ФЗ рф "Электронной цифровой подписи" от 10 января 2002 г. N 1-ФЗ

• ФЗ рф "Об электронной подписи" от 6 апреля 2011 г. N 63-ФЗ

. ФЗ РФ "О связи" 7 июля 2003 г. N 126-ФЗ

• ФЗ "Об органах Федеральной Службы Безопасности в Российской Федерации" 03.04.95 №40-ФЗ (СЗ №15-95 г. ст.1269)

• Приказ ФСТЭК №58 от 5.02.2010г. "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

• ФЗ от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности"

Нормативные правовые акты Президента РФ

• Указ Президента Российской Федерации "Вопросы Межведомственной комиссии по защите государственной тайны" от 6 октября 2004 г. № 1286

• Указ Президента Российской Федерации "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17 марта 2008 г. N 351

• Указ Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" от 6 марта 1997 г. № 188

• Указ Президента Российской Федерации "Вопросы Федеральной службы безопасности Российской Федерации" от 11 июля 2003 года №960

• Указ Президента Российской Федерации "Вопросы федеральной службы по техническому и экспортному контролю" от 16 августа 2004 г. № 1085 (с изменениями и дополнениями от 22 марта 2005 г. № 330; от 20 июля 2005 г. №846; от 30 ноября 2006 г. № 1321)

• Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ 9.09.2000г. №Пр-1895)

Постановления Правительства РФ

• Постановление Совета Министров — Правительства РФ от 15.09.1993 № 912-51 «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам»

• Постановление Правительства РФ "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15 апреля 1995 г. № 333

• Постановление Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти"

• Постановление Правительства РФ "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" от 15.09.2008г. №687

• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

• Постановление Правительства РФ от 3 февраля 2012 г. №79 "О лицензировании деятельности по технической защите конфиденциальной информации"

Основные национальные стандарты в области защиты информации

• ГОСТ Р 50922-2006. Защита информации. Основные термины и определения

• ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

• ГОСТ 12.1.050-86 Методы измерения шума на рабочих местах

• ГОСТ Р ИСО 7498-2-99 Государственный стандарт Российской Федерации Информационная технология взаимосвязь открытых систем базовая эталонная модель

• ГОСТ Р 51241 -98 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.

• ГОСТ Р 50.1.053- 2005 Информационные технологии, основные термины и определения в области технической защиты информации

Структура нормативно-технических и нормативно-методических документов по защите информации

Нормативно-технические документы по защите информации:

• Документы, устанавливающие требования и рекомендации по защите информации

• Специальные требования и рекомендации по защите информации, от утечки по техническим каналам (СТР-К)

• Сборник норм защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)

• Документы, устанавливающие критерии оценки защищенности информации (нормы эффективности защиты) и методы их контроля (в том числе при проведении сертификационных испытаний)

• РД. Показатели защищенности информации, обрабатываемой средствами ВТ и в АС, от НСД

• РД. Защита от несанкционированного доступа к информации. Общие технические требования

• Методики оценки защищенности информации от утечки по техническим каналам

Структура основных нормативно-методических документов по защите информации от НСД

• Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

• Руководящий документ. Концепция защиты СВТ и АС от несанкционированного доступа к информации.

• Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

• Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

• Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

Перечень нормативных документов, определяющих требования по защите персональных данных при их обработке в информационных системах персональных данных

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.)

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.)

Нормативные и методические документы по технической защите информации

• Руководящий документ Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации

• Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации

• Типовые требования ФСБ по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

• Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных

Примерный перечень организационно-распорядительных документов органа власти (организации) по защите персональных данных

Наименование документа Правила (политики)

1. Политика обеспечения безопасности персональных данных

2. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

3. Правила работы с обезличенными данными | Приказы !

1. Приказ о создании комиссии по проведению аудита безопасности персональных данных (Пдн)

2. Приказ о назначении администраторов безопасности информационной системы персональных данных (ИСПД)

3. Приказ об утверждении мест хранения материальных носителей персональных данных

4. Приказ о назначении работника (структурного подразделения), | ответственного за защиту Пдн '

5. Приказ о назначении ответственного за организацию обработки!

персональных данных I

?

6. Приказ об утверждении списка лиц, допущенных к ПДн I

7. Приказ (распоряжение) об определении контролируемой зоны

8. Приказ о допуске сотрудников к обработке ПДн Инструкции и положения

1. Должностная инструкция ответственного за организацию обработки персональных данных

2. Инструкция пользователю ИСПДн

3. Инструкция при возникновении нештатных ситуаций

4. Инструкция, определяющая порядок охраны и внутри объектового < режима порядок допуска лиц в помещения, в которых ведется | обработка Пдн ;

5. Инструкция по проведению мониторинга информационной !

I

безопасности при обработке персональных данных

6. Инструкция администратору ИСПДн

7. Инструкция ответственному за ИСПДн

8. Инструкция об антивирусной защите

9. Инструкция о парольной защите

Ю.Инструкция ответственному за обеспечение безопасности ПДн

11.Положение об обработке персональных данных

[

12.Положение о подразделении, осуществляющем функции по > организации защиты персональных данных |

13.Положение об использовании ресурсов (интернет, эл.почта и т.д.) * Журналы

1. Журнал учета съемных носителей информации |

2. Журнал учета применяемых средств защиты информации, (

!

эксплуатационной и технической документации к ним 1

3. Журнал ознакомления сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о ]

ПДн (в том числе с требованиями к защите ПДн), локальными актами по |

!

вопросам обработки ПДн I

4. Журнал учета паролей

5. Журнал учета работы на АС

6. Журнал учета криптосредств Другое

1. Перечень персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией трудовых отношений |

2. Перечень персональных данных, обрабатываемых в государственном или муниципальном органе в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций

3. Перечень информационных систем персональных данных

4. Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

5. Перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

6. Перечень объектов информатизации по обработке (обсуждению) персональных данных

7. Перечень лиц, допущенных к обработке ПДн

8. Перечень носителей ПДн

9. Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

10.Согласие на обработку ПДн

11.Перечень лиц, допущенных в серверное помещение

1. Порядок резервирования и восстановления работоспособности ТС и ПО, ба з данных и средств ИСПДн

2. Акт классификации ИСПДн

3. Акт об уничтожении персональных данных

4. Описание технологического процесса

5. Модель угроз безопасности ПДн в ИСПДн

6. Модель нарушителя ИСПДн

7. Регламент проведения внутренних проверок

8. Регламент предоставления и изменения прав доступа к ресурсам

9. Протокол оценки вреда, который может быть причиненного субъекту ПДн

Фрагмент текста программы реализации алгоритма оценки степени выполнения требований, предъявляемых к системе обеспечения

информационной безопасности

//---------------------------------------------------------------------------

void_fastcall TForml::ReqButtonClick(TObject *Sender)

{ // обработка нажатий на кнопки требований senderTag = ((TButton*)Sender)->Tag; if (senderTag == 2) {

Form3 = new TForm3(this); Form3->ShowModal(); } else {

if (senderTag == 0) {

reqData->getReqDoc()->getReqVector()->clear(); }

Form2 = new TForm2(this); Form2->ShowModal();

}

}

//.......... ............ ......... .......

void_fastcall TForml::editCountKeyPress(TObject *Sender, System::WideChar

&Key)

{ // контроль вводимой информации в поле количества систем if ((Key != VKJBACK) && (Key < '0' || Key > *9')) { BeepO; Key = 0x00;

}

}

// -------------------------------------------------------------------

void_fastcall TForml::editFactorKeyPress(TObject *Sender, System::WideChar

&Key)

{ // контроль вводимой информации в поля факторов if (Key == '.'){ Key = V;

}

if ((Key != VKJBACK) && (Key < '0' || Key > '9') && Key != V) { BeepO; Key = 0x00;

}

}

//....................................—......... ..........-............

void_fastcall TForml::ConsiderButtonClick(TObject *Sender)

{ // проверка введённых данных if (reqTech == false) {

ShowMessage("He заданы требования для систем"); } else if (reqOrg == false) {

ShowMessage("He заданы требования для сотрудников"); } else if (reqDoc == false) {

ShowMessage("He заданы требования по документам"); } else {

InitFactors();

}

}

// .......

void_fastcall TForm2::ArrayButtonClick(TObject * Sender) {

// обработка нажатия кнопки требований системы

systemBox = (TComboBox*)Form2->FindComponent(

"system" + IntToStr(((TButton*)Sender)->Tag));

classBox = (TComboBox*)Form2->FindComponent(

"systemClass" + IntToStr(((TButton*)Sender)->Tag));

if (systemBox->ItemIndex == -1 || classBox->ItemIndex == -1) {

ShowMessage("Bbi6epHTe тип системы и её класс"); } else {

Form3 = new TForm3(this); Form3->ShowModal();

}

}

// ---------------------------------------------

void_fastcall TForm3::FormActivate(TObject * Sender)

{ // инициализация формы

ADOQuery = new TADOQuery(this); ADOQuery->Connection = Form2->ADOConnectionl;

switch (Forml->senderTag) { case 0:

initlSFormQ; break;

case 1:

initOrgForm(); break; case 2:

initDocForm(); break;

}

}

//..................- ................................................

void_fastcall TForm3::AcceptButtonClick(TObject * Sender) {

II сохранение введённых параметров switch (Forml->senderTag) { case 0:

saveSys(); break; case 1:

saveOrg(); break; case 2:

saveDoc();

Forml->reqDoc = true; break;

}

Form3->Close();

}

// - - .......................................

void TForm3::saveDoc() {

// сохранение введённых ПРАВОВЫХ требований std::vector<Requir*> reqVector;

TCheckListBox *checkListBox; TLabel * label;

checkListBox = (TCheckListBox*)FindComponent("checkListBox"); label = (TLabel*)FindComponent("labelM);

for(int i = 0; i < checkListBox->Count; i++) {

reqVector.push_back(new Requir(checkListBox->Items->Strings[i].c_str(),

checkListBox->Checked[i])); }

Forml->reqData->getReqDocO->setReqVector(reqVector);

}

const TColor TForm4::percColor(double percCompl) { // проверка цвета

if (percCompl == 1) { return clGreen; } else if (percCompl >= 0.85) { return clBlue; } else if (percCompl >= 0.4) { return clOlive; } else {

return clRed;

}

}

//—

void TForm3::setCheckListBoxScroll(TCheckListBox* checkListBox) { // добавление горизонтального скролла int Extension = 0; int BoxSize = 20;

for( int i=0; i<checkListBox->Items->Count; i++ ) {

int Size = checkListBox->Canvas->TextWidth( checkListBox->Items->Strings[i]); if ( Size > Extension ) Extension = Size;

}

Extension += BoxSize;

checkListBox->ScrollWidth = Extension;

}

Анкета требований к составу ОРД для обеспечения безопасности персональных данных, изложенных в нормативных правовых актах

№ п/п Наименование требования

1 Политика информационной безопасности

2 Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

3 Правила рассмотрения запросов субъектов персональных данных или их представителей

4 Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора

5 Правила работы с обезличенными данными

6 Журнал учета обращений и запросов граждан (субъектов персональных данны)

7 Журнал ознакомления служащих государственного или муниципального органа сотрудников организации), непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных

8 Перечень персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией трудовых отношений

9 Перечень персональных данных, обрабатываемых в государственном или муниципальном органе в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций

10 Перечень информационных систем персональных данных

11 Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

12 Перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

13 Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

14 Согласие на обработку ПДн

15 порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных

16 Акт об уничтожении персональных данных

17 Модель угроз безопасности ПДн в ИСПДн

18 Модель нарушителя ИСПДн

19 Типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

20 Регламент проведения внутренних проверок

21 Протокол оценки вреда, который может быть причинен субъекту ПДн

Требования к уровню квалификации специалистов по ТЗИ

№ 1 Наименование должности Номер требования ч1 Наименование требований по квалификации специалиста Единичные показатели, фактическое выполнение Рф1

1 Главный специалист по ТЗИ 1 высшее профессиональное образование по специальности "Информационная безопасность"

2 стаж работы по технической защите информации не менее 5 лет, в том числе на руководящих должностях не менее 3 лет.

Ч'=2

2 Начальник отдела по ТЗИ 1 высшее профессиональное образование по специальности "Информационная безопасность"

2 стаж работы по технической защите информации не менее 5 лет, в том числе на руководящих должностях не менее 2 лет

Ч2 = 2

3 Специалист по ТЗИ 1 категории 1 высшее профессиональное образование по специальности "Информационная безопасность"

2 стаж работы в должности специалиста по технической защите информации II категории не менее 3 лет

3 л Ч =2

4 Специалист по ТЗИ 2 категории 1 высшее профессиональное образование по специальности "Информационная безопасность"

2 стаж работы в должности специалиста по технической защите информации или на других должностях, замещаемых специалистами с высшим профессиональным образованием, не менее 3 лет

Ч4 = 2

5 Специалист по ТЗИ 1 высшее профессиональное образование по специальности "Информационная безопасность"

Ч5 = 1

6 Администратор по обеспечению безопасности информации 1 высшее профессиональное образование по специальности "Информационная безопасность"

2 стаж работы в должности специалиста по защите информации не менее 3 лет.

А II _

Ь = 6

Перечень типов информационных систем

№ п/п Тип информационной системы

1 Информационная система, обрабатывающая служебную информацию

2 Информационная система, обрабатывающая коммерческую тайну

3 Информационная система, обрабатывающая общедоступную информацию

4 Информационная система, обрабатывающая специальные категории ПДн сотрудников оператора (СО)

5 Информационная система, обрабатывающая биометрические ПДн СО