Содержание:
1.Введение.
2.Цель концепции.
3.Основные факторы.
4.Основные угрозы информационной безопасности Таможенных органов.
5.Состояние обеспечения информационной безопасности таможенных органов.
6.Цели и задачи обеспечения информационной безопасности таможенных органов.
7.Основные принципы обеспечения информационной безопасности таможенных органов.
8.Основные направления обеспечения информационной безопасности таможенных органов.
9.Заключение .
10.Список литературы.
1.Введение
Тема моей контрольной работы Концепция обеспечения информационной безопасности таможенных органов. Эта тема очень актуальна и интересна . целью и основной задачей работы является объяснить и показать как работает эта концепция.
Анализ результатов проверки Государственной технической комиссией России таможенных органов Российской Федерации в 1998 году показал, что основной причиной неудовлетворительного состояния обеспечения информационной безопасности таможенных органов Российской Федерации является отсутствие комплексной проработки проблемы защиты информации на объектах информатизации и в автоматизированных системах таможенных органов.
2.Цель концепции
Цель Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на ближайшую перспективу до 2000 года и на период до 2010 года (далее - Концепция) - формирование единой политики перехода от решения частных вопросов защиты информации на объектах информатизации таможенных органов Российской Федерации к систематическому и комплексному обеспечению
информационной безопасности таможенных органов, а также определение научного, информационно - технического, правового, экономического и организационного механизмов ее реализации на ближайшую перспективу до 2000 года и на период до 2010 года.
Достижение этих целей требует дальнейшего совершенствования и повседневного практического осуществления единой информационно - технической политики Государственного таможенного комитета Российской Федерации в области обеспечения информационной безопасности.
Концепция служит методологической основой разработки комплекса нормативно - методических и организационно - распорядительных документов, практических мер, методов и средств защиты информации таможенных органов Российской Федерации, а ее внедрение позволит эффективно продолжить совершенствование структуры обеспечения информационной безопасности объектов таможенной инфраструктуры ГТК
России.
В Концепции рассматриваются объекты информатизации таможенных органов Российской Федерации, угрозы информационной безопасности, возможные последствия проявления этих угроз, методы и средства их предотвращения и нейтрализации, а также излагаются основные мероприятия по обеспечению информационной безопасности таможенных
органов, организационная структура системы обеспечения
информационной безопасности таможенных органов Российской Федерации.
Концепция разработана на основе действующего законодательства Российской Федерации, Концепции национальной безопасности Российской Федерации, государственных нормативных актов правового регулирования и иных нормативных документов по информационной безопасности, утвержденных органами государственного управления в пределах их компетенции, а также с учетом проектов концепции информационно - технической политики ГТК России и доктрины информационной безопасности Российской Федерации.
3.Основные факторы
Основные факторы, влияющие на обеспечение информационной безопасности таможенных органов Российской Федерации
Происходящие в настоящее время процессы преобразования в политической жизни и экономике России оказывают непосредственное влияние на состояние информационной безопасности таможенных органов Российской Федерации. При этом возникают факторы, которые необходимо учитывать при оценке реального состояния информационной безопасности и определении ключевых проблем в этой области.
К этим факторам можно отнести:
- расширение сотрудничества России с зарубежными странами в политической и экономической сферах;
- стремление России к более тесному сотрудничеству в рамках международного таможенного сообщества, расширяющаяся кооперация в развитии информационной инфраструктуры таможенных органов;
- создание таможенного содружества России, Беларуси, Киргизии и Казахстана;
- ограниченные объемы финансирования проектирования, строительно - монтажных работ и закупки средств защиты информации для таможенных органов, что сдерживает выполнение Федеральной целевой программы развития таможенных органов на 1995 - 2000 гг.;
- широкое использование в таможенных органах не защищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;
- рост объемов таможенной информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена;
- обострение криминогенной обстановки, рост числа компьютерных преступлений, особенно в кредитно - финансовой сфере.
4.Основные угрозы информационной безопасности Таможенных органов
Основные угрозы информационной безопасности таможенных органов Российской Федерации:
1. Деятельность человека, непосредственно и опосредованно влияющая на информационную безопасность и являющаяся основным источником угроз.
2. Отказы и неисправности средств информатизации.
3. Стихийные бедствия и катастрофы.
Источники угроз информационной безопасности таможенных органов Российской Федерации делятся на внешние и внутренние.
Внешние угрозы исходят от природных явлений (стихийных бедствий), катастроф, а также от субъектов, не входящих в состав
пользователей и обслуживающего персонала системы, разработчиков системы и не имеющих непосредственного контакта с информационными системами и ресурсами. Источники внешних угроз:
- недружественная политика иностранных государств в области распространения информации и новых информационных технологий;
- деятельность иностранных разведывательных и специальных служб;
- деятельность иностранных политических и экономических структур, направленная против экономических интересов Российского
государства;
- преступные действия международных групп, формирований и отдельных лиц, направленные против экономических интересов
государства;
- стихийные бедствия и катастрофы.
Внутренние угрозы исходят от пользователей и обслуживающего персонала системы, разработчиков системы, других субъектов,
вовлеченных в информационные процессы ЕАИС ГТК России и имеющих непосредственный контакт с информационными системами и ресурсами,
как допущенных, так и не допущенных к секретным (конфиденциальным) сведениям. Источники внутренних угроз:
- противозаконная деятельность политических и экономических структур в области формирования, распространения и использования таможенной информации;
- неправомерные действия государственных структур, приводящие к нарушению функционирования деятельности ТО РФ;
- нарушения установленных регламентов сбора, обработки и передачи таможенной информации в ЕАИС ГТК России;
- преднамеренные действия и непреднамеренные ошибки персонала информационных систем таможенных органов;
- отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.
Реализуются угрозы по отношению к защищаемым объектам возможными способами нарушения информационной безопасности,
которые могут быть разделены на информационные, программно - математические, физические, радиоэлектронные и организационно - правовые.
Информационные способы нарушения информационной безопасности:
- противозаконный сбор, распространение и использование информации;
- манипулирование информацией (дезинформация, сокрытие или искажение информации);
- незаконное копирование данных и программ;
- незаконное уничтожение информации;
- хищение информации из баз и банков данных;
- нарушение адресности и оперативности информационного обмена;
- нарушение технологии обработки данных и информационного обмена.
Программно - математические способы нарушения информационной безопасности:
- внедрение программ - вирусов;
- внедрение программных закладок на стадии проектирования или эксплуатации системы и приводящих к компрометации системы защиты информации.
Физические способы нарушения информационной безопасности:
- уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них
неисправностей;
- уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;
- хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных
ключей средств защиты информации от несанкционированного доступа;
- воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации
угроз информационной безопасности;
- диверсионные действия по отношению к объектам информационной безопасности.
Радиоэлектронные способы нарушения информационной безопасности:
- перехват информации в технических каналах ее утечки;
- перехват и дешифрование информации в сетях передачи данных и линиях связи;
- внедрение электронных устройств перехвата информации в технические средства и помещения;
- навязывание ложной информации по сетям передачи данных и линиям связи;
- радиоэлектронное подавление линий связи и систем управления.
Организационно - правовые способы нарушения информационной безопасности:
- закупки несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;
- невыполнение требований законодательства и задержки в разработке и принятии необходимых нормативных правовых и
технических документов в области информационной безопасности. Результатами реализации угроз информационной безопасности и осуществления посягательств (способов воздействия) на информационные ресурсы и информационные системы и процессы в общем случае являются:
- нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка и перехват и т.д.);
- нарушение целостности информации (уничтожение, искажение, подделка и т.д.);
- нарушение доступности информации и работоспособности информационных систем (блокирование данных и информационных систем, разрушение элементов информационных систем, компрометация
системы защиты информации и т.д.).
2.3. Модель нарушителя информационной безопасности таможенных органов Российской Федерации В качестве вероятного нарушителя информационной безопасности объектов таможенной инфраструктуры рассматривается субъект, имеющий возможность реализовывать, в том числе с помощью технических средств, угрозы информационной безопасности, и
осуществлять посягательства (способы воздействия) на информационные ресурсы и системы таможенных органов.
По уровню возможности реализовать угрозы и осуществить посягательства на информационные ресурсы и системы нарушителей
можно классифицировать следующим образом:
К первому уровню можно условно отнести нарушителей, реализующих внешние угрозы (в основном, с помощью радиоэлектронных способов нарушения информационной безопасности). Ко второму уровню относятся нарушители, реализующие доступные им внутренние угрозы с предоставленными возможностями опосредованно или непосредственно воздействовать на информационные системы и ресурсы объекта таможенной инфраструктуры, не работающие в информационных системах (не участвующие в информационных процессах) и не допущенные к секретным (конфиденциальным) сведениям.
Следующий, третий, уровень занимают пользователи и обслуживающий персонал информационных систем таможенных органов, а также персонал привлеченных для оказания различных услуг организаций, не допущенные к секретным (конфиденциальным) сведениям, но работающие в информационных системах, в которых эти сведения обрабатываются.
К четвертому уровню можно отнести пользователей и обслуживающий персонал информационных систем, работающий в этих
системах и допущенный к секретным (конфиденциальным) сведениям, в силу нечеткого выполнения служебных обязанностей совершающий ошибки, могущие привести к нарушению безопасности информационных
ресурсов объектов таможенной инфраструктуры. Следующие несколько уровней занимают пользователи и обслуживающий персонал, имеющие возможность создания и запуска в информационных системах таможенных органов собственных программ
управления функционированием информационных систем, осуществляющие их проектирование и допущенные к секретным (конфиденциальным) сведениям. К такому персоналу могут относиться разработчики информационных систем, системные программисты, администраторы баз данных, отдельные пользователи информационных систем и соответствующие руководители подразделений. Предполагается, что на этих уровнях нарушитель является специалистом высшей квалификации, знает все об информационной системе, о системе и средствах ее защиты и может при определенных обстоятельствах осуществить весь спектр посягательств на информационные ресурсы.
В своей противоправной деятельности вероятный нарушитель может использовать любое существующее в стране и за рубежом средство перехвата информации, воздействия н информацию и информационные системы таможенных органов Российской Федерации, адекватные финансовые средства для подкупа персонала, шантаж и другие
средства и методы для достижения стоящих перед ним целей. Необходимо учитывать также цели посягательств вероятного
нарушителя на информационные ресурсы и системы. Среди таких целей может быть хищение информации (шпионаж, в том числе экономический), намерение совершить корыстное преступление, любопытство, удовлетворение собственного тщеславия, месть, вандализм и др.
5.Состояние обеспечения информационной безопасности таможенных органов
Состояние обеспечения информационной безопасности таможенных органов Российской Федерации характеризуется следующим
образом:
1. Недостаточная защищенность информационного ресурса приводит к возможности утраты экономически значимой информации. Потерям важной информации способствуют бессистемность защиты данных и слабая координация мер по защите информации в общегосударственном масштабе, ведомственная разобщенность в обеспечении целостности и конфиденциальности информации.
2. Отставание отечественных информационных технологий вынуждает идти по пути закупок незащищенной импортной техники, в
результате чего повышается вероятность несанкционированного доступа к базам данных таможенных органов Российской Федерации, а также возрастает зависимость от иностранных производителей компьютерной и телекоммуникационной техники и информационной продукции.
3. Отсутствуют научно - практические основы информационной безопасности таможенных органов Российской Федерации, отвечающие современным требованиям и условиям экономического развития Российской Федерации.
4. Отсутствует нормативно - правовая база обеспечения информационной безопасности таможенных органов, в том числе
регламент информационного обмена с органами государственной власти и управления, нормативное закрепление ответственности должностных лиц за соблюдение требований информационной безопасности.
5. Не сформирована система информационной безопасности таможенных органов, обеспечивающая реализацию государственной политики в области информационной безопасности.
6. В недостаточной степени организованы разработки современных методов и технических средств, обеспечивающих комплексное решение задач защиты информации. Основное внимание уделено созднию средств защиты информации для ПЭВМ, не входящих в состав ЕАИС ГТК России.
7. Отсутствуют критерии и методы оценки эффективности систем и средств информационной безопасности таможенных органов Российской Федерации и их сертификации.
8. Не проводятся комплексные исследования деятельности персонала информационных систем таможенных органов, в том числе методов повышения мотивации, морально - психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией. Оценка показывает, что уровень обеспечения информационной безопасности таможенных органов не соответствует требованиям руководящих и нормативно - методических документов Российской Федерации, регламентирующих эту область деятельности.
6.Цели и задачи обеспечения информационной безопасности таможенных органов
Цели обеспечения информаионной безопасности таможенных органов Российской Федерации: - защита национальных и экономических интересов Российской Федерации в сфере информационной деятельности таможенных органов;
- защита от несанкционированного доступа (разглашения, модификации и т.д.) к информации, предоставленной таможенным
органам Российской Федерации государственными органами, предприятиями, учреждениями, организациями и гражданами в соответствии с Таможенным кодексом Российской Федерации и иными актами законодательства Российской Федерации по таможенному делу.
3.2. Основные задачи обеспечения информационной безопасности таможенных органов Российской Федерации:
- оптимальное с экономической точки зрения отнесение таможенной информации к категории ограниченного доступа -
государственной и служебной тайне, иной чувствительной к нарушению безопасности информации, подлежащей защите;
- создание необходимых условий для надежного и безопасного функционирования таможенных органов Российской Федерации при
сложившейся (текущей) внутриэкономической и политической обстановке в стране;
- безопасное использование таможенных ресурсов государства, его технических и финансовых таможенных механизмов и соблюдение законных прав участников внешнеэкономической деятельности;
- защита сведений, составляющих государственную тайну и конфиденциальную служебную информацию;
- внедрение безопасных информационных технологий для обеспечения таможенной деятельности;
- защита информационно - вычислительных ресурсов таможенных органов Российской Федерации от несанкционированного доступа;
- защита информации таможенных органов от утечки по техническим каналам.
7.Основные принципы обеспечения информационной безопасности таможенных органов
Основные принципы обеспечения информационной безопасности таможенных органов Российской Федерации:
1. Системность и комплексность. Включает:
- обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, начиная с анализа ее секретности
(конфиденциальности), на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования технических средств, при информационном взаимодействии с другими информационными системами;
- обеспечение надежной защиты информации от возможных угроз всеми доступными средствами, методами и мероприятиями;
- способность системы к развитию и совершенствованию в соответствии с возможными изменениями условий функционирования.
2. Своевременность. Упреждающий характер мер обеспечения информационной безопасности. Предполагает постановку задач по комплексной защите информации и реализацию мер обеспечения информационной безопасности на ранних стадиях разработки ЕАИС ГТК России в целом и ее системы защиты информации, в частности, на основе анализа и прогнозирования состояния мирового рынка, технических и программных средств и информационных технологий, угроз информационной безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы государства.
3. Законность. Предполагает разработку системы защиты информации на основе федерального законодательства в области
информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственного управления в пределах их компетенции и ГТК России, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры информационной
безопасности не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных абонентов ЕАИС ГТК России.
4. Научно - техническая обоснованность и реализуемость.
Предлагаемые технические и программные средства и информационные технологии, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно и технически обоснованы с точки зрения достижения заданного уровня информационной безопасности и должны соответствовать установленным нормам и требованиям по безопасности информации.
5. Экономическая целесообразность. Сопоставимость возможного ущерба и затрат. Предполагает адекватость уровня затрат на обеспечение информационной безопасности ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать экономические показатели работы ЕАИС ГТК России, в которой эта информация циркулирует.
6. Специализация и профессионализм. Предполагает привлечение к разработке и внедрению мер и средств защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области.
Эксплуатация этих мер и средств должна осуществляться профессионально подготовленными специалистами таможенных органов.
7. Взаимодействие и координация. Предполагает осуществление мер обеспечения информационной безопасности на основе
взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при разработке и функционировании
системы защиты информации ЕАИС ГТК России, подразделений специалистов органов государственной власти, специализированных
предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации, координации их усилий для достижения поставленных целей Гостехкомиссией России (на этапе разработки и внедрения) и службами безопасности органов государственной власти (на этапе функционирования системы), а также интеграции деятельности по защите информации с правоохранительными органами для защиты законных интересов государства, юридических и физических лиц.
8. Обязательность и эффективность контроля. Предполагает обязательность и своевременность выявления и пресечения попыток
арушения системы обеспечения информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
9. Преемственность и непрерывность совершенствования. Предполагает постоянное совершенствование мер и средств защиты
информации на основе преемственности организационных и технических решений, кадрового аппарата, анализа функционирования системы защиты информации ЕАИС ГТК России с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого отечественного и зарубежного опыта в этой области.
8.Основные направления обеспечения информационной безопасности таможенных органов
Основные направления обеспечения информационной безопасности таможенных органов Российской Федерации:
1. Организационно - режимное обеспечение защиты сведений, составляющих государственную тайну, и конфиденциальной служебной информации.
2. Обеспечение физической защиты объектов и средств информатизации таможенных органов Российской Федерации.
3. Обеспечение защиты информации от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче н
объектах информатизации таможенных органов Российской Федерации.
4. Обеспечение защиты информации от несанкционированного доступа в автоматизированных информационных системах и локальных вычислительных сетях таможенных органов Российской Федерации.
5. Обеспечение конфиденциальности и целостности информации в телекоммуникационных каналах, каналах связи и в телефонных линиях связи.
6. Обеспечение радиоэлектронной безопасности объектов таможенной инфраструктуры.
7. Обеспечение безопасного информационного взаимодействия ГТК России с отечественными и зарубежными организациями, министерствами и ведомствами.
8. Решение проблемы 2000 года в автоматизированных информационных системах и средствах вычислительной техники
таможенных органов Российской Федерации.
9. Обеспечение защиты информационных ресурсов таможенных органов от заражения компьютерными вирусами.
10. Организация, координация и финансирование научно - исследовательских и опытно - конструкторских работ (НИОКР) в
области обеспечения информационной безопасности таможенных органов.
11. Совершенствование нормативно - методической базы обеспечения информационной безопасности таможенных органов Российской Федерации.
12. Совершенствование организационно - штатной структуры подразделений, отвечающих за обеспечение информационной
безопасности таможенных органов, и подготовка специалистов по информационной безопасности.
Конечная цель выполнения всех мероприятий по обеспечению информационной безопасности таможенных органов Российской Федерации - аттестация всех объектов информатизации и автоматизированных информационных систем таможенных органов на соответствие требованиям руководящих документов по защите информации.
9.Заключение
В заключении можно сказать что защита информационной безопасности таможенных органов и информации в целом необходима. Концепция информационной безопасности таможенных органов должна осуществляться на основе рассчитанных конкретных программ и планов, которые ежегодно уточняются с учетом Федеральных Законов, постановлений Правительства РФ, решений Межведомственной комиссии по информационно безопасности Совета Безопасности Российской Федерации, потребностей таможенных органов в средствах обеспечения
информационной безопасности. Цели и задачи работы выполнены.
10.Список литературы.
1.Основные положения концепции обеспечения информационной безопасности таможенных органов РФ на 2000-2010 год.