Оценка эффективности применения средств и методов защиты информации в ФНС России

При приеме на работу специалист, выполняющий работу с конфиденциальными данными, подписывает «Обязательство о неразглашении конфиденциальной информации», к которой также относятся персональные данные [16].Перечень документов, регламентирующих деятельность предприятия в области защиты персональных данных, приведен в таблице 3. Таблица 3 - Перечень документов, регламентирующих деятельность в области защитыинформацииНаименование документаГде издано«Инструкция по пропускному и внутриобъектовому режиму»Руководство ИФНС«Инструкция по авторизации пользователей»Руководство ИФНСПоложение о порядке отнесения информациик конфиденциальнойРуководство ИФНСПоложение по работе с персональными данными сотрудников и налогоплательщиковРуководство ИФНСПеречень сведений конфиденциального характера, образующихся в результате деятельности ИФНСПодразделенияИФНСПеречень защищаемых информационных и коммуникационных ресурсовлокальной вычислительной сети подразделения ИФНСПодразделения ИФНСПоложение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях ИФНСПодразделения ИФНСПоложение по защите информационных ресурсов от несанкционированного доступа (НСД) в подразделениях ИФНСПодразделения ИФНСПамятка пользователям информационной системы по вопросам информационной безопасностиПодразделенияИФНСПоложение о работе с криптографическими средствамиИФНСПодразделения ИФНСКак было показано выше, технология обеспечения защиты информации предполагает обеспечение физической защиты помещений, где производится обработка конфиденциальной информации, обеспечение учета и сохранности носителей персональных данных, сертификацию используемого программного обеспечения, документационное обеспечение технологии обработки персональных данных.В рамках совершенствования системы организации защиты персональных данных предлагается принятие ряда организационных мер.1. Документирование учета носителей информации. Пример формы Журнала учета внешних носителей, используемых для работы с персональными данными.2. Определение приказом рабочих станций, используемых для работы с персональными данными. Станции должны опечатываться специальными защитными знаками, номера которых указываются в данном журнале.3. Проведение обследования помещений, где обрабатываются персональные данные, с оформлением акта.Рассмотрев теоретические аспекты обеспечения защиты информации, можно сделать следующие выводы:- информационные ресурсы в настоящее время являются реальным дорогостоящим активом, нарушения в функциональности которого могут поставить под угрозу существование организаций;- в настоящее время создана нормативно-правовая база, регулирующая процесс обработки и защиты информации;- построение архитектуры защиты информации необходимо проводить в соответствии со спецификой организации, типом обрабатываемой информации;- для выбора методов и средств защиты информации необходимо проводить моделирование систем защиты информации, по результатам которого выбирать оптимальные решения для обеспечения информационной безопасности.Также немаловажным аспектом обеспечения защиты от перехвата информации является соблюдение сотрудниками дисциплины при работе с криптографическими системами и паролями к информационным ресурсам. Носители ключей электронной подписи должны храниться в помещениях, исключающих несанкционированный доступ. В случае организации парольной защиты необходимо соблюдать требования сложности, периодичности смены, а также обеспечивать запретительные меры на передачу паролей между сотрудниками, на хранение паролей в местах, к которым открыт свободный доступ.Таким образом, рассмотрев вопросы обеспечения защиты от перехвата информации, можно сделать следующие выводы:- технологии использования сетевых информационных ресурсов предполагают необходимость реализации системы разграничения доступа;- основные угрозы сетевой безопасности могут быть связаны с влиянием человеческого фактора, а также с особенностями функционирования технических средств;- реализация технологий сетевой безопасности предполагает принятие ряда организационных, технологических мер, а также издание ряда нормативных документов;- модели сетевой безопасности предполагают использование систем парольной защиты, защиты с использованием криптографических систем, а также программно-аппаратных комплексов. Степень уязвимости информационной системы в результате действия нарушителей указанных типов определяется качеством разработанной документации, наличием организационной структуры в компании, позволяющей эффективно осуществлять деятельность по защите информационных ресурсов.Системы СКУДДля обеспечения физической защиты информации используются специализированные средства по контролю доступа лиц в помещения организации (СКУД).На рисунке 4 приведена схема взаимодействия компонент системы контроля доступа в помещения, где проводится работа с системами документооборота. Как показано на рисунке 4, в систему входят следующие компоненты:- рабочее место оператора;- рабочее место администратора;- центральный сервер СКУД;- рабочее место бухгалтера (в рамках учёта рабочего времени);- интерфейсы считывателей;- идентификаторы сотрудников;- контроллеры входа в помещения;- модули учета входов и выходов сотрудников.Рисунок 2 - Схема взаимодействия компонент СКУДВ таблице 2 приведен перечень функций и назначения компонент СКУД.Таблица 2 - Перечень функций и назначения компонент СКУДНазвание компонентыНазначение компонентыРабочее место администратораУправление считывателями, настройка прав доступа, блокирование идентификаторов, выпуск новых идентификаторов, управление учетными записями операторов СКУД, управление доступом в охраняемые помещенияРабочее место оператораУчет проходов сотрудников в помещения, мониторинг состояния СКУДЦентральный сервер СКУДХранение базы данных СКУД, управление доступом к базе на уровне СУБД, установка и настройка серверного ПО СКУДРабочее место бухгалтераФормирование отчетной информации о нахождении сотрудников на объектах предприятия, фактически отработанном времениКонтроллеры входа в помещенияСчитывание идентификатора сотрудника, определение возможности доступаИдентификаторы сотрудниковИспользование для доступа в охраняемые помещения организацииМодули учета входов и выходов сотрудниковПрограммный учет входов и выходов сотрудников в помещенияСтепень уязвимости от действий нарушителей, связанных с физическим доступом к системе, определяется функционированием инженерно-технической защиты информации, построенной в соответствии с имеющейся моделью угроз, стоимостью защищаемых информационных ресурсов.3.2. Аудит информационной безопасности в условиях ФНСВ условиях ИФНС наиболее актуальными критериями обеспечения защиты информации являются:- обеспечение безопасности виртуальных сред (М1);- обеспечение безопасности от сетевых угроз (М2);- обеспечение защиты информационных систем от несанкционированного доступа (М3);- обеспечение физической защиты помещений (M4);- обеспечение сохранности информации (М5). В таблице 3 приведен анализ описания критериев.Таблица 3 - Анализ описания критериевN пар. по эталонуСтандарт / Рекомендация27002-200518028-4-200613335-4-200013335-5-2001М111.4.5. Разделение в сетях12.Стандарт защиты виртуальной среды   10.4.17 Несанкционированный доступ к компьютерам, данным, услугам и приложениямМ2 10.6. Методы защиты сети 9. Проверка сетевых архитектур и приложений  8.2.4. Управление сетью М311. Управление доступом 9. Проверка сетевых архитектур и приложений 10.4. Защитные меры доступности 8.2 Специальные защитные меры систем ит М49.Физическая безопасность  8.1. Организационные и физические меры защиты 8.1.7 Физическая безопасностьМ510.5. Резервное копирование10.4.5 Ошибка технического обслуживанияСтепень описания представлена в графическом формате: - детальное описание данного критерия присутствует в данном документе; -описание данного критерия не достаточно полное в данном документе; - данный критерий присутствует в данном документе, но нет его описания; - данный критерий отсутствует в тексте данного документа.Выбор эталонных критериев будем производить в соответствии с их соответствием критериям информационной безопасности. Таблица 4 - Пример формирования таблицы вопросов для оценки соответствия ИБ по критерию M1 № воп.Источник Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости118028-4-2006Хранение виртуальных образов рабочих станций сотрудников ИФНС на защищенных серверах да0,25218028-4-2006Отсутствие у пользователей виртуальных рабочих мест административных прав да0,25318028-4-2006Установка программного обеспечения на виртуальные рабочие места централизованно с уровня администраторада0,2418028-4-2006Авторизация на рабочих местах с использованием виртуальных ключейнет0,15518028-4-2006 Использование бездисковых рабочих станций на рабочих местах конечных пользователейнет0,15Таблица 5 - Пример формирования таблицы вопросов для оценки соответствия ИБ по критерию M2№ воп.Источник Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости113335-5-2001Использование систем шифрования трафикада0,25213335-5-2001Использование спам-фильтров и защиты почтовых ящиковда0,15313335-5-2001Использование прокси-серверов для регламентирования доступа к сети Интернетда0,25413335-5-2001Использование средств мониторинга сетевой активностинет0,15513335-5-2001Разделение трафика на 2 потока с разделением степени защищенностинет0,2Таблица 6 - Пример формирования таблицы вопросов для оценки соответствия ИБ по критерию M3№ воп.Источник Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости113335-5-2001Назначение приказом уровня доступа специалиста к ресурсам сетида0,25213335-5-2001Ведение матриц разграничения доступада0,2313335-5-2001Использование ЭП при отправке заявок на предоставление доступада0,15413335-5-2001Соответствие требований к конфиденциальности, периодичности смены и сложности паролейДа0,15513335-5-2001Блокировка учетной записи пользователя в период его отсутствиянет0,25Таблица 7 - Пример формирования таблицы вопросов для оценки соответствия ИБ по критерию M4№ воп.Источник Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости113335-5-2001Определение перечня защищаемых помещенийда0,2213335-5-2001Определение списка специалистов, допущенных в защищаемые помещенияда0,2313335-5-2001Использование touch-ключей или электронных замков в защищаемых помещенияхда0,2413335-5-2001Наличие системы охранной и пожарной сигнализацииДа0,15513335-5-2001Наличие систем видеонаблюденияДа0,25Таблица 8 - Пример формирования таблицы вопросов для оценки соответствия ИБ по критерию M5№ воп.Источник Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости113335-5-2001Определение приказом ответственных за резервное копирование и хранение резервных копийда0,3213335-5-2001Хранение резервных копий отдельно от объектов копирования да0,15313335-5-2001Наличие утвержденного регламента резервного копирования (объектов копирования, периодичности)да0,15413335-5-2001Наличие приказа об ответственных за эвакуацию резервных копий в случае ЧС с указанием места эвакуацииДа0,15513335-5-2001Проведение ежегодной инвентаризации резервных копий с составлением актаДа0,25Коэффициенты значимости пронормированы, далее проведем реализацию программного продукта по оценке степени защищенности информационных ресурсов ИНФС.Для каждого из критериев М1-М5 установим одинаковые коэффициенты важности.На рисунке 4 показан фрагмент программного продукта по расчету рейтинга защищенности информационной системы ИФНС.Рисунок 4 - фрагмент программного продукта по расчету рейтинга защищенности информационной системы ИФНСПо результатам аудита защищенности информационной системы ИФНС было полученозначение общего рейтинга около 0,76, что в целом соответствует необходимому уровню систему защиты информации.Совершенствование защищенности системы защиты информации в условиях ИФНС предполагает: - необходимость ограничения прав пользователей на конечных рабочих станциях;- блокировку пользовательских учетных записей на период их отсутствия;- разработку приказа об эвакуации носителей резервных копий при наступлении ЧС.ЗаключениеВ рамках данной работы проведен анализсистемы уязвимостей в информационной системы в зависимости от действия нарушителей различных категорий.Проведена классификация типов нарушителей, рассмотрены теоретические аспекты обеспечения безопасности данных, показано что защита информационных ресурсов имеет свои особенности, связанные с необходимостью учета сетевых протоколов, программного и аппаратного обеспечения локальных сетей, а также физической защиты портов и сетевого оборудования. При этом эффективно организованная защита информации является залогом штатного функционирования предприятий.В рамках данной работы проведен обзор организационных решений в области обеспечения защиты информации, которые включают создание необходимой информационной структуры компании, издание ряда регламентирующих документов. Также необходимо обеспечивать дисциплину сотрудников при обращении с учетными данными по доступу к информационным ресурсам.Инженерно-техническая защита информации предполагает необходимость использования специальных средств от перехвата информации через специализированные устройства съёма данных, а также использование средств физической защиты помещений, где производится работа с конфиденциальной информации.Степень уязвимости информационной системы зависит от степени соответствия реализованной системы защиты информации существующим стандартам защищенности в соответствии с уровнем защищенности информационных ресурсов. Пренебрежение какой-либо из составляющих архитектуры информационной безопасности в значительной степени увеличивает уязвимости и создает угрозы утечек конфиденциальной информации, а также возможных её потерь, вызванных активностью вредоносного программного обеспечения.Список использованных источниковОрганизация системы аудита информационной безопасности. [Электронный ресурс]. Режим доступа: http://mirznanii.com/a/19714/organizatsiya-audita-informatsionnoy-bezopasnosti-informatsionnoy-sistemyГорев А. И., Симаков А. А. Обработка и защита информации в компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А. Симаков. - Омск :ОмА МВД России, 2016. - 87 с. Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки: [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. Смычёк М.А. Информационная безопасность и защита информации : учебное / М.А. Смычёк. - Нижний Новгород : Нижегородский государственный технический университет, 2016. – 125с.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный архитектурно-строительный университет. - Санкт-Петербург :СПбГАСУ, 2017. – 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных : учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург :СПбГАСУ, 2017. - 107 с. Никифоров С. Н. Защита информации : защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сШаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс] : учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 cМихайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С.. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.