Построение АС ГРН должно предусматривать решение проблемы обеспечения гарантированной защиты данных о конкретных лицах. Средства защиты информации должны обеспечивать:
· защиту информации от несанкционированной модификации и разрушения на всех этапах ее обработки, хранения и передачи;
· аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);
· разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам АС ГРН, а также при хранении и предоставлении конфиденциальной информации, в том числе защиту от несанкционированного доступа пользователей ведомственных информационных систем к информационным ресурсам АС ГРН;
· возможность доказательства неправомочности действий пользователей и обслуживающего персонала АС ГРН;
· защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов АС ГРН (возможность несанкционированного изменения или уничтожения этой информации, как и несанкционированное получение, изменение или уничтожение информации о гражданах третьими лицами должны быть исключены);
· защиту от несанкционированной модификации программного обеспечения, включая защиту от внедрения “вирусов” в программные продукты;
· защиту информации от случайных разрушений;
· дублирование информации путем создания резервных копий;
· выполнение специальных требований для используемых импортных аппаратных средств;
· защиту от утечки по побочным каналам технических средств, предназначенных для обработки и хранения конфиденциальной информации;
· защиту баз данных различного уровня;
· защиту каналов передачи информации;
· подтверждение авторства сообщений с использованием электронной цифровой подписи информации;
· живучесть АС ГРН;
· для любого гражданина возможность беспрепятственного ознакомления с данными о нем самом.
При формировании на основе первичных данных АС ГРН аналитической и агрегированной информации в соответствующих информационно-аналитических системах могут быть использованы средства криптографической защиты, соответствующие категорийности формируемой информации.
Используемые криптографические средства защиты должны иметь сертификат ФАПСИ. Используемые криптографические средства защиты должны удовлетворять “Временным требованиям к средствам криптографической защиты конфиденциальной информации, не составляющей государственной тайны” по классу не ниже, чем “В”.
Выбор средств защиты информации от несанкционированного доступа
Выбор средств защиты информации от НСД должен основываться на указанных выше требованиях к системе защиты информации в АС ГРН и на анализе существующих средств защиты в стране. Эти средства должны быть, по возможности, отечественными и должны отвечать следующим требованиям:
· иметь сертификат в системе сертификации средств защиты;
· функциональные возможности средств защиты должны обеспечивать выполнение основных контрольных процедур до загрузки операционной системы;
· спектр выпускаемых на аттестованных производствах средств защиты информации должен решать проблемы защиты в гетерогенных сетях, основанных на интеграции широко применяемых в России операционных систем;
· состав атрибутов, на основе которых описываются правила разграничения доступа к объектам АС ГРН, должен быть таким, чтобы обеспечить возможность описания любой разумной непротиворечивой политики безопасности;
· для применения в сетевых решениях обязательным является наличие средств централизованного управления безопасностью и средств аудита.
Важнейшим критерием выбора средств защиты информации является анализ практики применения этих средств.
Список литературы
1. Конституция Российской Федерации
2. Постановление Губернатора Московской области от 8 октября 1998 г. N 311-ПГ "О защите информационных ресурсов Московской области, составляющих государственную тайну".
3. Постановление Правительства Российской Федерации от 21.02.1996 г. № 226 “О государственном учете и регистрации баз и банков данных”
4. Указ Президента Российской Федерации от 06.03.1992 г. № 188 "Об утверждении перечня сведений конфиденциального характера"
5. Федеральный закон от 04.07.1996г. № 85-ФЗ "Об участии в международном информационном обмене"
6. Федеральный закон от 05.03.1992 г. № 2446-1 "О безопасности"
7. Федеральный закон от 10.06. 1993 г. № 5154-1 "О стандартизации"
8. Федеральный закон от 20.02.1995г. № 24-ФЗ "Об информации, информатизации и защите информации"
9. Федеральный закон от 21.07.1993 г. № 5485-1 "О государственной тайне"
10. Информатика: данные, технология, маркетинг. / Под ред. А.П. Романова. М.: Финансы и статистика, 1991
11. Кукин В.Н. Информатика: организация и управление. М.: Экономика, 1991
12. Майоров С.И. Информационный бизнес: коммерческое распространение и маркетинг. М.: Финансы и статистика, 1993