А - не является специалистом в области вычислительной техники.
В - самый низкий уровень возможностей - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции при обработке информации.
С - возможности создания и запуска собственных программ с новыми функциями по обработке информации.
Д - возможность управления функционированием автоматизированной системы, т.е. воздействием на базовое программное обеспечение системы, на конфигурацию ее оборудования.
Е - включает весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств автоматизированной системы, вплоть до включения в состав АС собственных технических средств с новыми функциями по обработке информации.
Наряду с классификацией, приведенной выше, нарушителей информационной безопасности ФНС можно разделить на следующие виды - неосторожные (халатные), манипулируемые, саботажники, нелояльные и мотивируемые извне.
Неосторожные, манипулируемые нарушители создают незлонамеренные ненаправленные угрозы, то есть они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями - вынос информации с предприятия для работы с ней дома, в командировке и т. д., с дальнейшей утерей носителя или доступом членов семьи к этой информации, получению обманным путем персональной информации пользователей - паролей, персональных идентификационных номеров. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов.
Поскольку манипулируемые и неосторожные сотрудники действуют из своего понимания "блага" предприятия (оправдываясь тем, что иногда ради этого блага нужно нарушить инструкции, которые только мешают эффективно работать), два этих типа нарушителей можно отнести к типу "незлонамеренных". Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.
Следующая группа нарушителей - злонамеренные, то есть в отличие от сотрудников, описанных выше, осознающие, что своими действиями они наносят вред предприятию, на котором работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, их можно подразделить на три типа - саботажники, нелояльные и мотивируемые извне.
Саботажники - это сотрудники подразделений ФНС, стремящиеся нанести вред организации из-за личных мотивов. Мотивом такого поведения может быть обида из-за недостаточной оценки их роли в организации - недостаточный размер материальной компенсации, неподобающее место в иерархии предприятия, отсутствие элементов моральной мотивации. Отличием от других типов нарушителей является то, что - во-первых, сотрудник не собирается покидать организацию и, во-вторых, цель сотрудника - нанести вред, а не похитить информацию. То есть он стремится к тому, чтобы руководство не узнало, что утечка произошла из-за него, и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое, например, на уничтожение или фальсификацию доступной информации, или похищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, соответственно для оглашения или шантажа.
Следующий тип нарушителей - нелояльные сотрудники. Прежде всего, это сотрудники, принявшие решение сменить место работы. По направленности угроза, исходящая от таких нарушителей, является ненаправленной - нарушители стараются унести максимально возможное количество доступной информации.
Если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального "покупателя" конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем - мотивированным извне.
Мотивированные извне - это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы информационной сети "работодатели" могут снабдить их соответствующими устройствами или программами для обхода защиты.
3.5. Обобщенная модель угроз безопасности информации ФНС России
Угроза информационной безопасности | Источник угроз | Способы реализации угроз |
| I. Получение информации | 1. Антропогенный | а) Разглашение, передача или утрата атрибутов разграничения доступа |
| б) Внедрение агентов в число персонала системы | ||
| в) Хищение носителей информации | ||
| г) Незаконное получение паролей и других реквизитов разграничения доступа | ||
| д) Несанкционированная модификация программного обеспечения | ||
| е) Перехват данных, передаваемых по каналам связи | ||
| ж) Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств | ||
| II. Анализ характеристик информации | 1. Антропогенный | а) Хищение носителей информациихищение производственных отходов |
| б) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств | ||
| в) Несанкционированная модификация программного обеспечения | ||
| г) Перехват данных, передаваемых по каналам связи, и их анализ | ||
| III. Изменение (искажение, подмена) информации | 1. Антропогенный | а) Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.) |
| б) Непреднамеренное заражение компьютера вирусами | ||
| в) Ввод ошибочных данных | ||
| г) Вмешательство в процесс функционирования АС сетей общего пользования с целью несанкционированной модификации данных | ||
| 2. Техногенный | а) аварии в системах электропитания | |
| б) нарушение температурного режима в помещениях с критическим оборудованием (серверы, узлы связи) в результате неисправности систем кондиционирования | ||
| IV. Нарушение информации | 1. Антропогенный | а) Действия сотрудников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств |
| б) Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.) | ||
| в) Непреднамеренное заражение компьютера вирусами | ||
| г) Игнорирование организационных ограничений (установленных правил) при работе в системе | ||
| д) Ввод ошибочных данных | ||
| 2. Техногенный | а) аварии в системах электропитания | |
| б) нарушение температурного режима в помещениях с критическим оборудованием (серверы, узлы связи) в результате неисправности систем кондиционирования | ||
| V. Нарушение работоспособности систем | 1. Антропогенный | а) Действия сотрудников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств |
| б) Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы | ||
| 2. Техногенный | а) закупки несовершенных, устаревших или неперспективных средств информатизации и информационных технологий; | |
| б) аварии в системах электропитания; | ||
| в) аварии в системах отопления и водоснабжения в непосредственной близости к техническим средствам обработки информации; | ||
| г) нарушение температурного режима в помещениях с критическим оборудованием (серверы, узлы связи) в результате неисправности систем кондиционирования; | ||
| д) неумышленное повреждения внешних кабельных систем связи строительными организациями, физическими лицами и т.п. в результате проведения несогласованных работ в местах прокладки кабелей связи; | ||
| е) возникновение пожаров в непосредственной близости к техническим средствам обработки информации в результате неисправной электропроводки, неисправных технических средств, нарушения сотрудниками правил противопожарной безопасности. | ||
| 3. Стихийный | а) Разрушение зданий, отдельных помещений | |
| б) воздействие атмосферного электричества | ||
| в) возникновение стихийных очагов пожаров |
 | |
| 723 × 1068 пикс. Открыть в новом окне | |
Наложение угроз безопасности информации на модель ИТКС ФНС России (Рис. 1) позволяет в первом приближении оценить их опасность и методом исключения определить наиболее актуальные для конкретного объекта защиты. Кроме того, можно оценить объемы необходимых работ и выбрать магистральное направление по обеспечению безопасности информации.
4. Организация системы обеспечения информационной безопасности ФНС России
4.1. Организационно-штатная структура подразделений отвечающих за обеспечение информационной безопасности ФНС России
Общее руководство системой информационной безопасности и принятие всех решений по вопросам ее функционирования осуществляет Руководитель ФНС России.
Руководство и контроль за выполнением мероприятий по защите информации в подразделениях ФНС России осуществляют их руководители.
Исполнительные органы:
- Управление информационной безопасности ЦА ФНС России;
- Управление собственной безопасности ЦА ФНС России;
- Первый отдел ЦА ФНС России;
- Территориальные подразделения (управления и межрегиональные инспекции) ФНС России (отделы информационной безопасности подразделений, ответственные за информационную безопасность сотрудники подразделений);
4.2. Порядок разработки и эксплуатации системы обеспечения информационной безопасности ФНС России
Жизненный цикл системы обеспечения информационной безопасности ФНС России включает этап развертывания и этапы постоянного функционирования и совершенствования.
К моменту начала развертывания системы информационной безопасности должны быть уточнены и утверждены Руководством Службы права и обязанности участников работ по защите информации в соответствии с данной Концепцией. Должен быть разработан и утвержден план-график развертывания системы информационной безопасности ФНС России.
Основные этапы развертывания системы должны включать в себя последовательное проведение следующих мероприятий:
- Издание Приказа по ФНС России об организации системы информационной безопасности.
- Разработка и уточнение функций различных подразделений и структур, распределение прав и обязанностей подразделений в системе информационной безопасности ФНС России.
- Назначение администраторов безопасности управлений (структурных подразделений).
- Уточнение состава администраторов сетей, БД и систем.
- Подготовка к информационному обследованию в подразделениях.
- Информационное обследование подразделений ФНС России.
- Определение перечня угроз, модели нарушителя, требований к системе информационной безопасности;
- Разработка проектной документации на систему обеспечения информационной безопасности;
- Разработка (доработка) нормативно-методической базы системы обеспечения информационной безопасности;
- Ввод системы обеспечения информационной безопасности в действие;
- Категорирование информационных ресурсов ФНС России;
- Аттестация объектов информатизации ФНС России по требованиям безопасности информации.
- Поддержка системы обеспечения информационной безопасности в работоспособном и актуальном состоянии.
4.3. Организация системы комплексного мониторинга и контроля состояния информационной безопасности ФНС России
Контроль и комплексный мониторинг состояния системы информационной безопасности ФНС России выполняется с целью обеспечения надежности и устойчивости системы информационной безопасности, обеспечения доверия к ней и гарантий выполнения требований по ИБ.
Задачи контроля и комплексного мониторинга состояния информационной безопасности:
- определение критериев для оценки безопасности существующих и создаваемых систем в рамках информационно-телекоммуникационной системы ФНС России;
- определение соответствия или несоответствие создаваемых и существующих систем этим критериям;
- формулировка обоснованных предложений по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям.
Для осуществления контроля выполнения требований должна быть организована система отчетности о выполнении требований по безопасности. Отчетность должна вестись ответственным за ИБ соответствующего рабочего места, процесса, системы или организационной структуры. С заданной периодичностью отчетность должна отправляться на обработку комплексом учета и анализа выполнения требований организации. В результате обработки поступающей с мест отчетности о выполнении требований безопасности должны выдаваться аналитические данные о состоянии выполнения требований безопасности и об имеющихся проблемах с выполнением требований. На основании этих данных руководство сможет реально оценивать ситуацию с состоянием безопасности во всех подразделениях ФНС России.