- устройства хранения информации, содержащие ценную информацию, при выведении из эксплуатации должны быть физически уничтожены, либо должно быть проведено гарантированное стирание с них остаточной информации;
- все оборудование, включая носители информации, перед передачей другому владельцу или списанием должно быть проверено на отсутствие важной информации или лицензионного программного обеспечения;
- дальнейшая судьба поврежденных устройств хранения, содержащих важную информацию, (уничтожение или ремонт) определяется на основе заключения экспертной комиссии.
Безопасность рабочего места сотрудников ФНС России
Рабочие места сотрудников ФНС России наиболее многочисленная категория объектов ИТКС, через которые возможен несанкционированный доступ к информации. Действия сотрудников сложно контролировать, поэтому в системе защиты информации необходимо предусмотреть автоматизированные механизмы контроля доступа к терминалам, мониторинга за действиями пользователей и сигнализации при обнаружении попыток несанкционированного доступа, а также установлен жесткий регламент доступа к рабочим местам с помощью организационных мер.
Безопасность рабочих мест сотрудников ФНС России предусматривает:
- документы на всех видах носителей и технические средства обработки информации, должны храниться (размещаться) в помещениях, исключающих несанкционированный доступ к ним;
- исключение несанкционированного доступа к информации, хранящейся на различного рода носителях;
- персональные компьютеры, терминалы и принтеры должны защищаться блокираторами клавиатуры, паролями или другими методами на время отсутствия пользователя;
- должны быть приняты надежные меры, исключающие несанкционированное использование копировальной техники;
- распечатки, содержащие информацию ограниченного доступа должны изыматься из печатающего устройства немедленно, а программа разграничения доступа должна поддерживать режим автоматической маркировки документов выводимых на бумажный носитель и регистрации выходных данных размножаемых документов в системном журнале. Необходимо устанавливать печатающие устройства для печати конфиденциальных документов в помещениях, где работают сотрудники, ответственные за их учет, хранение и выдачу исполнителям.
5.3. Мероприятия по обеспечению катастрофоустойчивости информационно-телекоммуникационной системы ФНС России
Обеспечение катастрофоустойчивости необходимо для сохранения устойчивости и стабильности функционирования ФНС России и ее информационно-телекоммуникационной системы в различных условиях неблагоприятного воздействия внешних и внутренних факторов техногенного и/или природного характера.
Для обеспечения катастрофоустойчивости необходимо выполнить работы, направленных на минимизацию возможных потерь ФНС России в условиях активного воздействия внутренней и внешней среды.
Основные мероприятия по обеспечению катастрофоустойчивости информационно-телекоммуникационной системы ФНС России
- идентификация и анализ неблагоприятных воздействий на информационно-телекоммуникационную систему ФНС России, разработка стратегий управления рисками, связанными с применением информационно-телекоммуникационной системы
- определение требований ФНС России к непрерывности функционирования информационно-телекоммуникационной системы;
- определение стратегий восстановления информационных и других технических систем в случае возникновения отказов и сбоев;
- разработка и документирование плана обеспечения катастрофоустойчивости информационно-телекоммуникационной системы ФНС России;
- внедрение необходимых изменений в техническом, организационном и информационном обеспечении ФНС России согласно разработанному плану обеспечения катастрофоустойчивости информационно-телекоммуникационной системы ФНС России;
- поддержка плана обеспечения катастрофоустойчивости информационно-телекоммуникационной системы ФНС России в актуальном состоянии (включая тестирование плана, обучение персонала, техническая поддержка используемого программного и аппаратного обеспечения, периодическое обновление плана)
Важнейшим качеством ИТКС и, в частности, центров обработки данных (ЦОД) ФНС России является способность обеспечивать требуемый уровень отказоустойчивости. Возможно применения следующих технических мероприятий для обеспечения отказоустойчивости:
- Следует внедрять технологии кластеризации и резервирования хранилищ данных и центров обработки данных. Соответствующая конфигурация кластера (кластеров) позволит гарантировать практически любой требуемый уровень готовности информационной системы. При этом появляется возможность полного дублирования физических и виртуальных серверов, хранилищ данных, сетей SAN, сетей доступа и вспомогательного (инфраструктурного) оборудования для обеспечения отказоустойчивости/катастрофоустойчивости системы. При этом кластеры могут быть реализованы как между отдельными серверами, так и между виртуальными доменами в пределах одного сервера.
- Применение технологии распределенных хранилищ данных и связанные с ним программно-аппаратные средства бессерверного копирования данных, поддержка длинных (>15 км) соединений SAN и т.д.
- Серверное и другое критическое оборудование следует размещать таким образом, чтобы свести к минимуму излишний доступ в рабочие помещения.
- Оборудование необходимо защищать от сбоев в системе электропитании и других неполадок в электрической сети. Источник питания должен соответствовать спецификациям производителя оборудования.
- Для центров обработки данных следует рассмотреть возможность организации дублированной системы электропитания (например, от разных трансформаторных подстанций).
- Следует рассмотреть необходимость использования резервного источника питания. Для оборудования, поддерживающего критически важные производственные сервисы, рекомендуется установить источник бесперебойного питания. План действий в чрезвычайных ситуациях должен включать меры, которые необходимо принять по окончании срока годности источников бесперебойного питания. Оборудование, работающее с источниками бесперебойного питания, необходимо регулярно тестировать в соответствии с рекомендациями изготовителя.
- Следует рассмотреть возможность изоляции областей, требующих специальной защиты, для понижения необходимого уровня общей защиты.
Для создания системы обеспечения катастрофоустойчивости необходимо разработать следующие организационно-распорядительные и нормативно-технические документы:
- Политика резервного копирования и восстановления данных
- Анализ воздействия различных неблагоприятных факторов на информационно-телекоммуникационную систему ФНС России
- План обеспечения катастрофоустойчивости информационно-телекоммуникационной системы ФНС России, состоящий из следующих разделов:
- Деятельность ФНС России в чрезвычайной ситуации (первоначальное реагирование на чрезвычайную ситуацию; мероприятия, обеспечивающие непрерывность деятельности компании в чрезвычайной ситуации и восстановление ее нормального функционирования.)
- Поддержание готовности к обеспечению катастрофоустойчивости ФНС России (разработка программы повышения квалификации и ознакомления сотрудников с действиями, необходимыми для восстановления деятельности ФНС России после происшествия; подготовка к опасным событиям, обеспечение безопасности и предотвращение бедствий; проверка готовности ФНС России к действиям в чрезвычайной ситуации и обеспечению катастрофоустойчивости; резервное копирование критически важных данных и приложений).
- Информационное обеспечение (учетная информация о техническом, программном и другом обеспечении, необходимом для восстановления бизнеса компании в случае чрезвычайной ситуации; описание детальных пошаговых процедур, обеспечивающих четкое выполнение всех предусмотренных мер; функции и обязанности сотрудников компании в случае возникновения непредвиденных обстоятельств; сроки восстановления деятельности).
- Техническое обеспечение (создание, поддержка и эксплуатация аппаратно-программных средств обеспечения непрерывности бизнеса; создание и поддержка резервного помещения).
- Организационное обеспечение, состав и функции групп, ответственных за поддержку непрерывности бизнеса в случае происшествия.
5.4. Мероприятия по решению задач защиты информации от утечки по техническим каналам
Наиболее опасными видами технических разведок для объектов ФНС России являются:
- наземная акустическая разведка, обеспечивающая добывание информации, содержащейся непосредственно в произносимой, либо воспроизводимой речи (акустическая речевая разведка), с использованием аппаратуры, регистрирующей акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные излучения и электрические сигналы, возникающие за счет акустоэлектрических преобразований в различных технических средствах под воздействием акустических волн;
- наземная разведка ПЭМИН, обеспечивающая добывание информации, содержащейся непосредственно в формируемых, передаваемых или отображаемых сообщениях и документах (текстах, таблицах, рисунках, картах, снимках, телевизионных изображениях и т.п.) с использованием радиоэлектронной аппаратуры, регистрирующей непреднамеренные (первичные) электромагнитные излучения и электрические сигналы средств обработки информации, а также вторичные электромагнитные излучения и электрические сигналы, наводимые первичными электромагнитными излучениями в токопроводящих цепях различных технических устройств и токопроводящих элементах конструкций зданий и сооружений.
Перехват информации с использованием технических средств может вестись:
- из-за границы КЗ из близлежащих строений и транспортных средств;
- из смежных помещений, принадлежащих другим организациям и расположенным в том же здании, что и объект защиты;
- при посещении организации посторонними лицами.
В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации "закладное устройство", размещаемые внутри или вне защищаемых помещений.
Кроме перехвата информации техническими средствами, возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно вследствие непреднамеренного прослушивания речевой конфиденциальной информации без использования технических средств из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем.
Мероприятия по защите информации от утечки по техническим каналам из защищаемых помещений
Основные технические каналы утечки речевой акустической информации из защищаемых помещений (ЗП) центрального аппарата и территориальных органов ФНС России, могут существовать за счет: