Захисту податкової інформації в автоматизованій інформаційній системі дпс україни як єдиний комплекс



Сторінка1/9
Дата конвертації15.11.2016
Розмір0.97 Mb.
  1   2   3   4   5   6   7   8   9
Система

захисту податкової інформації в автоматизованій інформаційній системі ДПС України як єдиний комплекс

заходів і засобів

План


1. Захист інформації в AC - єдина сукупність правових і морально-етичних норм, організаційних мір, фізичних мір і засобів, програмно-технічних засобів.

1.1. Основні поняття в галузі інформаційної безпеки. Інформація й інформаційні відносини. Суб'єкти інформаційних відносин, їхня безпека.

1.2. Захист інформації в AІC як єдина сукупність правових і морально-етичних норм, організаційних мір, фізичних мір і засобів, програмно-технічних засобів.

1.3. Основні принципи побудови комплексної системи захисту інформації в АІС ДПС України.



  1. Основні напрями робіт щодо впровадження КСЗІ АІС ДПС України у межах проекту “Модернізація державної податкової служби”.
  2. Захист інформації в автоматизованій інформаційній системі (АІС). Державна політика в цій області в Україні.


  3. Створення комплексної системи захисту інформації.

  4. Розробка методики оцінки ступеня захищеності АІС ДПС України.
  5. Календарний план робіт з захисту інформації в АІС.


  6. Нормативна база України в сфері технічного захисту інформації.

7.1. Ліцензування в галузях технічного і криптографічного захисту інформації та у галузі голографічного захисту.

7.2. Дозвільний порядок проведення робіт в області технічного захисту інформації для власних потреб


7.3. Сертифікація в галузі захисту інформації


7.4. Експертиза в галузі технічного захисту інформації

7.5. Електронний цифровий підпис




  1. Захист інформації в AC - єдина сукупність правових і морально-етичних норм, організаційних мір, фізичних мір і засобів, програмно-технічних засобів.

1.1. Основні поняття в галузі інформаційної безпеки. Інформація й інформаційні відносини. Суб'єкти інформаційних відносин, їхня безпека.


Під інформацією розуміють зведення про факти, події, процеси і явища, про стан об'єктів (їхніх властивостях, характеристиках) у деякій предметній області, використовувані (необхідні) для оптимізації прийнятих рішень у процесі керування даними об'єктами. Інформація може існувати у різних формах у виді сукупностей деяких знаків (символів, сигналів і т.п.) на носіях різних типів. У зв'язку з бурхливим процесом інформатизації суспільства усе більші обсяги інформації накопичуються, зберігаються й обробляються в АІС, побудованих на основі сучасних засобів обчислювальної техніки і зв'язку.

У процесі своєї діяльності суб'єкти можуть знаходитися один з одним у різного роду відносинах, у тому числі, з питань одержання, збереження, обробки, поширення і використання визначеної інформації. Такі відносини між суб'єктами будемо називати інформаційними відносинами, а самих суб'єктів, що беруть участь у них - суб'єктами інформаційних відносин.

Під автоматизованою інформаційною системою обробки інформації (АІС) будемо розуміти організаційно-технічну систему, що представляє собою сукупність наступних взаємозалежних компонентів:

- технічних засобів обробки і передачі даних (засобів обчислювальної техніки і зв'язку);

- методів і алгоритмів обробки у виді відповідного програмного забезпечення;

- інформації (масивів, наборів, баз даних) на різних носіях;

- персоналу і користувачів системи, об'єднаних по організаційно-структурній, тематичній, технологічній чи іншій ознаках для виконання автоматизованої обробки інформації (даних) з метою задоволення інформаційних потреб суб'єктів інформаційних відносин.

Під обробкою інформації в АІС будемо розуміти будь-яку сукупність операцій (прийом, збір, нагромадження, збереження, перетворення, відображення, видача і т.п.), здійснюваних над інформацією (зведеннями, даними) з використанням засобів АІС. Різні суб'єкти стосовно визначеної інформації можуть виступати в якості (можливо одночасно):

- джерел (постачальників) інформації;

- користувачів (споживачів) інформації:

- власників (розпорядників) інформації;

- фізичних і юридичних осіб, про які збирається інформація;

- власників систем збору й обробки інформації й учасників процесів обробки і передачі інформації і т. ін.

Для успішного здійснення своєї діяльності по керуванню об'єктами деякої предметної області суб'єкти інформаційних відносин можуть бути зацікавлені в забезпеченні:

- своєчасного доступу (за прийнятний для них час) до необхідній їм інформації;

- конфіденційності (збереження в таємниці) визначеної частини інформації;

- вірогідності (повноти, точності, адекватності, цілісності) інформації;

- захисту від нав'язування їм помилкової (недостовірної, перекрученої) інформації (тобто від дезінформації);

- захисту частини інформації від незаконного її тиражування (захисту авторських прав, прав власника інформації і т.п.);

- розмежування відповідальності за порушення законних прав (інтересів) інших суб'єктів інформаційних відносин і встановлених правил звертання з інформацією;

- можливості здійснення безупинного контролю і керування процесами обробки і передачі інформації.

Будучи зацікавленим у забезпеченні хоча б одного з вищезгаданих вимог суб'єкт інформаційних відносин є уразливим, тобто потенційно підданим нанесенню йому збитку (прямого чи непрямого, матеріального чи морального) за допомогою впливу на критичну для нього інформацію і її носії або за допомогою неправомірного використання такої інформації. Тому всі суб'єкти інформаційних відносин зацікавлені в забезпеченні своєї інформаційної безпеки (звичайно в різному ступені в залежності від величини збитку, що їм може бути нанесений). Для задоволення законних прав і перерахованих вище інтересів суб'єктів (забезпечення їхньої інформаційної безпеки) необхідно постійно підтримувати наступні властивості інформації і систем її обробки: 

- доступність інформації, тобто властивість системи (середовища, засобів і технології її обробки), у якій циркулює інформація, що характеризується здатністю забезпечувати своєчасний безперешкодний доступ суб'єктів до інформації, яка їх цікавить і готовність відповідних автоматизованих служб до обслуговування запитів, що надходять від суб'єктів, завжди, коли в звертанні до них виникає необхідність;

- цілісність інформації - властивість інформації, що полягає в її існуванні в неперекрученому вигляді (незмінному стосовно деякого фіксованого її стану);

- конфіденційність інформації - суб'єктивно обумовлену характеристику (властивість) інформації, що вказує на необхідність введення обмежень на коло суб'єктів, що мають доступ до даної інформації, і забезпечувану здатністю системи (середовища) зберігати зазначену інформацію в таємниці від суб'єктів, що не мають повноважень на доступ до неї.

Оскільки збиток суб'єктам інформаційних відносин може бути нанесений опосредовано, через визначену інформацію і її носії (у тому числі АІС), закономірно виникає зацікавленість суб'єктів у забезпеченні безпеки цієї інформації і систем її обробки і передачі. Іншими словами, як об'єкти, що підлягають захисту в інтересах забезпечення безпеки суб'єктів інформаційних відносин, повинні розглядатися: інформація, її носії і процеси її обробки. 

Однак, завжди варто пам'ятати, що уразливими в кінцевому рахунку є саме зацікавлені в забезпеченні визначених властивостей інформації і систем її обробки суб'єкти (інформація, так само як і засоби її обробки, не має своїх інтересів, які можна було б ущемити і нанести тим самим збиток). Надалі, говорячи про забезпечення безпеки АІС чи циркулюючої в системі інформації, завжди будемо розуміти під цим непряме забезпечення безпеки суб'єктів, що беруть участь у процесах автоматизованої інформаційної взаємодії.

Термін "безпека інформації" потрібно розуміти як захищеність інформації від небажаного для відповідних суб'єктів інформаційних відносин її розголошення (порушення конфіденційності), перекручування (порушення цілісності), чи втрати або зниження ступеня доступності інформації, а також незаконного її тиражування. Оскільки суб'єктам інформаційних відносин збиток може бути нанесений також за допомогою впливу на процеси і засоби обробки критичної для них інформації, то стає очевидної необхідність забезпечення захисту всієї системи обробки і передачі даної інформації від несанкціонованого втручання в процес її функціонування, а також від спроб розкрадання, незаконної модифікації і/чи руйнування будь-яких компонентів даної системи. 

Тому під безпекою автоматизованої інформаційної системи обробки інформації (комп'ютерної системи) будемо розуміти захищеність усіх її компонентів (технічних засобів, програмного забезпечення, даних і персоналу) від подібного роду небажаних для відповідних суб'єктів інформаційних відносин впливів.

Безпека будь-якого компонента (ресурсу) АІС складається з забезпечення трьох його характеристик: конфіденційності, цілісності і доступності.



Конфіденційність компонента системи полягає в тім, що він доступний тільки тим суб'єктам доступу (користувачам, програмам, процесам), яким надані на те відповідні повноваження.

Цілісність компонента системи припускає, що він може бути модифікований тільки суб'єктом, що має для цього відповідні права. Цілісність є гарантією коректності (незмінності, працездатності) компонента в будь-який момент часу.

Доступність компонента означає, що суб'єкт, який має відповідні повноваження, може в будь-який час без особливих проблем одержати доступ до необхідного компонента системи (ресурсу).

Кінцевою метою захисту АІС і циркулюючої в ній інформації є запобігання чи мінімізація збитку, що наноситься суб'єктам інформаційних відносин (прямого чи непрямого, матеріального, морального чи іншого) за допомогою небажаного впливу на компоненти АІС, а також розголошення (витоку), перекручування (модифікації), утрати (зниження ступеня доступності) чи незаконного тиражування інформації. 


1.2. Захист інформації в AІC як єдина сукупність правових і морально-етичних норм, організаційних мір, фізичних мір і засобів, програмно-технічних засобів.
  1   2   3   4   5   6   7   8   9


База даних захищена авторським правом ©lecture.in.ua 2016
звернутися до адміністрації

    Головна сторінка