Захисту податкової інформації в автоматизованій інформаційній системі дпс україни як єдиний комплекс



Сторінка3/9
Дата конвертації15.11.2016
Розмір0.97 Mb.
1   2   3   4   5   6   7   8   9

5. Гнучкість системи захисту


Часто приходиться створювати систему захисту в умовах суворої невизначеності. Тому прийняті міри і встановлені засоби захисту, особливо в початковий період їхньої експлуатації, можуть забезпечувати як надмірний, так і недостатній рівень захисту. Природно, що для забезпечення можливості варіювання рівнем захищеності засоби захисту повинні мати визначену гнучкість. Особливо важливою ця властивість є в тих випадках, коли установку засобів захисту необхідно здійснювати на працюючу систему, не порушуючи процесу її нормального функціонування. Крім того, зовнішні умови і вимоги з часом міняються. У таких ситуаціях властивість гнучкості рятує власників АІС від необхідності вживання кардинальних заходів по повній заміні засобів захисту на нові.

6. Відкритість алгоритмів і механізмів захисту


Суть принципу відкритості алгоритмів і механізмів захисту полягає в тому, що захист не повинен забезпечуватися тільки за рахунок таємності структури ДПС України й алгоритмів функціонування її підсистем. Знання алгоритмів роботи системи захисту не повинні давати можливості її подолання (навіть автору). Однак, це зовсім не означає, що інформація про конкретну систему захисту повинна бути загальнодоступна.

7. Принцип простоти застосування засобів захисту


Механізми захисту повинні бути інтуїтивно зрозумілі і прості у використанні. Застосування засобів захисту не повинні бути зв'язані зі знанням спеціальних мов чи з виконанням дій, що вимагають значних додаткових працевитрат при звичайній роботі законних користувачів, а також не повинно жадати від користувача виконання рутинних малозрозумілих йому операцій (уведення декількох паролів і імен і т.д.).


2. Основні напрями робіт щодо впровадження КСЗІ АІС ДПС України у межах проекту “Модернізація державної податкової служби”

Існуюча податкова система виявилася неадекватною до умов перехідної економіки, оскільки неповною мірою забезпечує розвиток економічних реформ, добровільну сплату податків та ін. У результаті це призвело до певної напруженості у відносинах між податковою службою та суспільством.

На сьогодні керівництво держави та ДПА України поставили перед собою задачу провести докорінне реформування податкової системи України, яке повинно супроводжуватись ефективними заходами, більшість яких спрямована на досягнення результативності у політиці доходів. Враховуючи зазначене, керівництво держави та ДПА України прийняло рішення про розгортання довгострокового проекту “Модернізація державної податкової служби України” з метою побудови такої податкової служби, яку б підтримувало суспільство і яка б спиралася на визначені у податковому законодавстві правові норми відносин між платниками та податковою службою, неупереджено ставилася до добросовісних платників податків та ефективно застосовувала заходи і санкції щодо випадків ухилення від сплати податків.

С
труктура майбутньої ДПС України показана на рис. 2

Рис.2 Структура майбутньої ДПС України

Д
ля виконання основного завдання ДПС України у межах Проекту “Модернізація державної податкової служби України” повинна бути реформована автоматизована інформаційна система (далі – АІС), яка повинна відображати організаційну структуру ДПС, у якій буде оброблятися електронна податкова інформація що є власністю держави і яка повинна бути побудована за ієрархічним принципом відповідно організаційної структурі ДПС (рис.3).


Рис.3 Реформована автоматизована інформаційна система
Для захищеності автоматизованої інформаційної системи ДПС України від несанкціонованого витоку інформації, що є власністю держави, повинна бути створена комплексна система захисту інформації (далі – КСЗІ).

Комплексна система захисту інформації (КСЗІ) - сукупність організаційних, інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації.

3. Захист інформації в автоматизованій інформаційній системі (АІС). Державна політика в цій області в Україні.

Необхідність створення КСЗІ регламентується наступними законами та нормативними документами:



1. „Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах”, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 року № 76, зареєстровано в Міністерстві юстиції України від 11 січня 2002 року № 27/6315.

П.7. Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу інформаційно-телекомунікаційних систем, повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації, спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.

П.13. Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.

З метою виконання положень зазначеного „Порядку захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах” повинна бути створена та впроваджена в експлуатацію комплексна система захисту інформації АІС ДПС України.



2. Закон України “Про захист інформації в автоматизованих системах” від 5 липня 1994 року № 80/94-ВР.

Стаття 2. Об'єкти захисту в системі

Захисту підлягає будь-яка інформація в системі, необхідність якого визначено законодавством України або її власником.



Стаття 10. Забезпечення захисту інформації в системі

Захист інформації в системі забезпечується:

- запровадженням комплексної системи захисту інформації

- дотриманням суб'єктами відносин, пов'язаних з обробкою інформації в системі, законодавства України та нормативних документів у сфері захисту інформації в системі;

- використанням засобів електронно-обчислювальної техніки, програмного забезпечення, телекомунікаційного обладнання, а також засобів захисту інформації у системі, які відповідають вимогам законодавства України щодо захисту інформації (наявність сертифіката, експертного висновку тощо).

Стаття 11. Умови обробки інформації в системі

Інформація, яка є власністю держави, або інформація з обмеженим доступом, захист якої гарантується державою, повинна оброблятися в системі з обов'язковим застосуванням комплексної системи захисту інформації.



3. Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27 вересня 1999 року N 1229/99.

П.12. Органи, щодо яких здійснюється ТЗІ, відповідно до покладених на них завдань:

- створюють або визначають підрозділи, на які покладається забезпечення технічного захисту інформації та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;

- видають за погодженням з Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України (далі - ДСТСЗІ СБУ) та впроваджують нормативно-правові акти з питань технічного захисту інформації;

- погоджують з ДСТСЗІ СБУ проведення підприємствами, установами, організаціями тих науково-дослідних, дослідно-конструкторських і дослідно-технологічних робіт, спрямованих на розвиток нормативно-правової та матеріально-технічної бази системи технічного захисту інформації, які здійснюються за рахунок коштів державного бюджету;



П.16. Техніко-економічне обґрунтування, проектування будівництва та реконструкції об'єктів, проведення наукових досліджень та створення інформаційних систем, зразків озброєнь, військової та спеціальної техніки, критичних і небезпечних технологій виконуються за завданнями, до яких включаються вимоги з технічного захисту інформації, якщо під час виконання передбачених завданням робіт та у процесі функціонування зазначених об'єктів, систем, зразків і технологій циркулюватиме інформація, охорона якої забезпечується державою.

Витрати на заходи з технічного захисту інформації включаються до кошторисної вартості робіт.

4. Постанова Кабінету Міністрів України від 16 листопада 2002 року № 1772 “Про затвердження порядку взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах”.

П.3. Органи виконавчої влади з метою захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах здійснюють згідно з вимогами нормативно-правових актів з питань захисту інформації під методичним керівництвом ДСТСЗІ Служби безпеки України заходи щодо захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах, у тому числі підключених до глобальних мереж передавання даних.
4. Створення комплексної системи захисту інформації

З метою розроблення комплексів засобів захисту від НСД до конфіденційної інформації, яка обробляється в АІС ДПС України, впровадження КСЗІ в АІС необхідно пред’явити до системи загальні вимоги із захисту конфіденційної інформації. Для отримання загальних вимог до АІС в цілому необхідно мати політику безпеки інформації в АІС в цілому. В той же час, АІС ДПС України є складовою де кількох інформаційних підсистем, кожна з яких повинна бути описана своєю політикою безпеки інформації, а значить, до кожної підсистеми АІС повинні бути розроблені окремі вимоги (рис.4).





Рис.4 Політика безпеки інформації


Політика безпеки інформації – сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок накопичення, обробки, зберігання інформації. Таким чином, загальні вимоги, а також вимоги до підсистем АІС ДПС України дадуть можливість визначити перелік обладнання та засобів захисту для впровадження КСЗІ. Підсумковим результатом працездатності АІС повинне бути отримання атестата відповідності державної експертної комісії на відповідність АІС вимогам нормативним документам з питань ТЗІ.

О
рганізація захисту податкової інформації на всіх етапах життєвого циклу АІС здійснюється відповідно Плану захисту податкової інформації в АІС ДПС України (рис.5).


Рис.5 План захисту податкової інформації
Д
ля виконання робіт з побудови та впровадження КСЗІ повинна бути служба захисту інформації, на яку покладається виконання робіт з визначення вимог щодо захисту інформації в АІС, розроблення і модернізації комплексної системи захисту інформації, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АІС. Структура служби захисту інформації наведена на рис.6.

Рис.6 Структура служби захисту інформації


Таким чином, ми бачимо в наявності модель побудови та впровадження КСЗІ АІС ДПС України. Ця модель замкнута і вона повинна працювати в динамічному режиму, тому як відповідно до часу завдання ДПС України можуть змінюватися, умови роботи теж можуть змінюватися і таке інше. У зв’язку з цім:

- по-перше, переглядається План захисту інформації в АІС ДПС відповідно до часу та до зміни обставин;

- по-друге, перепрацьовується політика безпеки в АІС, при цьому потрібно пам’ятати, що політика безпеки має бути розроблена таким чином, що б вона не потребувала частої модифікації. В свою чергу, зміна політики безпеки може привести до зміни програмно-апаратних засобів КСЗІ, а також методів та способів захисту.

Відповідно до НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі”, затвердженого наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 04 грудня 2000 р. № 53, повинно бути розроблене Положення про службу захисту інформації ДПС України.



Рис. 7 Положення про службу захисту


Положення про службу захисту

Це нормативний документ системи технічного захисту інформації (НД ТЗІ), який регламентує діяльність служби захисту податкової інформації в АІС ДПС України.

Метою створення служби захисту інформації (СЗІ) ДПС України є організаційне забезпечення завдань керування комплексною системою захисту інформації в АІС та здійснення контролю за її функціонуванням. На СЗІ ДПС України покладається виконання робіт з визначення вимог щодо захисту інформації в АІС, розроблення і модернізації комплексної системи захисту інформації, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АІС.

В загальному вигляді Положення повинно складатись з таких розділів:



В загальних положеннях визначається мета створення СЗІ, правова основа для її діяльності.

Визначаються основні завдання служби захисту інформації.

  • функції служби захисту інформації;

Цей розділ складається з трьох підрозділів:

1) Функції під час створення комплексної системи захисту інформації;

2) Функції під час експлуатації комплексної системи захисту інформації;

3) Функції з ДПС України навчання персоналу з питань забезпечення захисту інформації.



  • повноваження і відповідальність служби захисту інформації;

В цьому розділі повинні бути висвітлені права, обов’язки та відповідальність служби захисту інформації.

  • взаємодія служби захисту інформації з іншими підрозділами ДПС України та зовнішніми підприємствами, установами, організаціями;

Визначаються правила та порядок взаємодії з іншими підрозділами ДПС та зовнішніми підприємствами, установами, організаціями;

  • штатний розклад та структура служби захисту інформації;

В даному розділі визначаються:

- штатний розклад служби захисту інформації;

- структура СЗІ, її можливий склад і чисельність;

- керівники роботою СЗІ.



  • організація робіт служби захисту інформації;

Розділ про організацію робіт має на меті висвітлити питання: трудових відносин в СЗІ, ДПС України або ліквідації СЗІ, матеріально-технічної бази для забезпечення діяльності СЗІ.

  • фінансування служби захисту інформації.

На основі типового Положення про службу захисту інформації необхідно розробити типові Положення про службу захисту інформації для підрозділів:

  • регіональне ДПА – управління захисту інформації;

  • ДПІ по роботі з ВПП, міжрайонна ДПІ, ЦОД, телефонні інформаційно - довідкові центри – відділ захисту інформації.


План захисту інформації в АІС є сукупністю документів, згідно з якими здійснюється організація захисту інформації на всіх етапах життєвого циклу АІС.

План захисту інформації в АІС (далі – План захисту) розробляється на підставі проведеного аналізу технології обробки інформації, аналізу ризиків, сформульованої політики безпеки інформації. План захисту визначає і документально закріплює об’єкт захисту інформації в АІС, основні завдання захисту, загальні правила обробки інформації в АІС, мету побудови та функціонування КСЗІ, заходи з захисту інформації. План захисту має фіксувати на певний момент часу склад АІС, перелік оброблюваних відомостей, технологію обробки інформації, склад комплексу засобів захисту інформації, склад необхідної документації та ін.

План захисту повинен регулярно переглядатися та при необхідності змінюватись.
Для АІС, в яких обробляється інформація, що становить державну таємницю, План захисту є обов’язковим документом.

План захисту повинен складатись з наступних розділів:



  • завдання захисту інформації в АІС;

  • класифікація інформації, що обробляється в АІС;

  • опис компонентів АІС та технології обробки інформації;

  • загрози для інформації в АІС;

  • політика безпеки інформації в АІС;

  • система документів з забезпечення захисту інформації в АІС.

На підставі Плану захисту складається календарний план робіт з захисту інформації в АІС.
1   2   3   4   5   6   7   8   9


База даних захищена авторським правом ©lecture.in.ua 2016
звернутися до адміністрації

    Головна сторінка