Совершенствование нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы


https://doi.org/10.21686/1818-4243-2020-2-73-79

Полный текст:


Аннотация

Целью исследования является повышение эффективности управления информационной безопасностью для государственных информационных систем (ГИС) с устройствами терминального доступа за счет совершенствования нормативно-правовых актов, которые должны быть логически увязаны между собой и не противоречить друг другу, а также использовать единый профессиональный тезаурус, позволяющий понимать и описывать процессы в области информационной безопасности.

В настоящее время государственные информационные системы с устройствами терминального доступа используются для обеспечения реализации законных интересов граждан при информационном взаимодействии с органами государственной власти [1]. Одним из типов таких систем являются системы общего пользования [2]. Они предназначены для оказания электронных услуг гражданам, таких как оплата налогов, получение справок, подача заявлений и иных сведений. Обрабатываемые персональные данные могут относиться к специальным, биометрическим, общедоступным и иным категориям [3]. Различные категории персональных данных, сосредоточенные в большом объёме о большом числе граждан, могут привести к значительному ущербу в результате их утечки, а значит, это создаёт информационные риски.

Существуют несколько основных типов архитектур государственных информационных систем: системы на основе «тонкого клиента»; системы на основе одноранговой сети; файл -серверные системы; центры обработки данных; системы с удаленным доступом пользователей; использование разных типов операционных систем (гетерогенность среды); использование прикладных программ, независимых от операционных систем; использование выделенных каналов связи [4]. Такое разнообразие и неоднородность государственных информационных систем с одной стороны, и необходимость качественного государственного регулирования в области информационной безопасности в этих системах, с другой стороны, требуют изучения и развития нормативно-правовых актов, учитывающих в первую очередь особенности систем, имеющих типовую современную архитектуру «тонкого клиента».

Материалы и методы исследования. Защита государственной информационной системы регламентируется большим числом нормативно-правовых актов, которые постоянно совершенствуются с изменением и дополнением контента. На содержательном уровне она включает в себя множество этапов, таких как формирование требований к ГИС, разработка системы защиты, её внедрение, аттестация. Защищаемая информация обрабатывается в целях исполнения законодательства и обеспечения функционирования органов власти. Необходимость защиты конфиденциальной информации определяется законодательством Российской Федерации [5,6]. Поэтому для оценки качества нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы в работе проводится анализ основных нормативно-правовых актов и на его основе методом аналогии разрабатываются предложения по совершенствованию имеющихся регулирующих документов в области информационной безопасности.

Результаты. В работе разработаны предложения по совершенствованию нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы

-          для единообразия и унификации обоснованы термины с соответствующими определениями для их установления в документы ФСТЭК или Росстандарта;

-          правила формирования требований к терминалам, которые должны быть аналогом требований к средствам вычислительной техники в «Концепции защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

Выводы. Предложены общие рекомендации по защите информации в государственных информационных системах, использующих архитектуру «тонкого клиента», а также обоснованы специфичные угрозы, отсутствующие в банке угроз ФСТЭК и определены направления дальнейшего обеспечения информационной безопасности для рассматриваемого класса государственных информационных систем. В связи с большим числом заинтересованных субъектов, участвующих в согласовании и выработки единых решений, более конкретное рассмотрение поднятых проблем и вопросов возможно только с привлечением к обсуждению представителей уполномоченных федеральных органов исполнительной власти и представителей бизнеса.


Об авторах

В. А. Сизов
Российский экономический университет им. Г.В. Плеханова
Россия

Валерий Александрович Сизов

Доктор технических наук, профессор, профессор кафедры прикладной информатики и информационной безопасности

Москва



Д. М. Малиничев
Российский государственный социальный университет
Россия

Дмитрий Михайлович Малиничев

Кандидат технических наук, доцент, доцент кафедры информационной безопасности

Москва



В. В. Мочалов
Национальный исследовательский ядерный университет «МИФИ»
Россия

Вадим Вячеславович Мочалов

Инженер

Москва



Список литературы

1. Болгарский А.И. Защита информации в государственных информационных системах // Вестник УрФО. Безопасность в информационной сфере. 2011. № 2. С. 48—50.

2. Сабанов А.Г., Мельниченко П.А. Предоставление защищенного доступа к информационным системам массового использования при оказании государственных услуг в электронном виде // Вестник Российской таможенной академии. 2011. № 3. С. 73-78.

3. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: утв. постановлением Правительства Рос. Федерации от 1 ноября 2012 г. № 1119 // Российская газета, № 256, 07.11.2012.

4. Проект методического документа. Методика определения угроз безопасности информации в информационных системах [Электрон. ресурс] // Федеральная служба по техническому и экспортному контролю России. Режим доступа: https://fstec.ru/component/attachments/download/812

5. Об информации, информационных технологиях и о защите информации (с изменениями на 23 апреля 2018 года): федеральный закон Российской Федерации от 27 июля 2006 г. №149- Ф3. // Российская газета, № 165, 29.07.2006.

6. О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации (с изменениями на 11 мая 2017 года): утвержден постановлением Правительства Российской Федерации от 6 июля 2015 г. № 676 // Собрание законодательства Российской Федерации, № 28, 13.07.2015, ст.4241.

7. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (с изменениями на 23 мар та 2017 года) : утверждем приказом ФСТЭК от 18 февраля 2013 г. № 21 // Российская газета, № 107, 22.05.2013.

8. Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (с изменениями на 15 февраля 2017 года): утвержден приказом ФСТЭК от 11 февраля 2013 г. № 17 // Российская газета, № 136, 26.06.2013.

9. Меры защиты информации в государственных информационных системах. Методический документ ФСТЭК России от 11 февраля 2014 г.

10. Лемке Е.А., Лубкин И.А. Создание защищенной терминальной системы // Решетнев- ские чтения. 2013. Т. 2. № 17. С. 306-308.

11. Тищенко Е.Н., Буцик К.А., Деревяшко В. Модель доверенной сетевой загрузки «тонкого клиента» с нейтрализацией «внутреннего нарушителя» // Известия ЮФУ. Технические науки. 2015. № 5 (166). С. 37-47.

12. Руководящий документ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации Утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. [Электрон. ресурс]. Режим доступа: https://fstec.ru/component/attachments/download/299.

13. Гатчин Ю.А., Теплоухова О.А. Алгоритм аутентификации участников информационного взаимодействия при удаленной загрузке операционной системы на тонкий клиент // Научно-технический вестник информационных технологий, механики и оптики. 2016. Т. 16. № 3. 497-505.

14. Малиничев Д.М., Ермашов А.В. Обеспечение защиты информации в компании от несанкционированного доступа с помощью отечественных продуктов средств защиты информации // Colloquium-journal. 2019. № 11-1 (35). С. 101-103.


Дополнительные файлы

Для цитирования: Сизов В.А., Малиничев Д.М., Мочалов В.В. Совершенствование нормативно-правовой базы информационной безопасности для устройств терминального доступа государственной информационной системы. Открытое образование. 2020;24(2):73-79. https://doi.org/10.21686/1818-4243-2020-2-73-79

For citation: Sizov V.A., Malinichev D.M., Mochalov V.V. Improvement of the Regulatory Framework of Information Security for Terminal Access Devices of the State Information System. Open Education. 2020;24(2):73-79. (In Russ.) https://doi.org/10.21686/1818-4243-2020-2-73-79

Просмотров: 58

Обратные ссылки

  • Обратные ссылки не определены.


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 1818-4243 (Print)
ISSN 2079-5939 (Online)