Отчёт по практике на тему Обеспечение безопасности межсетевыми экранами на примере государственных информационных систем

Содержание:

Оглавление

ВВЕДЕНИЕ 3

ОБОСНОВАНИЕ АКТУАЛЬНОСТИ ТЕМЫ ИССЛЕДОВАНИЯ 5

ЗАЩИТА ИНФОРМАЦИИ МЕЖСЕТЕВЫМИ ЭКРАНАМИ 8

АНАЛИЗ МЕЖСЕТЕВЫХ ЭКРАНОВ ПРИМЕНЯЕМЫХ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ И НОРМАТИВНО-ПРАВОВАЯ БАЗА ПРИМЕНЕНИЯ МСЭ В ГИС 14

МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ГИС 20

РАЗРАБОТКА ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ РЕКОМЕНДАЦИЙ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ГИС С ПОМОЩЬЮ МСЭ 28

ЗАКЛЮЧЕНИЕ 33

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 34

Введение:

ВВЕДЕНИЕ

С конца прошлого века и по настоящее время, происходит активное развитие информационных технологий, цифровизация экономики. По этому, общественные отношения очень быстро меняются. Правительства большинства стран, включая и Россию, вынуждено идти в ногу со временем, чтобы контролировать экономические и общественные отношения. Взаимодействие населения, предпринимателей, организаций с государством активно переводится в интернет. Это упрощает процессы учёта, отчётности, подачи документов, и многие другие. Однако, подобные взаимоотношения, с использованием сетевых технологий, накладывают ответственность на пользователей и сами государственные органы, поскольку большинство государственных информационных систем (UBC) обрабатывают персональные данные.

Все информационные системы, делятся на три категории, изображённые на рисунке 1.

Рисунок 1. Категории информационных систем.

Информационные системы, используемые государством, имеют ряд особенностей и отличий от всех прочих информационных систем.

Во-первых, в таких системах должны выполняться довольно высокие и жёсткие требования к защите информации.

Во-вторых, государственные информационные системы (ГИС) должны обеспечивать конфиденциальность персональных данных.

И, наконец, ГИС должны отвечать требованиям регуляторов в области обращения с информацией — ФСБ (федеральная служба безопасности) и ФСТЭК (федеральная служба по техническому и экспортному контролю

Заключение:

ЗАКЛЮЧЕНИЕ

При выполнении практической работы были исследованы средства защиты информации в ГИС и нормативно-правовая база по защите информации в ГИС. Выяснено, что СЗИ, используемые в ГИС обязаны проходить обязательную аттестацию и сертификацию. СЗИ, прошедшие сертификацию, приведены в едином реестре ФСТЭК, в открытом доступе на официальном сайте ФСТЭК.

Проведён анализ существующих программных и программно-аппаратных средств защиты информации применяемых в государственных информационных системах, перечисленных в реестре ФТЭК.

На основе типовых решений и руководящих документов ФСТЭК разработана модель угроз безопасности ГИС в нотации CORAS.

Выработаны предложения по созданию и реализации средств защиты информации для государственных информационных систем на основе МСЭ. Подобные средства разрабатываются в соответствии с техническим заданием заказчика, в соответствии с существующими требованиями регулятора. Перед внедрением должны проходить ряд испытаний и сертификацию.

Все задачи работы выполнены, цель достигнута.

Фрагмент текста работы:

ОБОСНОВАНИЕ АКТУАЛЬНОСТИ ТЕМЫ ИССЛЕДОВАНИЯ

Анализ различных публикаций посвящённых вопросам обеспечения информационной безопасности (ИБ) в ГИС, даёт нам понимание того, что в данной области осуществляется государственное регулирование, и вопросы ИБ в ГИС регламентированы нормативными актами, как на федеральном уровне, так и на уровне ведомств и регионов.

Обеспечение информационной безопасности ГИС, как и для любой достаточно сложной информационной системы, решается комплексно, в соответствии с концепцией информационной безопасности организации и включает вопросы конфиденциальности, доступности и целостности информации[6].

Для различных государственных ИС, требуется, соответствующая решаемым ими задачами, стратегия по защите данных. В ситуации, когда ГИС используется для решения корпоративных задач, информация обладает коммерческой ценностью. Поэтому необходимо обеспечить и конфиденциальность хранимой и передаваемой информации, и разграничение доступа к ней. В ситуации же с общедоступными ГИС массового использования, большие усилия должны быть направлены в сторону защиты информации от повторного использования. В свою очередь, при организации защиты ГИС государственного значения, содержащие сведения ограниченного доступа, помимо разработки технических и программных средств согласно требованиям федеральной службы по техническому и экспортному контролю (ФСТЭК) необходима сертификация систем и средств защиты информации, и аттестация объектов информатизации по установленным требованиям безопасности[6].

С технической точки зрения ГИС ничем не отличается от всех прочих систем, однако, поскольку в ГИС производится работа с персональными данными, данными ограниченного доступа и составляющими государственную тайну, то требования к таким системам целиком и полностью определяются государственными органами. В соответствии с нормативно-правовыми актами