Информационные системы и технологии для ведения Государственного кадастра недвижимости

Информационная безопасность - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.

Большое значение при эксплуатации АИС имеет Защита информации. Система должна быть защищена от несанкционированного доступа, от случайного удаления и редактирования важной информации, от сбоев электропитания, от сбоев программного обеспечения. Важно, чтобы при эксплуатации ИС четко соблюдались принципы авторизации и аутентификации, соблюдения прав интеллектуальной собственности. В данном случае под авторизацией понимается установлении разрешенных для пользователя действий, аутентификацией – проверка подлинности имен пользователей, их групп и компьютеров (обычно с помощью парольной защиты). Законом преследуется, копирование и распространение программного обеспечения без санкции правообладателя.

При разработке ПО д.б. разработаны инструктивные положения с четким заданием установочных параметров (разрешения, цензы, гранты, точности, параметры переходов в разные системы координат и т.д.). Следует продумать правила регистрации пользователей, пароли, разграничение уровней доступа и назначения полномочий и т.д.

Любую документированную информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, необходимо защищать — создавать условия для ее хранения, предотвращения несанкционированного доступа и введения особого режима на ее распространение.

Защита информации и прав субъектов в области информационных процессов и информатизации заключается:

- в предотвращении утечки, хищения, утраты, искажения, подделки информации;

- обеспечении безопасности личности, общества, государства;

- предупреждении несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; других форм незаконного вмешательства в информационные ресурсы и информационные системы, а также в обеспечении правового режима документированной информации как объекта собственности;

- защите конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранении государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

- обеспечении прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Режим защиты информации устанавливают и регламентируют в отношении:

- сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

- конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом на основании Федерального закона «Об информации, информационных технологиях и защите информации»;

- персональных данных на основании Федерального законаот 27 июля 2006 г. №152-ФЗ «О персональных данных».

Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляют органы государственной власти в порядке, определяемом Правительством Российской Федерации.

Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

Собственник информационных ресурсов или уполномоченные им лица имеют право контролировать выполнение требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств, а с использованием информации, полученной из несертифицированной системы, — на потребителе информации.

Собственник документов, массивов, а также информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

Владелец документов, их массивов и информационных систем обязан оповещать собственника информационных ресурсов или информационных систем о всех фактах нарушения режима защиты информации.

При создании ИС необходимо обеспечить защиту прав субъектов в сфере информационных процессов и информатизации; права на доступ к информации; информации при работа пользователей ИС в сетях Internet/Intranet.

Права субъектов в сфере формирования информационных ресурсов, пользования информационными ресурсами, разработки производства и применения информационных систем, технологий и средств их обеспечения защищают в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

Приказом Федерального агентства правительственной связи иинформации при Президенте РФ от 23 сентября 1999 г. утверждено Положение о порядке разработки, производства, реализации ииспользования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющие государственную тайну.

Права субъектов в указанной сфере защищают суд, арбитражный суд, третейский суд с учетом специфики правонарушений и нанесенного ущерба.

За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.

Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возложена на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами, с учетом международных договоров, ратифицированных Российской Федерацией.

Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке.

Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли-продажи, по другим формам обмена информационными ресурсами между организациями рассматривает арбитражный суд. Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.

Суд рассматривает споры о необоснованном отнесении информации к категории информации с ограниченным доступом, иски о возмещении ущерба в случаях необоснованного отказа в предоставлении информации пользователям или в результате других нарушений прав пользователей.

Руководители, другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Система защиты информации должна включать комплекс следующих организационно-технических мероприятий:

- защиту физических носителей информации (бумажных или машинных);

- защиту информации, хранящейся в электронных хранилищах данных или циркулирующей в компьютерной сети;

- проведение специальных исследований и защиту оборудования, предназначенного для обработки, хранения и передачи информации;

- защиту телекоммуникационной среды, через которую происходит обмен информацией;

- проведение специальных проверок помещений на предмет выявления каналов утечки информации;

- криптографическую защиту информации в электронном виде.

Программно-технические способы и средства обеспечения информационной безопасности

Предлагается следующая классификация средств защиты информации.

· Средства защиты от несанкционированного доступа (НСД):

o Средства авторизации;

o Мандатное управление доступом;

o Избирательное управление доступом;

o Управление доступом на основе ролей;

o Журналирование (так же называется Аудит).

· Системы анализа и моделирования информационных потоков (CASE-системы).

· Системы мониторинга сетей:

o Системы обнаружения и предотвращения вторжений (IDS/IPS).

o Системы предотвращения утечек конфиденциальной информации (DLP-системы).

· Анализаторы протоколов.

· Антивирусные средства.

· Межсетевые экраны.

· Криптографические средства:

o Шифрование;

o Цифровая подпись.

· Системы резервного копирования.

· Системы бесперебойного питания:

o Источники бесперебойного питания;

o Резервирование нагрузки;

o Генераторы напряжения.

· Системы аутентификации:

o Пароль;

o Сертификат;

o Биометрия.

· Средства предотвращения взлома корпусов и краж оборудования.

· Средства контроля доступа в помещения.

· Инструментальные средства анализа систем защиты:

o Мониторинговый программный продукт.

Простейшие методы аутентификации, основанные на введении учетной записи (логина) и пароля, всем хорошо знакомы. Их недостатки: помимо того что пользователь вынужден запоминать множество паролей для входа в различные программы или системы, использование пароля давно уже не считается достаточной гарантией безопасности, так как его можно подсмотреть, подобрать или расшифровать, если он кодируется стандартными средствами операционной системы.

Следующим этапом в обеспечении защиты информации стало применение различных средств и способов шифрования. Широко распространено использование инфраструктуры открытых ключей (Public Key Infrastructure — PKI). Системы, основанные на PKI, генерируют два отдельных ключа шифрования, несходных, но связанных между собой: открытый (который называют также публичным) ключ, предоставляемый всем, от кого пользователь собирается получать зашифрованные данные, и закрытый (личный) ключ, который имеется только у его держателя. С помощью закрытого ключа можно создать цифровую сигнатуру, подтверждающую личность отправителя и целостность сообщения, а любой обладающий открытым ключом способен ее проверить. Но при этом, если открытый ключ становится известен злоумышленникам, он оказывается бесполезен, поскольку с его помощью можно провести лишь шифровку сообщения, а дешифровка невозможна без личного ключа.

Однако хранение ключей шифрования на жестких дисках компьютеров становится дополнительным фактором риска, поскольку подвергает их опасности копирования с дальнейшими попытками подбора парольной фразы и получения несанкционированного доступа к ключам.

Для кодирования информации возможно использовать такой способ биометрии, когда идентификатор пользователя всегда находится при нем и нет необходимости держать в памяти логины и пароли. Варианты использования биометрии разнообразны: аутентификация в зависимости от системы производится по геометрии руки и лица, радужной оболочке и сетчатке глаза, клавиатурному почерку и подписи. Активно ведутся разработки и в области голосовой аутентификации. Если раньше основной проблемой аналогичных систем была точность распознавания, то теперь главное препятствие для их внедрения — ситуации, когда голос пользователя меняется по независящим от него причинам (например, при простуде).

Более распространен контроль доступа к системе по отпечаткам пальцев. Специальные мыши и клавиатуры считывают отпечатки пальцев пользователя и передают информацию установленному на компьютере программному обеспечению. Слабая сторона — возможность частого выхода из строя дополнительных устройств.

Как показывает практика, возможно использование ложных отпечатков на негативах; экраны и поверхности таких устройств требуют частой очистки, и при интенсивной эксплуатации могут возникнуть проблемы. Кроме того, такой способ защиты информации требует больших финансовых затрат. Биометрия выполняет лишь задачи аутентификации пользователя, однако очевидно, что она не может освободить от всех остальных проблем — от конфиденциальности ЭЦП до применения различных методов шифрования в сетях.

Более универсален другой вариант — использование смарткарт (интеллектуальных карт), Их основное удобство — портативность и широкий спектр функций, позволяющий компании, выбрав данную технологию, постепенно достраивать необходимые компоненты защиты в зависимости от текущих потребностей. При этом не придется испытывать тех сложностей, которые возникают при простом использовании систем, основанных на PKI. Смарткарты обеспечивают двухфакторную аутентификацию при доступе к защищенным ресурсам и являются хранилищами любой секретной информации — от закрытых ключей (например, для использования в системах аутентификации для LAN, WAN и VPN) до цифровых сертификатов, делая ее мобильной и не подвергая угрозе копирования, как это может происходить с данными, расположенными на жестком диске. Соответственно их можно использовать для шифрования данных и переписки, защиты программного обеспечения (в частности, от внесения программных «закладок» и «логических бомб»), идентификации поступающих в сеть или на сайты Internet/Intranet запросов, дополнения почтового сообщения или транзакции цифровой подписью. Однако переход на смарткарты невозможен без приобретения специальных считывающих устройств и оснащения ими всех компьютеров, на которых работают с защищенными данными. Поэтому основной недостаток использования технологии смарткарт — большие материальные затраты.

Имеется более удобная технология электронных ключей, выполненных в виде брелка и по размеру сопоставимых с ключами от дома. Конкретные параметры устройства зависят от модели ключа.

Для подключения электронных ключей не требуется никаких дополнительных специальных устройств: ключ напрямую вставляется в порт USB.

Обеспечение защиты данных.

Предоставление пользователям доступа к базе данных.

Расширение и ограничение полномочий.

Управление защитой с помощью ролей.

Журнал транзакций базы данных

Архивация базы данных.

Руководящие документы ГТК
Защита от несанкционированного доступа к информации. Термины и определения
Настоящий документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкцио-нированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации
Настоящий руководящий документ устанавливает классификацию автоматизированных систем (АС), подлежащих защите от несанкционированного доступа (НСД) к информации, и требования позащите информации в АС различных классов. Под АС в данном документе понимается ориентированная на конкретных пользователей система обработки данных. Руководящий документ разработан в дополнение ГОСТ 24.104-85. Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формулировании и реализации требований по защите.
Временное положение по разработке СЗИ
Настоящее Положение устанавливает единый на территории Российской Федерации (РФ) порядок исследований и разработок в области: защиты информации, обрабатываемой автоматизированными системами (АС) различного уровня и назначения, от несанкционированного доступа (НСД); создания средств вычислительной техники (СВТ) общего и специального назначения, защищенных от утечки, искажения или уничтожения информации за счет НСД*), в том числе программных и технических средств защиты информации от НСД; создания программных и технических средств защиты информации от НСД в составе систем защиты секретной информации (СЗСИ) в создаваемых АС
Классификация по уровню контроля отсутствия недекларированных возможностей
Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей. Действие документа не распространяется на программное обеспечение средств криптографической защиты информации. Документ предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков ПО СЗИ при его контроле в части отсутствия недекларированных возможностей.
Классы АС
Классы автоматизированных систем
Классы СВТ
Распределение показателей защищенности по классам СВТ
Концепция защиты АС и СВТ от НСД к информации
Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации.
Средства вычислительной техники защита от несанкционированного доступа к информации Показатели защищенности от НСД к информации
Настоящий руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Межсетевые экраны
Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Документ предназначен для заказчиков и разработчиков МЭ, а также сетей ЭВМ, распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их защите от НСД к информации.
Средства антивирусной защиты
Настоящий руководящий документ устанавливает классификацию антивирусных средств (АВС), и требования по антивирусной защите информации в автоматизированных системах (АС) различных классов защищенности.
Специальные защитные знаки
Настоящий руководящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки.
Контрольно-кассовые аппараты
Настоящий руководящий документ распространяется на электронные контрольно-кассовые машины (ККМ) и автоматизированные кассовые системы (АКС), которые осуществляют обработку информации, подлежащей контролю налоговыми органами. Руководящий документ устанавливает термины и основные понятия в области защиты информации в ККМ и АКС, классификацию ККМ, АКС и требования по защите информации, связанной с налогообложением, в ККМ и АКС различных сфер применения.

В современных условиях появилась необходимость в систематизированной информации о состоянии земель, включающей основные сведения об объекте земельных отношений, субъектах права на землю, операциях с земельными участками и их стоимостных характеристиках. Обработка, хранение и систематизация больших объемов указанной выше информации требуют создания автоматизированной кадастровой системы.

Целью создания системы является повышение эффективности управления земельными ресурсами на основе автоматизации процесса информационного обеспечения принятия решений (стратегического планирования и управления регионом, финансовой и инвестиционной политики, рационального использования земель и землеустройства, контроля за использованием и охраной земель, мониторинга земель) и контроля их выполнения.

В качестве базового подхода при разработке АИС принята концепция геоинформационной системы (ГИС), предполагающей пространственное размещение описываемых объектов и их координатную привязку на местности.

Использование при реализации АИС данной концепции определяется требованиями, которым она должна удовлетворять, а именно: земельный ресурс должен быть представлен в графическом виде в совокупности с семантическими данными. Графическое представление должно быть организовано в виде плоскостной и пространственной модели с возможностью определения координат при указании любой точки на экранном отображении этой модели.

Основная целевая функция современной информационной системы — формирование информационной основы управления земельными ресурсами любого уровня, обеспечение процессов принятия эффективных управленческих решений достоверной информацией с необходимой степенью детализации.