Профилактика, предотвращение и установление обстоятельств нарушений информационной безопасности автоматизированных систем Заказчика

      Обеспечению защиты информации в автоматизированных системах управления - это сложный и трудоемкий процесс, который можно разделить по этапам.

     В первую очередь определить к какой категории отнести АС (автоматизированную систему), для того что бы определить ограничения для системы АСУ действующим законодательством. 

     Аттестацию АС на соответствие требованиям безопасности информации организует заказчик, проводит аттестацию АС организация, имеющая лицензию на данный вид деятельности.

В соответствии со ст. 16 Закона об информации, как уже отмечалось, защита информации представляет собой принятие правовых, организационных и технических мер, направленных на реализацию заданных функций АС.

      Обеспечение безопасности информации достигается путем выполнения требований по организации проведения следующего комплекса мер:

• предотвращения НСД к информации и (или) передачи ее лицам, не имеющим права на доступ к этой информации;
• своевременного обнаружения фактов НСД к информации;
• предупреждения о возможности наступления неблагоприятных последствий нарушения порядка доступа к информации;
• недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД к ней;
• постоянного контроля за обеспечением уровня защищенности информации.

     Разделяя мнение о целесообразности выделения одного из важных свойств АС — "свойство информационной безопасности АС", полагаем, что целесообразно также, характеризуя возможности системы, обеспечивать как собственную безопасность АС, так и безопасность задач пользователей данной системы.

     Под собственной информационной безопасностью АС понимается такое ее состояние, при котором обеспечивается защита:

• системы от различных физических и информационных разрушающих воздействий;
•  информации о самой системе;
• процессов и технологий, протекающих и реализуемых в информационной системе;
• информации пользователей АС от преднамеренных действий злоумышленников с целью ее хищения, уничтожения, утраты, несанкционированного получения, копирования, модификации, блокирования, дезорганизации и др.

     Под информационной безопасностью задач пользователей АС будем понимать такое состояние системы, при котором осуществляется защита средств информационно-лингвистического обеспечения задач, решаемых пользователем АС:

• от неадекватной, недостоверной, неполной и несвоевременной информации, предоставляемой пользователю во всех режимах обеспечения его работы;
• от разрушающих воздействий на информационные ресурсы пользователя АС и от предоставления дезинформации;
• от терминологического разнообразия и неопределенности терминов в информационно-лингвистическом обеспечении конкретного класса задач пользователей АС.

      При оценке состояния информационной безопасности рекомендует учитывать следующие условия:

1) точное определение информационного объекта (в частности, АС), чья безопасность обеспечивается;

2) информационный статус субъектов, безопасность прав которых обеспечивается;

3) правовой статус субъектов, обеспечивающих информационную безопасность;

4) знание угроз, рисков, правонарушений в зоне обеспечения информационной безопасности, а также источников, от которых эти угрозы исходят.

      При оценке состояния информационной безопасности систем электронного документооборота, как на межведомственном, так и на межгосударственном уровне, и разработке нормативных правовых актов, регулирующих отношения в сфере обеспечения информационной безопасности субъектов различных ведомств и государств важно не только учитывать, но и предъявлять единые требования по обеспечению понятийного единства взаимодействующих систем. Эти требования должны исключать разные определения и толкования терминов, используемых при решении соответствующих классов задач во взаимодействующих ведомствах и государствах.

Мы проанализируем Вашу автоматизированную систему (АС) и дадим рекомендации по приведению ее к состоянию требований нормативных документов