Приказ Федеральной налоговой службы от 29.08.2006 N САЭ-3-27/559 "Об утверждении Концепции информационной безопасности Федеральной налоговой службы" (утратил силу)

Приказ Федеральной налоговой службы от 29 августа 2006 г. N САЭ-3-27/559
"Об утверждении Концепции информационной безопасности Федеральной налоговой службы"

ГАРАНТ:

Приказом ФНС России от 13 января 2012 г. N ММВ-7-4/6@ настоящий приказ признан утратившим силу

В целях обеспечения информационной безопасности, конфиденциальности и защиты информации, соблюдения режима налоговой тайны в системе ФНС России приказываю:

1. Утвердить Концепцию информационной безопасности Федеральной налоговой службы (далее - Концепция) согласно приложению к настоящему приказу.

2. Начальникам структурных подразделений центрального аппарата ФНС России, руководителям (исполняющим обязанности руководителя) территориальных органов ФНС России и организаций, находящихся в ведении ФНС России, организовать ознакомление всех работников с Концепцией и обеспечить соблюдение ее требований в практической работе.

3. Управлению информационной безопасности (Д.В. Чепчугов):

в месячный срок разработать и представить на утверждение руководителю ФНС России план мероприятий по реализации Концепции;

в трехмесячный срок представить предложения о приведении нормативных актов ФНС России в части информационной безопасности в соответствие с Концепцией.

4. Контроль исполнения настоящего приказа оставляю за собой.

Руководитель Федеральной налоговой службы

А.Э. Сердюков

Концепция
информационной безопасности Федеральной налоговой службы
(утв. приказом Федеральной налоговой службы от 29 августа 2006 г. N САЭ-3-27/559)

ГАРАНТ:

См. Временный порядок резервного копирования, восстановления и архивного хранения электронных данных информационных систем, утвержденный приказом ФНС России от 14 октября 2011 г. N ММВ-7-4/648@

Список используемых сокращений

АИС	Автоматизированная информационная система
АРМ	Автоматизированное рабочее место
АС	Автоматизированная система
БД	База данных
ВТСС	Вспомогательные технические средства и системы
ВЧВС	Виртуальная частная вычислительная сеть
ЕСКД	Единая система конструкторской документации
ЕСПД	Единая система программной документации
ЕСТД	Единая система технологической документации
ЗИ	Защита информации
ЗП	Защищаемое помещение
ИБ	Информационная безопасность
ИТКС	Информационно-телекоммуникационная система
КЗ	Контролируемая зона
КСЗИ	Комплексная система защиты информации
ЛВС	Локальная вычислительная сеть
НСД	Несанкционированный доступ
ОБИ (ОИБ)	Обеспечение безопасности информации
ОТСС	Основные технические средства и системы
ПО	Программное обеспечение
ПС	Программные средства
РД	Руководящий документ
СЗИ НСД	Система защиты информации от НСД
СКЗИ	Средство криптографической защиты информации
СПД	Система передачи данных
СПО	Специальное программное обеспечение
СТК	Система телекоммуникаций;
СУБД	Система управления базами данных
ТП	Технический проект
ТТ	Технические требования
УЦ	Удостоверяющий центр
ФНС России	Федеральная налоговая служба России
ФСБ России	Федеральная служба безопасности России
ФСТЭК России	Федеральная служба по техническому и экспертному контролю России
ЦА ФНС России	Центральный аппарат ФНС России
ЭЦП	Электронная цифровая подпись

Основные термины и определения

Термины и определения действующих Законов, ГОСТ, Руководящих документов, используемых в "Концепции информационной безопасности ФНС России" (Федеральный закон от 04.07.96 г. N 24-ФЗ, N 85-ФЗ, ГОСТ Р 50992-96, СТР-К, РД ФСТЭК России "Защита от несанкционированного доступа к информации. Термины и определения"):

Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Администратор защиты - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации

Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.

Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях

Доступ к информации - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.

Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию.

Защита от несанкционированного доступа - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Защищаемые помещения - помещения, специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

Защищенное средство вычислительной техники (защищенная автоматизированная система) - средство вычислительной техники (автоматизированная система), в которой реализован комплекс средств защиты.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Идентификатор доступа - уникальный признак субъекта или объекта доступа.

Комплекс средств защиты - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.

Контролируемая зона - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств.

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации

Несанкционированный доступ - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Нарушитель правил разграничения доступа - субъект доступа, осуществляющий несанкционированный доступ к информации.

Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

Организация защиты информации - содержание и порядок действий по обеспечению защиты информации

Основные технические средства и системы - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации

Пароль - идентификатор субъекта доступа, который является его (субъекта) секретом.

Система разграничения доступа - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах

Санкционированный доступ к информации - доступ к информации, не нарушающий правила разграничения доступа.

Сертификат защиты - документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных.

Система защиты информации от несанкционированного доступа - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.

Средство защиты от несанкционированного доступа - программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.

Средство криптографической защиты информации - реализующие алгоритмы криптографического преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи.

Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Целостность информации - устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.

1. Общие положения

1.1. Назначение Концепции

Настоящая Концепция определяет систему взглядов на проблему обеспечения комплексной безопасности информации и устанавливает порядок организации и правила обеспечения информационной безопасности в Федеральной налоговой службе России (далее по тексту ФНС России), распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками ФНС России, требования по информационной безопасности к информационным средствам, применяемым в ФНС России. Документ представляет собой методологическую основу для разработки и реализации комплексных целевых программ обеспечения защиты информации на объектах информатизации ФНС России.

1.2. Сфера применения Концепции

Требования настоящей Концепции обязательны для всех структурных подразделений ФНС России и распространяются на:

- автоматизированные системы ФНС России;

- средства телекоммуникаций;

- помещения;

- сотрудников ФНС России.

Внутренние документы ФНС России, затрагивающие вопросы, рассматриваемые в данном документе, должны разрабатываться с учетом положений Концепции и не противоречить им.

1.3. Правовая основа Концепции

Правовую основу Концепции составляют:

- Конституция Российской Федерации;

- Закон Российской Федерации "О безопасности" от 05.03.92 N 2446-1;

- Федеральный закон "О связи" от 07.07.2003 N 126-ФЗ;

- Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ;

- Федеральный закон "Об информации, информатизации и защите информации" от 20.02.95 N 24-ФЗ;

- Федеральный закон "Об участии в международном информационном обмене" от 05.06.96 N 85-ФЗ;

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как "от 04.07.96 N 85-ФЗ"

- Указ Президента Российской Федерации "Об утверждении Концепции национальной безопасности Российской Федерации" от 17.12.97 N 1300;

- Указ Президента Российской Федерации "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" от 12.05.2004 N 611;

- Доктрина информационной безопасности Российской Федерации, утверждена Президентом Российской Федерации 09.09.2000 Пр-1895;

- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Гостехкомиссия России, 2002 г.

- Налоговый кодекс Российской федерации Ч.1 от 31 июля 1998 г. с изменениями;

- другие законодательные акты, руководящие и нормативно-методические документы Российской Федерации в области обеспечения информационной безопасности.

1.4. Цели и задачи обеспечения безопасности информации

Главная цель обеспечения безопасности информации, циркулирующей в ФНС России, - реализация положений законодательных актов Российской Федерации и нормативных требований по защите информации ограниченного доступа (далее по тексту - конфиденциальной или защищаемой информации) и предотвращение ущерба в результате разглашения, утраты, утечки, искажения и уничтожения информации, ее незаконного использования и нарушения работы информационно-телекоммуникационной системы ФНС.

Основными целями обеспечения безопасности информации являются:

- предотвращение утечки, хищения, искажения, подделки информации, циркулирующей в ИТКС ФНС России;

- предотвращение нарушений прав личности клиентов на сохранение конфиденциальности информации, циркулирующей в ИТКС ФНС России;

- предотвращение несанкционированных действий по блокированию информации;

Основными задачами обеспечения безопасности информации являются:

- соответствие положениям законодательных актов и нормативным требованиям по защите;

- оптимальное, с экономической точки зрения, отнесение информации, циркулирующей в ФНС России к категории ограниченного доступа - служебной тайны, иной чувствительной к нарушению безопасности информации, подлежащей защите;

- своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба интересам ФНС России, нарушению нормального функционирования и развития ИТКС ФНС России;

- создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции в системе информационных отношений;

- эффективное пресечение незаконных посягательств на информационные ресурсы, технические средства и информационные технологии, в том числе с использованием организационно-правовых и технических мер и средств защиты информации;

- создание условий для максимально возможного возмещения и локализации наносимого интересам ФНС России ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения информационной безопасности;

- совершенствование политики безопасности в информационной сфере, комплекса мероприятий и механизмов ее реализации;

- разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности подразделений ФНС России по обеспечению защиты информации;

- развитие системы защиты, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;

- создание и применение защищенных информационных объектов и АИС, центров обработки защищаемой информации;

- развитие и совершенствование защищенного юридически значимого электронного документооборота.

- создание механизмов, обеспечивающих контроль системы информационной безопасности и гарантии достоверности выполнения установленных требований информационной безопасности

- создание механизмов управления системой информационной безопасности;

2. Объекты защиты

2.1. Объектами защиты ФНС России являются:

- информационные ресурсы;

- средства и системы обработки информации;

- средства и системы защиты информации, в т.ч. криптографической защиты информации;

- помещения или объекты, предназначенные для ведения закрытых переговоров.

2.2. Информационные ресурсы ФНС России

Под информационными ресурсами в ФНС понимаются совокупности сведений в электронном виде (база данных, электронная библиотека, реестр, кадастр, фонд, архив и другие виды информационных массивов), поддерживаемые программно-техническими средствами автоматизированной информационной системы. Информационные ресурсы представляют собой хранилища данных налоговых органов, из которого путем специализированной обработки пользователю предоставляется информация на электронных или бумажных носителях, в том числе в виде отдельных фрагментов баз данных, отчетов и справок.

Информационные ресурсы в ФНС России разделены на 4 основные группы:

- информационные ресурсы по государственной регистрации и учету юридических и физических лиц;

- информационные ресурсы по формам налоговой отчетности, ежегодно утверждаемым приказом ФНС России;

- информационные ресурсы, формируемые на основе сведений, получаемых из внешних источников;

- вспомогательные информационные ресурсы.

Технологической основой формирования информационных ресурсов является программно-техническая среда ведомственной автоматизированной информационной системы налоговых органов.

Используемые в информационных системах ФНС России технологии взаимодействия при обработке информационных ресурсов включают:

- электронную почту (протокол SMTP);

- электронный обмен файлами (протокол FTP);

- обмен файлами на магнитных носителях в формате XML;

- Web-доступ к ресурсам сети (протокол HTTP/ HTML);

- технологию терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA);

- публикацию информации о функциональных сервисах и электронный обмен сообщениями и документами (протоколы SOAP/XML, UDDI, WSDL, WSFL);

- репликацию баз данных (служба репликации DFS/FRS).

Основным источником информации для наполнения первичных баз данных ИТКС являются документы и сообщения, поступающие от структурных подразделений ФНС России, налогоплательщиков и внешних организаций.

Информационное и функциональное взаимодействие узлов ИТКС ФНС России осуществляется на основе интегрированных (логически единых) баз данных, обеспечивающих должностных лиц структурных подразделений ФНС России требуемой информацией.

Обмен информацией осуществляется:

- внутри узлов - по локальным вычислительным сетям - программными и техническими средствами ЛВС в соответствии с транспортными протоколами обмена информацией между абонентами;

- между узлами ИТКС ФНС России и информационными системами внешних организаций и ведомств - по каналам связи (или на магнитных носителях) в соответствии с соглашениями и протоколами по обмену информацией.

Вся информация, хранимая, обрабатываемая или передаваемая в рамках подразделений ФНС России с использованием информационной системы, классифицирована по степени важности и критичности на следующие категории.

Конфиденциальная информация

К конфиденциальной относится информация, составляющая налоговую и коммерческую тайну, информация о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющая идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, а также любая другая закрытая информация, являющаяся собственностью государства. При обработке этой информации необходимо соблюдать требования "Специальных требований и рекомендаций по защите информации с ограниченным доступом, обрабатываемой техническими средствами (СТР-К)" Государственной технической комиссии при Президенте РФ, Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, Положение ПКЗ-2005 ФСБ России, а также прочих нормативных правовых актов, регламентирующих работу с конфиденциальной информацией.

При хранении, передаче и обработке данной информации необходимо обеспечить максимальный уровень ее защиты.

Служебная информация

К служебной информации могут быть отнесены любые сведения, относящиеся к деятельности подразделений ФНС России, несанкционированное распространение которых может привести к отрицательным экономическим, этическим или иным последствиям для ФНС России. Хранение, обработка и передача такой информации должна осуществляться в соответствии с требованиями настоящего документа.

Рабочая информация

Рабочая информация включает в себя сведения, имеющие отношение к внутренней деятельности подразделений ФНС России и не относящиеся к конфиденциальной или служебной информации. При хранении, передаче и обработке такой информации необходимо обеспечить максимальный уровень ее целостности и аутентичности в соответствии с положениями настоящего документа.

Прочие виды информации

Для прочих видов информации порядок хранения, передачи и обработки с использованием автоматизированных систем не регламентируется.

2.3. Средства и системы обработки информации

Средства и системы обработки информации ФНС России представляют собой совокупность программного обеспечения и технических средств обработки и передачи информации, а также систему телекоммуникаций (СТК).

Техническое обеспечение (ТО) включает следующие компоненты:

- серверные комплексы (платформы);

- рабочие станции пользователей;

- технические средства ввода/вывода информации:

- рабочие места операторов ручного ввода;

- рабочие места операторов ввода данных с магнитных носителей;

- сканеры;

- комплексы сканирования документов (для ЦОДов);

- принтеры.

- средства хранения и архивирования данных;

- активное и пассивное оборудование локальной вычислительной сети (ЛВС);

- средства бесперебойного питания.

Система телекоммуникаций (СТК), поддерживает информационный обмен между внутренними абонентами и информационными системами ФНС России, а также информационную связь с внешними абонентами. В системной архитектуре СТК выделены следующие функциональные подсистемы:

- Транспортная подсистема;

- Ведомственная телефонная сеть;

- Подсистема видеоконференцсвязи;

- Подсистема удаленного доступа к информационным ресурсам;

- Технологическая сеть ТВ-вещания;

- Подсистема электронной почты;

- Подсистема управления, мониторинга и обслуживания СТК.

В состав СТК входят узлы федерального, регионального и местного уровня.

В состав программного обеспечения информационных систем ФНС входят:

- общесистемное программное обеспечение;

- специальное (прикладное) программное обеспечение.

Общесистемное программное обеспечение включает в себя:

- серверные и клиентские операционные системы;

- СУБД;

- пакеты офисных программ;

- пакеты программ для групповой работы

- терминальные серверные и клиентские программы

- серверы и клиенты документооборота;

- средства электронной почты;

- средства управления информационной безопасностью;

- средства управления и администрирования системой;

Специальное программное обеспечение (СПО) является совокупностью аналитических и логических методов и алгоритмов, программ их реализации, отражающих специфику автоматизируемых процессов и предназначенных для обеспечения деятельности должностных лиц ФНС России.

2.4. Средства обеспечения

Под средствами обеспечения центрального аппарата и территориальных органов ФНС России понимаются вспомогательные инженерно-технические системы, не участвующие в обработке информации, содержащей конфиденциальные сведения. В общем виде к этим системам относятся:

- системы электропитания и заземления объектов;

- системы связи (ведомственной, междугородней, городской, внутренней), не предназначенной для закрытых переговоров;

- системы пожарной и охранной сигнализации;

- электронные системы контроля и управления доступом на территорию и в помещения;

- системы громкоговорящей связи и оповещения;

- системы кондиционирования, отопления и воздухоснабжения.

2.5. Объекты, предназначенные для ведения закрытых переговоров

В качестве объектов, предназначенных для ведения закрытых переговоров, необходимо рассматривать следующие помещения центрального аппарата и территориальных органов ФНС России:

- кабинеты руководящего состава, используемые для обсуждения конфиденциальной информации;

- помещения для проведения совещаний и переговоров по конфиденциальным вопросам (комнаты переговоров, конференцзалы);

- помещения, в которых установлены оконечные устройства защищенной телефонной закрытой связи;

- другие помещения, в том числе и технические, в которых может обсуждаться конфиденциальная информация.

3. Модель угроз безопасности информации в ФНС России

3.1. Основные факторы, воздействующие на информационную безопасность ФНС России

Основными факторами, воздействующими на информационную безопасность ФНС России, являются:

- Природный фактор. Совокупность угроз природного характера, являющихся следствием воздействия естественной непреодолимой силы (стихии) - землетрясения, наводнения, метеорологические катаклизмы и т.п., приводящие к устойчивому нарушению функционирования информационных и телекоммуникационных ресурсов, вплоть до их утраты или физического уничтожения. Вероятность определяется спецификой территории, на которой дислоцируется защищаемый объект - многолетними метеорологическими наблюдениями, геотектоническими данными и др.

- Техногенный фактор. Совокупность угроз искусственного характера, вызванных результатами человеческой деятельности (цивилизации) - пожары, взрывы, затопления, радиационные и химические заражения, энергетические аварии, разрешение коммуникаций, в том числе - в результате террористических актов, диверсий, массовый беспорядков и ведения боевых действий.

- Системный фактор. Возникновение угрозы целостности информации и (или) функционированию информационно-телекоммуникационных средств, систем и сетей в результате ошибок в их проектировании и разработке или возникновения внутрисистемных сбоев (фатальных ошибок) при их эксплуатации, в том числе - из-за несовершенства или конфликтов программного обеспечения или неисправности оборудования.

- Человеческий фактор. Возникновение угрозы безопасности информации в результате отсутствия профессиональных навыков, недостаточной подготовки, халатности, ненадлежащего исполнения обязанностей или злого умысла персонала, эксплуатирующего информационно-телекоммуникационные средства, системы и сети, разработчиков программного обеспечения и пользователей, имеющих допуск к информации на законном основании. Нарушение правил эксплуатации ЭВМ, их систем и сетей лицами, ответственными за эту работу.

- Криминальный фактор. Целенаправленное внешнее воздействие на информационные ресурсы и информационно-телекоммуникационные средства, системы и сети ("атаки", вторжения) с целью уничтожения, блокирования или копирования информации, разработка и внедрение вредоносных программ (вирусов, симуляторов, "троянских" программ, клавиатурных перехватчиков и др.) внедрение специальных технических средств для негласного получения информации.

3.2. Угрозы безопасности информации и их источники

Информация, обрабатываемая в ИТКС ФНС России, дает потенциальную возможность для проявления угроз безопасности, вызванных действиями, процессами или явлениями, приводящими к нанесению ущерба ФНС России. В соответствии с ГОСТ Р 50922-96 предусматривается два типа угроз безопасности

- связанные с утечкой информации (разглашение, утечка, несанкционированный доступ);

- связанные с несанкционированным воздействием на информацию и ее носители (искажение, уничтожение, копирование, блокирование, утрата, сбой функционирования носителя информации, сбои и ошибки техники, ошибки пользователей, природные явления, другие случайные воздействия).

Основными источниками угроз безопасности информации ФНС являются:

- Стихийные: Стихийные бедствия, катаклизмы;

- Техногенные: аварии, сбои и отказы оборудования (технических средств);

- Ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программного обеспечения и т. п.);

- Антропогенные: Ошибки эксплуатации;

- Антропогенные: Преднамеренные действия нарушителей и злоумышленников.

3.3. Классификация способов реализации угроз информационной безопасности

Угрозы информационной безопасности по отношению к защищаемым объектам могут быть разделены на:

- угрозы, связанные с применением технических средств;

- угрозы, связанные с использованием программного обеспечения;

- угрозы, связанные с нарушением технологического процесса обмена данными;

- угрозы, связанные с использованием сетей передачи данных.

3.3.1. Пути реализации непреднамеренных субъективных угроз безопасности информации

Пользователи, операторы, системные администраторы и сотрудники, обслуживающие информационные системы ФНС России, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.

Основные пути реализации непреднамеренных искусственных (субъективных) угроз информационной безопасности (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) следующие:

- Действия сотрудников ФНС, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств: отключению оборудования или изменению режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.)

- Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.)

- Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.)

- Непреднамеренное заражение компьютера вирусами

- Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭЦП, идентификационных карточек, пропусков и т.п.)

- Игнорирование организационных ограничений (установленных правил) при работе в системе

- Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности

- Ввод ошибочных данных

3.3.2. Пути реализации преднамеренных субъективных угроз безопасности информации

Основные возможные пути умышленной дезорганизации работы, вывода информационных систем ФНС России из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.) могут быть следующими:

- Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п.)

- Хищение носителей информации (распечаток, магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.)

- Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств.

- Использование чужих прав по доступу к ресурсам АС путем незаконного получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д.).

- Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как имя рабочей станции в сети, физический адрес, адрес в системе связи и другие.

- Несанкционированная модификация программного обеспечения - внедрение программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования АС

- Перехват данных, передаваемых по каналам связи, и их анализ с целью получения сведений, в том числе ограниченного распространения и выяснения протоколов обмена, правил вхождения в связь и авторизации пользователей и последующих попыток их имитации для проникновения в систему

- Вмешательство в процесс функционирования АС сетей общего пользования с целью несанкционированной модификации данных, доступа к сведениям ограниченного распространения, дезорганизации работы подсистем АС и т.п.

3.3.3. Пути реализации непреднамеренных техногенных угроз безопасности информации

- закупки несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;

- аварии в системах электропитания;

- аварии в системах отопления и водоснабжения в непосредственной близости к техническим средствам обработки информации;

- нарушение температурного режима в помещениях с критическим оборудованием (серверы, узлы связи) в результате неисправности систем кондиционирования;

- неумышленное повреждение внешних кабельных систем связи строительными организациями, физическими лицами и т.п. в результате проведения несогласованных работ в местах прокладки кабелей связи;

- возникновение пожаров в непосредственной близости к техническим средствам обработки информации в результате неисправной электропроводки, неисправных технических средств, нарушения сотрудниками правил противопожарной безопасности.

3.3.4. Пути реализации непреднамеренных стихийных угроз безопасности информации

- Разрушение зданий, отдельных помещений, в которых установлены технические средства обработки информации, хранилища данных в результате стихийных бедствий (наводнений, землетрясений, ураганов) в районе размещения объекта информатизации ФНС России

- воздействие атмосферного электричества на технические средства обработки информации и системы обеспечения (электропитание, охранная, пожарная сигнализация и т.п.)

- возникновение стихийных очагов пожаров (лесные пожары) в непосредственной близости от объекта информатизации ФНС России

3.4. Классификация нарушителей информационной безопасности ФНС России

При анализе угроз информационной безопасности ФНС используется модель нарушителя по признаку принадлежности к ФНС. В соответствии с этой моделью все нарушители делятся на две основные группы: внутренние и внешние.

Под внутренними нарушителями подразумеваются все сотрудники ФНС, имеющие санкционированный доступ на территорию ФНС или к ресурсам АС. Под внешними нарушителями подразумеваются все остальные лица.

Внутренним нарушителем может быть лицо из следующих категорий сотрудников:

- пользователи информационных ресурсов ФНС;

- обслуживающий персонал (системные администраторы, администраторы АС, администраторы баз данных, инженеры);

- сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение;

- другие сотрудники подразделений ФНС, имеющие санкционированный доступ в здания, где расположено оборудование передачи и обработки информации АС ФНС.

Предполагается, что несанкционированный доступ на объекты ФНС посторонних лиц исключается организационными мерами (охрана территории, организация пропускного режима).

Внешние нарушители информационной безопасности:

- лица, самостоятельно осуществляющие создание методов и средств реализации атак, а также самостоятельно реализующие атаки, совершающие свои действия с целью нанесения ущерба ФНС (съем информации, искажение информации, разрушение системного или прикладного ПО);

- спецслужбы иностранных государств, осуществляющие создание методов и средств реализации атак, а также реализующие атаки с привлечением научно-исследовательских центров.

Потенциальные нарушители делятся на три группы:

1 группа - субъекты, не имеющие доступ в пределы контролируемой зоны ФНС.

2 группа - субъекты, не имеющие доступ к работе со штатными средствами АС ФНС, но имеющие доступ в помещения, где они размещаются.

3 группа - субъекты, имеющие доступ к работе со штатными средствами АС ФНС.

Квалификация потенциального нарушителя.

А - не является специалистом в области вычислительной техники.

В - самый низкий уровень возможностей - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции при обработке информации.

С - возможности создания и запуска собственных программ с новыми функциями по обработке информации.

Д - возможность управления функционированием автоматизированной системы, т.е. воздействием на базовое программное обеспечение системы, на конфигурацию ее оборудования.

Е - включает весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств автоматизированной системы, вплоть до включения в состав АС собственных технических средств с новыми функциями по обработке информации.

Наряду с классификацией, приведенной выше, нарушителей информационной безопасности ФНС можно разделить на следующие виды - неосторожные (халатные), манипулируемые, саботажники, нелояльные и мотивируемые извне.

Неосторожные, манипулируемые нарушители создают незлонамеренные ненаправленные угрозы, то есть они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями - вынос информации с предприятия для работы с ней дома, в командировке и т. д., с дальнейшей утерей носителя или доступом членов семьи к этой информации, получению обманным путем персональной информации пользователей - паролей, персональных идентификационных номеров. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов.

Поскольку манипулируемые и неосторожные сотрудники действуют из своего понимания "блага" предприятия (оправдываясь тем, что иногда ради этого блага нужно нарушить инструкции, которые только мешают эффективно работать), два этих типа нарушителей можно отнести к типу "незлонамеренных". Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.

Следующая группа нарушителей - злонамеренные, то есть в отличие от сотрудников, описанных выше, осознающие, что своими действиями они наносят вред предприятию, на котором работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, их можно подразделить на три типа - саботажники, нелояльные и мотивируемые извне.

Саботажники - это сотрудники подразделений ФНС, стремящиеся нанести вред организации из-за личных мотивов. Мотивом такого поведения может быть обида из-за недостаточной оценки их роли в организации - недостаточный размер материальной компенсации, неподобающее место в иерархии предприятия, отсутствие элементов моральной мотивации. Отличием от других типов нарушителей является то, что - во-первых, сотрудник не собирается покидать организацию и, во-вторых, цель сотрудника - нанести вред, а не похитить информацию. То есть он стремится к тому, чтобы руководство не узнало, что утечка произошла из-за него, и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое, например, на уничтожение или фальсификацию доступной информации, или похищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, соответственно для оглашения или шантажа.

Следующий тип нарушителей - нелояльные сотрудники. Прежде всего, это сотрудники, принявшие решение сменить место работы. По направленности угроза, исходящая от таких нарушителей, является ненаправленной - нарушители стараются унести максимально возможное количество доступной информации.

Если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального "покупателя" конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем - мотивированным извне.

Мотивированные извне - это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы информационной сети "работодатели" могут снабдить их соответствующими устройствами или программами для обхода защиты.

3.5. Обобщенная модель угроз безопасности информации ФНС России

Угроза информационной безопасности	Источник угроз	Способы реализации угроз
I. Получение информации	1. Антропогенный	а) Разглашение, передача или утрата атрибутов разграничения доступа
		б) Внедрение агентов в число персонала системы
		в) Хищение носителей информации
		г) Незаконное получение паролей и других реквизитов разграничения доступа
		д) Несанкционированная модификация программного обеспечения
		е) Перехват данных, передаваемых по каналам связи
		ж) Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств
II. Анализ характеристик информации	1. Антропогенный	а) Хищение носителей информации хищение производственных отходов
		б) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств
		в) Несанкционированная модификация программного обеспечения
		г) Перехват данных, передаваемых по каналам связи, и их анализ
III. Изменение (искажение, подмена) информации	1. Антропогенный	а) Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.)
		б) Непреднамеренное заражение компьютера вирусами
		в) Ввод ошибочных данных
		г) Вмешательство в процесс функционирования АС сетей общего пользования с целью несанкционированной модификации данных
	2. Техногенный	а) аварии в системах электропитания
		б) нарушение температурного режима в помещениях с критическим оборудованием (серверы, узлы связи) в результате неисправности систем кондиционирования
IV. Нарушение информации	1. Антропогенный	а) Действия сотрудников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств
		б) Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.)
		в) Непреднамеренное заражение компьютера вирусами
		г) Игнорирование организационных ограничений (установленных правил) при работе в системе
		д) Ввод ошибочных данных
	2. Техногенный	а) аварии в системах электропитания
		б) нарушение температурного режима в помещениях с критическим оборудованием (серверы, узлы связи) в результате неисправности систем кондиционирования
V. Нарушение работоспособности систем	1. Антропогенный	а) Действия сотрудников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств
		б) Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы
	2. Техногенный	а) закупки несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;
		б) аварии в системах электропитания;
		в) аварии в системах отопления и водоснабжения в непосредственной близости к техническим средствам обработки информации;
		г) нарушение температурного режима в помещениях с критическим оборудованием (серверы, узлы связи) в результате неисправности систем кондиционирования;
		д) неумышленное повреждения внешних кабельных систем связи строительными организациями, физическими лицами и т.п. в результате проведения несогласованных работ в местах прокладки кабелей связи;
		е) возникновение пожаров в непосредственной близости к техническим средствам обработки информации в результате неисправной электропроводки, неисправных технических средств, нарушения сотрудниками правил противопожарной безопасности.
	3. Стихийный	а) Разрушение зданий, отдельных помещений
		б) воздействие атмосферного электричества
		в) возникновение стихийных очагов пожаров

Наложение угроз безопасности информации на модель ИТКС ФНС России (Рис. 1) позволяет в первом приближении оценить их опасность и методом исключения определить наиболее актуальные для конкретного объекта защиты. Кроме того, можно оценить объемы необходимых работ и выбрать магистральное направление по обеспечению безопасности информации.

4. Организация системы обеспечения информационной безопасности ФНС России

4.1. Организационно-штатная структура подразделений отвечающих за обеспечение информационной безопасности ФНС России

Общее руководство системой информационной безопасности и принятие всех решений по вопросам ее функционирования осуществляет Руководитель ФНС России.

Руководство и контроль за выполнением мероприятий по защите информации в подразделениях ФНС России осуществляют их руководители.

Исполнительные органы:

- Управление информационной безопасности ЦА ФНС России;

- Управление собственной безопасности ЦА ФНС России;

- Первый отдел ЦА ФНС России;

- Территориальные подразделения (управления и межрегиональные инспекции) ФНС России (отделы информационной безопасности подразделений, ответственные за информационную безопасность сотрудники подразделений);

4.2. Порядок разработки и эксплуатации системы обеспечения информационной безопасности ФНС России

Жизненный цикл системы обеспечения информационной безопасности ФНС России включает этап развертывания и этапы постоянного функционирования и совершенствования.

К моменту начала развертывания системы информационной безопасности должны быть уточнены и утверждены Руководством Службы права и обязанности участников работ по защите информации в соответствии с данной Концепцией. Должен быть разработан и утвержден план-график развертывания системы информационной безопасности ФНС России.

Основные этапы развертывания системы должны включать в себя последовательное проведение следующих мероприятий:

- Издание Приказа по ФНС России об организации системы информационной безопасности.

- Разработка и уточнение функций различных подразделений и структур, распределение прав и обязанностей подразделений в системе информационной безопасности ФНС России.

- Назначение администраторов безопасности управлений (структурных подразделений).

- Уточнение состава администраторов сетей, БД и систем.

- Подготовка к информационному обследованию в подразделениях.

- Информационное обследование подразделений ФНС России.

- Определение перечня угроз, модели нарушителя, требований к системе информационной безопасности;

- Разработка проектной документации на систему обеспечения информационной безопасности;

- Разработка (доработка) нормативно-методической базы системы обеспечения информационной безопасности;

- Ввод системы обеспечения информационной безопасности в действие;

- Категорирование информационных ресурсов ФНС России;

- Аттестация объектов информатизации ФНС России по требованиям безопасности информации.

- Поддержка системы обеспечения информационной безопасности в работоспособном и актуальном состоянии.

4.3. Организация системы комплексного мониторинга и контроля состояния информационной безопасности ФНС России

Контроль и комплексный мониторинг состояния системы информационной безопасности ФНС России выполняется с целью обеспечения надежности и устойчивости системы информационной безопасности, обеспечения доверия к ней и гарантий выполнения требований по ИБ.

Задачи контроля и комплексного мониторинга состояния информационной безопасности:

- определение критериев для оценки безопасности существующих и создаваемых систем в рамках информационно-телекоммуникационной системы ФНС России;

- определение соответствия или несоответствие создаваемых и существующих систем этим критериям;

- формулировка обоснованных предложений по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям.

Для осуществления контроля выполнения требований должна быть организована система отчетности о выполнении требований по безопасности. Отчетность должна вестись ответственным за ИБ соответствующего рабочего места, процесса, системы или организационной структуры. С заданной периодичностью отчетность должна отправляться на обработку комплексом учета и анализа выполнения требований организации. В результате обработки поступающей с мест отчетности о выполнении требований безопасности должны выдаваться аналитические данные о состоянии выполнения требований безопасности и об имеющихся проблемах с выполнением требований. На основании этих данных руководство сможет реально оценивать ситуацию с состоянием безопасности во всех подразделениях ФНС России.

Основные операции по учету и контролю выполнения требований должны быть автоматизированы.

Обязанности по контролю распределяются между исполнительными органами системы информационной безопасности следующим образом:

- Управление информационной безопасности ФНС России проводит проверки организации и состояния информационной безопасности в управлениях ЦА ФНС, контролирует ее состояние специальными средствами;

- администраторы безопасности подразделения ФНС России контролируют текущее состояние информационной безопасности в подразделениях;

- администраторы систем, СУБД, сетей контролируют текущее состояние информационной безопасности в системах, СУБД, сетях;

- сотрудники подразделения контролируют текущее состояние информационной безопасности на своих рабочих местах.

Мероприятия для организации системы комплексного мониторинга и контроля состояния информационной безопасности

Должна быть организована система непрерывного контроля за состояние системы информационной безопасности следующим образом:

- определение перечня подразделений, рабочих мест, систем, процессов, по которым должен проводиться контроль выполнения требований.

- определение списка требований, для каждой структурной единицы.

- организация сбора отчетности о выполнении требований по ИБ.

- обработка и анализ собранных форм отчетности выводами о выполнении требований;

- периодический пересмотр системы требований

- контроль полноты и непротиворечивости системы требований.

Решение всех перечисленных задач должно быть автоматизировано путем использования необходимых программных средств контроля выполнения требований.

Помимо ежедневного контроля Управлением информационной безопасности ФНС России должны выполняться периодические проверки организации и состояния информационной безопасности, в том числе:

Проверки организации и состояния информационной безопасности проводятся Управлением информационной безопасности ФНС России в подразделениях и в ИТКС ФНС России и могут быть:

- плановыми;

- внезапными;

- по фактам нарушения информационной безопасности.

Плановые проверки проводятся в соответствии с годовым Планом проверок, который составляется Управлением информационной безопасности на очередной год в декабре текущего года, утверждается заместителем Службы и рассылается во все подразделения. Плановыми проверками должны быть охвачены все управления ЦА, ЦОД и не менее 30% территориальных управлений в год, каждое территориальное управление должно подвергаться плановой проверке не реже, чем один раз в три года. Каждый ЦОД должен проверяться ежегодно. В ходе плановых проверок должна полностью проверяться вся организация системы информационной безопасности подразделения.

Внезапные проверки проводятся Управлением информационной безопасности ФНС России в соответствии с внутренними планами работы. Каждое территориальное управление должно подвергаться внезапным проверкам не менее чем один раз в два года. Внезапные проверки проводятся по отдельным вопросам организации информационной безопасности.

Проверки по фактам нарушения информационной безопасности проводятся Управлением информационной безопасности после того, как нарушение устранено. Проверка проводится с целью выявление причин и предпосылок нарушения и выработка мер по предупреждению подобных нарушений в дальнейшем. Проверка проводится в обязательном порядке по каждому факту нарушения независимо от его последствий.

Результаты всех проверок оформляются двусторонними актами с необходимыми в каждом конкретном случае приложениями. При возникновении разногласий с проверяемым управлением может оформляться односторонний акт Управления информационной безопасности.

Контроль Управлением информационной безопасности состояния информационной безопасности с применением специальных средств - это текущий контроль, обеспечивающий независимую от работы информационной системы и сотрудников ФНС России оценку состояния ее безопасности. Такой контроль применяется в первую очередь в ИТКС ФНС России с использованием специальных автоматизированных рабочих мест (АРМ безопасности). Также для текущего контроля могут применяться различные технические средства пассивного и активного характера для перехвата информации, позволяющие оценить эффективность применяемых методов и средств обеспечения ее безопасности.

Администраторы безопасности подразделений и администраторы систем, СУБД и сетей контролируют состояние информационной безопасности на подведомственных участках. С этой целью они:

- контролируют правильность выполнения сотрудниками действий по доступу к объектам информационной системы;

- анализируют состояние информационной системы с целью выявлений попыток несанкционированного доступа и использования информационных средств и информации;

- контролируют правильность использования имеющихся коллективных и индивидуальных средств информационной защиты.

В случае выявления каких-либо отклонений или нарушений в системе информационной безопасности администраторы безопасности принимают меры к их устранению самостоятельно, через руководителя соответствующего управления или с привлечением Управления информационной безопасности ЦА ФНС России. Ответственность за принятие этих мер и сообщение о происшедшем руководителю подразделения или в Управление информационной безопасности несет администратор.

Сотрудники подразделения анализируют состояние своих рабочих мест с целью выявления попыток несанкционированного доступа и использования информационных средств и информации. В случае выявления таких попыток сотрудник сообщает об этом администратору безопасности подразделения и руководителю структурного подразделения.

Для эффективного контроля состояния информационной безопасности необходимо провести обучение сотрудников подразделений ФНС России с целью повышения уровня их осведомленности в вопросах информационной безопасности.

Для организации контроля и комплексного мониторинга системы информационной безопасности необходимо разработать и внедрить следующие организационно-распорядительные и нормативно-технические документы:

- Политика контроля и комплексного мониторинга состояния системы информационной безопасности в ФНС России;

- Регламент проведения плановых проверок информационной безопасности;

- Регламент расследования инцидентов информационной безопасности;

- Должностные инструкции администраторов безопасности подразделений ФНС России, администраторов систем, СУБД, сетей (в том числе разделы, касающиеся организации контроля и мониторинга информационной безопасности);

- Памятка сотрудника ФНС России по информационной безопасности;

5. Мероприятия по решению задач обеспечения информационной безопасности ФНС России

5.1. Организационно-режимные мероприятия

Выполнение организационно-режимных мероприятий при обеспечении информационной безопасности предполагает:

- категорирование объектов информатизации ФНС России в соответствии с руководящими нормативно-методическими документами по защите информации РФ;

- разграничение допуска к информационным ресурсам ограниченного распространения;

- разграничения допуска к программно-аппаратным ресурсам ИТКС ФНС России (на уровне подразделений ФНС и ФНС России в целом)

- ведение учета ознакомления сотрудников с информацией ограниченного распространения;

- включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранении сведений ограниченного распространения;

- организация уничтожения информационных отходов (бумажных, магнитных и т.д.);

- ведение учета отчуждаемых носителей информации;

- организация и осуществление периодического контроля за обеспечением информационной безопасности;

- организация учета СКЗИ, ключей шифрования и подписи, их хранения, эксплуатации и уничтожения.

В соответствии с вышеуказанными задачами необходимо разработать или актуализировать комплект следующих организационно-распорядительных документов:

- методика категорирования объектов информатизации ФНС России;

- перечень критичных информационных ресурсов ФНС России;

- регламент предоставления доступа к информационным и программно-аппаратным ресурсам ФНС России;

- должностные обязанности сотрудников ФНС России по обеспечению информационной безопасности.

5.2. Мероприятия по физической защите объектов и средств информатизации ФНС России

Обеспечение физической безопасности всей информационно-телекоммуникационной системы Федеральной налоговой службы и отдельных ее элементов является одной из основных задач, решаемых подсистемой защиты информации. Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Физическая защита направлена на обеспечение безопасности:

-  периметра информационной системы (защита контролируемой зоны);

-  периметра отдельных объектов системы (выделенных территорий, зданий, помещений);

-  носителей информации, оборудования и каналов передачи данных, хранящих, обрабатывающих и передающих информацию в открытом виде (магнитных и бумажных носителей информации, экранов мониторов, серверов и рабочих станций, открытых каналов связи и т.п.);

-  ключевых элементов криптографических и парольных систем;

Основными направлениями физической защиты ФНС России являются:

- контроль физического доступа к оборудованию, на контролируемую территорию и в помещения;

- обеспечение безопасности кабельной системы;

- обеспечение безопасности при утилизации отработавшего оборудования и носителей информации;

- обеспечение безопасности рабочих мест.

Контроль физического доступа к оборудованию, на контролируемую территорию и в помещения

На территории ЦА ФНС России и территориальных подразделений следует установить надлежащий контроль доступа в помещения. Правила доступа на территорию должны регламентироваться соответствующим положением (инструкцией). 

Для разграничения доступа в помещения, где располагается серверное оборудование и другие критически важные объекты ИТКС ФНС России, целесообразно использовать системы физической защиты, позволяющие регистрировать и контролировать доступ исполнителей и посторонних лиц, основанные на таких методах идентификации и аутентификации персонала, как магнитные и электронные карты с личными данными, биометрические характеристики личности.

Необходимо соблюдать следующие правила доступа в помещения:

- Во всех подразделениях ФНС России необходимо исключить несанкционированное нахождение посторонних лиц, дата и время их входа и выхода должны регистрироваться.

- Посетители должны носить на одежде хорошо различимые идентификационные карточки;

- Необходимо немедленно изъять права доступа в защищенные области (территорию, помещения) у увольняющихся сотрудников.

Кроме того, для предотвращения утечки информации и противодействия потенциальным нарушителям необходимо соблюдать следующие правила:

- Эксплуатация АРМ и серверов должна осуществляться в помещениях, оборудованных надежными замками, средствами сигнализации, исключающими возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающими физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.).

- Размещение и установка АРМ и серверов должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней доступ.

- Уборка помещений, в которых обрабатывается или хранится конфиденциальная или служебная информация, должна производиться в присутствии ответственного, за которым закреплены технические средства (данные), или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

- В помещениях во время обработки и отображения на АРМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации.

- Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами. Помещения должны быть обеспечены средствами уничтожения документов.

- Вспомогательное оборудование (например, фотокопировальные аппараты, факс-машины) должно быть так размещено, чтобы уменьшить риск НСД к защищенным областям или компрометации конфиденциальной информации.

- Физические барьеры должны по необходимости простираться от пола до потолка, чтобы предотвратить несанкционированный доступ в помещение.

- Запрещается без надобности предоставлять посторонним лицам информацию о происходящем в защищенных областях (территории, помещениях).

- Для обеспечения должного уровня безопасности и для предотвращения вредоносных действий запрещается работать в одиночку (без надлежащего контроля) с критически важными компонентами информационной системы.

- В нерабочее время защищенные области (территория, помещения) должны быть физически недоступны (закрыты на замки) и периодически проверяться охраной.

- Персоналу, осуществляющему техническое обслуживание серверов, должен быть предоставлен доступ в защищенные области (территорию, помещения) только в случае необходимости и после получения разрешения. По необходимости доступ такого персонала (особенно к конфиденциальным данным) следует ограничить, а их действия следует отслеживать.

- Запрещается использование фотографической, звукозаписывающей и видео аппаратуры в защищенных областях, за исключением санкционированных случаев.

- По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.

Обеспечение безопасности кабельной системы ИТКС ФНС России

Защита кабельной системы ИТКС направлена на снижение вероятности несанкционированного доступа к информации путем гальванического подключения к информационным кабелям или снятия информации через побочные электромагнитные излучения и наводки на другие кабели, а также на обеспечение защиты кабельного оборудования от электромагнитных помех.

Кабели электропитания и сетевые кабели для передачи данных необходимо защищать от вскрытия для целей перехвата информации и повреждения. Для уменьшения такого риска в помещениях организации предлагается реализовать следующие защитные меры:

- Кабели электропитания и линии связи, идущие к информационным системам, должны быть проведены под землей (по возможности) или защищены надлежащим образом с помощью других средств.

- Необходимо рассмотреть меры по защите сетевых кабелей от их несанкционированного вскрытия для целей перехвата данных и от повреждения, например, воспользовавшись экранами или проложив эти линии так, чтобы они не проходили через общедоступные места.

- С целью снижения влияния электромагнитных помех, силовые и коммуникационные кабели должны быть разнесены в пространстве.

- Для исключительно уязвимых или критически важных систем следует рассмотреть необходимость принятия дополнительных мер, таких, как:

- шифрование данных;

- установка бронированных экранов и использование запираемых помещений;

- использование других маршрутов или сред передачи данных.

Надежная утилизация отработавшего оборудования и носителей информации

Оборудование, подлежащее выводу из эксплуатации, и использованные носители информации могут содержать остаточную информацию ограниченного доступа. Регламентация порядка и процедур их утилизации позволяет перекрыть каналы несанкционированного доступа к этой информации:

- устройства хранения информации, содержащие ценную информацию, при выведении из эксплуатации должны быть физически уничтожены, либо должно быть проведено гарантированное стирание с них остаточной информации;

- все оборудование, включая носители информации, перед передачей другому владельцу или списанием должно быть проверено на отсутствие важной информации или лицензионного программного обеспечения;

- дальнейшая судьба поврежденных устройств хранения, содержащих важную информацию, (уничтожение или ремонт) определяется на основе заключения экспертной комиссии.

Безопасность рабочего места сотрудников ФНС России

Рабочие места сотрудников ФНС России наиболее многочисленная категория объектов ИТКС, через которые возможен несанкционированный доступ к информации. Действия сотрудников сложно контролировать, поэтому в системе защиты информации необходимо предусмотреть автоматизированные механизмы контроля доступа к терминалам, мониторинга за действиями пользователей и сигнализации при обнаружении попыток несанкционированного доступа, а также установлен жесткий регламент доступа к рабочим местам с помощью организационных мер.

Безопасность рабочих мест сотрудников ФНС России предусматривает:

- документы на всех видах носителей и технические средства обработки информации, должны храниться (размещаться) в помещениях, исключающих несанкционированный доступ к ним;

-  исключение несанкционированного доступа к информации, хранящейся на различного рода носителях;

-  персональные компьютеры, терминалы и принтеры должны защищаться блокираторами клавиатуры, паролями или другими методами на время отсутствия пользователя;

-  должны быть приняты надежные меры, исключающие несанкционированное использование копировальной техники;

-  распечатки, содержащие информацию ограниченного доступа должны изыматься из печатающего устройства немедленно, а программа разграничения доступа должна поддерживать режим автоматической маркировки документов выводимых на бумажный носитель и регистрации выходных данных размножаемых документов в системном журнале. Необходимо устанавливать печатающие устройства для печати конфиденциальных документов в помещениях, где работают сотрудники, ответственные за их учет, хранение и выдачу исполнителям.

5.3. Мероприятия по обеспечению катастрофоустойчивости информационно-телекоммуникационной системы ФНС России

Обеспечение катастрофоустойчивости необходимо для сохранения устойчивости и стабильности функционирования ФНС России и ее информационно-телекоммуникационной системы в различных условиях неблагоприятного воздействия внешних и внутренних факторов техногенного и/или природного характера.

Для обеспечения катастрофоустойчивости необходимо выполнить работы, направленных на минимизацию возможных потерь ФНС России в условиях активного воздействия внутренней и внешней среды.

Основные мероприятия по обеспечению катастрофоустойчивости информационно-телекоммуникационной системы ФНС России

- идентификация и анализ неблагоприятных воздействий на информационно-телекоммуникационную систему ФНС России, разработка стратегий управления рисками, связанными с применением информационно-телекоммуникационной системы

- определение требований ФНС России к непрерывности функционирования информационно-телекоммуникационной системы;

- определение стратегий восстановления информационных и других технических систем в случае возникновения отказов и сбоев;

- разработка и документирование плана обеспечения катастрофоустойчивости информационно-телекоммуникационной системы ФНС России;

- внедрение необходимых изменений в техническом, организационном и информационном обеспечении ФНС России согласно разработанному плану обеспечения катастрофоустойчивости информационно-телекоммуникационной системы ФНС России;

- поддержка плана обеспечения катастрофоустойчивости информационно-телекоммуникационной системы ФНС России в актуальном состоянии (включая тестирование плана, обучение персонала, техническая поддержка используемого программного и аппаратного обеспечения, периодическое обновление плана)

Важнейшим качеством ИТКС и, в частности, центров обработки данных (ЦОД) ФНС России является способность обеспечивать требуемый уровень отказоустойчивости. Возможно применения следующих технических мероприятий для обеспечения отказоустойчивости:

- Следует внедрять технологии кластеризации и резервирования хранилищ данных и центров обработки данных. Соответствующая конфигурация кластера (кластеров) позволит гарантировать практически любой требуемый уровень готовности информационной системы. При этом появляется возможность полного дублирования физических и виртуальных серверов, хранилищ данных, сетей SAN, сетей доступа и вспомогательного (инфраструктурного) оборудования для обеспечения отказоустойчивости/катастрофоустойчивости системы. При этом кластеры могут быть реализованы как между отдельными серверами, так и между виртуальными доменами в пределах одного сервера.

- Применение технологии распределенных хранилищ данных и связанные с ним программно-аппаратные средства бессерверного копирования данных, поддержка длинных (>15 км) соединений SAN и т.д.

- Серверное и другое критическое оборудование следует размещать таким образом, чтобы свести к минимуму излишний доступ в рабочие помещения.

- Оборудование необходимо защищать от сбоев в системе электропитании и других неполадок в электрической сети. Источник питания должен соответствовать спецификациям производителя оборудования.

- Для центров обработки данных следует рассмотреть возможность организации дублированной системы электропитания (например, от разных трансформаторных подстанций).

- Следует рассмотреть необходимость использования резервного источника питания. Для оборудования, поддерживающего критически важные производственные сервисы, рекомендуется установить источник бесперебойного питания. План действий в чрезвычайных ситуациях должен включать меры, которые необходимо принять по окончании срока годности источников бесперебойного питания. Оборудование, работающее с источниками бесперебойного питания, необходимо регулярно тестировать в соответствии с рекомендациями изготовителя.

- Следует рассмотреть возможность изоляции областей, требующих специальной защиты, для понижения необходимого уровня общей защиты.

Для создания системы обеспечения катастрофоустойчивости необходимо разработать следующие организационно-распорядительные и нормативно-технические документы:

- Политика резервного копирования и восстановления данных

- Анализ воздействия различных неблагоприятных факторов на информационно-телекоммуникационную систему ФНС России

- План обеспечения катастрофоустойчивости информационно-телекоммуникационной системы ФНС России, состоящий из следующих разделов:

- Деятельность ФНС России в чрезвычайной ситуации (первоначальное реагирование на чрезвычайную ситуацию; мероприятия, обеспечивающие непрерывность деятельности компании в чрезвычайной ситуации и восстановление ее нормального функционирования.)

- Поддержание готовности к обеспечению катастрофоустойчивости ФНС России (разработка программы повышения квалификации и ознакомления сотрудников с действиями, необходимыми для восстановления деятельности ФНС России после происшествия; подготовка к опасным событиям, обеспечение безопасности и предотвращение бедствий; проверка готовности ФНС России к действиям в чрезвычайной ситуации и обеспечению катастрофоустойчивости; резервное копирование критически важных данных и приложений).

- Информационное обеспечение (учетная информация о техническом, программном и другом обеспечении, необходимом для восстановления бизнеса компании в случае чрезвычайной ситуации; описание детальных пошаговых процедур, обеспечивающих четкое выполнение всех предусмотренных мер; функции и обязанности сотрудников компании в случае возникновения непредвиденных обстоятельств; сроки восстановления деятельности).

- Техническое обеспечение (создание, поддержка и эксплуатация аппаратно-программных средств обеспечения непрерывности бизнеса; создание и поддержка резервного помещения).

- Организационное обеспечение, состав и функции групп, ответственных за поддержку непрерывности бизнеса в случае происшествия.

5.4. Мероприятия по решению задач защиты информации от утечки по техническим каналам

Наиболее опасными видами технических разведок для объектов ФНС России являются:

- наземная акустическая разведка, обеспечивающая добывание информации, содержащейся непосредственно в произносимой, либо воспроизводимой речи (акустическая речевая разведка), с использованием аппаратуры, регистрирующей акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные излучения и электрические сигналы, возникающие за счет акустоэлектрических преобразований в различных технических средствах под воздействием акустических волн;

- наземная разведка ПЭМИН, обеспечивающая добывание информации, содержащейся непосредственно в формируемых, передаваемых или отображаемых сообщениях и документах (текстах, таблицах, рисунках, картах, снимках, телевизионных изображениях и т.п.) с использованием радиоэлектронной аппаратуры, регистрирующей непреднамеренные (первичные) электромагнитные излучения и электрические сигналы средств обработки информации, а также вторичные электромагнитные излучения и электрические сигналы, наводимые первичными электромагнитными излучениями в токопроводящих цепях различных технических устройств и токопроводящих элементах конструкций зданий и сооружений.

Перехват информации с использованием технических средств может вестись:

- из-за границы КЗ из близлежащих строений и транспортных средств;

- из смежных помещений, принадлежащих другим организациям и расположенным в том же здании, что и объект защиты;

- при посещении организации посторонними лицами.

В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации "закладное устройство", размещаемые внутри или вне защищаемых помещений.

Кроме перехвата информации техническими средствами, возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно вследствие непреднамеренного прослушивания речевой конфиденциальной информации без использования технических средств из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем.

Мероприятия по защите информации от утечки по техническим каналам из защищаемых помещений

Основные технические каналы утечки речевой акустической информации из защищаемых помещений (ЗП) центрального аппарата и территориальных органов ФНС России, могут существовать за счет:

- акустического излучения информативного речевого сигнала;

- виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ЗП;

- прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи или наличия в коммутирующей аппаратуре (АТС) недекларированных возможностей;

- электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящих за пределы контролируемой территории;

- радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации ("закладочных устройств"), закладываемых в ЗП или в технические средства, установленные в ЗП.

Для обеспечения требуемого уровня защиты информации, циркулирующей в защищаемых помещениях, и закрытия (устранения) существующих каналов утечки речевой акустической информации, необходимо руководствоваться "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации" (СТР-К), Гостехкомиссия России, 2002 г. и Сборником временных методик оценки защищенности информации конфиденциальной информации от утечек по техническим каналам, Гостехкомиссия России, 2002 г.

Мероприятия по защите информации, циркулирующей в основных технических средствах и системах обработки конфиденциальной информации, от утечки по техническим каналам

Под основными техническими средствами и системами (ОТСС) понимаются технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.

К ним относятся:

- автоматизированные системы (АС) различного уровня и назначения на базе средств вычислительной техники, в том числе и локальные вычислительные сети;

- средства и системы связи и передачи данных, включая коммуникационное оборудование, используемые для обработки и передачи конфиденциальной информации.

- средства и системы звукоусиления и звукового сопровождения кинофильмов;

- средства и системы передачи речевой информации по каналам связи.

При эксплуатации основных технических средств и систем, обрабатывающих конфиденциальную информацию в центральном аппарате и территориальных органах ФНС России, возможны следующие основные технические каналы утечки:

- побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;

- наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии, выходящие за пределы контролируемой зоны, в т.ч. на цепи заземления и электропитания;

- радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

- электрические сигналы или радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, "навязывание");

- радиоизлучения или электрические сигналы от внедренных в технические средства специальных электронных устройств перехвата информации ("закладок"), модулированные информативным сигналом;

- просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств.

Для обеспечения требуемого уровня защиты информации, циркулирующей в основных технических средствах и системах обработки конфиденциальной информации, и закрытия (устранения) существующих технических каналов утечки обрабатываемой информации, необходимо руководствоваться "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации" (СТР-К), Гостехкомиссия России, 2002 г. и Сборником временных методик оценки защищенности информации конфиденциальной информации от утечек по техническим каналам, Гостехкомиссия России, 2002 г.

5.5. Мероприятия по решению задач защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах ФНС России

Основные мероприятия по защите информации от несанкционированного доступа в ИТКС должны предусматривать следующее:

- Применение сертифицированных аппаратно-программных средств защиты информации от НСД.

- Механизмы защиты от НСД должны осуществлять защиту системы от возможности посторонних лиц осуществлять работу в системе (механизмы идентификации и аутентификации), а также получать НСД к информационным ресурсам системы (механизмы разграничения доступа в соответствии с полномочиями субъекта). При реализации этих механизмов защиты должна использоваться совокупность организационных, программных (пароли, матрицы доступа и др.), аппаратно-программных и технических методов защиты.

- Защита системы от НСД должна обеспечиваться на всех технологических этапах передачи, обработки и хранения информации и при всех режимах работы системы, в том числе при проведении ремонтных и регламентных работ. При этом реализованные в системе средства защиты от НСД не должны ухудшать основные функциональные характеристики системы.

- Защита системы от НСД с помощью программных, программно-аппаратных и технических методов должна обеспечивать:

- защиту технических средств обработки информации;

- защиту баз данных;

- защиту системы управления.

- Защита от НСД должна строиться на основе системы разграничения доступа (СРД) пользователей к системе и ее информационным ресурсам. Основными функциями СРД должны являться:

- реализация правил разграничения доступа (ПРД) пользователей и их процессов к информационным ресурсам;

- реализация ПРД пользователей к устройствам создания твердых копий;

- изоляция программ процесса, выполняемого в интересах пользователя, от других пользователей системы;

- реализация правил обмена данных между пользователями системы, построенных по сетевым принципам.

- Обеспечивающие средства СРД должны выполнять следующие основные функции:

- идентификацию и аутентификацию пользователей системы и поддержание привязки к их процессам, выполняемым в их интересах;

- регистрацию действий пользователей и выполняемых в их интересах процессов, предоставление возможности исключения и включения новых пользователей и объектов доступа, а также изменение полномочий пользователей;

- реакцию на попытки несанкционированного доступа (сигнализацию, блокировку и т.д.), восстановление механизмов защиты после НСД;

- тестирование;

- очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищенными данными;

- учет выходных печатных и графических форм, а также твердых копий в системе;

- контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.

- Практическая реализация СРД должна определяться с учетом конкретных особенностей системы и может включать в себя следующие способы и их сочетания:

- распределенная система разграничения доступа и СРД, локализованная в аппаратно-программном комплексе системы;

- СРД в рамках операционной системы, системы управления базами данных или прикладных программ;

- СРД в средствах реализации сетевых протоколов взаимодействия или на уровне приложений;

- Программная и (или) техническая реализация СРД;

- Программная и (или) аппаратная реализация криптографических функций.

В рамках системы защиты от НСД необходимо внедрить комплексную систему защиты баз данных, содержащих критичную к нарушению безопасности информацию. Данная система должна выполнять следующие функции:

- удаленная и локальная диагностика баз данных на предмет выявления различных уязвимостей, ошибок конфигурации и неправильных (небезопасных) настроек;

- тестирование защищенности с имитацией следующих атак внешнего нарушителя:

- выявления уязвимостей, доступных для использования внутренними пользователями, в том числе следующие:

- выявления уязвимостей, доступных для использования внешними нарушителями, в том числе следующих групп:

- составление статистических отчетов различного уровня детализации о защищенности баз данных;

- надежный контроль и защита баз данных в режиме реального времени от следующих внутренних и внешних атак, направленных на СУБД,:

- контроль состояния и системных событий в СУБД, включая изменения конфигурации, системные изменения или иные события, которые могут повлиять на уровень защищенности баз данных;

- управление программными средствами анализа защищенности и обнаружения атак, направленных на базы данных;

Для создания системы защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах ФНС России необходимо разработать следующие организационно-распорядительные и нормативно-технические документы:

- Политика защиты от несанкционированного доступа в информационно-телекоммуникационных системах ФНС России

- Регламент защиты от несанкционированного доступа в информационно-телекоммуникационных системах ФНС России;

- Регламент защиты баз данных от несанкционированного доступа;

- Регламент реагирования при обнаружении несанкционированного доступа к ресурсам информационно-телекоммуникационной системы ФНС России;

- Должностные инструкции администраторов и сотрудников безопасности.

5.6. Мероприятия по обеспечению радиоэлектронной безопасности объектов информатизации ФНС России

Под мероприятиями по обеспечению радиоэлектронной безопасности объектов ФНС России понимается система мер по выявлению и предотвращению использования специальных электронных устройств (СЭУ), предназначенных для негласного получения информации.

Исходя из особенностей функционирования центрального аппарата и территориальных подразделений ФНС России, наибольшую опасность будут представлять СЭУ, устанавливаемые в защищаемые помещения, предназначенные для проведения конфиденциальных мероприятий. Однако нельзя исключать и возможность размещения СЭУ с целью сбора компрометирующих сведений на конкретного сотрудника ФНС, при этом СЭУ могут быть размещены в помещениях, в которых интересующее злоумышленников лицо находится в течение рабочего дня.

Специальная проверка помещений центрального аппарата и территориальных подразделений ФНС России с целью выявления возможно внедренных в них электронных устройств съема информации (СЭУ) проводится по решению руководителя структурного подразделения ФНС России, согласованного с Управлением информационной безопасности ФНС России.

Действующим законодательством предусматривается лицензирование деятельности по выявлению и предотвращению использования специальных электронных устройств (СЭУ), предназначенных для негласного получения информации.

Проведение комплексной специальной проверки помещений должно осуществляется специализированной организацией, имеющей необходимые лицензии ФСБ России на указанный вид деятельности.

Допускается проведение оперативных и периодических проверок помещений силами отделов собственной безопасности подразделений ФНС России по утвержденным Управлением информационной безопасности ФНС России программам и методикам проверок, если при этом не нарушаются права личности сотрудников ФНС и посетителей.

В общем виде работы по выявлению и предотвращению использования специальных электронных устройств (СЭУ), предназначенных для негласного получения информации, подразделяются на:

- визуальный осмотр помещения;

- поиск радиоизлучающих СЭУ;

- поиск СЭУ на проводных линиях;

- поиск СЭУ в помещении с помощью аппаратуры нелинейной локации;

- поиск СЭУ в помещении с помощью металлоискателей;

- поиск закладных устройств в помещении с помощью рентгеновских комплексов;

- оценку защищенности помещений от утечки информации за счет визуального наблюдения.

Проведение оперативных и периодических проверок помещений силами Управления информационной безопасности ФНС России необходимо выполнять в случаях:

- перед проведением в помещении важных мероприятий (совещания, переговоры);

- после проведения мероприятий с участием представителей иностранных делегаций;

- после ремонта защищаемых помещений, предназначенных для проведения конфиденциальных мероприятий, особенно если ремонт выполнялся с привлечением сторонней организации;

- в случае замены мебели и оборудования защищаемого помещения, особенно в случае целевой поставки их в подразделения ФНС;

- наличия достаточных оснований для подозрений об утечке информации;

- в ходе проведения плановых проверок.

Планирование работ по выявлению СЭУ необходимо осуществляться скрытно, чтобы предотвратить случайную утечку информации о намечаемой проверке, а непосредственное проведение работ в центральном аппарате и территориальных подразделений ФНС России должно выполняться под легендой прикрытия.

В случае обнаружения СЭУ, результаты технического контроля передаются в органы ФСБ, при этом дальнейшая проверка прекращается. Изъятие и самостоятельное изучение выявленного СЭУ категорически запрещено.

5.7. Мероприятия по обеспечению безопасного информационного взаимодействия ФНС России с организациями, министерствами и ведомствами

К основным мероприятиям по обеспечению безопасности сетевого информационного взаимодействия ФНС России с внешними потребителями, пользователями и источниками информации, относятся:

- Предотвращение возможности утечки конфиденциальной информации, обрабатываемой в ИТКС ФНС России, через внешнюю сеть.

- Обеспечение защиты ресурсов ИТКС со стороны внешней сети.

Так как ресурсы ИТКС (в частности - АИС "Налог" ФНС России), предназначенные для доступа из внешней сети (по каналам связи сетей общего пользования), подвержены атакам из внешней открытой сети, то ведомственный (защищенный, содержащий конфиденциальную информацию) и внешний (открытый) трафики должны быть физически разделены - в ИТКС не должно быть вычислительных средств (рабочих станций, серверов, межсетевых экранов), концентрирующих на себе одновременно ведомственный и внешний трафик.

При организации сетевого взаимодействия следует использовать средства защиты:

- Выделенные средства межсетевого экранирования (или межсетевые экраны), устанавливаемые на стыке сетей, концентрирующие на себе межсетевой трафик;

- Механизмы контроля доступа к локальным и сетевым ресурсам, входящие в состав СЗИ НСД, устанавливаемой на рабочие станции и серверы ИТКС, решающие задачи фильтрации внутрисетевого трафика и доступа к локальным ресурсам;

- Средства криптографической защиты межсетевого трафика (криптомаршрутизаторы);

- Антивирусные средства;

- Средства обнаружения компьютерных атак.

Указанными средствами должно обеспечиваться:

- разграничение доступа (по входящему и исходящему трафикам) по адресам (IP адресам) и сетевым протоколам к хостам внешней/внутренней сети;

- трансляция адресов - во внешней сети должен быть "виден" только адрес криптомаршрутизатора, что позволяет скрывать структуру внутренней сети (адреса рабочих станций и серверов внутренней сети);

- защита от сетевых атак (вирусы, шпионские программы, атаки на отказ в обслуживании);

- аудит доступа к ресурсам внешней сети;

- аутентификация удаленных пользователей (для криптомаршрутизатора, концентрирующего на себе ведомственный и межведомственный трафик).

Как средство, потенциально подверженное сетевым атакам, криптомаршрутизатор сам должен быть защищен, в части противодействия сетевым атакам (со стороны внешней сети).

Важнейшим условием обеспечения защищенного доступа к внешним ресурсам является реализация демилитаризованной зоны, с целью физической изоляции внутрисетевого и внешнего трафиков. Данное решение должно позволять взаимодействовать пользователям внешней сети только с серверами внешнего доступа, и делать недоступным для них доступ, прежде всего, к внутренним серверам, а также к рабочим станциям защищаемой корпоративной сети, даже при преодолении защиты, реализуемой средствами межсетевого экранирования.

5.8. Мероприятия по организации криптографической защиты информации

В целях защиты конфиденциальной информации в АИС ФНС России должны применяться средства криптографической защиты информации (СКЗИ).

К СКЗИ предъявляются следующие требования:

- СКЗИ должны допускать их встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;

- СКЗИ должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;

- СКЗИ должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам Российской Федерации и (или) условиям договоров с контрагентами;

- СКЗИ должны иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);

- СКЗИ должны обеспечивать реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей;

- СКЗИ не должны предъявлять требований к ЭВМ по специальной проверке на отсутствие закладных устройств, если иное не оговорено в технической документации на конкретное средство защиты;

- СКЗИ не должны требовать дополнительной защиты от утечки по побочным каналам электромагнитного излучения.

При применении СК3И в АИС ФНС должны поддерживаться непрерывность процессов протоколирования работы СК3И и обеспечения целостности программного обеспечения для всех элементов АИС ФНС.

Информационная безопасность процессов изготовления ключевой информации документов СК3И должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты.

Регламент генерации, распределения, хранения и уничтожения, поэкземплярного учета криптографических ключей, а также периодические проверки выполнения пользователями требований по хранению и эксплуатации криптографических ключей определяется "Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" от 13 июня 2001 г. N 152. Данная Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных СКЗИ (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

Для обеспечения функции централизованного управления ключевой информацией в рамках всей ФНС России должны быть рассмотрены перспективные вопросы организации Удостоверяющего центра. Внедрение Удостоверяющего центра позволит организовать в АИС ФНС России защищенную среду с использованием цифровых сертификатов и обеспечить с их использованием авторизацию пользователей, контроль целостности и конфиденциальность передаваемой в рамках ФНС России информации в полном соответствии с Федеральным законом "Об электронной цифровой подписи".

В состав удостоверяющего центра должны входить:

- центр сертификации, в функции которого будет входить выпуск цифровых сертификатов, публикация списка аннулированных сертификатов и хранение их до истечения установленного срока действия;

- центр регистрации, в функции которого будет входить регистрация пользователей, формирование шаблонов цифровых сертификатов, а также ряд сервисных функций (например, предварительная проверка запросов от клиентов перед выпуском сертификата);

- АРМ клиента, в функции которого входит обеспечение клиента полнофункциональным сервисом по управлению личными ключами и сертификатами и всей необходимой информацией для проверки сертификатов других пользователей и объектов системы.

Для повышения уровня безопасности при эксплуатации СК3И и их ключевых систем в АИС ФНС России необходимы:

- реализация процедур аудита, регистрирующих все значимые события, имевшие место в процессе обмена электронными сообщениями или организации защищенных ВЧВС-соединений и все возможные инциденты информационной безопасности;

- реализация процедуры оценки рисков, позволяющей аргументировано оценивать ситуацию в каждом конкретном случае обмена электронными сообщениями и организации защищенных ВЧВС-соединений.

Регламент использования СКЗИ в подразделениях ФНС России, ее территориальных органах устанавливается Управлением информационной безопасности. Использование СКЗИ должно осуществляться в полном соответствии с конструкторской и эксплуатационной документацией, представляемой производителем СКЗИ. При этом необходимо руководствоваться "Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

Внутренний порядок применения СК3И в территориальных органах АИС ФНС должен включать:

- порядок ввода в действие;

- порядок эксплуатации;

- порядок восстановления работоспособности в аварийных случаях;

- порядок внесения изменений;

- порядок снятия с эксплуатации;

- порядок управления ключевой системой;

- порядок обращения с носителями ключевой информации.

5.9. Мероприятия по антивирусной защите информационных ресурсов ФНС России

Целью создания системы антивирусной защиты является обеспечение защищенности информационно-коммуникационной системы ФНС России от воздействия различного рода вредоносных программ и несанкционированных массовых почтовых рассылок, предотвращения их внедрения в информационные системы, выявления и безопасного удаления из систем в случае попадания, а также фильтрации доступа пользователей ФНС России к непродуктивным Интернет-ресурсам и контроля их электронной переписки.

Основополагающими требованиями к системе антивирусной защиты ФНС России являются:

- решение задачи антивирусной защиты должно осуществляться в общем виде. Средство защиты не должно оказывать противодействие конкретному вирусу или группе вирусов, противодействие должно оказываться в предположениях, что вирус может быть занесен на компьютер и о вирусе (о его структуре (в частности, сигнатуре) и возможных действиях) ничего не известно;

- решение задачи антивирусной защиты должно осуществляться в реальном времени.

Мероприятия, направленные на решение задач по антивирусной защите:

- необходимо проводить политику, требующую установки только лицензированного программного обеспечения;

- антивирусные программные средства должны регулярно обновляться и использоваться для профилактических проверок (желательно ежедневных);

- непрерывный контроль над всеми возможными путями проникновения вредоносных программ в ИТКС ФНС России, мониторинг антивирусной безопасности и обнаружение деструктивной активности вредоносных программ на всех объектах ИТКС;

- ежедневный анализ, ранжирование и предотвращение угроз распространения и воздействия вредоносных программ путем выявления уязвимостей используемого в ИТКС программного обеспечения ОС и сетевых устройств и устранения обнаруженных дефектов в соответствии с данными поставщика ПО и других специализированных экспертных антивирусных служб.

- проведение профилактических мероприятий по предотвращению и ограничению вирусных эпидемий, включающих загрузку и развертывание специальных правил нейтрализации (отражению, изоляции и ликвидации) вредоносных программ на основе рекомендаций по контролю атак, подготавливаемых разработчиком средств защиты от вредоносных программ и другими специализированными экспертными антивирусными службами до того, как будут выпущены файлы исправлений, признаков и антивирусных сигнатур.

- необходимо проводить регулярную проверку целостности критически важных программ и данных. Наличие лишних файлов и следов несанкционированного внесения изменений должно быть зарегистрировано в журнале и расследовано;

- дискеты неизвестного происхождения следует проверять на наличие вирусов до их использования;

- необходимо строго придерживаться установленных процедур по уведомлению о случаях поражения АИС компьютерными вирусами и принятию мер по ликвидации последствий от их проникновения;

- следует иметь планы обеспечения бесперебойной работы организации для случаев вирусного заражения, в том числе планы резервного копирования всех необходимых данных и программ и их восстановления. Эти меры особенно важны для сетевых файловых серверов, поддерживающих большое количество рабочих станций.

В рамках создания системы антивирусной защиты информационных ресурсов ФНС России необходимо разработать следующие организационно-распорядительные и нормативно-технические документы:

- Политика защиты от вредоносных программ, включая определение основных целей и области применения системы антивирусной защиты, требования к персоналу, степень ответственности, структуру и необходимый уровень защищенности от вредоносных программ, статус и должностные обязанности сотрудников отдела сопровождения системы антивирусной защиты

- Регламент централизованного управления, мониторинга и контроля функционирования системы антивирусной защиты;

- Регламент реагирования при обнаружении зараженных информационных ресурсов и систем (реакция на инциденты);

- Регламент предотвращения вирусных эпидемий и устранений последствий (очистка ресурсов ИТКС);

- Должностные инструкции администраторов и сотрудников безопасности, которые должны включать:

- Порядок установки и настройки средств антивирусной защиты;

- Порядок эксплуатации средств антивирусной защиты, в т.ч. обновление ПО, мониторинг и управление;

- Порядок действия в период вирусных эпидемий;

- Порядок действий при возникновении внештатных ситуаций, связанных с работоспособностью средств антивирусной защиты;

- Порядок действия для устранения последствий заражений.

- Технологические инструкции

5.10. Мероприятия по обнаружению компьютерных атак на информационные ресурсы и телекоммуникационные системы ФНС России

Основополагающими требованиями к системе обнаружения компьютерных атак на информационные ресурсы и телекоммуникационные системы ФНС России являются:

- система обнаружения компьютерных атак должна быть сертифицирована;

- система обнаружения компьютерных атак должна быть способна выявлять атаки, направленные на нарушение конфиденциальности, целостности и доступности информационных ресурсов.

Система обнаружения компьютерных атак должна обеспечивать возможность выполнения следующих основных функций:

- выявление информационных атак на прикладном уровне стека TCP/IP посредством анализа пакетов данных, передаваемых в ИТКС;

- блокирование пакетов данных, нарушающих заданную политику безопасности;

- мониторинг трафика, циркулирующего на сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем;

- выявление аномалий сетевого трафика;

- оповещение администратора безопасности об обнаруженных атаках или аномалиях сетевого трафика.

5.11. Мероприятия по организации разработки, хранения и распространения программного обеспечения ФНС России

При разработке специального программного обеспечения необходимо руководствоваться существующей системой разработки программной продукции, определяемой ЕСПД и другими государственными стандартами и нормативно-методическими документами, в том числе в области защиты информации.

Разработку СПО необходимо проводить в соответствии с ТЗ, согласованными с Управлением информационной безопасности ЦА ФНС России.

В состав СПО, содержащего функции обработки конфиденциальной информации должны включаться механизмы обеспечения безопасности информации (идентификации/аутентификации, контроля доступа, регистрации, целостности).

На всех этапах разработки СПО должны выполняться мероприятия по обеспечению конфиденциальности информации о назначении, механизмах функционирования, алгоритмах работы СПО, а также обеспечиваться контроль доступа к исходным текстам СПО.

Испытания СПО и сдача в эксплуатацию должны осуществляться в установленном порядке в соответствии с требованиями нормативных документов и стандартов.

Все стадии создания СПО должны согласовываться и/или проходить с участием представителей УИБ ЦА ФНС России.

Хранение дистрибутивов СПО должно исключать бесконтрольный доступ к ним сотрудников ФНС России.

СПО, предназначенное для защиты информации или содержащее механизмы обеспечения безопасности информации, должно проходить сертификационные испытания на соответствие требованиям по защите информации в специализированных организациях, имеющих лицензию на проведение соответствующих работ.

5.12. Мероприятия по совершенствованию организационно-штатной структуры подразделений, отвечающих за обеспечение информационной безопасности ФНС России

Основные мероприятия по совершенствованию организационно-штатной структуры подразделений защиты информации:

- создание в ЦА и территориальных подразделениях ФНС России аппарата администраторов информационной безопасности

- увеличение штата сотрудников отделов информационной безопасности территориальных подразделений ФНС России

- оснащение подразделений информационной безопасности программно-техническими средствами для проведения контроля состояния ИБ в ФНС России

- проведение мероприятий по повышению квалификации сотрудников подразделений по защите информации

5.13. Мероприятия по повышению квалификации специалистов в области защиты информации

Подготовка и переподготовка пользователей и специалистов ФНС России по защите информации требует создание системы повышения уровня технической грамотности и информированности пользователей в области информационной безопасности, а также переподготовки специалистов по защите информации. Для этого необходимо регулярно проводить тренинги для персонала и контроль готовности новых сотрудников по применению правил информационной защиты, а также периодически осуществлять переподготовку специалистов подразделений защиты информации. Особенно важно проводить тренинги при изменении конфигурации информационной системы (внедрении новых технологий и прикладных автоматизированных систем, смены оборудования, операционной системы, ключевых приложений, принятии новых правил или инструкций и т.д.)

5.14. Мероприятия по внутреннему аудиту информационных систем ФНС России

Внутренний аудит информационных систем ФНС России производится сотрудниками, ответственными за информационную безопасность, по распоряжению Руководителя Службы (подразделения ФНС) или начальника Управления (отдела) информационной безопасности ФНС России. Сроки и режим проведения внутреннего аудита устанавливаются Руководителем или начальником УИБ ФНС России.

Целью внутреннего аудита является оценка текущего состояния системы информационной безопасности ИТКС, разработка или актуализация организационных и технических требований к системе информационной безопасности ФНС России, прогнозирование на основе этого требуемых затрат на ее поддержание и модернизацию.

Требования к системе информационной безопасности разрабатываются на основе анализа существующих угроз информационно-телекоммуникационной системы, идентификации существующих уязвимостей и оценки величины возможного ущерба.

В ходе внутреннего аудита должны быть выполнены следующие процедуры:

- построение или актуализация структурной модели составляющих ИТКС ФНС России;

- построение или актуализация моделей угроз по составляющим ИТКС ФНС России;

- построение моделей защиты по составляющим ИТКС ФНС России;

- идентификация и оценка критически важных и опасных составляющих ИТКС;

- оценка рисков нарушения безопасности ИТКС ФНС России;

- оценка эффективности возможных мер и построения возможных вариантов комплексов мер и мероприятий по защите;

- оценка и сравнение по критерию "эффективность-стоимость" вариантов комплексов мер и мероприятий по защите;

- анализ полноты систем мер и требований по безопасности.

Для проведения внутреннего аудита информационных систем ФНС России необходимо разработать следующие документы:

- Методика проведения внутреннего аудита ИТКС ФНС России;

- Методика оценки и анализа информационных рисков;

- Должностные инструкции сотрудников, ответственных за информационную безопасность (разделы, посвященные проведению внутреннего аудита)

Результаты аудита должны содержать отчеты по обеспечению безопасности информационной системы подразделения в целом или ее логических компонентов. Описания, выявленные факты и рекомендации, полученные в ходе проведения аудита, должны быть использованы для дальнейшей оценки защищенности информационной системы.

Аудит проводятся# независимо от сотрудников, ответственных за функционирование общей системы поддержки. Необходимые проверки могут быть осуществлены как изнутри, так и извне информационной системы.

Комплексные проверки мер по обеспечению информационной безопасности проводятся не реже одного раза в год. Отдельные проверки систем на потенциальные повреждения осуществляются с периодичностью, необходимой для поддержания требуемого уровня оперативности статистических данных.

5.15. Мероприятия по контролю эффективности системы обеспечения безопасности информации ФНС России

Контроль эффективности системы информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Контроль может проводиться как Управлением информационной безопасности ЦА ФНС России, так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности.

Оценка эффективности системы обеспечения информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

Соответствие системы требованиям по безопасности необходимо проводить по следующим направлениям:

- соответствие требованиям Российского законодательства в области защиты информации;

- соответствие положениям настоящей Концепции информационной безопасности ФНС России;

- соответствие ведомственным организационным и техническим требованиям (стандартам безопасности) к системе информационной безопасности.

Для оценки эффективности системы информационной безопасности, обеспечения гарантий достоверности выполнения установленных требований по информационной безопасности необходимо внедрить подсистему контроля выполнения требований безопасности. Такая система позволит оценить адекватность существующей системы информационной безопасности требованиям ФНС России, предложить технические и организационные меры повышения уровня защищенности с оценкой их эффективности, контролировать выполнение всеми сотрудниками принятой политики информационной безопасности.

Функции, выполняемые подсистемой контроля выполнения требований безопасности:

- качественная и количественная оценка информационных рисков, включая идентификацию и оценку существующих угроз и уязвимостей информационной системы, определение вероятности их реализации, а также оценку стоимости каждого информационного ресурса

- определение необходимого минимального уровня защищенности информационно-телекоммуникационной системы ФНС России

- создание оптимальных требований к информационной безопасности ФНС России, обеспечивающих поддержание минимально допустимого уровня защищенности информационной системы

- определение комплекса необходимых технических и организационных мероприятий для поддержания заданного уровня безопасности

- оценка рисков невыполнения требований по безопасности

- автоматическое построение профилей защиты данной информационной системы

- постоянный контроль выполнения установленных требований к системе информационной безопасности на организационном, техническом и экономическом уровнях

- регулируемое управление изменениями в системе информационной безопасности, включая контроль за всеми изменениями в настройках программных и аппаратных средств

- автоматизация процесса принятия решений в области управления доступом к информационным ресурсам,

- автоматизация формирования политик информационной безопасности по управлению доступом и подробных инструкций на их основе

- контроль организационной и сетевой инфраструктуры ФНС России, в том числе: учет программных и аппаратных средств системы информационной безопасности, проверка соответствия изменений принятой политике ИБ и другим организационно-распорядительным документам ФНС России.

5.16. Мероприятия по централизованному управлению информационной безопасностью

Система Централизованного управления информационной безопасностью корпоративной информационно-телекоммуникационной системы (ЦУИБ ИТКС) предназначена для обеспечения эффективного контроля за состоянием информационной безопасности, обобщенного анализа поступающих данных от средств защиты информации и своевременного адекватного реагирования на изменение ситуации.

Система ЦУИБ ИТКС обеспечивает функции контроля работоспособности и производительности всех подсистем ИБ, управления их конфигурацией, анализа функционирования и генерации отчетов о состоянии используемых решений. Использование данной системы позволяет организовать центральную точку сбора всей регистрируемой информации и предоставить единую консоль управления функционированием используемых программных и аппаратных продуктов.

Основными задачами ЦУИБ ИТКС является:

- предоставление единого центра управления средствами защиты информации и сервисами автоматизированной системы;

- сбор информации от всех компонент системы;

- обеспечение централизованной обработки регистрируемой информации и предоставление единой точки хранения данных;

- разделение этапов и стадий обработки поступающих данных для обеспечения максимально эффективного и оперативного их анализа;

- ведение архива событий безопасности;

- интеллектуальная обработка последовательности событий с последующей выработкой решения;

- предоставление возможности масштабируемости всех подсистем, включая саму подсистему управления;

- интеграция продуктов различных производителей для максимально эффективного совместного функционирования;

- отслеживание и предотвращение возможных неполадок в работе компонент.

Система ЦУИБ ИТКС должна выполнять следующие функции:

- сбор информации от конечных устройств (сетевого оборудования, средств защиты информации и т.п.);

- обработка событий с последующим преобразованием и анализом данных;

- корреляция событий с последующим принятием решения;

- обеспечение централизованного управления безопасностью в соответствии с установленной политикой, в том числе аутентификацией и авторизацией доступа пользователей к корпоративным информационным ресурсам.

- общее управление работой системы.

5.17. Мероприятия по обеспечению юридической значимости электронного документооборота

Система юридически значимого электронного документооборота позволяет обеспечить юридическую значимость документам в их исходной электронной форме, без необходимости хранения заверенных бумажных экземпляров документов.

Кроме того, система юридически значимого документооборота позволяет:

- создать унифицированную систему электронных документов;

- применять ЭЦП для придания юридической силы электронным документам;

- автоматизировать процессы формирования и проверки ЭЦП в электронных документах для соблюдения установленного режима использования цифровой подписи;

- визировать любые документы в электронной форме, осуществлять автоматический контроль соответствия ключа подписи должностным полномочиям владельца сертификата ключа подписи

- организовать защищенный обмен электронными документами между подразделениями ФНС России, а также с налогоплательщиками, министерствами и ведомствами.

- обеспечить надежную защиту документооборота ФНС России от таких видов угроз, как: подлог или потеря документа, несанкционированное ознакомление или публикация документа

Система юридически значимого документооборота ФНС России включает:

- федеральную систему электронного документооборота (СЭД);

- межрегиональная СЭД, обеспечивающая юридическую значимость документооборота между налоговыми органами регионального и местного уровня;

- межведомственная СЭД, обеспечивающая юридическую значимость документооборота с министерствами и ведомствами;

- СЭД с налогоплательщиками;

Требования, предъявляемые к системе юридически значимого электронного документооборота ФНС России:

- обеспечение информационного обмена с использованием ЭЦП между налоговыми органами всех уровней;

- создание единой схемы распределения ключевой информации, которая обеспечит обмен информацией по схеме "каждый с каждым";

- реализация сервисов публикации данных о ключевой информации при помощи web-службы, входящей в состав центрального узла портального комплекса;

- разработка пакета нормативных документов, проектов приказов, типовых проектов договоров, проектов инструкций, обеспечивающих функционирование СЭД в соответствии с законодательством РФ.

5.18. Мероприятия по управлению информацией о пользователях ИТКС ФНС России

Система управления информацией о пользователях ИТКС ФНС России обеспечит предоставление полной идентификационной информации, внедрение единых политик управления этой информацией в различных компонентах информационно-телекоммуникационной системы, а также организацию взаимодействия со всеми компонентами ИТКС для различных сценариев.

Такая система должна выполнять следующие функции:

- создание, внедрение и поддержание в актуальном состоянии единых политик управления идентификационными данными о пользователях (сотрудниках) ФНС России;

- создание единого корпоративного хранилища полной и непротиворечивой идентификационной информации о пользователях компании;

- обеспечение простоты и прозрачности процедур приема/увольнения/изменения положения всех сотрудников ФНС России с обеспечением необходимого уровня конфиденциальности;

- создание в ФНС России единой точки входа, которая обеспечит механизм управления именами пользователей, их паролями и правами доступа во всех компонентах ИТКС;

- обеспечение масштабируемости системы управления информацией о пользователях ИТКС ФНС России (в том числе, в ходе увеличения ИТКС или расширения перечня характеристик пользователя и усложнения правил работы с идентификационной информацией).

6. Первоочередные мероприятия по обеспечению информационной безопасности ФНС России

N п/п	Наименование комплексов работ и первоочередных мероприятий по реализации Концепции информационной безопасности ФНС России	Форма обеспечения	Результат выполнения работ и мероприятий по реализации Концепции ИБ ФНС России	Срок выполнения работ
				Начало	Конец
1	Совершенствование организационно-правового и научно-методического обеспечения ИБ ФНС России
1.1	Разработка проектов базовых руководящих документов ФНС России по информационной безопасности
1.1.1	Разработка Положения об информационной безопасности Центрального аппарата ФНС России.		Проект Положения	IV кв. 2006	I кв. 2007
1.1.2	Разработка Типового положения об информационной безопасности территориальных органов ФНС России.		Проект типового Положения	IV кв. 2006	I кв. 2007
1.1.4#	Разработка Положения об информационном взаимодействии органов ФНС России		Проект Положения об информационном взаимодействии	IV кв. 2006	I кв. 2007
1.1.6	Разработка Положения о порядке разработки (закупки), испытаний и ввода в эксплуатацию программно-технических средств защиты информации в автоматизированных системах ФНС России		Проект Положения о порядке _.	IV кв. 2006	I кв. 2007
1.1.7	Разработка Положения о порядке оценки эффективности информационной безопасности органов ФНС России		Проект Положения о порядке _.	IV кв. 2006	I кв. 2007
1.1.8	Разработка Плана развития ОРД и НМД обеспечения ИБ ИКТС		Проект плана развития ОРД и НМД	IV кв. 2006	I кв. 2007
1.1.9	Разработка Положения о порядке использовании СКЗИ в Центральном аппарате ФНС России и ее территориальных органах		Проект	IV кв. 2006	I кв. 2007
1.1.10	Разработка Положения о защищенном юридически значимом документообороте в ФНС России		Проект	IV кв. 2006	I кв. 2007
1.2	Ввод в действие дополнительных руководящих документов ФНС России в обеспечение защиты федеральных информационных ресурсов
1.2.1	Положение об информационной безопасности Центрального аппарата ФНС России	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
1.2.2	Типовое положение об информационной безопасности территориальных органов ФНС России	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
1.2.3	Положение о Системе регулярного аудита информационной безопасности органов ФНС России.	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
1.2.4	Положение об информационном взаимодействии органов ФНС России	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
1.2.5	Положение о порядке разработки, испытания, аттестации средств обеспечения информационной безопасности	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
1.2.6	Положение о порядке разработки (закупки), испытаний и ввода в эксплуатацию программно-технических средств защиты информации в автоматизированных системах	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
1.2.7	Положение о порядке оценки эффективности информационной безопасности органов ФНС России	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
1.2.8	Положение о порядке использования СКЗИ в Центральном аппарате ФНС России и ее территориальных органах	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
1.2.9	Положение о защищенном юридически значимом документообороте в ФНС России	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2006	I кв. 2007
2.	Совершенствование Комплексной системы обеспечения информационной безопасности органов ФНС России
2.1.	Модернизация Комплексной системы защиты информации органов ФНС России
2.1.1.	Предпроектное обследование и обоснование рекомендаций по совершенствованию Комплексной системы защиты информации органов ФНС России		Аналитическое обоснование необходимости модернизации подсистемы информационной безопасности ИТКС	I кв. 2007	II кв. 2007
2.1.2	Разработка опытного участка по модернизации средств защиты конфиденциальной информации от утечки по техническим каналам органов ФНС России		Акт о внедрении опытного участка (полигона информационной безопасности ФНС России)	II кв. 2007	II кв. 2007
2.1.3	Разработка опытного участка по модернизация средств защиты информации от несанкционированных действий (НСД) в средствах автоматизации органов ФНС России		Акт о внедрении опытного участка	II кв. 2007	II кв. 2007
2.1.4	Разработка опытного участка по модернизации средств обеспечения радиоэлектронной безопасности органов ФНС России		Акт о внедрении опытного участка	II кв. 2007	II кв. 2007
2.1.5	Разработка опытного участка по модернизации средств обеспечения конфиденциальности и целостности информации в органах ФНС России (в т.ч. при работе с информационными ресурсами)		Акт о внедрении опытного участка	II кв. 2007	II кв. 2007
2.1.6	Разработка опытного участка по модернизации средств обеспечения конфиденциальности и целостности информации в телекоммуникационных каналах органов ФНС России		Акт о внедрении опытного участка	II кв. 2007	II кв. 2007
2.1.7	Разработка опытного участка по модернизации средств обеспечения конфиденциальности и целостности информации при взаимодействии с другими организациями и ведомствами		Акт о внедрении опытного участка	II кв. 2007	II кв. 2007
2.1.8	Разработка опытного участка по модернизации и развитию защищенного юридически значимого электронного документооборота		Акт о внедрении опытного участка	II кв. 2007	II кв. 2007
2.1.9.	Разработка предложений по совершенствованию организационно-штатной структуры подразделений службы информационной безопасности ФНС России		Проект организационно-штатной структуры Службы информационной безопасности ФНС России	III кв. 2007	III кв. 2007
2.1.10	Разработка программ курсов повышения квалификации сотрудников подразделений защиты информации и специалистов органов ФНС России		Проекты программ курсов	III кв. 2007	III кв. 2007
2.1.11	Разработка учебно-методических документов для подготовки сотрудников ФНС России в области обеспечения информационной безопасности		Состав и проекты учебно-методических документов	IV кв. 2007	IV кв. 2007
2.1.12	Доработка комплекса организационно-распорядительных документов, регламентирующих деятельность должностных лиц по защите информации (инструкция по работе с конфиденциальной информацией; положение об администраторе ИБ и ответственном за ее обеспечение; инструкции по работе с СКЗИ, технические регламенты и инструкции пользователям ИТКС по защите информации и т.п.)		Проекты организационно-распорядительных документов	IV кв. 2007	IV кв. 2007
2.1.13	Разработка проектов Программы развития Комплексной системы защиты информации и плана закупок программно-технических средств для модернизации ИТКС ФНС России.		Проекты Программы и плана закупок.	IV кв. 2007	IV кв. 2007
3	Внедрение и сопровождение Комплексной системы обеспечения информационной безопасности органов ФНС России
3.1	Ввод в действие организационно-правовых документов по ИБ ФНС России
3.1.1	Комплекс организационно-распорядительных документов, регламентирующих деятельность должностных лиц по защите информации (инструкцию по работе с информацией ограниченного доступа; положение об администраторе ИБ и ответственном за ее обеспечение; инструкции по работе с СКЗИ, регламенты и инструкции пользователям АИС по защите информации и т.п.)	Комиссии ФНС России	Акт о вводе в действие	IV кв. 2007	I кв. 2008
3.1.2	Программа развития (внедрения) модернизированных средств Комплексной системы защиты информации и плана закупок программно-технических средств для модернизации.	Комиссии ФНС России	Акт об утверждении	IV кв. 2007	I кв. 2008
3.1.3	Программа развития (внедрения) модернизированных средств Системы управления ИБ и плана закупок программно-технических средств для модернизации	Комиссии ФНС России	Акт об утверждении	IV кв. 2007	I кв. 2008
3.2	Опытная эксплуатация Комплексной системы защиты информации (п.п. 2.1.2 - 2.1.5)		Акты опытной эксплуатации. Перечень объектов опытной эксплуатации устанавливается отдельным решением.	I кв. 2008	I кв. 2008
3.3	Опытная эксплуатация компонентов Системы управления информационной безопасности (п.п. 2.2.1 - 2.2.5)		Акты опытной эксплуатации. Перечень объектов опытной эксплуатации устанавливается отдельным решением	I кв. 2008	I кв. 2008
3.4	Аттестация информационных систем ФНС России по требованиям безопасности информации		Заключение, протоколы испытаний, Аттестат соответствия	II кв. 2008	III кв. 2008
3.5	Внедрение компонентов Комплексной системы защиты информации (п.п. 2.1.2 - 2.1.5) в органах ФНС России по результатам опытной эксплуатации.		Акты внедрения. Перечень объектов ФНС России для внедрения устанавливается отдельным решением	IV кв. 2008	I кв. 2009
3.6	Внедрение компонентов Системы управления информационной безопасностью (п.п. 2.2.1 - 2.2.5) в органах ФНС России по результатам опытной эксплуатации.		Акты внедрения. Перечень объектов ФНС России для внедрения устанавливается отдельным решением	IV кв. 2008	I кв. 2009
3.7	Внедрение Комплекса средств СУ МСТК ФНС России в части обеспечению защиты информации на объектах		Акты внедрения. Перечень объектов ФНС России для внедрения устанавливается отдельным решением	IV кв. 2008	I кв. 2009
3.8	Сопровождение компонентов Комплексной системы информационной безопасности на объектах ФНС России (п.п. 3.5, 3.6).		Ежеквартальные отчеты о проделанной работе	I кв. 2009	IV кв. 2009
3.9	Совершенствование организации работы внутреннего Удостоверяющего Центра ФНС России, его территориальных филиалов и центров регистрации		Ежеквартальные отчеты о проделанной работе	I кв. 2009	IV кв. 2009
3.10	Разработка и технико-экономическое обоснование рекомендаций по совершенствованию Комплексной системы информационной безопасности ФНС России.		Технический отчет	III кв. 2009	IV кв. 2009