Защита информации в ГИС

В государственных информационных системах хранятся персональные, юридические и финансовые данные, которые необходимо надежно защищать от кражи или потери. Организации, которые работают с такими системами, обязаны соблюдать требования закона «Об информации, информационных технологиях и о защите информации» № 149-ФЗ. Разбираем, какие бывают государственные информационные системы и как их можно защитить. 

Что такое ГИС

Государственные информационные системы (ГИС) — создаются и используются государственными органами для выполнения своих задач и обмена информацией. Они помогают управлять данными, обеспечивать связь между различными ведомствами и улучшать качество государственных услуг. Это могут быть базы данных для регистрации граждан, системы для управления налогами и платформы для оказания электронных услуг населению.

ГИС нужны для:

• хранения информации в электронном виде, чтобы она была доступна в любое время;

• быстрого и безопасного обмена данными между разными государственными органами;

• автоматизации рутинных задач, таких как обработка заявлений, выдача документов и учет данных;

• предоставление гражданам государственных услуг онлайн: через интернет можно подать налоговую декларацию, получить разные справки, записаться на прием к врачу;

• люди могут получать доступ к информации о деятельности государственных органов;

• ГИС играют важную роль в обеспечении национальной безопасности, например в системах мониторинга и управления чрезвычайными ситуациями.

Масштабы ГИС

Государственные информационные системы разделяют по уровням в зависимости от их масштаба и сферы использования. 

Федеральные системы действуют на уровне всей страны и находятся под контролем федерального правительства, например:

• Федеральная налоговая служба — занимается сбором и обработкой налогов от граждан и организаций по всей стране;

• Пенсионный фонд России — отвечает за пенсионные выплаты для всех граждан.

Региональные ГИС функционируют в пределах одного региона или субъекта Российской Федерации, например:

• системы здравоохранения, которые координируют медицинские услуги и учреждения в конкретном регионе;

• системы образования, которые следят за работой школ, колледжей и вузов в этом регионе.

Системы объектового уровня используются в конкретных учреждениях и организациях, например: 

• система управления документами в городской администрации, которая используется только внутри этой администрации и не связана с другими организациями;

• электронная система записи пациентов в районной больнице, которая используется только для управления данными пациентов этой больницы и не взаимодействует с системами других больниц или клиник.

Классификация защищенности ГИС

Классы защищенности ГИС помогают понять, насколько хорошо система защищена от различных угроз. Они устанавливаются как для системы в целом, так и для ее отдельных частей.

Первый класс (К1) — это самый высокий уровень защиты. Он используется для данных, которые имеют критическое значение для национальной безопасности, например государственные тайны или данные о стратегических объектах.

Второй класс (К2) — высокий уровень безопасности для важной информации, которая не относится к государственной тайне, но все же требует серьезных мер защиты. Это могут быть данные о госслужащих или финансовая информация государственных учреждений.

Третий класс (К3) — средний уровень, предназначенный для информации, необходимой для функционирования госорганов, но не критичной. Сюда относятся внутренние документы и оперативные данные, которые не содержат конфиденциальной информации.

Четвертый класс (К4) — низкий уровень защиты. Он применяется к информации, которая не является особо важной и не требует высоких мер безопасности, например публичные или общедоступные данные.

Чтобы определить класс защищенности, нужно провести комплексную оценку, которая включает в себя следующие шаги:

1. Оценка значимости информации и потенциальных рисков в случае утечки или потери данных.

2. Определение масштаба системы: является ли она федеральной, региональной или локальной.

3. Анализ возможных угроз и рисков для данных.

4. Проверка системы на соответствие законодательным и нормативным требованиям в области информационной безопасности.

Если в ГИС изменяется масштаб или важность обрабатываемой информации, нужно пересмотреть класс её защищенности. 

Согласно стандартам ГОСТ Р ИСО/МЭК 17799-2005, информационная безопасность должна гарантировать защиту целостности, конфиденциальности и доступности данных. 

Конфиденциальность — это возможность доступа к информации только для авторизованных пользователей. Обеспечивает защиту данных от несанкционированного использования.

Целостность информации означает, что она должна быть точной, полной и обработанной надежными методами. Это позволяет избежать ошибок и искажений данных.

Доступность — это возможность для пользователей получить доступ к нужной информации в нужное время. Позволяет эффективно работать с данными и предотвращает простои в работе системы.

Компоненты ГИС и возможные угрозы

Чтобы защитить государственную ИС, нужно понимать, из каких основных компонентов она состоит и где могут быть слабые места. Рассмотрим главные элементы ГИС.

Сетевой сервер — ключевой элемент, где находятся базы данных и программы, которые нужны для функционирования системы. Важно обеспечить его защиту, так как любое нарушение безопасности может привести к утечке или потере информации.

Рабочие места — компьютеры с установленными программами и приложениями, которыми сотрудники пользуются для доступа к нужным данным. Они могут быть уязвимы для вирусов, фишинга и несанкционированного доступа.

Телекоммуникационные системы — устройства, которые позволяют передавать информацию через разные каналы связи и интернет: маршрутизаторы, модемы и другие сетевые устройства. Эти системы могут быть подвержены атакам на сетевые протоколы, перехвату данных и DDoS-атакам.

Сотрудники. Человеческий фактор считается одной из главных угроз для информационной безопасности. Среди основных рисков — фишинг, случайные ошибки, потеря или кража данных. 

Многие государственные информационные системы создаются для удобства обычных граждан, чтобы они имели доступ к разным государственным услугам. И с этой стороны тоже возникают угрозы для конфиденциальной информации.

Перехват данных. Злоумышленники способны захватывать важные сведения через коммуникационные каналы. Этот риск особенно высок во время обмена данными между сервером и устройствами пользователей.

Кража данных. Чаще всего это происходит, когда люди вводят свои пароли и логины на этапе сбора информации.

Искажение и подмена данных. На этапе аутентификации и идентификации злоумышленники могут изменить или подменить данные. 

Программное обеспечение Staffcop предлагает решения для защиты ГИС. Контролирует поток информации и событий системы. Отслеживает действия пользователей на рабочих местах. Помогает предотвратить утечку конфиденциальных данных. Есть возможность удаленного администрирования рабочих станций.

Меры по защите информации в государственных информационных системах

Чтобы обеспечить надежную защиту, нужно учитывать размеры, цели и область применения системы. В Приказе ФСТЭК 17 подробно изложены требования к безопасности ГИС и способы их реализации. Рассмотрим основные моменты:

Технические меры:

• использование ПО для защиты данных, сертифицированного ФСТЭК;

• применение методов аутентификации пользователей: пароли, смарт-карты и биометрические данные;

• шифрование информации для защиты при передаче и хранении;

• контроль или запрет использования сторонних программ;

• обеспечение защиты физических носителей информации;

• мониторинг и запись инцидентов безопасности для их последующего анализа;

• использование антивирусного ПО.

Программный комплекс Staffcop Enterprise получил сертификат ФСТЭК России № 4234. Это означает, что его можно использовать в составе государственных информационных систем.

Организационные меры

• разработка и реализация политик безопасности;

• регулярное обучение сотрудников по вопросам информационной безопасности;

• проведение периодических проверок и аудитов для выявления уязвимостей слабых мест и оценки эффективности принятых мер безопасности.

Физические меры:

• ограничение физического доступа к серверным и другим важным помещениям;

• установка систем охраны и видеонаблюдения для защиты от несанкционированного проникновения.

StaffCop Enterprise — это система, которая помогает обеспечить информационную безопасность и контроль над сотрудниками как в больших коммерческих компаниях, так и в государственных организациях. На нашем сайте вы можете бесплатно скачать и протестировать ознакомительную версию программы. 

Мы предоставляем 15 дней на бесплатное тестирование. Оцените полный функционал Staffcop Enterprise прямо сейчас.