3.2 Система защиты информации
Для повышения надежности АИС нужна система защиты информации.
Система защиты информации – совокупность специальных мер правового и административного характера, организационных мероприятий, физических и технических средств защиты, а также специального персонала, предназначенного для обеспечения безопасности информации.
Правовые меры защиты информации – действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения.
Морально-этические меры защиты информации – традиционно сложившиеся в стране нормы поведения и правила обращения с информацией. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека, организации.
Организационные (административные) меры защиты – это меры, регламентирующие процессы функционирования АИС, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.[16]
Физические меры защиты – различные механические, электро- или электронно-механические устройства, предназначение для создания физических препятствий на путях проникновения потенциальных нарушителей к защищаемой информации, а также техник визуального наблюдения, связи и охранной сигнализации.
Технические (аппаратно-программные) средства защиты – различные электронные устройства и специальные программы, выполняющие (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию пользователей, разграничение доступа к ресурсам, криптографическое закрытие информации и т.п.)
Наилучшие результаты по защите АИС достигаются при системном подходе к вопросам безопасности и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы начиная с ее проектирования.
Существуют следующие универсальные (общие) способы защиты информации от различных воздействий на нее:
Идентификация и аутентификация (пользователей процессов и т.д.);
Контроль доступа к ресурсам АИС (управление доступом);
Регистрация и анализ событий, происходящих в АИС;
Контроль целостности объектов АИС;
Шифрование данных;
Резервирование ресурсов и компонентов АИС.
Идентификация – это присвоение кода каждому объекту персонального идентификатора.
Аутентификация – установление подлинности.
Управление доступа – защита информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). Регламентируются порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т.д.
3.3 Обеспечение защиты АС «Бюджет»
Правовые и организационные меры защиты информации регламентированы инструкцией[17] и распоряжениями руководителя финансового управления[18]. Функции администратора информационной безопасности возложены на специалиста финансового управления и утверждены должностной инструкцией. Основными задачами администратора информационной безопасности являются: организация эксплуатации технических и программных средств защиты информации, текущий контроль работы средств и систем защиты информации, обеспечение функционирования средств и систем защиты информации в пределах инструктивно-методических документов, обучение персонала и пользователей вычислительной техники правилам безопасной обработки информации и правилам работы со средствами защиты информации, участие в проведении служебных расследований, фактов нарушения или угрозы нарушения безопасности защищаемой информации, организация антивирусного контроля магнитных носителей информации и файлов электронной почты, поступающих из других подразделений и сторонних организаций, текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических средств защиты информации, контроль за санкционированным изменением ПО, заменой и ремонтом средств вычислительной техники на своём технологическом участке. На администратора информационной безопасности возлагается персональная ответственность за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями.
К техническим средствам защиты можно отнести сервер Kraftway Express ISP ES13, основным назначением которого является обслуживание интернет/интранет приложений, сервисов терминалов, электронной почты, хостинга, кэширования, сетевого экрана. Для увеличения надежности жесткие диски и блоки питания в сервере Kraftway Express ISP позволяют осуществлять замену, не прерывая его функционирования.
Наиболее "слабой" в смысле отказоустойчивости частью компьютерных систем всегда являлись жесткие диски, поскольку они, чуть ли не единственные из составляющих компьютера, имеют механические части. Данные, записанные на жесткий диск доступны, только пока доступен жесткий диск, и вопрос заключается не в том, откажет ли этот диск когда-нибудь, а в том, когда он откажет.
RAID обеспечивает метод доступа к нескольким жестким дискам, как если бы имелся один большой диск (SLED - single large expensive disk), распределяя информацию и доступ к ней по нескольким дискам, обеспечивая снижение риска потери данных, в случае отказа одного из винчестеров, и увеличивая скорость доступа к ним. RAID представляет собой технологию объединения двух и более физических накопителей в один логический, с целью увеличения доступного размера дискового пространства, обеспечения лучшей ремонтнопригодности, повышения надежности хранения данных и повышения скорости работы с ними. На сегодняшний день технология RAID стала неотъемлемой частью высокопроизводительных и надежных систем хранения данных.
На сервере Kraftway Express ISP ES13, установленном в финансовом органе, реализован уровень RAID5. В настоящее время RAID 5 (Block Stripping with Stripped Parity) — один из самых распространенных вариантов реализации технологии RAID. В RAID 5 используется защита данных по четности, но информация о четности хранится не на отдельных накопителях, а вместе с данными — она распределена по всем дискам массива. Реализация этого уровня требует минимальных затрат дискового пространства, обеспечивает высокую производительность при чтении случайных блоков данных и при несложных операциях записи, RAID 5 предоставляет максимальное число операций ввода/вывода в единицу времени, поддерживает обслуживание множественных параллельных потоков ввода/вывода. Минимальное число дисков, необходимое для реализации этого уровня, равно 3.
Для обеспечения надежности также необходимо обеспечить контроль прав доступа пользователей к данным и разработать стратегию резервного копирования.
Для предотвращения несанкционированного доступа к системе разработан механизм разграничения прав доступа пользователей. Разграничение производится по отношению к рабочему месту, объекту, функциям объекта, лицевым счетам и бюджетной классификации. В стандартный набор входят рабочие места:
РМ Администратор, включающее интерфейсы: администратор; объекты; пользователи; контроль регистрации; журнал регистрации; сборка мусора; администратор отчетов; администратор документов; раскладчик контроля и документов; администратор импорта; администратор экспорта; администратор контроля; универсальный администратор; генераторы; блокировки документов; администратор генерации;
РМ Бухгалтерия, включающее интерфейсы: операции со счетами; выписка по доходам; распоряжения; кредиты от кредитных организаций; ссуды юрлицам; операции со счетами через распоряжение на финансирование; распоряжения на возврат доходов; прочие источники; платежные поручения; списание сумм по окончании года;
РМ Бюджетная роспись доходов;
РМ Бюджетная роспись источников;
РМ Бюджетная роспись расходов;
РМ Векселя, включающее интерфейсы: доходы векселями; финансирование векселями; операции покупки векселей; операции продажи векселей;
РМ Взаимные расчеты с другими бюджетами, включающее интерфейсы: уведомления по взаимным расчетам; свободное финансирование; средства, полученные из других бюджетов;
РМ Взаимозачеты;
РМ Делопроизводство, включающее интерфейсы: входящие документы; исходящие документы; справочники классификаторов по делопроизводству;
РМ Доходы, включающее интерфейсы: выписка по доходам; внутренние проводки (доходы); невыясненные поступления; суммы в пути; оперативные данные; распределение по нормативу;
РМ Заявки казначейства;
РМ Казначейство, включающее интерфейсы: реестры казначейства; приход от прочих и восстановление расходов; приход средств по объявлениям; уход средств по платежным поручениям; уход средств по чекам; внутренняя переброска (Разассигновка); приход средств от финуправления (ФО); внутренняя переброска средств (один многим); перевод денег в районы; перечисление на счета для наличности; подтверждение перечисления на счета для наличности; возврат со счетов для наличности; подтверждение возврата со счетов для наличности;
РМ Консолидация 5Н, включающее интерфейсы: 5Н. Отчеты финоргана (собственные и нижестоящих ФО); 5Н. Отчеты подведомственных (РБС, ПБС); 5Н. Отчеты распорядителей (ГРБС, РБС); 5Н. Отчеты казначейства; 5Н. Консолидированные отчеты субьектов;
РМ Кредиты и ссуды, включающее интерфейсы: ссуды юридическим лицам; кредиты от кредитных организаций; журнал процентов ЦБ;