Введение 3
1 Теоретические основы и нормативно-правовое обеспечение
информационной безопасности 6
1.1 Сущность и понятие системы обеспечения информационной
безопасности 6
1.2 Нормативно-правовые акты в области информационной
безопасности 9
1.3 Основные виды угроз информационной безопасности 11
2 Анализ системы обеспечения информационной безопасности в
Межрайонной ИФНС России № 29 по РБ 13
2.1 Краткая характеристика Межрайонной ИФНС России № 29 по РБ 13
2.2 Анализ внутренних и внешних источников угроз информационной
безопасности 19
2.3 Система обеспечения информационной безопасности в
Межрайонной ИФНС России № 29 по РБ 24
2.3.1 Комплекс организационных и правовых мер обеспечения
информационной безопасности 24
2.3.2 Анализ программно-аппаратных средств защиты
информации для реализации основных методов защиты информации 28
2.3.3 Средства криптографической защиты информации 32
2.3.4 Инженерно-техническая защита информации от утечки по
каналам связи 34
3 Совершенствование системы обеспечения безопасности информации в
Межрайонной ИФНС России № 29 по РБ 36
Заключение 42
Список использованных источников и литературы 44
В современном мире информационные отношения затрагивают все сферы деятельности человека, а результаты этой деятельности все больше зависят от целостности, достоверности, конфиденциальности информации. Обязательному регулированию подлежит деятельность по защите информации, а также, в определенной степени, практически все виды информационных отношений.
Известно, что всякая информация, во-первых является предметом, во- вторых средством и, в-третьих, продуктом труда для любой организации. Поэтому очень важное внимание должно уделяться защите информации от её утечки. При этом целями защиты информации в федеральных органах исполнительной власти являются:
- сохранение государственных секретов, конфиденциальной
документальной информации в соответствии с законодательством;
- обеспечение правового режима документированной информации как объекта собственности;
- предотвращение разглашения, утечки и несанкционированного доступа к защищенной информации;
- пресечение противоправных действий по уничтожению, изменению, искажению, копированию, блокированию информации.
При реализации функций государственного управления и оказания государственных услуг ФНС России обрабатывается информация, составляющая:
- налоговую тайну;
- персональные данные;
- коммерческую и банковскую тайны;
- служебную тайну.
Обеспечение информационной безопасности в государственных органах исполнительной власти предполагает, прежде всего, правильное определение угроз безопасности соответствующего субъекта, в том числе угроз в информационной сфере, а также адекватный выбор и применение средств защиты от этих угроз. Оно может быть достигнуто только комплексным использованием средств защиты по каждому виду угроз в рамках единой государственной политики, учитывающей, разумеется, федеральный, региональный и местные уровни ФНС России, которые должны быть взаимосвязаны.
На повышение информационной безопасности федеральных органов исполнительной власти оказывает создание на основе информационно-коммуникационных технологий электронного правительства, в результате чего обеспечивается современная информационная основа для принятия управленческих решений, повышается уровень информационного обеспечения, достоверность, скорость получения и полнота информации 1.
Актуальность темы выпускной квалификационной работы обусловлена тем, что Межрайонная ИФНС России является критически важной государственной структурой, в которой необходимо обеспечить требуемый уровень защиты информации.
Целью выпускной квалификационной работы является анализ системы обеспечения защиты информации в государственных органах исполнительной власти.
Объектом исследования в выпускной квалификационной работе является «Межрайонная инспекция Федеральной налоговой службы России № 29 по РБ».
Предметом исследования является система информационной безопасности.
Для достижения цели выпускной квалификационной работы, необходимо решить следующие задачи:
1 Уткин В.Б., Балдин К.В. Информационные системы и технологии в экономике. - М.: Юнити-Дана, 2015. - С. 85.
- дать краткую характеристику организации;
- выявить возможные угрозы информационной безопасности в организации;
- рассмотреть организационно-правовое обеспечение защиты информации в организации;
- исследовать систему защиты информации в организации;
- разработать рекомендации по совершенствованию системы обеспечения безопасности информации.
Структурно работа состоит из введения, трех глав, заключения, списка использованных источников и литературы.
Введение обосновывает актуальность темы исследования, формулирует цель и задачи работы.
В первой главе приведена теоретическая часть. Рассмотрены сущность и понятие информационной безопасности, нормативно -правовая база в области защиты информации и угрозы информационной безопасности.
Во второй главе дана краткая характеристика организации, отражены актуальные и возможные угрозы объекта, исследована система обеспечения безопасности информации.
В третьей главе отражены рекомендации по совершенствованию системы обеспечения безопасности информации.
В выпускной квалификационной работе исследована система обеспечения безопасности информации и даны рекомендации по её совершенствованию.
Практический материал по выпускной квалификационной работе был собран во время прохождения преддипломной практики в отделе информационных технологий в Межрайонной ИФНС России № 29 по РБ.
В ходе анализа объекта были изучены организационная структура организации, локальные нормативно-правовые документы в области защиты информации, рассмотрен комплекс применяемых организационных, инженерно-технических мер защиты информации, программно-аппаратные и криптографические средства защиты информации.
Основной государственной информационной системой в Инспекции является АИС Налог-3. Многие сотрудники отделов ведут работу в данной системе, с помощью которой происходит прием, обработка, предоставление данных и анализ информации. Система обеспечения безопасности информации включает организационную базу (должностные лица, пользователи АИС Налог - 3); исполнительный механизм (встроенные в ПО АИС Налог-3 функции безопасности, технические СЗИ, средства мониторинга и аудита); механизм поддержки, включающий в себя комплекс организационных, инженерно¬технических и технических мер по защите информации.
Установленные программно-аппаратные и криптографические СЗИ в Инспекции являются сертифицированными ФСТЭК и ФСБ России и отвечают требованиям безопасности, предъявляемым к государственным
информационным системам 3-го класса.
Для усиления существующей системы защиты было предложено использование на рабочих станциях СЗИ Secret Net Studio, которое оснащено дополнительными механизмами защиты: антивирусная защита, межсетевое экранирование, шифрование контейнеров, авторизация сетевых соединений, обнаружение и предотвращение вторжений.
Secret Net Studio имеет сертификат соответствия ФСТЭК России № 3745 от 16.05.2017 г., который действителен до 16.05.2020 г. и соответствует требованиям РД по 4 уровню контроля; 4 классу защиты САВЗ, СОВ, МЭ; 5 классу СВТ. Может применяться в автоматизированных системах до класса 1 включительно.
В рассматриваемой организации имеется большое количество информации конфиденциального характера, доступ к которой необходимо ограничивать, поэтому, основной целью специалиста по информационной безопасности является разработка и дальнейшее совершенствование такой системы по защите информации, при которой угрозы утечки конфиденциальной информации были бы минимальны.
Из вышеизложенного следует вывод о том, что необходимо уделить больше внимания к защите конфиденциальной информации налоговых органов, подбору компетентных специалистов в области информационной безопасности.
По результатам можно сказать, что защита информации в инспекции отвечает стандартам эффективности защиты информации. В каждой сфере, будь то конфиденциальная информация, документы для служебного пользования и другие, имеется ответственный отдел и закрепленный персонал.
Таким образом, был проведен анализ системы обеспечения информационной безопасности, результатом которого стали разработанные рекомендации, которые позволяют усовершенствовать имеющуюся систему защиты информации и повысить общий уровень обеспечения информационной безопасности.
1. Конституция Российской Федерации от 12 декабря 1993 г. [ред. от 21.07.2014] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 19.04.2019.
2. Налоговый кодекс Российской Федерации от 31 июля 1998 г. № 146-
ФЗ [ред. от 01.05.2019] // справ.-правовая система «КонсультантПлюс».
ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 07.05.2019.
3. Постановление Правительства РФ от 03 ноября 1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности» [ред. от 18.03.2016] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 19.04.2019.
4. Приказ Госналогслужбы РФ от 26 апреля 1993 № ВГ-3-12/32 «Об образовании отделов информатизации в государственных налоговых инспекциях по республикам в составе Российской Федерации, краям, областям, автономным образованиям, городам Москве и Санкт-Петербургу» [ред. от 16.06.1999] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 17.05.2019.
5. Приказ МНС РФ от 3 марта 2003 № БГ-3-28/96 «Об утверждении Порядка доступа к конфиденциальной информации налоговых органов» // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 17.05.2019.
6. Приказ от 11 декабря 2012 № ММВ-7-4/942@ «О переходе
Удостоверяющего центра ФНС России на выпуск квалифицированных сертификатов ключей проверки электронной подписи» // справ. -правовая
44
система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 08.05.2019.
7. Приказ ФНС России от 13 января 2012 № ММВ-7-4/6@ «Об
утверждении Концепции информационной безопасности Федеральной налоговой службы» // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 20.05.2019.
8. Приказ ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [ред. от 15.02.2017] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 21.05.2019.
9. Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [ред. от 23.03.2017] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 21.05.2019.
10. Закон РФ от 21 июля 1993 № 5485-1 «О государственной тайне» [ред. от 29.07.2018] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 19.04.2019.
11. Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [ред. от 18.03.2019] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 19.04.2019.
12. Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных» [ред. от 31.12.2017] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 19.04.2019.
13. Федеральный закон от 29 июля 2004 № 98-ФЗ «О коммерческой тайне» [ред. от 18.04.2018] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 19.04.2019.
14. Федеральный закон от 6 апреля 2011 № 63-ФЗ «Об электронной подписи» [ред. от 23.06.2016] // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 19.04.2019.
15. Указ Президента РФ от 5 декабря 2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» // справ.- правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 19.04.2019.
16. ГОСТ Р 50922-2006 от 27 декабря 2006 № 373-ст «Защита информации. Основные термины и определения» // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 18.04.2019.
17. ГОСТ Р ИСО/МЭК 15408-1-2012 от 15 ноября 2012 № 814-ст
«Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» // справ.-правовая система «КонсультантПлюс». ВерсияПроф. - Электрон. текст. дан. - Послед. обновление 07.05.2019.
Книги
18. Аверченков, В.И. Аудит информационной безопасности органов исполнительной власти: учебное пособие / В.И. Аверченков, М.Ю. Рытов, А.В. Кувыклин, М.В. Рудановский. - 4 изд. - М.: Издательство «Флинта», 2016. - 100 с.
19. Громов, Ю.Ю. Программно-аппаратные средства защиты информационных систем: учебное пособие / Ю.Ю. Громов, О.Г. Иванова, К.В. Стародубов, А.А. Кадыков. - Тамбов.: Издательство ФГБОУ ВПО «ТГТУ», 2017. - 194 с.
20. Загинайлов, Ю.Н. Основы информационной безопасности: учебное пособие / Ю.Н. Загинайлов. - М.: Директ-Медиа, 2015. - 105 с.
21. Ковалев, Д.В. Информационная безопасность: учебное пособие / Д.В.
Ковалев, Е.А. Богданова. - Ростов-на-Дону.: Издательство Южного
федерального университета, 2016. - 74 с.
22. Петренко, В.И. Теоретические основы защиты информации / В.И. Петренко. - Ставрополь.: СКФУ, 2015. - 222 с.
23. Уткин, В.Б. Информационные системы и технологии в экономике / В.Б. Уткин, К.В. Балдин. - М.: Юнити-Дана, 2015. - 336 с.
Материалы из сети Интернет
24. Информационная безопасность в налоговых органах Российской
Федерации [Электронный ресурс] / CYBERLENINKA.RU: Научная электронная библиотека КиберЛенинка. - Электрон. дан. URL:
https://www.cyberleninka.ru/article/v/informatsionnaya-bezopasnost-v-nalogovyh- organah-rossiyskoy-federatsii (дата обращения 17.05.2019). - Загл. с экрана.
25. Комплексная защита информационных ресурсов рабочих станций и
серверов «Блокхост-сеть 2.0» [Электронный ресурс] / GAZ-IS.RU: Официальный сайт Блокхост-сеть 2.0. - Электрон. дан. URL: https://www.gaz- is.ru/produkty/zashchita-rabochih-stancii-i-serverov/blockhost-set.html (дата
обращения 21.05.2019). - Загл. с экрана.
26. Межрайонная инспекция ФНС России № 29 по РБ [Электронный ресурс] / NALOG.RU: Официальный сайт Федеральной налоговой службы. - Электрон. дан. URL: https://www.nalog.ru/rn02/ifns/imns02_29/ (дата обращения 03.05.2019). - Загл. с экрана.