Информация в отделении Пенсионного Фонда РФ может классифицироваться на критическую и чувствительную.
Критичность информации подразумевает, что информация должна быть доступна тем и тогда, когда она требуется для непрерывности деятельности госоргана. Критичность информации прямо связана с критичностью процессов доступа к информации.
На основе этого информация по степени критичности может быть следующей:
- Существенная: Персональные данные о гражданах РФ (например, заработанная плата, лицевой счет и др.), хранящиеся в БД, носят существенный, критический характер. Эта информация является высоко чувствительной. При ее потери отделения Пенсионного Фонда РФ понесет значительный ущерб в деятельности. Существует возможность временное прекращение деятельности учреждения, пока БД не будут восполнены.
- Важная: Информация, поступившая на почтовый сервер или на АРМ (1,2). Потеря такой информации нанесет средний, но поправимый ущерб деятельности госоргана.
- Нормальная: Устаревшие сведения.
Чувствительность информации определяется как мера влияния на организацию неправильного отношения с ней.
По степени чувствительности могут быть выделены следующие виды информации:
- Высоко чувствительная: Раскрытие персональных данных граждан РФ.
- Чувствительная: Разглашение паролей АРМ, доступ к почтовому серверу, отсутствие шифрования данных.
Такие ситуации возможны по неосторожности, любопытству, не задумавшись о последствии действий или намеренно, если злоумышленник покидает место работы.
- Внутренняя: Регистрирование документов, должностные инструкции, ведение лицевых счетов.
- Открытая: метод обмена информации между регионами (по схеме «запрос - ответ»), количество индивидуальных счетов (1 300 000), способ хранения информации и др.
В зависимости от особенностей деятельности учреждения к информации может быть применена другая классификация. Степень критичности информации, в этом случае, определяется как мера влияния информации на бизнес - цели организации.
По степени критичности относительно доступности виды информации могут быть следующие:
- Критическая: Сведения о гражданах РФ, находящиеся в БД.
При отсутствии такой информации работа остановится.
- Очень важная: Информация, поступающая от почтового сервера, системные пароли, номера персональных счетов.
Доступ к сведениям о гражданах РФ должен быть ограничен. За этим следит администратор ИБ. Администратор сервера несет ответственность за целостность, конфиденциальность, доступность, подотчетность и подлинность БД.
- Важная: Сведения, которые должны быть переданы в банк.
- Полезная: Применение электронных таблиц Excel, использование Интернет, факса, телефонных книг - это значительно экономит временные ресурсы.
- Несущественная: сведения, хранящиеся более 75 лет.
По степени критичности относительно целостности информация, хранящаяся в БД, будет важной, так как несанкционированное изменение ее приведет к неправильной работе АРМ через некоторое время, если не будут приняты определенные действия администратором главного сервера и администратором ИБ.
По степени критичности относительно конфиденциальности информация виды информации могут быть следующие:
- Критическая: Сведения о гражданах РФ и методах связи с Г. Москва.
- Очень важная: пароли АРМ, номера персонифицированных счетов.
- Незначимая: метод обмена информации между регионами количество индивидуальных, способ хранения информации и т.д.
Главный смысл классифицирования информации состоит в том, чтобы указать на то, как персонал должен обращаться с ней. Самой критичной и чувствительной информацией являются сведения о гражданах РФ, хранящиеся в БД. БД должны хранится на администраторском сервере, а их дубликаты на АРМ администратора ИБ и в г. Москве. Главный администратор должен контролировать СУБД и нести ответственность за потерю сведений из БД или самих БД, осуществлять работу с Интернет. Ценность информации состоит в ограниченном доступе к ней. Чем ценнее сведения, тем меньше людей имеют возможность ей пользоваться (пароли, шифрование и др.). Такую информацию можно назвать чувствительной и конфиденциальной. Важной будет информация, связанная с бизнес - целями Пенсионного Фонда и поступающая с почтового сервера. Главной целью защиты информационных ресурсов является обеспечение безопасности администраторского сервера.
Таблица 2 - Информационный ресурс - пользователь
Информационный ресурс
Ответственный
Пользователь
Обязанности пользователя
Степень Критичности (чувствительности)
Фаза жизненного цикла
Место хранения
Персональные данные клиентов
Администратор и администратор по ИБ
Работники отделения (АРМ), администратор, администратор ИБ и администратор сервера в г. Москве
Сбор данных, обработка, хранение, следить за доступом к ним
Критическая
Получение обработка хранение
БД
Системные пароли
Администратор ИБ
Администратор, администратор ИБ
Следить за правом доступа
Очень важная
Хранение
АРМ Администратора ИБ
Сетевые данные
Администратор
Передача данных на АРМ (3,4), размещение объявлений на сайте и др.
Чувствительная
Передача
Почтовый сервер
Обработанная информация
АРМ (5,б)
Передача информации, выявление несоответствий
Важной
Регистрация документов, должностные инструкции, телефонные книги
Руководитель организации
Работники отделения
Использование этих сведений непосредственно на рабочем месте
Внутренняя
АРМ работников, АРМ руководителя
Незасекреченная информация о деятельности отделения (способ хранения информации)
Руководитель
Граждане РФ
Использование по необходимости
Открытая
Обработка
АРМ руководителя
Устаревшие данные
Администратор по ИБ
Администратор и администратор ИБ
Хранение и удаление
Несущественная
Удаление
Программное обеспечение
Программное обеспечение (ПО) - это совокупность программ системы обработки данных и программных документов, необходимых для эксплуатации этих программ. Основные функции ПО:
- автоматическое управление вычислительным процессом работы компьютера при минимальном вмешательстве оператора;
- повышение эффективности функционирования ЭВМ;
- обеспечение взаимодействия пользователь и компьютера;
- обеспечение контроля и надежности функционирования ЭВМ.
ПО дополняет компьютеры теми возможностями, которые трудно или экономически нецелесообразно реализовать аппаратными средствами. Информационные системы на основе компьютерных сетей выполняют функции хранение и обработки данных, организации доступа к данным, передачу данных и результатов обработки пользователем. Функциональное назначение любой компьютерной сети состоит в том, чтобы предоставлять информационные и вычислительные ресурсы пользователям, которые имеют подключение к сети. Локальная сеть включает: сервер, рабочие станции (АРМ), среду передачи (линии связи или пространство, в котором распространяются электрические сигналы и аппаратуру передачи данных), сетевое программное обеспечение, почтовый сервер. Помимо локальной сети в госоргане существует и глобальная сеть. В нее включаются еще АРМ банка и сервер в г. Москва. По определенным протоколам в сети происходит обмен информации. Протокол - это стандарт (набор правил), определяющий способ преобразования информации для ее передачи по сетям. Для подключения к Интернет и получения набора услуг компьютер должен быть присоединен к Интернет по протоколу TCP/IP (протокол управления передачей / протокол Internet) - Transmission Control Protocol / Internet Protocol. Группа протоколов TCP предназначена для контроля передачи и целостности передаваемой информации. Протокол IP описывает формат пакета данных, передаваемых по сети и принципы адресации в Интернет. Уязвимость определяется ошибками содержимого пакета при передачи.
Страницы: 1, 2, 3, 4, 5, 6, 7
