Скачать презентацию Информационная безопасность в налоговых органах Заместитель начальника отдела Скачать презентацию Информационная безопасность в налоговых органах Заместитель начальника отдела

Лекция_общая_4 часа.ppt

  • Количество слайдов: 44

Информационная безопасность в налоговых органах Заместитель начальника отдела информационной безопасности УФНС России по Санкт-Петербургу Информационная безопасность в налоговых органах Заместитель начальника отдела информационной безопасности УФНС России по Санкт-Петербургу Крыга Дмитрий Александрович

Обеспечение информационной безопасности: n n n Обеспечение целостности информации (защита от уничтожения, модификация данных). Обеспечение информационной безопасности: n n n Обеспечение целостности информации (защита от уничтожения, модификация данных). Обеспечение доступности информации (предоставление доступа к информации уполномоченным лицам за разумное конечное время). Обеспечение конфиденциальности информации (защита от несанкционированного доступа, копирования, неправомерного распространения).

Источники угроз информационной безопасности: n Угрозы целостности информации – вредоносное программное обеспечение, пользователи, ошибки Источники угроз информационной безопасности: n Угрозы целостности информации – вредоносное программное обеспечение, пользователи, ошибки программного обеспечения, отказы оборудования… n Угрозы доступности информации – вредоносное программное обеспечение, отказы носителей, отказы сетей, атаки на сервера в виде множественных запросов. . . n Угрозы конфиденциальности информации – угрозы со стороны пользователей информационных ресурсов, сотрудников не допущенных к ИР, внешних нарушителей. . .

Меры обеспечения информационной безопасности n n n Правовые; Организационные; Программные и аппаратные. Меры обеспечения информационной безопасности n n n Правовые; Организационные; Программные и аппаратные.

Информация ФНС России: n n n Общедоступная (доступ к которой не может быть ограничен Информация ФНС России: n n n Общедоступная (доступ к которой не может быть ограничен в соответствии с законодательством Российской Федерации, опубликованная информация). Служебная (любая информация, не относящаяся к информации открытой и общедоступной, не содержащая сведений конфиденциального характера). Информация ограниченного доступа (конфиденциальная информация) - сведения, для которых установлен специальный режим обработки, доступ к которым ограничен в соответствии с федеральными законами (за исключением сведений, составляющих государственную тайну).

Ответственные лица: n n n n Начальник инспекции (в соответствии с положением об инспекции). Ответственные лица: n n n n Начальник инспекции (в соответствии с положением об инспекции). Заместитель начальника инспекции (если ответственность возложена приказами). ПДТК (создается в соответствии с требованиями Руководства по информационной безопасности, вырабатывает рекомендации). Специалисты по информационной безопасности (штатные или не штатные). Администраторы информационной безопасности отдельных подсистем. Все сотрудники (за выполнение доведенных до них требований). Начальник отдела (за организацию работ, доведение требований)

Основные права и обязанности, а также запреты и требования предусмотрены статьями 14, 15, 17, Основные права и обязанности, а также запреты и требования предусмотрены статьями 14, 15, 17, 18 Федерального закона от 27. 07. 2014 № 79 -ФЗ «О государственной гражданской службе Российской Федерации» Статья 17. Запреты, связанные с гражданской службой В связи с прохождением гражданской службы гражданскому служащему запрещается: 8) использовать в целях, не связанных с исполнением должностных обязанностей, средства материально-технического и иного обеспечения, другое государственное имущество, а также передавать их другим лицам; 9) разглашать или использовать в целях, не связанных с гражданской службой, сведения, отнесенные в соответствии с федеральным законом к сведениям конфиденциального характера, или служебную информацию, ставшие ему известными в связи с исполнением должностных обязанностей.

Цикл работ по защите информации: n n n n Определение объектов, на которых обрабатывается Цикл работ по защите информации: n n n n Определение объектов, на которых обрабатывается информация, подлежащая защите. Категорирование и классификация объектов. Определение актуальных угроз. Выбор средств и способов нейтрализации угроз. Установка и настройка средств защиты информации. Разработка регламентирующих документов. Аттестация объектов информатизации. Контроль эффективности принятых мер защиты информации.

Защищаемая информация ограниченного доступа n n n Налоговая тайна (ст. 102 Налогового кодекса). Персональные Защищаемая информация ограниченного доступа n n n Налоговая тайна (ст. 102 Налогового кодекса). Персональные данные (Федеральный закон «О персональных данных» от 27 июня 2006 года № 152 -ФЗ). Информация ограниченного доступа (приказ от 05. 06. 2007 №ММ-4 -27/17 ДСП).

Перечень сведений ограниченного доступа (Приказ от 05. 06. 2007 №ММ-4 -27/17 ДСП) n n Перечень сведений ограниченного доступа (Приказ от 05. 06. 2007 №ММ-4 -27/17 ДСП) n n n Сведения, составляющие служебную, налоговую, коммерческую, банковскую, профессиональную или иную тайну. Персональные данные. Сведения о банковских счетах юридических лиц и индивидуальных предпринимателей. Сведения, полученные налоговыми органами от органов записи актов гражданского состояния. …

Налоговая тайна (статья 102 НК) 1. Налоговую тайну составляют любые полученные налоговым органом, … Налоговая тайна (статья 102 НК) 1. Налоговую тайну составляют любые полученные налоговым органом, … сведения о налогоплательщике, за исключением сведений: 1) являющихся общедоступными, в том числе ставших таковыми с согласия их обладателя – налогоплательщика (общеизвестные сведения, доступ к которым неограничен); 2) об идентификационном номере налогоплательщика; 3) о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения; 4) предоставляемых … в соответствии с международными договорами (соглашениями), …; 5) предоставляемых избирательным комиссиям в соответствии с законодательством о выборах. . . 6) Предоставляемых в ГИС о государственных и муниципальных платежах, предусмотренную ФЗ «Об организации предоставления государственных муниципальных услуг»

2. Налоговая тайна не подлежит разглашению налоговыми органами, … их должностными лицами и привлекаемыми 2. Налоговая тайна не подлежит разглашению налоговыми органами, … их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом. 3. Поступившие в налоговые органы, … сведения, составляющие налоговую тайну, имеют специальный режим хранения и доступа. Доступ к сведениям, составляющим налоговую тайну, имеют должностные лица, определяемые соответственно федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов, … 4. Утрата документов, содержащих составляющие налоговую тайну сведения, либо разглашение таких сведений влечет ответственность, предусмотренную федеральными законами.

Персональные данные Федеральный закон от 27. 07. 2006 № 152 -ФЗ «О персональных данных» Персональные данные Федеральный закон от 27. 07. 2006 № 152 -ФЗ «О персональных данных» n Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Руководящие документы по информационной безопасности n n n n Конституция. Федеральные законы. Указы Президента. Руководящие документы по информационной безопасности n n n n Конституция. Федеральные законы. Указы Президента. Постановления Правительства. Нормативные акты Минфина, ФСБ, ФСТЭК, Роскомнадзора. Документы ФНС России. Положения, инструкции, руководства, памятки в каждом налоговом органе.

Документы ФНС по информационной безопасности n n Концепция информационной безопасности ФНС России (приказ от Документы ФНС по информационной безопасности n n Концепция информационной безопасности ФНС России (приказ от 13. 01. 2012 ММВ-7 -4/[email protected]). Концепция построения системы управления информационной безопасностью ФНС (приказ от 10. 06. 2008 №ВЕ-4 -6/24 ДСП). Руководство по организации информационной безопасности ФНС (приказ от 23. 10. 2007 №ММ-4 -27/29 ДСП@). Перечень должностных лиц Федеральной налоговой службы, имеющих право доступа к сведениям, содержащихся в Едином государственном реестре юридических лиц и Едином государственном реестре индивидуальных предпринимателей, в том числе к паспортным данным физических лиц (приказ от 09. 08. 2008 №ММ-3 -6/[email protected]).

Документы ФНС по информационной безопасности n n n Перечень сведений ограниченного доступа (приказ от Документы ФНС по информационной безопасности n n n Перечень сведений ограниченного доступа (приказ от 05. 06. 2007 №ММ-4 -27/17 ДСП). Перечень должностных лиц Федеральной налоговой службы, имеющих право доступа к сведениям, составляющим налоговую тайну (приказ от 10. 02. 2010 № ММ-7 -6/[email protected] ). Порядок обмена документами, содержащими конфиденциальную информацию (приказ 21. 07. 2011 №ММВ-710/[email protected]). Положение о порядке обращения со служебной информацией ограниченного распространения в налоговых органах (приказ от 31. 12. 2009 № ММ-7 -6/[email protected]). Порядок использования электронных носителей информации (приказ от 31. 12. 2009 № ММ-7 -6/[email protected]).

n n n Порядок подключения пользователей к федеральным информационным ресурсам и сервисам, сопровождаемым МИ n n n Порядок подключения пользователей к федеральным информационным ресурсам и сервисам, сопровождаемым МИ ФНС России по ЦОД (Приказ от 11. 02. 2013 №ММВ-7 -4/[email protected] ). Порядки доступа к информационным, программным и аппаратным ресурсам Управления и инспекций. Порядок защиты компонентов информационной системы объекта информатизации от вредоносного программного обеспечения. Порядок использования глобальной сети Интернет и средств электронной почты. Памятка по информационной безопасности сотрудника налогового органа.

Носители ДСП n n Использование внешних устройств хранения информации ограничено. Носители информации (бумажные носители, Носители ДСП n n Использование внешних устройств хранения информации ограничено. Носители информации (бумажные носители, дискеты, компактдиски, флэш-диски и т. п. ), содержащие конфиденциальную информацию, должны быть учтены и иметь номер и пометку «ДСП» ( «Для служебного пользования» ). Носители информации, содержащие конфиденциальную информацию, должны храниться в защищённом от неавторизованного доступа месте (защищенные от несанкционированного доступа помещения, шкафы, сейфы). Запрещается выносить (вывозить) носители, содержащие информацию ограниченного распространения, из здания налогового органа без разрешения руководителя (заместителя руководителя) налогового органа.

Порядок доступа к ресурсам ФНС России n n n Доступ только к ресурсам необходимым Порядок доступа к ресурсам ФНС России n n n Доступ только к ресурсам необходимым для выполнения должностных обязанностей. Оформление заявки на доступ. Ознакомление с требованиями по информационной безопасности. Получение реквизитов доступа под роспись. Прекращение доступа при увольнении (переводе), нарушении требований информационной безопасности.

Реквизиты доступа n n n При первом использовании изменить значение пароля на новое (не Реквизиты доступа n n n При первом использовании изменить значение пароля на новое (не менее 8 символов; буквы, цифры, спецсимволы). Запрещается сообщать свой пароль другим сотрудникам (в том числе администраторам). Использовать пароли, предложенные другими пользователями. Запрещается записывать пароль на обратной стороне клавиатуры, мыши, подставке монитора и т. п. , хранить на электронных, магнитных и других накопителях информации. Запрещается сохранять пароли в формах ввода, даже если они скрыты специальными символами (например, «*» ). Необходимо немедленно сообщать специалисту по информационной безопасности о попытках третьих лиц получить сведения о реквизитах доступа пользователей.

Рабочее место Запрещается нарушать целостность печати/пломбы на системном блоке. В случае обнаружения нарушения целостности Рабочее место Запрещается нарушать целостность печати/пломбы на системном блоке. В случае обнаружения нарушения целостности печатей (пломб) необходимо сообщить об специалисту по информационной безопасности Инспекции. n Запрещается самостоятельная установка любого оборудования (жесткие диски, дисководы гибких магнитных дисков, CD/DVD-дисководы, дополнительных плат и т. п. ), n Запрещается подключение устройств (мобильные телефоны, КПК, плееры и т. д. ) к внешним интерфейсам (за исключением служебных flash носителей). n Не допускается самостоятельная коммутация (перекоммутация) рабочих станций и телефонов. n

Работа в операционной системе Запрещается: n n n самостоятельная установка любого программного обеспечения; переконфигурирование Работа в операционной системе Запрещается: n n n самостоятельная установка любого программного обеспечения; переконфигурирование и модифицирование установленного программного обеспечения; удаление (в том числе и «непонятного» ) программного обеспечения; отключение антивирусных, аудиторских и других программ, обеспечивающих безопасность и мониторинг операционной системы; открытие на рабочих станциях каталогов для общего доступа.

Работа в операционной системе Необходимо: n n при оставлении рабочего места производить блокировку рабочего Работа в операционной системе Необходимо: n n при оставлении рабочего места производить блокировку рабочего места самостоятельно ( «CTRL+ALT+DEL» - «Блокировка» или «Win+L» ); в случае сбоя в работе программного обеспечения и подозрения, что сбой вызван вредоносной программой, например, компьютерным вирусом, немедленно обратиться в отдел информационных технологий.

Работа с сетью Интернет n n n Доступ к сети Интернет только для выполнения Работа с сетью Интернет n n n Доступ к сети Интернет только для выполнения должностных обязанностей в соответствии Порядком доступа к ресурсам. Для обеспечения доступа к сети Интернет осуществляется со специальных АРМ. Подключение к сети Интернет АРМ предназначенных для обработки информации ограниченного доступа категорически запрещено. Запрещается хранение и обработка информации ограниченного доступа на абонентских пунктах доступа к сети Интернет. Запрещается передача информации ограниченного доступа в сеть Интернет. Запрещается посещение сайтов «для взрослых» , «развлекательных» сайтов и других сайтов, посещение которых не обусловлено служебной необходимостью.

Использование электронной почты n n n Запрещается передача информации ограниченного доступа в сеть Интернет. Использование электронной почты n n n Запрещается передача информации ограниченного доступа в сеть Интернет. Запрещается осуществление массовых рассылок электронной почты (спама). Запрещается использование почты для отправки видео, музыки и рисунков (за исключением случаев служебной необходимости).

Рассмотрение обращений граждан П. 6 ст. 11 Федерального закона от 02. 05. 2006 № Рассмотрение обращений граждан П. 6 ст. 11 Федерального закона от 02. 05. 2006 № 59 -ФЗ «О порядке рассмотрения обращений граждан» : В случае, если ответ по существу поставленного в обращении вопроса не может быть дан без разглашения сведений, составляющих государственную или иную охраняемую федеральным законом тайну, гражданину, направившему обращение, сообщается о невозможности дать ответ по существу поставленного в нем вопроса в связи с недопустимостью разглашения указанных сведений.

Налоговое уведомление в электронной форме n n П. 4 ст. 52 Налогового кодекса: Форматы Налоговое уведомление в электронной форме n n П. 4 ст. 52 Налогового кодекса: Форматы и порядок направления налогоплательщику налогового уведомления в электронной форме по телекоммуникационным каналам связи устанавливаются федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов. Приказ ФНС России от 23. 05. 2011 №ММВ-7 -11/[email protected] «Об утверждении форматов и порядка направления налогоплательщику налогового уведомления в электронном виде по телекоммуникационным каналам связи» : через Интернетсервис «Личный кабинет налогоплательщика» .

Контроль выполнения требований по информационной безопасности Все действия пользователей в информационной системе могут протоколироваться. Контроль выполнения требований по информационной безопасности Все действия пользователей в информационной системе могут протоколироваться.

Система обеспечения безопасности в АИС «Налог-3» n n n n Система защиты от вредоносного Система обеспечения безопасности в АИС «Налог-3» n n n n Система защиты от вредоносного ПО (антивирус Касперского) Управление доступом к АРМ и серверам – СЗИ «Блокхост-Сеть К» Контроль защищенности системы (Max. Patrol) Управление идентификаторами и электронными ключами Авторизация по сертификатам Регистрация и учет событий безопасности Выявление и предотвращение утечек информации

Схема СОБИ АИС «Налог-3» в рамках работ 2013 г. Схема СОБИ АИС «Налог-3» в рамках работ 2013 г.

Ответственность Статья 183 УК РФ. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или Ответственность Статья 183 УК РФ. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. n Статья 272 УК РФ. Неправомерный доступ к компьютерной информации. n Статья 273 УК РФ. Создание, использование и распространение вредоносных компьютерных программ. n Статья 274 УК РФ. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. n

Ч. 1. ст. 183 УК РФ. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, Ч. 1. ст. 183 УК РФ. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Ч 2. ст. 183 УК РФ. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую Ч 2. ст. 183 УК РФ. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, - наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.

Ч 3. ст. 183 УК РФ. Те же деяния, причинившие крупный ущерб или совершенные Ч 3. ст. 183 УК РФ. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

Ч. 1. ст. 272 УК РФ. Неправомерный доступ к охраняемой законом компьютерной информации, если Ч. 1. ст. 272 УК РФ. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Ч. 2. ст. 272 УК РФ. То же деяние, причинившее крупный ущерб или совершенное Ч. 2. ст. 272 УК РФ. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.

Ч. 3. ст. 272 УК РФ. Деяния, предусмотренные частями первой или второй настоящей статьи, Ч. 3. ст. 272 УК РФ. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

Ч. 4. ст. 272 УК РФ. Деяния, предусмотренные частями первой, второй или третьей настоящей Ч. 4. ст. 272 УК РФ. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, наказываются лишением свободы на срок до семи лет. Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. 2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.

Ч. 1. ст. 273 УК РФ. Создание, распространение или использование компьютерных программ либо иной Ч. 1. ст. 273 УК РФ. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

Ч. 2. ст. 273 УК РФ. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой Ч. 2. ст. 273 УК РФ. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Ч. 3. ст. 273 УК РФ. Деяния, предусмотренные частями первой или второй настоящей статьи, Ч. 3. ст. 273 УК РФ. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, наказываются лишением свободы на срок до семи лет.

Ч. 1. ст. 274 УК РФ. Нарушение правил эксплуатации средств хранения, обработки или передачи Ч. 1. ст. 274 УК РФ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационнотелекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационнотелекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Ч. 2. ст. 274 УК РФ. Деяние, предусмотренное частью первой настоящей статьи, если оно Ч. 2. ст. 274 УК РФ. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.

Спасибо за внимание. Спасибо за внимание.