КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Перечень сведений, доступ к которым не может быть ограничен. Для реализации права на информацию в Конституции РФ заложены
основания, по которым доступ к отдельным видам информации не подлежит какому-либо ограничению, например, в статье 42 закреплено право на достоверную информацию о состоянии окружающей среды, которое не может быть ограничено. В случае возникновения угрозы жизни и здоровью людей должностные лица обязаны информировать население о ней под страхом привлечения к ответственности (часть 3 статьи 41). В ряде законов, устанавливающих ограничения доступа к информации, также вводится перечень сведений, доступ к которым не может быть ограничен. Так, в статье 7 Закона РФ «О государственной тайне» перечислены сведения, не подлежащие засекречиванию. В пункте 3 статьи 10 Федерального закона «Об информации, информатизации и защите информации» приведен перечень документов, доступ к которым запрещено ограничивать. За непредставление информации гражданам, палатам Федерального Собрания РФ и Счетной палате РФ (статьи 140 и 287), а также за сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (статья 237), в Уголовном кодексе РФ предусмотрена ответственность. Ответственность в действующем законодательстве оговорена в случае неправомерного засекречивания, нарушения требований по составу предоставляемых сведений, неопубликования сведений, нарушения права граждан на бесплатное получение информации, сокрытие (непредоставление) сведений об обстоятельствах, создающих опасность для жизни или здоровья людей, несвоевременное предоставление сведений, сокрытие информации, сообщение ложных (недостоверных) сведений, ограничение права на предоставление информации, искажение сведений, нарушение свободного международного информационного обмена.
Защита права на доступ к информации может осуществляться либо в административном порядке — через подачу жалобы лицом, чьи права нарушены, на должностное лицо (орган) в вышестоящую инстанцию, специальный орган — Судебную палату по информационным спорам при Президенте РФ, либо в судебном порядке через подачу иска (жалобы) для рассмотрения в гражданском, административном или уголовном судопроизводстве. Проблемы защиты информации постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем. Концентрация информации в вычислительных системах заставляет все более усиливать контроль в области защиты информации. Работы в этом направлении ведутся специалистами по информационной безопасности в вычислительных системах, которые отвечают за разработку, реализацию и эксплуатацию вычислительных систем и обеспечивают целостность, пригодность и конфиденциальность циркулирующей в вычислительных системах информации. Сложность защиты информации в вычислительных системах определяется тем, что данные могут быть похищены и одновременно оставаться на месте; ценность данных заключается в обладании ими, а не в уничтожении или изменении. Кроме того, защита информации в вычислительных системах осложняется спецификой самих вычислительных систем, особенностями сбора, обработки и передачи данных с их использованием. Рассмотрим проблемы защиты информации в автоматизированных системах обработки данных, персональных компьютерах (ПЭВМ), а также проблемы защиты информации в сетях ЭВМ. Под защитой информации в автоматизированных системах обработки данных (АСОД) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации, хранимой и обрабатываемой с использованием средств АСОД.
Основными видами информации, подлежащими защите в АСОД, могут быть: • исходные данные, т. е. данные, поступившие в АСОД на хранение и обработку от пользователей, абонентов и взаимодействующих систем; • производные данные, т. е. данные, полученные в АСОД в процессе обработки исходных и производных данных; нормативно-справочные, служебные и вспомогательные данные, включая данные системы защиты; программы, используемые для обработки данных, организации и обеспечения функционирования АСОД, включая и программы защиты информации; • алгоритмы, на основе которых разрабатывались программы (если они находятся на объектах, входящих в состав АСОД); • методы и модели, на основе которых разрабатывались алгоритмы (если они находятся на объектах, входящих в состав АСОД); постановки задач, на основе которых разрабатывались методы, модели, алгоритмы и программы (если они находятся на объектах, входящих в состав АСОД); • техническая, технологическая и другая документация, находящаяся на объектах АСОД. Общая классификационная структура задач по защите информации в АСОД включает в себя следующие группы: I. Механизмы защиты: 1) введение избыточности элементов системы; 2) резервирование элементов системы; 3) регулирование доступа к элементам системы; 4) регулирование использования элементов системы; 5) маскировка информации; 6) контроль элементов системы; 7) регистрация сведений о фактах, событиях и ситуациях, которые возникают в процессе функционирования АСОД; 8) своевременное уничтожение информации, которая больше не нужна для функционирования АСОД; 9) сигнализация о состоянии управляемых объектов и процессов; 10) реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени их воздействия на информацию. II. Управление механизмами защиты: 1) планирование защиты — процесс выработки рациональной (оптимальной) программы предстоящей деятельности. В общем случае различают долгосрочное (перспективное), среднесрочное и текущее планирование; 2) оперативно-диспетчерское управление защитой информации — организованное реагирование на непредвиденные ситуации, которые возникают в процессе функционирования управляемых объектов или процессов; 3) календарно-плановое руководство защитой — регулярный сбор информации о ходе выполнения планов защиты и изменении условий защиты, анализ этой информации и выработка решений о корректировке планов защиты; 4) обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к защите информации — планирование, организация, оценка текущей деятельности, сбор, накопление и обработка информации, относящейся к защите, принятие текущих решений и др.
К основным методам защиты информации относятся: • повышение достоверности информации; • криптографическое преобразование информации; • контроль и учет доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления; ограничение доступа; • разграничение и контроль доступа к информации; • разделение доступа (привилегий); идентификация и аутентификация пользователей, технических средств, носителей информации и документов. Основная цель защиты информации в ПЭВМ заключается в обеспечении ее физической целостности и предупреждении несанкционированного доступа к ней. В самом общем виде данная цель достигается путем ограничения доступа посторонних лиц в помещения, где находятся ПЭВМ, а также хранения сменных запоминающих устройств и самих ПЭВМ с важной информацией в нерабочее время в опечатанном сейфе. Наряду с этим для предупреждения несанкционированного доступа к информации используются следующие методы: • опознавание (аутентификация) пользователей и используемых компонентов обработки информации; • разграничение доступа к элементам защищаемой информации; • регистрация всех обращений к защищаемой информации; • криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных); • криптографическое закрытие защищаемой информации в процессе ее непосредственной обработки.
Для опознавания пользователей к настоящему времени разработаны и нашли практическое применение следующие способы. Распознавание по простому паролю. Каждому зарегистрированному пользователю выдается персональный пароль, который он вводит при каждом обращении к ПЭВМ. Опознавание в диалоговом режиме. При обращении пользователя программа защиты предлагает ему назвать некоторые данные из имеющейся записи (пароль, дата рождения, имена и даты рождения родных и близких и т. п.), которые сравниваются с данными, хранящимися в файле. При этом для повышения надежности опознавания каждый раз запрашиваемые у пользователя данные могут быть разными. Опознавание по индивидуальным особенностям и физиологическим характеристикам. Реализация данного способа предполагает наличие специальной аппаратуры для съема и ввода соответствующих параметров и программ их обработки и сравнения с эталоном. Опознавание по радиокодовым устройствам. Каждому зарегистрированному пользователю выдается устройство, способное генерировать сигналы, имеющие индивидуальные характеристики. Параметры сигналов заносятся в запоминающие устройства механизмов защиты. Опознавание по специальным идентификационным карточкам. Изготавливаются специальные карточки, на которые наносятся данные, персонифицирующие пользователя: персональный идентификационный номер, специальный шифр или код и т. п. Эти данные на карточку заносятся в зашифрованном виде, причем ключ шифрования может быть дополнительным идентифицирующим параметром, поскольку может быть известен только пользователю, вводиться им каждый раз при обращении к системе и уничтожаться сразу же после использования. Каждый из перечисленных способов опознавания пользователей имеет свои достоинства и недостатки, связанные с простотой, надежностью, стоимостью и др. Разграничение доступа к элементам защищаемой информации заключается в том, чтобы каждому зарегистрированному пользователю предоставить возможности беспрепятственного доступа к информации в пределах его полномочий и исключить возможности превышения своих полномочий. Само разграничение может осуществляться несколькими способами. По уровням секретности. Каждому зарегистрированному пользователю предоставляется вполне определенный уровень допуска (например, «секретно», «совершенно секретно», «особой важности» и т. п.). Тогда пользователю разрешается доступ к массиву (базе) своего уровня и массивам (базам) низших уровней и запрещается доступ к массивам (базам) более высоких уровней. Разграничение доступа по специальным спискам. Для каждого элемента защищаемых данных (файла, базы, программы) составляется список всех пользователей, которым предоставлено право доступа к соответствующему элементу, или, наоборот, для каждого зарегистрированного пользователя составляется список тех элементов защищаемых данных, к которым ему предоставлено право доступа. Разграничение доступа по матрицам полномочий. Данный способ предполагает формирование двумерной матрицы, по строкам которой содержатся идентификаторы зарегистрированных пользователей, а по столбцам — идентификаторы защищаемых элементов данных. Элементы матрицы содержат информацию об уровне полномочий соответствующего пользователя относительно соответствующего элемента.
Дата добавления: 2014-11-20; Просмотров: 966; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |