Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Некоторые аспекты защиты информации в электронном государстве

Доклад на IV Научно-практической конференции «Право и Интернет: теория и практика»

 

Петрова Ольга Моисеевна

компания Dekart

Кишинев, Молдова

 

 

«...Умом, прежде всего, движет желание неограниченной свободы, а это чувство неизменно сопровождается другим – паническим страхом перед последствиями такой свободы» (из письма Цезаря Луцию Мамилию Туррину)[1]. Это сказано много веков тому назад, но и сегодня эти слова не потеряли своей актуальности, особенно это относится к сети Internet, к киберпространству. На сегодняшний день киберпространство является неким отражением (слепком) окружающей нас реальности. Поэтому, как и все лучшие, так и все негативные стороны нашей жизни находят свое место в киберпространстве.

 

В отчете Комитета экспертов по правонарушениям в киберпространстве Европейского комитета по проблемам правонарушений определены следующие наиболее опасные и самые распространенные преступления [4]:

 

1. Преступления против конфиденциальности, целостности компьютерных данных и работоспособности компьютерных систем.

 

2. Преступления, связанные с вычислительной техникой (подлог и мошенничество, совершенные с помощью компьютера).

 

3. Преступления, связанные с содержанием, публикуемой в Сети информации (воздействие «вредной информации» на физическое и моральное здоровье человека, например, размещение материалов, относящейся к детской порнографии).

 

4. Преступления, относящиеся к нарушению авторских и смежных прав.

 

К сожалению, увеличивается число преступлений, совершаемых на стыке реального и кибернетического пространств.

 

В [3] приводятся объективные причины возникновения и развития киберпреступности. Среди субъективных причин, побуждающих людей заниматься противоправной деятельностью в киберпространстве, можно выделить следующие:

 

1. Стремление отомстить кому-либо (конкретной личности, компании в целом);

 

2. Стремление быстро обогатиться, не прикладывая особых усилий;

 

3. Стремление доказать свое могущество, попытка самоутвердиться любым способом;

 

4. У молодых людей размываются границы между реальным миром и киберпространством, жизнь рассматривается как продолжение компьютерной игры. В результате этого у человека иногда отсутствует даже представление о том, что совершается преступление.

 

5. У человека, сидящего за персональным компьютером дома, или на работе, или в Internet-кафе, возникает иллюзия своей защищенности и неуязвимости.

 

Все вышеизложенное не может быть отнесено к какому-либо государству и имеет интернациональный характер.

 

Для того чтобы изменить сложившуюся ситуацию в лучшую сторону, необходимо принять меры как социального, так и технического характера. К первой группе следует отнести требование соблюдения правовых и морально-этических норм, как в реальном мире, так и в киберпространстве [3, 13]. Размещаемые в Internet материалы не должны наносить вред кому-либо ни прямым, ни косвенным образом. Обстановка в киберпространстве напрямую зависит от поведения каждого, входящего в киберсообщество. Поскольку демократические свободы в Сети отнюдь не означают вседозволенности, то возможен компромисс между правами личности на самовыражение, распространение информации и соблюдением прав на личную безопасность всех остальных [11, 12].

 

Перед тем, как перейти к мерам технического характера я хотела бы кратко остановиться на вопросе, что именно мы защищаем, когда говорим о защите информации. Начать с того, что до сих пор нет четкого общенаучного определения понятия «информация». В [1] дается следующее определение: «информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления», но и оно не отражает реалии сегодняшнего дня. Можно выделить две задачи по защите информации. Первая – это задача ограничения доступа к конфиденциальной информации, и вторая – защита открытой информации от ненадлежащего ее использования (например, плагиат) [5 - 8]. В обоих случаях наиболее надежным, по моему мнению, техническим инструментом защиты в настоящее время является применение технологии PKI (Public Key Infrastructure) – систем защиты информации на основе открытых ключей, т.е. систем цифровой подписи с одновременным шифрованием или без оного[2]. Данная технология подразумевает наличие у каждого участника системы пары взаимосвязанных ключей (секретного и открытого), причем открытый ключ сертифицируется (заверяется) центром сертификации открытых ключей. Принятие законов о цифровой подписи дает правовую основу для построения иерархии доверительных пространств [10] относительно центров сертификации внутри отдельного государства. При этом вышестоящий центр сертификации сертифицирует ключи нижестоящих центров. На самой вершине данной пирамиды должен стоять национальный центр сертификации государства (можно привести аналогию с банковской системой – центральный банк и остальные банки). Функционирующая иерархия доверительных пространств может стать технической базой построения электронного государства. Если любые материалы, размещаемые на сайтах, будут снабжены цифровыми подписями их авторов, официальные документы – цифровыми подписями ответственных лиц (президента, председателя парламента, главы кабинета министров и т.д.), то это позволит решить проблему целостности (неискаженности) электронного документа и подтвердить его авторство[3]. И здесь мы подходим к следующей проблеме. Секретный ключ каждого пользователя это электронный документ, который, как и следует из его названия, подлежит защите. В данном случае принятие всех мер предосторожности по охране секретного ключа лежит на самом пользователе и зависит от его фантазии, возможностей и степени его аккуратности и собранности. Компрометация ключа пользователя – вещь неприятная, но ее последствия можно преодолеть путем включения сертификата открытого ключа данного пользователя в «черный список». Иное дело – компрометация (потеря, искажение) секретного ключа центра сертификации. Данное обстоятельство автоматически приводит к разрушению всего доверительного пространства. К еще более разрушительным последствиям приведет компрометация ключа национального центра сертификации государства.

 

Исходя из вышеизложенного необходимо:

 

1. Дополнить термин информация, фигурирующий в законодательных актах: «Информация – данные (независимо от формы их представления), используемые человеком в целях осуществления своей деятельности».

 

2. Изменить понятие электронный документ в [2] следующим образом: «Электронный документ - форма создания, обработки, хранения и передачи информации с помощью электронных технических средств».

 

3. Признать (и внести соответствующие поправки в законодательство), что секретный ключ цифровой подписи – это информация, подлежащая защите. При этом секретный ключ простого участника системы следует считать конфиденциальной информацией, секретный ключ центра сертификации – служебной тайной. Секретный же ключ национального центра сертификации государства следует отнести к государственной тайне, также как и секретный ключ главы государства.

 

4. Упорядочить терминологию, т.е. привести в соответствие друг другу юридические и технические термины. Так, на мой взгляд, необходимо заменить термин «закрытый ключ» на «секретный ключ» в законе «Об электронной цифровой подписи», как соответствующий в большей степени его функции.

 

Защита информации, как известно, идет по трем направлениям – при помощи технических средств, применяя меры юридического и организационного характера. Реалии сегодняшнего дня заставляют не только использовать все три направления для обеспечения информационной безопасности личности, организации, государства в целом, но и те методы и средства, которые возникают на стыке направлений.

 

Литература

 

1. Федеральный закон РФ «Об информации, информатизации и защите информации» (20 февраля 1995 года N 24-ФЗ)

 

2. Федеральный закон РФ «Об электронной цифровой подписи» (10 января 2002 года N 1-ФЗ)

 

3. Доктрина информационной безопасности Российской Федерации. Утверждена 9 сентября 2000 г. № Пр-1895.

 

4. European Committee on Crime Problems. Committee of Experts on Crime in Cyber-Space. “Final Activity Report”, 2001.

 

5. Наумов В. Судьба объектов интеллектуальной собственности в российском сегменте сети Интернет// Материалы конференции «Актуальные проблемы телекоммуникационного права», Москва, июль 1998 г.

 

6. Петрова О. Защита авторства в Internet// Материалы третьей всероссийиской конференции «Право и Интернет: теория и практика», Москва, ноябрь 2000. С. 83 - 85.

 

7. Семилетов С. Проблемы охраны авторских прав в российском секторе Интернета// Материалы третьей всероссийиской конференции «Право и Интернет: теория и практика», Москва, ноябрь 2000. С. 98 - 104.

 

8. Борьба с нарушениями авторских прав в сети Интернет: попытка саморегулирования// Центр «Право и средства массовой информации»

 

9. Лепский В. Информационно-психологическая безопасность предприятий// Acta Academia, Кишинев: Evrica, 1999. С. 315 - 316.

 

10. Куцый А. Инфраструктура современных криптографических систем защиты информации// Acta Academia, Кишинев: Evrica, 1999. С. 135 – 142.

 

11. Национальный кодекс деятельности в области информатики и телекоммуникаций // PC Week, 30 июня 1996, №№ 29-30.

 

12. Шабашов А. Кодексы Интернет – система стандартов нового информационного законодательства// Slavic division of HON Foundation, 1999

 

13. Федотов М. Киберпространство как сфера обитания права// Кафедра ЮНЕСКО по авторскому праву и другим отраслям права интеллектуальной собственности

 

14. Черешкин Д. Основные положения по формированию единого информационного пространства стран-участниц СНГ// Acta Academia, Кишинев: Evrica, 1999. С. 312 - 315.

 

--------------------------------------------------------------------------------

 

[1] Цитата взята из книги: Уайлдер Т. Мартовские иды. – Кишинев: Лумина, 1990. – 672 с.

 

[2] Данный подход может быть использован как самостоятельно, так и в совокупности с другими методами.

 

[3] Кроме того, данный подход, лишит возможности некоторых «любителей» размещать безымянные материалы (данные) на сайтах; совершать подлог, подписывая собственный опус чужим именем (в данном случае не имеется в виду псевдоним); заставит относиться более ответственно к качеству представляемой широкой общественности информации; а также, при необходимости (в случае разрешения конфликтов в судебном или ином порядке) поможет создать доказательную базу.

 

 

Информационная безопасность государства [1] — состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере.

 

В современном социуме информационная сфера имеет две составляющие[2]: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью[источник не указан 427 дня].

 

Содержание [убрать]

1 Стандартизированные определения

2 Существенные признаки понятия

3 Рекомендации по использованию терминов

4 Объём (реализация) понятия «информационная безопасность»

5 Нормативные документы в области информационной безопасности

6 Органы (подразделения), обеспечивающие информационную безопасность

7 Организационно-технические и режимные меры и методы

8 Программно-технические способы и средства обеспечения информационной безопасности

9 Организационная защита объектов информатизации

10 Исторические аспекты возникновения и развития информационной безопасности

11 См. также

12 Примечания

13 Литература

14 Ссылки

Стандартизированные определения[править | править вики-текст]

Информационная безопасность[3] — это процесс обеспечения конфиденциальности, целостности и доступности информации.

 

Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.

Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.

Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность (англ. information security)[4] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

 

Безопасность информации (данных) (англ. information (data) security)[5][6] — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

 

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

 

Безопасность информации (при применении информационных технологий) (англ. IT security)[5] — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

 

Безопасность автоматизированной информационной системы[5] — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

 

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

 

Существенные признаки понятия[править | править вики-текст]

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

 

Конфиденциальность (англ. confidentiality)[5] — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;

целостность (англ. integrity)[7] — избежание несанкционированной модификации информации;

доступность (англ. availability)[8] — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

 

неотказуемость или апеллируемость (англ. non-repudiation)[4] — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;

подотчётность (англ. accountability)[9] — обеспечение идентификации субъекта доступа и регистрации его действий;

достоверность (англ. reliability)[4] — свойство соответствия предусмотренному поведению или результату;

аутентичность или подлинность (англ. authenticity)[4] — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Рекомендации по использованию терминов[править | править вики-текст]

В ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» приводится следующая рекомендация использования терминов «безопасность» и «безопасный»:

 

Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска.

 

Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:

 

«защитный шлем» вместо «безопасный шлем»;

«нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».

 

Объём (реализация) понятия «информационная безопасность»[править | править вики-текст]

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности[10]:

 

Законодательная, нормативно-правовая и научная база.

Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

Организационно-технические и режимные меры и методы (Политика информационной безопасности).

Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

 

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо[3]:

 

выявить требования защиты информации, специфические для данного объекта защиты;

учесть требования национального и международного Законодательства;

использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;

определить подразделения, ответственные за реализацию и поддержку СОИБ;

распределить между подразделениями области ответственности в осуществлении требований СОИБ;

на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;

реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);

используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

 

Нормативные документы в области информационной безопасности[править | править вики-текст]

(!)

Эта статья или раздел описывает ситуацию применительно лишь к одному региону (Россия), возможно, нарушая при этом правило о взвешенности изложения.

Вы можете помочь Википедии, добавив информацию для других стран и регионов.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся[11]:

 

Акты федерального законодательства:

 

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления Правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

 

К нормативно-методическим документам можно отнести

 

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Приказы ФСБ;

Стандарты информационной безопасности, из которых выделяют:

Международные стандарты;

Государственные (национальные) стандарты РФ;

Рекомендации по стандартизации;

Методические указания.

Органы (подразделения), обеспечивающие информационную безопасность[править | править вики-текст]

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

 

Государственные органы РФ, контролирующие деятельность в области защиты информации:

 

Комитет Государственной думы по безопасности;

Совет безопасности России;

Федеральная служба по техническому и экспортному контролю (ФСТЭК России);

Федеральная служба безопасности Российской Федерации (ФСБ России);

Федеральная служба охраны Российской Федерации (ФСО России);

Служба внешней разведки Российской Федерации (СВР России);

Министерство обороны Российской Федерации (Минобороны России);

Министерство внутренних дел Российской Федерации (МВД России);

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

 

Служба экономической безопасности;

Служба безопасности персонала (Режимный отдел);

Кадровая служба;

Служба информационной безопасности.

Организационно-технические и режимные меры и методы[править | править вики-текст]

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

 

Политика безопасности (информации в организации) (англ. Organizational security policy)[6] — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

 

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)[4] — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

 

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[10]:

 

Защита объектов информационной системы;

Защита процессов, процедур и программ обработки информации;

Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);

Подавление побочных электромагнитных излучений;

Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

 

Определение информационных и технических ресурсов, подлежащих защите;

Выявление полного множества потенциально возможных угроз и каналов утечки информации;

Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

Определение требований к системе защиты;

Осуществление выбора средств защиты информации и их характеристик;

Внедрение и организация использования выбранных мер, способов и средств защиты;

Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

 

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

 

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

 

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

 

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

 

Программно-технические способы и средства обеспечения информационной безопасности[править | править вики-текст]

В литературе предлагается следующая классификация средств защиты информации.[10]

 

Средства защиты от несанкционированного доступа (НСД):

Средства авторизации;

Мандатное управление доступом[12];

Избирательное управление доступом;

Управление доступом на основе ролей;

Журналирование (так же называется Аудит).

Системы анализа и моделирования информационных потоков (CASE-системы).

Системы мониторинга сетей:

Системы обнаружения и предотвращения вторжений (IDS/IPS).

Системы предотвращения утечек конфиденциальной информации (DLP-системы).

Анализаторы протоколов.

Антивирусные средства.

Межсетевые экраны.

Криптографические средства:

Шифрование;

Цифровая подпись.

Системы резервного копирования.

Системы бесперебойного питания:

Источники бесперебойного питания;

Резервирование нагрузки;

Генераторы напряжения.

Системы аутентификации:

Пароль;

Ключ доступа (физический или электронный);

Сертификат;

Биометрия.

Средства предотвращения взлома корпусов и краж оборудования.

Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

Антивирус.

Организационная защита объектов информатизации[править | править вики-текст]

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

 

организацию охраны, режима, работу с кадрами, с документами;

использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности[13].

К основным организационным мероприятиям можно отнести:

 

организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;

организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

 

Исторические аспекты возникновения и развития информационной безопасности[править | править вики-текст]

I этап — до 1816 года — характеризуется использованием естественно возникавших средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.

II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищённости радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).

III этап — начиная с 1935 года — связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищённости радиолокационных средств от воздействия на их приёмные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.

V этап — начиная с 1965 года — обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.

VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право — новая отрасль международной правовой системы.

VII этап — начиная с 1985 года — связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Можно предположить, что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.

 

Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение состояния защищённости информационной среды.

 

Кратко.

 

Статья 272.Лицо будет привлечено к уголовной ответственности за неправомерный доступ к информации,за порчу,изменение,уничтожение,нарушение гласности и правовых норм.

статья 273. За распространение,создание,использование вирусного и другого вредоносного программного ПО.

Статья 274. нарушение правил эксплуатации эвм лицом,имеющим доступ к этой информации,повлекшее уничтожение,простой в работе,изменение информации и т.д.

P.S. Вредоносным по не счиаются программы дебагеры,которые просматривают код программы(поэтому всякие кряки не запрещены законом),также программы удаленного управления компьютероам,при условии,что управляемые компьютер вкурсе этого управления.

 

Стандартизированные определения:

 

Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

 

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

 

Информационная безопасность — защита конфиденциальности, целостности и доступности информации.

 

Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям.

Целостность: обеспечение достоверности и полноты информации и методов её обработки.

Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.

 

неотказуемость или апеллируемость (англ. non-repudiation)[9] — невозможность отказа от авторства;

подотчётность (англ. accountability)[10] — обеспечение идентификации субъекта доступа и регистрации его действий;

достоверность (англ. reliability)[5] — свойство соответствия предусмотренному поведению или результату;

аутентичность или подлинность (англ. authenticity)[5] — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Правовые основы защиты информации – это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.

 

Первый уровень правовой основы защиты информации

 

Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

 

Правовое обеспечение информационной безопасности РФ:

 

Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете;

 

Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

 

Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

 

Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);

 

Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);

 

Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, относящейся к государственной тайне); Защита информации курсовая работа.

 

Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О право вой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

 

Как видите, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря ФЗ о защите информации.

 

Второй уровень правовой защиты информации

 

На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.

 

Третий уровень правового обеспечения системы защиты экономической информации

 

К данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.

 

Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

 

Четвертый уровень стандарта информационной безопасности

 

Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.

 

Организационно-технические и режимные меры и методы:

 

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

 

Политика безопасности (информации в организации) (англ. Organizational security policy)— совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

 

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

 

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

 

-Защита объектов информационной системы;

-Защита процессов, процедур и программ обработки информации;

-Защита каналов связи;

-Подавление побочных электромагнитных излучений;

-Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

 

-Определение информационных и технических ресурсов, подлежащих защите;

-Выявление полного множества потенциально возможных угроз и каналов утечки информации;

-Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

-Определение требований к системе защиты;

-Осуществление выбора средств защиты информации и их характеристик;

-Внедрение и организация использования выбранных мер, способов и средств защиты;

-Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

 

Программно-технические способы и средства обеспечения информационной безопасности

 

В литературе предлагается следующая классификация средств защиты информации:

 

Средства защиты от несанкционированного доступа (НСД):

Средства авторизации;

Мандатное управление доступом;

Избирательное управление доступом;

Управление доступом на основе ролей;

Журналирование (так же называется Аудит).

Системы анализа и моделирования информационных потоков (CASE-системы).

Системы мониторинга сетей:

Системы обнаружения и предотвращения вторжений (IDS/IPS).

Системы предотвращения утечек конфиденциальной информации (DLP-системы).

Анализаторы протоколов.

Антивирусные средства.

Межсетевые экраны.

Криптографические средства:

Шифрование;

Цифровая подпись.

Системы резервного копирования.

Системы бесперебойного питания:

Источники бесперебойного питания;

Резервирование нагрузки;

Генераторы напряжения.

Системы аутентификации:

Пароль;

Сертификат;

Биометрия.

Средства предотвращения взлома корпусов и краж оборудования.

Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

Мониторинговый программный продукт.

Органы (подразделения), обеспечивающие информационную безопасность

 

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

<== предыдущая лекция | следующая лекция ==>
Практические советы | Атака и Защита
Поделиться с друзьями:


Дата добавления: 2015-05-08; Просмотров: 543; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.346 сек.