Организационно-правовое обеспечение информационной безопасности

Методы и средства защиты информации

Основные понятия защиты информации

Под информацией, применительно к задаче ее защиты, понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы ее представления. В зависимости от формы представления информация может быть разделена на речевую, телекоммуникационную и документированную.

Речевая информация возникает в ходе ведения в помещениях разговоров, работы систем связи, звукоусиления и звуковоспроизведения. Телекоммуникационная информация циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче. К документированной относят информацию, представленную на материальных носителях.

К защищаемой относится информация (ЗИ), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Защитой информации называют деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Под утечкой понимают неконтролируемое распространение защищаемой информации путем ее разглашения, несанкционированного доступа к ней и получения разведками. Возможными каналами утечки информации являются:

косвенные (не связанные с физическим доступом к элементам компьютерной системы (КС)):

- использование подслушивающих устройств;

- дистанционное видеонаблюдение;

- перехват побочных электромагнитных излучений и наводок (ПЭМИН)

и непосредственные (связанные с физическим доступом к элементам компьютерной системы):

- хищение носителей информации;

- сбор производственных отходов с информацией (бумажных и магнитных носителей);

- намеренное копирование файлов других пользователей КС;

- чтение остаточной после выполнения заданий других пользователей информации (областей оперативной памяти, удаленных файлов, ошибочно сохраненных временных файлов);

- копирование носителей информации;

- маскировка под других пользователей путем похищения их идентифицирующей информации (паролей, карт и т.п.) и т.д.

Разглашение – это доведение защищаемой информации до неконтролируемого количества получателей информации (например, публикация информации на открытом сайте в сети Интернет или в открытой печати). Несанкционированный доступ – получение защищаемой информации заинтересованным субъектом с нарушением правил доступа к ней.

Несанкционированное воздействие на защищаемую информацию – воздействие с нарушением правил ее изменения (например, намеренное внедрение в защищаемые информационные ресурсы вредоносного программного кода или умышленная подмена электронного документа).

Под непреднамеренным воздействием на защищаемую информацию понимают воздействие на нее из-за ошибок пользователя, сбоя технических или программных средств, природных явлений, иных нецеленаправленных воздействий (например, уничтожение документов в результате отказа накопителя на жестком магнитном диске компьютера).

Целью защиты информации (ее желаемым результатом) является предотвращение ущерба собственнику, владельцу или пользователю информации. Под эффективностью защиты информации понимают степень соответствия результатов защиты информации поставленной цели. Объектом защиты может быть информация, ее носитель или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью.

Шифрованием информации называют процесс ее преобразования, при котором содержание информации становится непонятным для не обладающих соответствующими полномочиями субъектов. Результат шифрования информации называют щифротекстом, или криптограммой. Обратный процесс восстановления информации из шифротекста называют расшифровыванием информации. Алгоритмы, используемые при шифровании и расшифровании информации, обычно не являются конфиденциальными, а конфиденциальность шифротекста обеспечивается использованием при шифровании дополнительного параметра, называемого ключом шифрования. Знание ключа шифрования позволяет выполнить правильное расшифрование шифротекста.

Под информационной безопасностью понимают состояние защищенности информационной среды, обеспечивающее ее формирование и развитие.

Существующие методы и средства защиты информации можно разделить на четыре основные группы:

- методы и средства организационно-правовой защиты информации;

- методы и средства инженерно-технической защиты информации;

- криптографические методы и средства защиты информации;

- программно-аппаратные методы и средства защиты информации.

Организационно-правовое обеспечение информационной безопасности

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

Эти методы включают в себя:

- ограничение физического доступа к объектам КС и реализация режимных мер;

- ограничение перехвата ПЭМИН;

- резервное копирование наиболее важных с точки зрения утраты массивов документов;

- профилактику заражения компьютерными вирусами.

Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты.

Можно выделить четыре уровня правового обеспечения информационной безопасности. Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:

международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;

Конституция РФ (ст.23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

Гражданский кодекс РФ (в ст.19-39 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

Уголовный кодекс РФ (ст.272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст.273 – за создание, использование и распространение вредоносных программ для ЭВМ, ст.274 – за нарушение правил эксплуатации ЭВМ, систем и сетей);

Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 №24-ФЗ (ст.10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст.21 определяет порядок защиты информации);

Федеральный закон «О государственной тайне» от 21.07.93 №5485-1 (ст.5 устанавливает перечень сведений, составляющих государственную тайну; ст8 – степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст.20 – органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст.28 – порядок сертификации средств защиты информации, относящейся к государственной тайне);

Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 №128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 №1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 №5351-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 №3523-1 (ст.4 определяет условие признания авторского права – знак © с указанием правообладателя и года первого выпуска продукта в свет; ст.18 – защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 № 188 или Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 №35.

Третий уровень правого обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. В качестве примеров можно привести следующие документы:

ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147-89 «системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» и др.;

Руководящие документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации и др.

Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации. К таким нормативным документам относятся:

приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.

Date: 2015-09-24; view: 1192; Нарушение авторских прав