Скачать 4.13 Mb.
|
Раздел 3. Направления обеспечения информационной безопасностиПравовая защита (12 ч.)Право - это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий и населения (отдельной личности). Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации. Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и др. В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации. Первый блок - конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы. Второй блок - общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности и др.), которые включают нормы по вопросам информатизации и информационной безопасности. Третий блок - законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес. Четвертый блок - специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число, в частности, входит и Закон РФ "Об информации, информатизации и защите информации". Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности. Пятый блок - законодательство субъектов Российской Федерации, касающееся защиты информации. Шестой блок - подзаконные нормативные акты по защите информации. Седьмой блок - это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации. Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону "Об информации, информатизации и защите информации", который закладывает основы правового определения всех важнейших компонентов информационной деятельности:
Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса. В дополнение к базовому закону в мае 1992 г. были приняты Законы "О правовой охране программ для электронно-вычислительных машин и баз данных" и "О правовой охране топологии интегральных микросхем". Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ. Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 "Служебная и коммерческая тайна". 1. Информация составляет служебную или коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами. 2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами. Вторая часть статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба: "Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору". Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации (см. таблицу). Таким образом, правовая защита информации обеспечивается нормативно- законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглашение Организационная защитаОрганизационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает: • охрану, режим, работу с кадрами, с документами; • использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз производственной деятельности. Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. К основным организационным мероприятиям можно отнести:
В каждом конкретном случае организационные мероприятия носят специфические для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей, которая определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, т.к. несанкционированный доступ и утечка информации чаще всего обусловлены злоумышленными действиями или небрежностью пользователей либо персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых ксовместно с техническими методами, имеют целью исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов. Организационные средства защиты ПЭВМ и информационных сетей применяются: • при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.; • при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.; • при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.); • при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов); • при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.); • при подготовке и контроле работы пользователей. Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера. Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, каким-то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности производственной деятельности и защите информации. Зачастую таким структурным подразделением является служба безопасности предприятия, на которую возлагаются следующие общие функции: • организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации; • обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями; • руководство работами по правовому и организационному регулированию отношений по защите информации; • участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих; • разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения; при всех видах работ организация и контроль выполнения требований "Инструкции по защите конфиденциальной информации"; • изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентных организаций, о деятельности предприятия и его клиентов, партнеров, смежниковuc2х; подразделения режима и охраны; • специального подразделения обработки документов конфиденциального характера; • инженерно-технических подразделений; • информационно-аналитических подразделений. В таком составе службы безопасности способна обеспечить защиту конфиденциальной информации от любых угроз. К задачам службы безопасности предприятия относятся: • определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера; • определение участков сосредоточения конфиденциальных сведений; • определение круга сторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера; • выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям; • выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации; • разработка системы защиты документов, содержащих сведения конфиденциального характера; • определение на предприятий участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанных с ним договорными обязательствами; • определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям; • определение уязвимых мест в технологии производственного цикла, несанкционированное изменение, в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию; • определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и др., и организация их физической защиты и охраны; • определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия, персонала, продукции и информации; • разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия; • внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности; • организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями; • изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования; • разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности. Инженерно-техническая защитаИнженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации. Поскольку совокупность целей, задач, объектов защиты и проводимых мероприятий очень разнородна и многообразна, необходимо систематизировать эту совокупность, введя классификацию средств по виду, ориентации и другим характеристикам Многообразие классификационных характеристик позволяет рассматривать инженерно-технические средства по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны службы безопасности. По функциональному назначению средства инженерно- технической защиты классифицируются на следующие группы: • физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации (рис. 2.5) и осуществляющие защиту персонала, материальных средств и финансов и информации от противоправных воздействий; • аппаратные средства - приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность. Основная задача аппаратных средств - обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства, применяемые в производственной деятельности; • программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных; • криптографические средства - специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования. Аппаратные средства и методы защиты распространены достаточно широко. Однако из-за того, что они не обладают достаточной гибкостью, часто теряют свои защитные свойства при раскрытии их принципов действия и в дальнейшем не могут быть используемы. Программные средства и методы защиты надежны, и период их гарантированного использования без перепрограммирования значительно больше, чем аппаратных. Криптографические методы занимают важное место и выступают надежным средством обеспечения защиты информации на длительные периоды. Очевидно, что такое деление средств защиты информации достаточно условно, т.к. на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программно- аппаратных модулей с широким использованием алгоритмов закрытия информации. Аппаратные и программные средства и методы защиты будут рассмотрены в последующих главах. Остановимся на основных принципах криптографической защиты информации, а также дадим понятия физических средств защиты. |
Учебно-методический комплекс дисциплины «Безопасность жизнедеятельности.... Учебно-методический комплекс составлен в соответствии с требованиями государственного образовательного стандарта высшего профессионального... |
Учебно-методический комплекс дисциплины «безопасность жизнедеятельности» Учебно-методический комплекс составлен в соответствии с требованиями государственного образовательного стандарта высшего профессионального... |
||
Учебно-методический комплекс дисциплины опасные биологические и социальные... Учебно-методический комплекс составлен в соответствии с требованиями государственного образовательного стандарта, утвержденного приказом... |
Учебно-методический комплекс дисциплины «организационное поведение» Учебно-методический комплекс дисциплины составлен в соответствии с требованиями государственного образовательного стандарта высшего... |
||
Учебно-методический комплекс дисциплины «Торговое оборудование» Учебно-методический комплекс дисциплины составлен в соответствии с требованиями государственного образовательного стандарта высшего... |
Учебно-методический комплекс дисциплины «Русский язык и культура речи» Учебно-методический комплекс дисциплины составлен в соответствии с требованиями государственного образовательного стандарта высшего... |
||
Учебно-методический комплекс дисциплины «Системное программное обеспечение» Учебно-методический комплекс дисциплины составлен на основании требований государственного образовательного стандарта высшего профессионального... |
Учебно-методический комплекс дисциплины обсужден на заседании кафедры... Учебно-методический комплекс дисциплины составлен на основании требований государственного образовательного стандарта высшего профессионального... |
||
Учебно-методический комплекс дисциплины Учебно-методический комплекс дисциплины составлен на основании государственного образовательного стандарта высшего профессионального... |
Учебно-методический комплекс дисциплины Учебно-методический комплекс дисциплины составлен на основании государственного образовательного стандарта высшего профессионального... |
||
Учебно-методический комплекс дисциплины архитектура ЭВМ 090104. 65... Учебно-методический комплекс дисциплины составлен на основании требований государственного образовательного стандарта высшего профессионального... |
Учебно-методический комплекс дисциплины «коммерческое право» Учебно-методический комплекс дисциплины составлен в соответствии с требованиями государственного образовательного стандарта высшего... |
||
Учебно-методический комплекс дисциплины «римское право» Учебно-методический комплекс дисциплины составлен в соответствии с требованиями государственного образовательного стандарта высшего... |
Учебно-методический комплекс дисциплины «иностранный язык по специальности» Учебно-методический комплекс дисциплины составлен в соответствии с требованиями государственного образовательного стандарта высшего... |
||
Учебно-методический комплекс дисциплины «Технология формирования имиджа» Учебно-методический комплекс дисциплины составлен на основании требований государственного образовательного стандарта высшего профессионального... |
Учебно-методический комплекс дисциплины «право интеллектуальной собственности» Учебно-методический комплекс дисциплины составлен в соответствии с требованиями государственного образовательного стандарта высшего... |
Поиск |