 |
Основные нормативно-правовые акты в области ИБ. Закон «О государственной тайне».
|
|
|
|
Понятие информационной безопасности
Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. В качестве стандартной модели безопасности часто приводят модель из трёх категорий: 1)конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право; 2)целостность — избежание несанкционированной модификации информации; 3)доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Основные преднамеренные искусственные угрозы
Искусственные угрозы - это угрозы, вызванные деятельностью человека. Среди них, можно выделить: 1) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.; 2) преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Основные преднамеренные искусственные угрозы: 1) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.); 2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.); 3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.); 4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность); 5) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия; 6) применение подслушивающих устройств, дистанционная фото- и видеосъемка и т.п.
|
|
|
Понятие угрозы. Классификация угроз безопасности по цели воздействия.
Угрозабезопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации.
Угрозы информационной безопасности могут быть разделены на угрозы, не зависящие от деятельности человека (естественные угрозы физических воздействий на информацию стихийных природных явлений), и угрозы, вызванные человеческой деятельностью (искусственные угрозы), которые являются гораздо более опасными.
В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:- угроза нарушения конфиденциальности, т.е. утечки информации ограниченного доступа, хранящейся в КС или передаваемой от одной КС к другой;- угроза нарушения целостности, т. е. преднамеренного воздействия на информацию, хранящуюся в КС или передаваемую между КС (заметим, что целостность информации может быть также нарушена, если к несанкционированному изменению или уничтожению информации приводит случайная ошибка в работе программных или аппаратных средств КС; санкционированным является изменение или уничтожение информации, сделанное уполномоченным лицом с обоснованной целью);- угроза нарушения доступности информации, т. е. отказа в обслуживании, вызванного преднамеренными действиями одного из пользователей КС (нарушителя), при котором блокируется доступ к некоторому ресурсу КС со стороны других пользователей КС (постоянно или на большой период времени).
|
|
|
Пути реализации угроз ИБ.
Результатом реализации угроз безопасности информации в КС может быть утечка (копирование) информации, ее утрата (разрушение) или искажение (подделка), блокирование информации.
Основные нормативно-правовые акты в области ИБ. Стратегия национальной безопасности РФ
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства: Международные договоры РФ; Конституция РФ; Законы федерального уровня (включая федеральные конституционные законы, кодексы); Указы Президента РФ; Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств; Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести 1)Методические документы государственных органов России:Доктрина информационной безопасности РФ; Руководящие документы ФСТЭК (Гостехкомиссии России); Приказы ФСБ; 2)Стандарты информационной безопасности, из которых выделяют:Международные стандарты;Государственные (национальные) стандарты РФ;Рекомендации по стандартизации;Методические указания.
В России «законодательством в сфере информатизации» охватывает от 70 до 500 нормативно-правовых актов.
Конституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий, но создает предпосылки для такого регулирования, закрепляя права граждан и обязанности государства
Гражданский кодекс РФ (ГК) в большой степени определяет систему правоотношений в рассматриваемой области. Часть первая ГК устанавливает правовые режимы информации - служебная и коммерческая тайна, а также личная и семейная тайна.
На уровне действующих законов России в области компьютерного права можно считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиты информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве две группы правоотношений: право граждан на доступ к информации, защита информации (в том числе коммерческая и служебная тайны, защита персональных данных). Эти вопросы должны стать предметом разрабатываемых законопроектов.
|
|
|
Основой для формирования государственной политики в сфере информации является Доктрина информационной безопасности Российской Федерации, утвержденная 9 сентября 2000 г. Президентом России. Она включает в себя перечень основных видов возможных угроз для информационной безопасности, которые в том числе связаны с телекоммуникационными системами.
Основные нормативно-правовые акты в области ИБ. Закон «О государственной тайне».
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства: Международные договоры РФ; Конституция РФ; Законы федерального уровня (включая федеральные конституционные законы, кодексы); Указы Президента РФ; Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств; Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести 1)Методические документы государственных органов России:Доктрина информационной безопасности РФ; Руководящие документы ФСТЭК (Гостехкомиссии России); Приказы ФСБ; 2)Стандарты информационной безопасности, из которых выделяют:Международные стандарты;Государственные (национальные) стандарты РФ;Рекомендации по стандартизации;Методические указания.
Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. При этом в качестве носителей сведений, составляющих государственную тайну, рассматриваются «материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов» (ст. 2). В соответствии с этим определением закон применяется и к сведениям, составляющим государственную тайну и хранимым в памяти ЭВМ.
|
|
|
