 |
Программно-технические способы и средства обеспечения информационной безопасности
|
|
|
|
Государственная политика информатизации правовой системы.
Федеральным законом «Об информации, информатизации и защите информации» определена государственная политика в сфере создания и применения автоматизированных информационных систем, средств связи и телекоммуникаций:
• создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве РФ;
• содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;
• обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;
• формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;
• поддержка проектов и программ информатизации;
• создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;
• развитие законодательства в этой области.
Все виды производства информационных систем и сетей, технологий и средств их обеспечения составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.
Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство информационных систем, технологий и средств их обеспечения.
Государство создает условия для проведения научно-исследовательских и опытно-конструкторских работ в области разработки и производства информационных систем, технологий и средств их обеспечения.
|
|
|
Правительство РФ определяет приоритетные направления развития информатизации и устанавливает порядок их финансирования. Разработка и эксплуатация федеральных информационных систем финансируются из средств федерального бюджета по статье расходов «Информатика» («Информационное обеспечение»).
Органы государственной статистики совместно с Министерством РФ по связи и информатизации устанавливают правила учета и контроля за состоянием отрасли экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.
Федеральным законом от 15 августа 1996 г. № 115-ФЗ «О бюджетной классификации Российской Федерации» (приложение № 3 к этому Закону) в рамках фундаментальных исследований и содействия научно-техническому прогрессу решаются вопросы финансирования таких направлений, как информатика(информационное обеспечение); разработка перспективных технологий и приоритетных направлений научно-технического прогресса; транспорт, дорожное хозяйство, связь и информатика.
Кроме того, ГК РФ регулируются отношения, возникающие при заключении государственных контрактов на выполнение подрядных работ для государственных нужд, в том числе для разработки государственных автоматизированных информационных систем. К государственным контрактам на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ для государственных нужд применяются правила ст. 763–768 ГК.
3. Понятие «информационная безопасность» рассматривается в следующих значениях:
1. состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.);
|
|
|
2. деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»).
Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.
В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность организации — целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.
Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
Безопасность автоматизированной информационной системы [6] — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.
В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
§ конфиденциальность (англ. confidentiality)[6] — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право;
§ целостность (англ. integrity)[7] — избежание несанкционированной модификации информации;
|
|
|
§ доступность
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности[11]:
1. Законодательная, нормативно-правовая и научная база.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
4. Программно-технические способы и средства обеспечения информационной безопасности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)[5] — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Программно-технические способы и средства обеспечения информационной безопасности
В литературе предлагается следующая классификация средств защиты информации.[11]
§ Средства защиты от несанкционированного доступа (НСД):
§ Средства авторизации;
§ Мандатное управление доступом;
§ Избирательное управление доступом;
§ Управление доступом на основе ролей;
§ Журналирование (так же называется Аудит).
§ Системы анализа и моделирования информационных потоков (CASE-системы).
§ Системы мониторинга сетей:
§ Системы обнаружения и предотвращения вторжений (IDS/IPS).
§ Системы предотвращения утечек конфиденциальной информации (DLP-системы).
§ Анализаторы протоколов.
§ Антивирусные средства.
§ Межсетевые экраны.
§ Криптографические средства:
§ Шифрование;
§ Цифровая подпись.
§ Системы резервного копирования.
§ Системы бесперебойного питания:
§ Источники бесперебойного питания;
§ Резервирование нагрузки;
§ Генераторы напряжения.
§ Системы аутентификации:
§ Пароль;
§ Ключ доступа (физический или электронный);
§ Сертификат;
§ Биометрия.
§ Средства предотвращения взлома корпусов и краж оборудования.
§ Средства контроля доступа в помещения.
§ Инструментальные средства анализа систем защиты:
§ Мониторинговый программный продукт.
|
|
|
