Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Законно о информации информатизации и защите информации




Информация – сведенья независимо от форм ее представленияй

Информационные технологии –процесс методы поиска сбора хранения обработки представления распространения информации способы осуществления таких процессов.

Информацинная система – совокупность содержащаяся в базах данных информации и обеспечивающих ее обработку информационных технологий и ее средств

Информационно телекамуникационная сеть – технологическая система предназначенная для передачи данных по линиям связи доступ к которым осуществляеться с использованием средств вычислительной техники.

Обладатель информации это лицо самостоятельно создавшее информацию или получившее ее на основании закона или договора правил разрешать или ограничивать доступ к информации определяемый по каким либо признакам.

Доступ к информации – возможность получения информации и ее использование

Конфиденциальность информации - обязательное для выполнения лицом получившим доступ к информации требование не передавать такую информацию 3м лица без согласия ее обладателя

Предоставление информации – действия направленные на получение информации определенным кругом лиц или передача информации определенному кругу лиц.

Распространение информации – действие направлено на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц

Электронное сообщение – информацияпереданная или полученная пользователем информационно телекамуникационной сети

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами позволяющими определить такую информацию или установленыйе законодательствам РФ случаем ее материальных носителей

Электроный документ – документированная информация представленная в электронной форме

Оператор информационной системы – гражданин или юридическое лицо осуществляющее деятельность по эксплуатации информационных систем в том числе по обработке информации в ее базах данных

Цели защиты информации:

1. Предотвращение утечки хищения искожения подделки информации

2. Предотвращение угроз безопасности личности общества государства

3. Предотвращение не санкционированных действий по уничтожению модификации искожению копированию и блокированию информации

4. Предотвращение других норм вмешательства в информационные ресурсы и системы

5. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных.

6. Сохранение государственной тайны конфеденциаьности документируемой информации в соответствии с законом

7. Обеспечение прав субъектов в информационных процессах и при разработке производстве и применение информационных систем, технологий и средств ее обеспечения.

Режим защиты устанавливается:

1. В отношении сведений о гостайне

2. В отношении документированной информации

3. В отношение персональных данных

Ст. 16 «защита информации»

1. Защита информация представляет собой приянятие правовых организационных и технических мер направленных на:

1.1. Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования

1.2. Соблюдения конфеденциальности информации ограниценого доступа

1.3. Реализация права доступа к информации

2. Государственное регулирование в сфере защиты информации осуществляется путем установления требований о защите информации а также ответственности за нарушение законодательства РФ

3. Требование о защите общедоступной информации могут устанавливаться только для достижения целей указанных в пунктах 1, 3.

4. Обладатель информации оператор информационной системы обязан обеспечить:

4.1. Предотвращение не санкционированного доступа к информации и передачи лицу не имеющего права доступа

4.2. Своевременное обнаружение факторов не санкционированного доступа

4.3. Предупреждение возможности неблагоприятных последствий нарушение порядка доступа к информации

4.4. Недопущение воздействие на технические средства обработки информации

4.5. Возможность незамедлительного восстановления информации модифицированной или уничтожененой в следствии не санкционированного доступа

4.6. Постоянный контроль за обеспечением уровня защещенности

5. Требование о защите информации содержащейся в государственных информационных системах, устанавливаються федеральным органом исполнительной власти. В обсласти обеспечения безопасности и федеральным органом исполнительной власти уполномоченной в области противодействия техническим разведкам и технической защиты информации. При создании и эксплуотации государственных ИС используемых в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям

6. Федеральными законоами могут быть установлены ограничения использования определнных средств защиты информации и осуществления определенных видов деятельности

Другие нормативные акты:

Закон о лицензирования отдельных видов деятельности

Лицензия – специальное разрешене на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требования и условий.

Лицензируемый вид деятельности – вид деятельности на осуществление которого на территории РФ требуется получение лицензии.

Лицензирование – мероприятие связанное с предоставлением лицензии переоформлением документов подтверждающих наличие лицензии приостановление и возобновление действий лицензий онулирование лицензии и контролю лицензирующих органов за соблюдением лицензиатами лицензируемых требований и условий.

Лицензирующий орган – федеральный орган исполнительной власти осучествляющие лицензирования

Лицензиат –юридическое лицо или ИП имеющий лицензию на осуществление конкретного вида деятельности

Ст 12 закона устанавливает перечень видов деятельности на осуществление которых требуеться лицензий:

1. Распространение шифровальных средств

2. Техническое обслуживание шифровальных устройств

3. Предоставление в области шифрования информации

4. Разработка и производство шифровальных средств защищенных с использование шифрования информационных систем

5. Выдача сертификатов ЭЦП

6. Регистрация владельцов ЭЦП

7. Оказание услуг сваязанных с использованием ЭЦП

8. Выявление электронных устройств преднозначеных для негласного получения информации в помещениях и технических средствах

9. Разработка и производство средств защиты конфеденциальной информации

10. Техническая защита конфеденциальной информации

11. Разработка производство реализация и преобретение в целях продажи технических средств предназначенных для внегласного получения информации ИМ ЮЛ

Виды деятельности на которые не распространяется лицензирование

1. Деятельность связанная с защитой государственной тайна

2. Деятельность в области свзи

3. Образовательня деятельность

Закон о участии в международном обмене:

1. Защита конфеденциальной информации государством распространяеться тлько на ту деятельность по международному информационному обмену которую осуществляют физические и юридические лица обладающими лицензиями на работу с конфеденциальной информацией и использующую сертифицированные средства международного обмена информацией. Выдача сертификатов и лицензий возлагается на комитет при президенте РФ. Порядок выдачи сертификатов устанавливается правительством.

2. При обнаружении внештатных режимов функционирования устройствмеждународного информационного обмена то есть возникновения ошибочных команд а также команд вызванных несанкционированными действиями обслуживающего персонала либо ложной информации собственник или владелец этих средств должен своевременно сообщить об этом в органы контроля в противном случае он несет ответственеость за причененный ущерб

Закон об ЭЦП:

1. Целью настоящего федерального законно являеться обеспечение правовых условий использования ЭЦП в электронных документах при соблюдении которых ЭЦП в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

2. Действие этого закона распространяется на отношение возникающие при совершении пражданско правовых сделок и иных предусмотренных законодательствои РФ

3. Действия этого законоа не распространяються на отношения возникающие при использовании иныхт аналогов собственаручной подписи

Понятия:

Электронный документ - документ в котором информация представлена в электронно цифровом виде

ЭЦП – реквизит электронного документа предназначенный для защиты данного электронного документа от поделок полученых в результате крипрографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющей идентифицировать владельца сертификата ключа подписи а также установить искажение информации в электронном документе

Владелец ключа подписи - физическое лицо на имя которого удостоверяющем центром (УЦ) выдан сертификат ключа подписи и которое владее соответствующим закрытым ключом ЭЦП позволяющим с помощью средств ЭЦП щифровать свое ЭЦП в документ

Средства ЭЦП аппаратные средства обеспечивающие реализацию хотябы одной из следующих функций:

1. Создание ЭЦП в электронном документе с использованием закрытого ключаподтверждение с использование открытого ключа подлинности подписи

Закрытый ключ ЭЦП – уникальная последовательность символов известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП с использование средств ЭЦП

Открытый ключ ЭЦП – уникальная последовательность символов соответствующая закрытому ключу ЭЦП известная всем пользователям информационной системы и предназначенная для подтверждения подлинности с использованием средств ЭЦП ЭЦП в электронном документе

Сертификат ключа - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица УЦ которое включает в себя открытый ключ ЭЦП и выдаються УЦ учаснику ИС для подтверждения подлинности ЭЦП

Подтверждение полиности ЭЦП в электронном документе – это положительный результатпроверки с помощью сертецицированным средством ЭЦП с использование сертификата ключа подлиности принадлежности ЭЦП в электроенном документе владельцу сертификатоа ключа подписи и отсутствие искожение подисанным данным ЭЦП в данном документе.

Порльзователь сертификата ключа подписи - физическое лицо использующие полученое у УЦ сведенья о сертификате ключа подписи для проверки принадлежности ЭЦП владельцу ключа подлинности

Информационная система общего пользования – ИС которая открыта для использования всеми лицами и в услугах которой эти лицам не может быть отказано.

Корпоративная ИС –ИС участниками которыми может быть ограниченный круг лиц определенным ее владельцем или соглашением участником этой системы

ЭЦП в электронном документе равнозначно собственноручной подписи на документе в бумажном носителе только при одновременном соблюдении условий:

1. Сертификат ключа подписи действует на момент проверки или на момент подписании

2. Подтверждена подлинность ЭЦП

3. ЭЦП используется в соответствии со сведеньями указанными в сертификате

Закон определяет сведенья которые должен содержать сертификат:

1. Уникальный регистрационный номер сертификата ключа дата начала и окончания действия ключа находящегося в реестре УЦ

2. ФИО владельца сертификата ключа или псевдоним владельца

3. Открытый ключ ЭЦП

4. Наименование средств ЭЦП с которыми используется данный открытый ключ

5. Наименование и место нахождение УЦ

6. Сведенья об отношениях при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение

 

 

Правела определяют в каких случаях пользователь может оперировать над объемом данных. Чем выше степень доверия системы тем строже и многообразнее должна быть политика безопасности. В зависимости от политики можно выбирать конкретные механизмы обеспечения безопасности.

1. Политика безопасности это активный аспект защиты включающий в себя анализ угроз и выбор мер взаимодействия.

2. Уровень гарантированности – мера доверия которая моджет быть оказана архзитектуре или реализации ИС. Доверии безопасности может проистекать как из анализа тестирования так и из проверки общего замысла и реализации системы в целом или отдельных ее компонентов. Уровень гарантированности показывает на сколько механизм отвечающий за реализацию политику безопасности. Это пассивный аспект защиты. Также важным аспектом является подотчетность.

Доверенная вычислительная база – совокупность защитных механизмов ИС отвечающих за проведение в жизнь политики безопасности.

Качество вычислительной базы определяется исключительно ее базой и корректностью исходных данных которые вводит системный администратор

Мониртор обращений должен обладать 3 качествами:

1. Изалированность – необходимо предупредить возможность отслеживания монитора

2. Полнота – монитор должен вызываться при каждом обращении не должно быть пособов обойти его

3. Верифицируемость – монитор должен быть компактным чтобы его можно было проанализировать и протестировать.

Реализация монитора обращений называется ядро безопасности на его основе проектируется безопасность

Границу доверенной вычислительной базы называют периметром безопасности

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...