 |
Классификация мер обеспечения безопасности компьютерных систем
|
|
|
|
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на правовые (законодательные), морально-этические, организационные (административные), физические и инженерно-технические (аппаратурные и программные) (рис.3.1).
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации, и являющиеся сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, в отличие от законодательных утвержденные нормативных актов, однако их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.
Рис. 3.1. Схема классификации мер обеспечения безопасности компьютерных систем
Организационные (административные) меры защиты— это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
|
|
|
· мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;
· мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
· мероприятия, осуществляемые при подборе и подготовке персонала системы;
· организацию охраны и надежного пропускного режима;
· организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
· распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
· организацию явного и скрытого контроля за работой пользователей;
· мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.
1. Организационные меры обеспечивают исполнение существующих нормативных актов и строятся с учетом существующих правил поведения, принятых в стране и/или организации;
2. Воплощение организационных мер требует создания нормативных документов;
3. Для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами;
4. Применение и использование технических средств защиты требует соответствующей организационной поддержки;
5. Утверждение норм поведения персонала — в актах обязательского права.
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
|
|
|
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена в рис.3.2.
Рис. 3.2. Взаимосвязь мер обеспечения безопасности
Правовая защита информационного ресурса признана как на международном, так и на государственном уровнях. На международном уровне она определяется соответствующими конвенциями, декларациями и реализуется путем патентования, защиты авторских прав и лицензирования на определенный вид деятельности и владение соответствующей информацией (табл.3.1).
На государственном уровне правовая защита реализуется государственными и ведомственными нормативными актами:
· Конституция РФ;
· Законы РФ, принятые Государственной думой;
· Гражданские, административные, уголовные кодексы;
· Приказы, положения, инструкции.
Примечание. в дополнении к закону об информации, информатизации и защите информации приняты: закон о правовой охране программ для ЭВМ и баз данных, закон по топологии интегральных микросхем и др.
Правовой режим работы с информацией ограниченного доступа определяется двумя законами:
· Закон о государственной тайне (рис. 3.3);
· Закон о коммерческой тайне.
Таблица 3.1. Иерархическая структура правовой защиты
| 1 блок | Конституционное законодательство, нормы по вопросам защиты информации |
| 2 блок | Общие законы и кодексы (законы о собственности, о правах граждан, о гражданстве, о налогах, которые включают нормы по защите информации) |
| 3 блок | Законы об организации управления (касаются отдельных структур экономики, хозяйства, административно-государственных органов) |
| 4 блок | Специальные законы, относящиеся к конкретным сферам информационной деятельности (важнейшим является Федеральный закон об информации, информатизации и защите информации*) |
| 5 блок | Законодательство субъектов РФ по вопросам защиты информации |
| 6 блок | Подзаконные нормативные акты, конкретизирующие использование конкретных законов в конкретных условиях практической деятельности. |
| 7 блок | Правоохранительное законодательство РФ, которое содержит сведения об ответственности за правонарушение в сфере информационной деятельности |
|
|
|
В соответствии со СТ.139 «Служебная тайна» ГК РФ тайна представляет собой информацию, которая имеет действительную или потенциальную коммерческую ценность (рис 3.4).
К конфиденциальным могут быть отнесены сведения, которые соответствуют перечню, утвержденному Указом Президента от 06.03.97 «Об утверждении перечня сведений конфиденциального характера»
Устанавливается несколько степеней секретности сведений, составляющих государственную тайну:
- особо важно (ОВ);
- совершенно секретно (СС);
- секретно (С).
Таблица 3.2 Виды конфиденциальной информации
| Конфиденциальная информация | Личная | Сведения о фактах, событиях, частной жизни граждан, позволяющие идентифицировать его личность |
| Судебно-следственная | Информация, составляющая тайну следствия | |
| Служебная | Информация, доступ к которой ограничен органами гос. власти | |
| Профессиональная | Сведения (врачебная, нотариальная, адвокатская и пр. информация, касающаяся профессиональной деятельности человека | |
| Коммерческая | Сведения, связанные с коммерческой деятельностью | |
| Производственная | Сведения о сущности изобретений до официальных публикаций, патентования либо иной формы защиты авторских прав |
В Ст.21 Закона определяется допуск должностных лиц к государственной тайне, а также основания для отказа должностному лицу в допуске к государственной тайне.
Рис. 3.3. Схема сведений, относящихся к государственной тайне
Рис. 3.4. Схема сведений, не подлежащих закрытию
|
|
|
