 |
Правовые основы обеспечения ИБ
|
|
|
|
Данные и информация.
Информация - это структурированные полученные данные, которые имеют смысл.
Вся информация представляет ценность. 90 процентов информации - полная чушь.
Угроза информационной безопасности - доступ человека к ненужной для него информации (прослушка).
35 % похищают служащие, 28 %- хакеры, 18 %- другие компании, находящиеся в этой стране. 11 %- иностранные компании и 8 %- другие государства.
Классификация информационной безопасности
Виды угрозы:
l Физическая целостность
l Логическая структура
l Угроза содержания информации
Несанкционированный модификация информации
l Нарушение конфиденциальности
l Угроза права собственности
По природе происхождения:
l случайные
l преднамеренные
Предпосылки появления угроз:
l Объективные(количественные и качественные недостаточность)
l Субъективные(люди)
Источники угроз:
l люди
l технические устройства
l модели, алгоритмы и программы
l технические схемы обработки
l внешняя среда(енот, кошка, природа)
Деятельность по обеспечения ДИБ:
§ законодательное правовое обеспечение (разработку законодательную базу, надзор со стороны за правоохранительных органов, судебную защиту, так же страховое обеспечение)
§ организационно-техническое обеспечение: режимное и оперативное обеспечение, структурное, сертификацию, контроль.
§ технологическое обеспечение: защиту от утечки за счет побочных электромагнитных излучений и наводок, защиту от несанкционированного доступа, в каналах и сетях связи и физическую защиту.
Требование к системе защиты информации предъявляются след требование:
1. Обеспечение безопасности информации, средств информатизации, защиты интереса участников информационных отношений
|
|
|
2. система в целом, методы и способы защиты должны быть по возможности прозрачными для пользователя
3. система должна реализовывать методы как директоров, так и функционального управления
Основные способы защиты информации
① идентификация и аутентификация
② разграничение доступа пользователей к ресурсам системы и авторизацией пользователей.
③ регистрация и оперативное оповещение о событиях в системе
④ криптографическое закрытие хранимых и передаваемых данных
⑤ контроль целостности и аутентичности данных
⑥ выявление и нейтрализация деятельности компьютерных вирусов
⑦ застирание остаточной информации на носителях информации
⑧ выявление уязвимости в системе
⑨ изоляция кс. Защита климата
⑩ обнаружение атак и оперативное реагирование.
Правовые основы обеспечения ИБ
Должны обеспечиваться
l конституционные пава и свободы граждан, предприятий и организаций в сфере информатизаций
l должен поддерживаться необходимый уровен безопасности информации, подлежащей защите
l защищенность систем формирование и использование информационных ресурсов
Правовое обеспечение ИБ включает в себя:
4. Определение правового статуса ИР
5. законодательство РФ в области обеспечения защиты информации
6. Особенности зашиты конфиденциальности и личной информации
7. Руководящие документы, ФСБ и ФСТЭК РФ по защите информации
8. Правовое регулирование, сертификация, аттестация
Методом правового обеспечения ИБ являются:
I. Изменение в законодательстве в целях создания системы обеспечения информационной безопасности государство
II. Законодательное разграничение полномочий между органами власти, юр и физ лицами в области ИБ государства
III. Уточнение статуса иностранных информационных агентов
IV. Законодательное закрепление приоретета развития национальных сетей связи
|
|
|
V. Определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных систем на территории страны
VI. Создание правовой базы для формирования в стране местных структур обеспечения ИБ
В РФ существуют нормативные акты РФ:
l Законы РФ
l Указы президента РФ и утверждаемые этими указами нормативные документы
l Поставновление правительства РФ и утверждаемые этими указами нормативные документы
l Государственные и отраслевые стандарты
l Положения, порядки, перечни и руководящие документы, а так же другая нормативно-методическая документация уполномоченных органов гос. власти
В законе о государственной тайне используются следующие понятия
Государственная тайна - это защищаемое государственное сведение в области его военной, внешне политической, экономической, разведовательной, контр-разведовательной и оперативной разыскной деятельности, распростаранения которых может нанести ущерб безопасности РФ
Системы защиты государственной тайны - это совокупность органов государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носители, а так же мероприятий, проводимых в этих целях.
Гриф секретности - ревквизиты, свитедельствующие о степени секретности сведений, содержащиеся в их носителях, предоставляемое на самом носителе и (или) сопроводительной документации на него.
Средства защиты информации: технические, криптографические, программыне и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а так же средства контрлля эффективности защиты информации.
Федеральный закон об информации регулирует отношения. Основные принципы правового регулирования в отношений, возникающих в сфере информации, ИТ и в сфере ИБ:
l свобода поиска, получения, передачи, производства и распространения информации любым законным способом
l ограничение доступа к информации устанавливается только ФЗ РФ
l принцип открытости информации от деятельности государственных органов и органов самоупрвления, а так же свободный доступ к такой информации кроме случаев установленных ФЗ РФ
|
|
|
l равноправие языков народов РФ при создание ИС и их эксплуатации
l обеспечение безопасности РФ при создание ИС, их эксплуатации, использовании и защите содержащихся в них информации
l достоверность информации и своевременность ее предоставления
l неприкосновенность к частной жизни
l недопустимость установления нормативными правовыми актами каких-либо преимуществ приминения одних ИТ перед другими, кроме случаев, когда обязательность приминения определенных ИТ не установлено ФЗ
В общем и в целом ФЗ и другие нормативные акты предусматривают:
l Разделение информации на категории свободного и ограниченного доступа.
Ø отнесенной к государственной тайне
Ø к служебной тайне, персональные данные
Ø другую информацию, не правомерное обращение которой может привести ущерб ее собственнику, владельцу, пользователю или иному лицу
l Правовой режим защиты информации, не правомерное обращение с которой может нанести ущерб ее собственнику...., устанавливаемый:
Ø в отношение сведений, отнесенных к гос. тайне - уполномоченными гос. органами на основании закона РФ о гос. тайне
Ø в отношение конфиденциальной документированной информации-собственникам информационных ресурсов или уполномоченным лицом на основании закона РФ об информации, информатизации и защите информации
Ø в отношение персональных данных- отдельным ФЗ
l Лицензирование деятельности предприятий, учереждений и организаций в области защиты информации
l Аттестация автоматизированных ИС (АИС), обрабатывающих информацию с огр. доступом на соответствии требованиям ИБ при проведения работ со сведениями соответствующей степени конфиденциальности
l Сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АИС
l Возложение решения вопросов организации, лицензирования, аттестации и сертификации на органы гос. управления в пределах их компитенций, определенной законодательством РФ
l Создание АИС в защищенном исполнении и специальных подразделений, обеспечивающих защиты информации с ограниченным доступом, являющиеся собственности гос. а так же осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае не выполнения требований по обеспечению ее защиты
|
|
|
l Определение прав и обязанностей субъектов в области защиты информации
Основные задачи государственной системы защиты информации ГОС СЗИ
⑪ проведение единой технической политики, организации и координации работ по защите информации в оборонной, экономической, политической, научно-технической и др. сфер деятельности.
⑫ исключение или существенное затруднение добывание информации техническими средствами разведки, а так же предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение программно технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования.
⑬ принятие в пределах компитенции нормативно-правовых актов, регулирующих отношения в области защиты информации
⑭ общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты
⑮ контроль за проведением работ по защите информации и органах государственного управления, объединенных на предприятии в организации и учереждении
|
|
|
