Главная | Обратная связь | Поможем написать вашу работу!

Іі. Методи та засоби захисту інформації в комп’ютерних системах

ГЛАВА 3. Правові та організаційні методи захисту інформації в КС

3.1. Правове регулювання в галузі безпеки інформаціі

Комплексна система захисту інформації створюється на об'єктах для блокування (парирування) всіх можливих або, принаймні, найбільш ймовірних загроз безпеки інформації. Для відбиття тієї чи іншої загрози використовується певна сукупність методів і засобів захисту. Деякі з них захищають інформацію від декількох загроз одночасно. Серед методів захисту є й універсальні методи, які є базовими при побудові будь-якої системи захисту. Це, насамперед, правові методи захисту інформації, які служать основою легітимної побудови та використання системи захисту будь-якого призначення. Організаційні методи захисту інформації, як правило, використовуються для відбиття декількох погроз. Крім того, організаційні методи використовуються в будь-якій системі захисту без винятків. Держава повинна забезпечити в країні захист інформації як в масштабах всієї країни, так і на рівні організацій та окремих громадян. Для вирішення цієї проблеми держава зобов'язана:

1) виробити державну політику безпеки в об-ласті інформаційних технологій,

2) законодавчо визначити правовий статус комп'ютерних систем, інформації, систем захисту інформації, володів-ців і користувачів інформації і т. д.

3) створити ієрархічну структуру державних органів, що виробляють і втілюють у життя політику безпеки інформаційних технологій,

4) створити систему стандартизації, ліцензування та сертифікації в галузі захисту інформації;

5) забезпечити пріоритетний розвиток вітчизняних захищених інформаційних технологій;

6) підвищувати рівень освіти громадян в області інформаційним технологій, виховувати у них патріотизм і пильність;

7) встановити відповідальність громадян за порушення закоства в області інформаційних технологій.

Політика України в галузі безпеки інформаційних технологій. В державі повинна проводитися єдина політика в галузі безпеки інформаційних технологій. Найважливіші задачі держави в галузі інформаційної безпеки такі:

• встановлення необхідного балансу між потребою у вільному обміні інформацією і припустимими обмеженнями її розповсюдження;

• вдосконалення інформаційної структури, прискоренням розвитку нових інформаційних технологій та їх широке впровадження, уніфікація засобів пошуку, збирання, зберігання та аналізу інформації з урахуванням входження Росії в глобальну інформаційну інфраструктуру;

• розробка відповідної нормативної правової бази та координація діяльності органів державної влади та інших органів, що вирішують завдання забезпечення інформаційної безпеки;

• розвиток вітчизняної індустрії телекомунікаційних-них та інформаційних засобів, їх пріоритетне в порівнянні із зарубіжними аналогами поширення на внутрішньому ринку;

• захист державного інформаційного ресурсу і, перш за все, у федеральних органах державної влади та на підприємствах оборонного комплексу.

Зусилля держави повинні бути спрямовані на виховання відповідальності громадян за неухильне виконання правових норм у галузі інформаційної безпеки. Необхідно використовувати всі доступні засоби для формування у громадян патріотизму, почуття гордості за належність до країни, колективу. Важливим завданням держави є також підвищення рівня освіти громадян в області інформаційних технологій. Велика роль у цій роботі належить освітньої системи держави, державним органам управління, засобам масової інформації. Це важливий напрямок реалізації політики інформаційної безпеки.

Законодавча база інформатизації суспільства. Високі темпи інформатизації, а також соціально-економічні зміни в суспільстві, що відбулися в останні роки, вимагали законодавчого регулювання відносин, що складаються в області інформаційних технологій.

Держава повинна гарантувати права власника інформації, незалежно від форм власності, розпоряджатися нею в межах, встановлених законом. Власник інформації має право захищати свої інформаційні ресурси, встановлювати режим доступу до них. Мають бути визначені права та обов'язки громадян і держави з доступу до інформації, встановлений загальний порядок розробки та сертифікації інформаційних систем, технологій, засобів їх забезпечення, а також порядок ліцензування діяльності у сфері інформаційних технологій. Повинні бути визначені цілі і режими захисту інформації, а також порядок захисту прав суб'єктів незалежних об'єктів в сфері інформаційних процесів та інформатизації.

На підставі правових документів відомства (міністерства, об'єднання, корпорації і т. п.) слід розробити нормативні документи (накази, директиви, керівництва, інструкції тощо), які регламентують порядок використання і за-щити інформації у підвідомчих організаціях. Важливим правовим питанням є встановлення юридичного статусу КС і особливо статусу інформації, напів-чаєм із застосуванням КС. Статус інформації або її правомочність служить підставою для виконання (невиконання) визначених дій. Наприклад, в одних АСУ відповідна посадова особа має юридичне право приймати рішення тільки на підставі інформації, отриманої з АСУ. В інших АСУ для ухвалення рішення необхідно отримати підтверджуючу інформацію по інших каналах. В одній і тій же АСУ рішення може прийматися як з отриманням підтверджує інформації, так і без неї. Прикладом може служити організація

переказу грошей за допомогою АСУ. До певної суми переклад здійснюється автоматично при вступі відповідних заявок. Для переведення великої суми виконуються додаткові процедури перевірки правомочності такої операції. Для цього може бути затребувана додаткова інформація, у тому числі і по дублюючої системі, а остаточне рішення про переведення грошей може приймати посадова особа. Правовий статус інформації встановлюється з урахуванням її вартості (важливості) і ступеня достовірності, який здатний забезпечити комп'ютерна система. інформаційних технологій, є встановлення відповідальності громадян за протиправні дії при роботі з КС. Злочини, вчинені з використанням КС або заподіяли збиток власникам комп'ютерних систем, отримали назву комп'ютерних злочинів.

3.2. Загальна характеристика організаційних методів захисту інформації в КС

Закони та нормативні акти виконуються тільки в тому випадку, якщо вони підкріплюються організаторської діяльністю відповідних структур, що створюються в державі, у відомствах, установах і організаціях. При розгляді питань безпеки інформації така діяльність відноситься до організаційних методів захисту інформації. Організаційні методи захисту інформації включають заходи та дії, які повинні здійснювати посадові особи в процесі створення і експлуатації КС для забезпечення заданого рівня безпеки інформації. Організаційні методи захисту інформації тісно пов'язані з правовим регулюванням у галузі безпеки інформації. Відповідно до законів і нормативними актами в міністерствах, відомствах, на підприємствах (незалежно від форм власності) для захисту інформації створюються спеціальні служби безпеки (на практиці вони можуть називатися і інакше). Ці служби підпорядковуються, як правило, керівництву установи. Керівники служб організовують створення і функціонування систем захисту інформації. На організаційному рівні вирішуються наступні завдання забезпечення безпеки інформації в КС:

• організація робіт з розробки системи захисту інформації;

• обмеження доступу на об'єкт і до ресурсів КС;

• розмежування доступу до ресурсів КС;

• планування заходів;

• розробка документації;

• виховання і навчання обслуговуючого персоналу і

користувачів;

• сертифікація засобів захисту інформації;

• ліцензування діяльності по захисту інформації

• атестація об'єктів захисту;

• вдосконалення системи захисту інформації

• оцінка ефективності функціонування системи захисту інформації в КС.

• контроль виконання встановлених правил роботи в КС.

Організаційні методи є стрижнем комплексної системи захисту інформації в КС. Тільки за допомогою цих методів можливе об'єднання на правовій основі технічних, програмних і криптографічних засобів захисту інформації в єдину комплексну систему. Конкретні організаційні методи захисту інформації будуть приводитися при розгляді відбиття загроз безпеки інформації. Найбільшу увагу організаційним заходам приділяється при розгляді питань побудови та організації функціонування комплексної системи захисту інформації.

3.3. Контрольні питання

1. Перерахуйте завдання держави в галузі безпеки інформації.

2. Охарактеризуйте основні закони РФ, що регулюють становлення в галузі інформаційних технологій

3. Назвіть державні органи, що забезпечують без-ність інформаційних технологій, і розв'язувані ними завдання.

4. Дайте загальну характеристику організаційних методів захисту пра-ти інформації в КС.

⇐ Предыдущая 1 234 5 6 7 8 9 10 Следующая ⇒