 |
Правовая основа информационной безопасности информационных систем.
|
|
|
|
Основные понятия.
Начнем изучение дисциплины с определения ряда базовых понятий.
Информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т. д.) на носителях различных типов. Она может представлять ценность для отдельных лиц или организаций.
Под информационной безопасностью будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Основные составляющие информационной безопасности: можно разделить на следующие категории обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Доступность – это возможность за приемлемое время получить требуемую информационную услугу.
Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Конфиденциальность – это защита от несанкционированного доступа к информации.
Субъект - это активный компонент информационной системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
|
|
|
В качестве объектов, подлежащих защите в интересах обеспечения безопасности субъектов информационных отношений, необходимо рассматривать:
- информацию и информационные ресурсы,
- носители информации,
- процессы обработки информации.
Информационные ресурсы определим как отдельные документы и массивы документов, представленные самостоятельно или в информационных системах (ИС) (библиотеках, архивах, фондах, базах данных, и др. ИС).
Информационные ресурсы можно классифицировать:
- по виду информации - правовые, научно-технические, политические, финансово-экономические, статистические, метрологические, социальные, персональные, медицинские, о чрезвычайных ситуациях и т. п.;
- по режиму доступа – открытые, ограниченного доступа, государственная тайна, конфиденциальная информация, коммерческая тайна, профессиональная тайна, служебная тайна, личная (персональная) тайна;
- по форме собственности – государственные, федеральные, муниципальные, частные, коллективные;
- по виду носителя – на бумаге (документы, письма, медицинские карты, телефонные справочники организаций, выброшенные черновики и распечатки), на экране, в памяти ЭВМ, в канале связи, на гибких и жестких магнитных дисках и на других носителях.
Под безопасностью КС (компьютерных систем) понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов.
Природа воздействий на КС может быть самой разнообразной. Это и стихийные бедствия (землетрясения, ураганы, пожары), и выход из строя составных элементов КС, и ошибки персонала, и попытка проникновения злоумышленника.
Безопасность КС достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.
|
|
|
Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации - это доступ к информации, не нарушающий установленные правила разграничения доступа.
Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.
Несанкционированный доступ (НСД) к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
Конфиденциальность данных - это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.
Целостность компонента или ресурса системы - это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.
Доступность компонента или ресурса системы - это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.
Под угрозой безопасности КС понимаются возможные воздействия на КС, которые прямо или косвенно могут нанести ущерб ее безопасности.
Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в КС. С понятием угрозы безопасности тесно связано понятие уязвимости КС.
|
|
|
Уязвимость КС - это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака - это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью защиты систем обработки информации.
Безопасная или защищенная система - это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности КС. Комплекс создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Политика безопасности - это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты КС от заданного множества угроз безопасности.
Правовая основа информационной безопасности информационных систем.
На официальном уровне государственная система защиты информации в России была сформирована в 1973 г. в рамках действия государственной комиссии СССР по противодействию иностранным техническим разведкам. Начиная с 1992 г., проблемы информационной безопасности в новых экономических и правовых условиях вышли из круга оборонной тематики и обусловили тем самым создание в общегосударственном масштабе более совершенной системы информационной безопасности. Создание такой системы, прежде всего, потребовало разработать необходимую нормативно-правовую базу: Концепцию национальной безопасности Российской Федерации, Доктрину информационной безопасности Российской Федерации и ряд других документов.
Указом Президента от 12 мая 2009 г. № 537 утверждена Стратегия национальной безопасности Российской Федерации (Стратегия) до 2020 года.
|
|
|
Стратегия национальной безопасности – это система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз в экономической, политической, социальной, международной, духовной, информационной, военной, обороннопромышленной, экологической сферах, а также в сфере науки и образования.
Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.
В ходе реализации настоящей Стратегии угрозы информационной безопасности предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.
Доктрина информационной безопасности РФ (Доктрина) утверждена Указом № 1895 Президента РФ от 9 сентября 2000 г. Доктрина представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности и служит основой для:
- формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
- подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
- разработки целевых программ обеспечения информационной безопасности Российской Федерации.
Доктрина состоит из следующих частей:
1. Информационная безопасность РФ (виды и источники угроз ИБ РФ, состояние ИБ РФ и основные задачи по ее обеспечению);
2. Методы обеспечения ИБ РФ (особенности обеспечения ИБ РФ в различных сферах общественной жизни, международное сотрудничество в области обеспечения ИБ);
3. Основные положения государственной политики обеспечения ИБ РФ (первоочередные мероприятия по реализации государственной политики безопасности в РФ);
4. Организационная основа обеспечения ИБ РФ (основные функции систем обеспечения ИБ РФ, основные элементы организационной основы систем обеспечения ИБ РФ).
|
|
|
