Четвертый уровень стандарта информационной безопасности

Правовые основы защиты информации и закон о защите информации. Защита информации на предприятии

Правовые основы защиты информации – это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.

Первый уровень правовой основы защиты информации

Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

Правовое обеспечение информационной безопасности РФ:

• Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете;
• Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);
• Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);
• Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);
• Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);
• Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, от носящейся к государственной тайне); Защита информации курсовая работа.
• Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О право вой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие при знания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

Как видите, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря ФЗ о защите информации.

Второй уровень правовой защиты информации

На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.

Третий уровень правового обеспечения системы защиты экономической информации

К данному уровню обеспечения правовой защиты информации (реферат) относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.

Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

Четвертый уровень стандарта информационной безопасности

Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.

63. Понятие о государственной и коммерческой тайне. Основные правовые акты.

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нести ущерб безопасности РФ

Коммерческая тайна, в соответствии с гражданским законодательством РФ(3), это информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель принимает меры к охране ее конфиденциальности.

Согласно ст. 29 Конституции РФ каждый вправе свободно искать, получать, передавать, производить, распространять информацию любым законным способом. Конституция также закрепляет право доступа каждого к информации, непосредственно затрагивающей его права и свободы (ст. 24). Также согласно ст. 42 Конституции каждый имеет право на достоверную информацию о состоянии окружающей среды (уголовная ответственность должностных лиц по ст. 237 Уголовного Кодекса РФ вплоть до пяти лет лишения свободы). Эти положения Конституции соответствуют нормам Международного пакта о гражданских и политических правах от 16 декабря 1996 г.
В Гражданском Кодексе РФ нормы об информации направлены, в том числе на обеспечение предпринимательских отношений.
Информация является самостоятельным объектом гражданского права (ст. 128 ГК РФ). Выражение «право собственности на информацию» юридически некорректно, поскольку информация – это абстрактный, идеальный объект. В этом состоит ее основное отличие от вещей – объектов материального мира.
В ряде гражданских договоров предусматривается обязанность предоставления информации (например, покупателю о товаре – ст. 495; клиентом – экспедитору – ст. ст. 840, 853; по договору коммерческой концессии: правообладателем – пользователю – ст. 1031 ГК РФ и т.д.).
Обязанность предоставления информации предусмотрена в некоторых организациях (например, в ОАО – для всеобщего сведения – зст. 97; в хозяйственном товариществе – каждому участнику – ст. 67).
Особое регулирование применяется в отношении трех видов информации:
· сведений, отнесенных к государственной тайне;
· конфиденциальной документированной информации;
· персональных данных.

64. Понятие о структурном программировании. Модульный принцип программирования. Подпрограммы. Принципы проектирования программ сверху-вниз и снизу-вверх.

Структу́рное программи́рование — методология разработки программного обеспечения, в основе которой лежит представление программы в виде иерархической структуры блоков. Предложена в 70-х годах XX века Э. Дейкстрой, разработана и дополнена Н. Виртом.

В соответствии с данной методологией

1. Любая программа представляет собой структуру, построенную из трёх типов базовых конструкций:
• последовательное исполнение — однократное выполнение операций в том порядке, в котором они записаны в тексте программы;
• ветвление — однократное выполнение одной из двух или более операций, в зависимости от выполнения некоторого заданного условия;
• цикл — многократное исполнение одной и той же операции до тех пор, пока выполняется некоторое заданное условие (условие продолжения цикла).

Эффективным методом повышения качества комплексов программ является использование при их подготовке принципов структурного программирования. При организации проектирования программ и процесса кодирования это позволяет предотвратить большинство логических ошибок и обнаружить те, которые допущены. Структурное программирование включает три составляющие: проектирование сверху – вниз; модульное программирование; структурное копирование.

Проектирование сверху – вниз. По существу это иерархический подход к решению поставленной задачи. Метод предусматривает на первом этапе определение задачи в общих чертах и последовательное уточнение ее структуры путем детализации основных функций. На каждом шаге детализации выясняются основные функции, т.е. задача разбивается на ряд подзадач, пока эти подзадачи не станут настолько простыми, что каждая из них может быть представлена несложным программным модулем, действие которого описывается одной фразой.

Метод предусматривает описание данных, их структуры и основных процессов обработки. Описание данных должно включать тщательно отобранные примеры, демонстрирующие выполнение основных функций системы и их наиболее существенные варианты. При описании модуля должны быть описаны тестовые данные.

При проектировании сверху - вниз создание проекта системы по уровням, начиная с верхнего, облегчает реализацию поставленных целей и выявление ошибок на ранних стадиях создания программного обеспечения.

Модульное программирование. В его основе лежит разделение программы на логические части (модули) и последовательное программирование каждой части. Если проведено проектирование всей задачи сверху – вниз, то она разбивается на подзадачи, соответствующие возможным модулям. Разбиение задачи на модули должно обеспечивать независимость реализации каждого программного модуля. Последующее формирование комплекса программ не должно требовать знаний о внутренней работе модуля, т.е. необходимо обеспечить простоту сопряжений программных модулей комплекса.

При разбиении задачи на модули следует учитывать их размер. Обычно размер модуля составляет около 60 строк. Такая длина удобна для восприятия, так как она легко охватывается и запоминается. Это число строк помещается на одной странице, его легко прочесть на терминале вычислительной машины. Однако целесообразно выбирать размеры модуля так, чтобы он соответствовал одной подзадаче.

Следует стремиться к независимости программных модулей. Для этого необходимо, чтобы модуль не зависел от источника входных данных, места назначения выходных данных и от предыстории. Каждый модуль должен иметь свое назначение, отличающееся от назначения других модулей. Это должен быть замкнутый блок, вход и выход которого точно определены. Функциональная независимость модулей сокращает вероятность воздействия изменений в одной подпрограмме на остальные подпрограммы комплекса.

Воздействие изменений в одном модуле на другие модули называют волновым эффектом. Этот эффект можно уменьшить, сведя к минимуму связь между модулями, т.е. сократив количество путей, вдоль которых изменения или ошибки влияют на другие части программы. Простейший путь уменьшения волнового эффекта состоит в сокращении использования глобальных переменных и в сокращении размеров модуля. Минимизация взаимосвязей между модулями проводится обычно за счет усиления связей между элементами одного модуля (модульной прочности). Высокая степень независимости, характерная для структурного программирования, и минимальная связь модулей приводят к ограничению влияния ошибок в пределах отдельных модулей и к уменьшению как функциональной сложности модуля, так и сложности связей.

65. Сервисы Интернет. Виды и характеристики.

Сервисы Интернет — услуги, предоставляемые сетевыми службами пользователям. Наиболее распространенными Интернет-сервисами являются: хранение данных; передача сообщений и блоков данных; электронная и голосовая почта; организация и управление диалогом партнеров; предоставление соединений; видео-сервис.

Audiotext — вид сервиса, предоставляемого системами голосового ответа; может быть пассивным и интерактивным.
Пассивный аудиотекст (passive audiotex) обеспечивает озвучивание сообщений, например прогноза погоды, ответов автосекретаря, списков услуг, справочных данных.
Интерактивный аудиотекст (interactive audiotex) предполагает возможность выбора ряда опций для получения ответа. При этом ЭВМ озвучивает данные, собирая сообщение из заранее записанных фрагментов, либо синтезирует голосовое сообщение при помощи преобразования текста в речь. Спектр применения этих систем широк: от простых автоинформаторов до сложных систем, требующих для ответа на запрос пользователей обращения к базе данных.
Ай-ти аутсорсинг (IT outsourcing) — комплекс услуг сторонней организацией по решению информационных задач и/или бизнес-процессов. Ай-ти аутсорсинг подразумевает передачу заказчиком функций по поддержке ИТ-систем в специализированную компанию. Использование Ай-ти аутсорсинга может сократить затраты на поддержку в рабочем состоянии вычислительных и телекоммуникационных средств.
Новости из Интернета (Internet News) — вид сервиса по автоматизированному отбору и передаче пользователям в удобном для них виде новостей по заданной тематике. Для выполнения поиска, загрузки, обновления, хранения и предоставлению пользователям новостей служат программы-агрегаторы: агрегаторы новостей (News agregators) и RSS-агрегаторы (RSS agregators). Первые из них позволяют получить новости с любого сайта, вторые — только с сайтов, поддерживающих RSS-формат.
Сетевые новости (Netnews, USENET, Users Network) — глобальная межсетевая система обмена новостями, разновидность телеконференций, которая позволяет организовать дискуссии в рамках тематических групп участников, которые разделяются по группам новостей — Newsgroups.
Справочный сервис в Интернете (Internet reference service) — вид услуг, осуществляемых в реальном времени и через электронную почту как на бесплатной, так и коммерческой основе. Одной из крупнейших библиотечных справочных служб является Консорциум AskA («Спроси у…»), созданный в 1996 году Информационным центром образовательных ресурсов — ERIC (Educational Resources Information Center) Министерства образования США по проекту VRD (Virtual Reference Desk) для обслуживания в режиме «запрос-ответ» преподавателей, родителей, учеников старших классов, административных и библиотечных работников учебных заведений. С июня 2002 года в полном объеме функционирует Глобальная справочная сеть — VGN (Global Reference Network), учрежденная Библиотекой Конгресса США в 2000 году и поддерживаемая крупнейшими библиотеками и библиотечными консорциумами Северной Америки, Европы и Австралии. В России в 2000 году на базе ЦБС «Киевская» (Москва) создана Виртуальная справочно-информационная служба публичных библиотек (ВСИС ПБ или «Виртуальная справка»). К январю 2005 года в ее работе приняло участие более 20 библиотек разных регионов России и Украины. Основным нормативными документами по организации и технологии работы библиотечных справочных служб являются руководство и проект стандарта ИФЛА — IFLA Digital Reference Standards Project (2002 г.)
Списки рассылки (Listserv, Mailling List) — вид сервиса электронной почты. Собственно Телеконференция (newsgroup) — вид сервиса Интернета, обеспечивающий пересылку и чтение сообщений, сгруппированных по определенному признаку или группе признаков.
Call Center (Call Center Database) — служба обработки телефонных звонков в Интернете; предоставляет клиентам комплексов услуг, включая: личного секретаря, виртуальный офис, поддержку рекламных или маркетинговых кампаний, «горячую линию», прием заказов, набор персонала или регистрацию, службу клиентской поддержки. В режиме «виртуального офиса» может производиться круглосуточный прием звонков на многоканальный телефонный номер (в том числе бесплатный — freephone) операторами call-центра, обзвон клиентов и актуализация баз данных, отправка персонализированных факсимильных сообщении и сообщений по электронной почте, ввод информации в базу данных, перевод/переключение звонков на заказчика, запись разговоров. Таким образом, сокращается число сотрудников в реальном офисе.
FAQ (Frequency Answered Questions, часто задаваемые вопросы) — сервис, обеспечивающий автоматический доступ к информации и услугам Интернета или конкретного Web-узла.
ICQ (I Seek You, я ищу тебя) — программа и способ интерактивного общения в Интернете, позволяющие находить в сети партнеров по интересам и обмениваться с ними сообщениями.

66. Internet: возможности использования в бизнесе

Имеется две принципиальных категории использования Internet в целях бизнеса: Internet для бизнеса и бизнес в Internet.

Первая категория очевидна и традиционна. Сегодня Internet обеспечивает надежный и дешевый обмен информацией между узлами сети. Любой коммерческой компании требуются коммуникации либо с другими компаниями, либо с отделениями между отделениями этой же компании. Любой бизнесмен знает, что расходы на коммуникации составляют немалую часть общего бюджета. В настоящее время Internet позволяет добиться более высокого качества коммуникаций при меньших расходах, включая возможности обмена мультимедиа информацией в реальном масштабе времени (в частности, звуковой и видео информацией). Будущие перспективы, хотя и не полностью предсказуемы, выглядят очень заманчивыми.

Вторая категория более оригинальна и интересна. Internet представляет собой некий виртуальный мир, который полностью доступен пользователям сети. Любой полноценный клиент Internet может автоматически стать частью этого виртуального мира, создав и предоставив другим пользователям новую частицу информации. Интерактивный характер взаимодействий в Internet позволяет производить виртуальные (но в то же время вполне реально доступные) сетевые библиотеки, видеотеки, магазины и т.д. Это открывает новые пути для рекламы, маркетинга, продаж. Домашняя хозяйка в Малаховке, не выходя из дома, сможет заказать и оплатить мясорубку, имеющуюся на (виртуальном) складе в магазине в Нижнем Вартовске. Очень существенны перспективы использования Internet в банковском деле. Не Internet для банковской активности, а банковская активность в Internet! Для этого, конечно, особенно важны средства повышения безопасности информации в сети, упоминавшиеся выше.

Похоже, что развитие Всемирной сети сетей приведет к полному преобразованию бизнеса в этом мире. Конечно, люди всегда останутся людьми, а бизнес - бизнесом, но новый бизнес станет более выгодным и более удобным для людей.

67. Интернет. Доменная система имён.

Домен — это некий логический уровень Интернета, то есть группа сетевых ресурсов, имеющая собственное имя и управляемая своей сетевой станцией.

DNS иногда еще называют региональной системой наименований.

 

Доменная система имен — это метод назначения имен путем передачи сетевым группам ответственности за их подмножество имен. Каждый уровень этой системы называется доменом. Домены в именах отделяются друг от друга точками: dynamo.kiev.ua, internet.clonetsk.ua, microsoft.com. В имени может быть различное количество доменов, но практически но не больше пяти. По мере движения по доменам слева направо в имени количество имен, входящих в соответствующую группу, возрастает.

 

Первым в имени стоит название рабочей машины — реального компьютера с IP-адресом. Это имя создано и поддерживается администратором. Домен предпоследнего, второго уровня является частью национальной сети (например, Украина - домен uа). Для США наименование страны по традиции опускается, там самыми крупными объединениями являются сети образовательных (edu), коммерческих (com), государственных (gov), военных (mil) учреждений, а также сети других организаций (org) и сетевых ресурсов (net).

DNS обладает следующими характеристиками:

• Распределённость администрирования. Ответственность за разные части иерархической структуры несут разные люди или организации.
• Распределённость хранения информации. Каждый узел сети в обязательном порядке должен хранить только те данные, которые входят в его зону ответственности и (возможно) адреса корневых DNS-серверов.
• Кеширование информации. Узел может хранить некоторое количество данных не из своей зоны ответственности для уменьшения нагрузки на сеть.
• Иерархическая структура, в которой все узлы объединены в дерево, и каждый узел может или самостоятельно определять работу нижестоящих узлов, или делегировать (передавать) их другим узлам.
• Резервирование. За хранение и обслуживание своих узлов (зон) отвечают (обычно) несколько серверов, разделённые как физически, так и логически, что обеспечивает сохранность данных и продолжение работы даже в случае сбоя одного из узлов.

DNS важна для работы Интернета, так как для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса. Первоначально преобразование между доменными и IP-адресами производилось с использованием специального текстового файла hosts, который составлялся централизованно и автоматически рассылался на каждую из машин в своей локальной сети. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS.

68. Понятие о всемирной паутине WWW. Состав и структура WWW.

WWW - World Wide Web, Всемирная паутина. WWW или World Wide Web дословно переводится с английского, как «Сеть, охватывающая весь мир». В русском языке распространены такие названия, как «Всемирная путина», «Глобальная Сеть», и конечно «Интернет».

Все используемые в Интернете правила передачи данных (протоколы) входят в утвержденный стандартный набор протоколов под названием TCP/IP. Помимо набора протоколов передачи информации, TCP/IP обеспечивает сетевыми адресами все компьютеры в Глобальной Сети. Как только вы подключаетесь к Интернету, вашему компьютеру сразу же присваивается определенный сетевой адрес (IP). Наличие сетевого адреса позволяет другим компьютерам и серверам идентифицировать ваш компьютер среди всех остальных, а также идентифицировать всех остальных и каждого из них в отдельности. Иными словами, компьютеры «видят» друг друга в Сети благодаря присвоенным им IP адресам. В том, что касается адресации, то Интернет в этом отношении практически исключает любую путаницу. Каждый компьютер получает уникальный сетевой IP адрес.

Благодаря наличию IP адреса вы можете пользоваться всеми возможностями Интернета – просматривать сайты, общаться, отправлять и получать почту, работать с базами данных. Компьютер, если ему не присвоен IP адрес, не сможет выйти в Интернет. Но после того как сетевой адрес присвоен, компьютер становится полноценной частью всей Глобальной Сети Интернет.

Также, важными составляющими Всемирной паутины являются сайты. Они тоже могли бы идентифицироваться по IP адресу. Но сетевой адрес состоит из набора цифр, разделенных точками. Согласитесь, это очень неудобная для запоминания форма! Для пользователя гораздо удобней запомнить понятный очеловеченный веб-адрес, такой как «mail.ru», а не «212.117.34.12» – типичный пример IP адреса. Поэтому в структуре Интернета была предусмотрена специальная база ДНС-имен, позволяющая присваивать сайтам «нормальные» имена вместо IP цифр.

Всемирная паутина состоит из подключенных к ней компьютеров, каждому их которых присваивается уникальный сетевой адрес. Обмен данными между компьютерами осуществляется по определенным правилам (протоколам). Для различных целей (отправки почты, серфинга, общения, работы с базами данных) используются различные протоколы, то есть данные во время перемещения по Интернету могут кодироваться, трансформироваться или изменяться как-то еще по различным схемам, используемым в том или ином протоколе. Все это происходит на аппаратном уровне и совершенно незаметно для пользователя, который может получать и отправлять данные в привычном виде. Например, если вы отправляете текст по электронной почте, то он доходит в том же самом виде, в котором вы его отправляли. Аналогично, если вы листаете страницы какого-то сайта, то на экране всегда будет понятная человеку информация (текстовая, графическая, аудио, визуальная). А между тем, при передаче данных по Интернету, любая информация видоизменяется в соответствии с тем или иным используемым протоколом.

Поделиться:

Воспользуйтесь поиском по сайту: