Реферат. 1 Происхождение государства. 1 Происхождение государства
Скачать 0.51 Mb.
|
52 Правовое регулирование информационной безопасности. 1. Понятие информационной безопасности. Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такоеинформационная безопасность. Термин "информационная безопасность" может иметь различный смысл и трактовку в зависимости от контекста. В данном курсе под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанестинеприемлемыйущербсубъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [1]. ГОСТ "Защита информации. Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ееконфиденциальность, доступность ицелостность. Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право. Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право; Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно. Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [2,3]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ. Угрозы можно классифицировать по нескольким критериям: посвойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура,поддерживающая инфраструктура); по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС). Обеспечение информационной безопасности является сложной задачей, для решения которой требуетсякомплексный подход. Выделяют следующие уровни защиты информации: законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества; административный – комплекс мер, предпринимаемых локально руководством организации; процедурный уровень – меры безопасности, реализуемые людьми; программно-технический уровень – непосредственно средства защиты информации. Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятияпредметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное)отношение к людям, нарушающим информационнуюбезопасность. 1.2. ФЗ "Об информации, информационных технологиях и о защите информации" В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения. Закон регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. Закон дает основные определения в области защиты информации. Приведем некоторые из них: информация - сведения (сообщения, данные) независимо от формы их представления; информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [4]. В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации: свобода поиска, получения, передачи, производства и распространения информации любым законным способом; установление ограничений доступа к информации только федеральными законами; открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации; обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации; достоверность информации и своевременность ее предоставления; неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами. Всяинформация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и инаяинформация,доступ к которой не ограничен. В законе, определяетсяинформация, к которой нельзя ограничитьдоступ, например,информация об окружающей среде или деятельности государственных органов. Оговаривается также, чтоограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации,доступк которой ограничен федеральными законами. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения: информацию, свободно распространяемую; информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; информацию, распространение которой в Российской Федерации ограничивается или запрещается. Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно. Дается следующееопределение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; постоянный контроль за обеспечением уровня защищенности информации. Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов. Принципы построения системы информационной безопасности Система информационной безопасности охватывает все компоненты информационной инфраструктуры, описанные в настоящем проекте, и обеспечивает конфиденциальность, целостность и доступность информации. Система информационной безопасности обеспечивает безопасное функционирование бизнес-процессов и не препятствует работе пользователей с информационными ресурсами. Система информационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 («Нормы и правила при обеспечении безопасности информации»). Стандарт ISO 17799 содержит общие рекомендации по организации системы информационной безопасности, обеспечивающей базовый уровень безопасности информационных систем, характерный для большинства организаций. При этом стандарт описывает вопросы, которые должны быть рассмотрены при проектировании системы информационной безопасности, и не накладывает ограничений на использование конкретных средств обеспечения безопасности компонентов инфраструктуры. Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем: Стратегия информационной безопасности — описывает необходимость иметь поддержку высшего руководства компании путем утверждения стратегии информационной безопасности; Организационные вопросы — дает рекомендации по форме управления организации, оптимальной для реализации системы информационной безопасности; Классификация информационных ресурсов — описывает необходимые меры по обеспечению безопасности информационных ресурсов и носителей информации; Управление персоналом — описывает влияние человеческого фактора на информационную безопасность и меры, направленные на снижение соответствующего риска;Обеспечение физической безопасности — описывает мероприятия по обеспечению физической безопасности компонентов информационной инфраструктуры; Администрирование информационных систем — описывает основные аспекты безопасности при работе с серверами, рабочими станциями и другими информационными системами; Управление доступом — описывает необходимость четкого разграничения прав и обязанностей при работе с информацией; Разработка и сопровождение информационных систем — описывает основные механизмы обеспечения безопасности информационных систем;Обеспечение непрерывности бизнеса — описывает мероприятия по обеспечению непрерывной работы организаций; Обеспечение соответствия предъявляемым требованиям — описывает общие требования к системам информационной безопасности и мероприятия по проверке соответствия систем информационной безопасности этим требованиям. Выбор мер и средств обеспечения информационной безопасности делается на основе анализа рисков, которым подвергаются компоненты информационной инфраструктуры. Критериями информационной безопасности являются сохранение конфиденциальности, целостности и доступности ее информационных ресурсов. При этом потеря любого из вышеперечисленных качеств информации должна рассматриваться как нарушение информационной безопасности. Анализ рисков и структура нарушения информационной безопасности Система информационной безопасности предусматривает обеспечение защиты компонентов информационной инфраструктуры от рисков нарушения безопасности ИТ-ресурсов и связанных с ними ИТ-сервисов. Система информационной безопасности представляет собой интегрированный комплекс административных мер и программно-технических средств по обеспечению безопасности информационных ресурсов. Для реализации системы информационной безопасности принципиальной составляющей является административная часть системы, в которую входят: процесс обеспечения информационной безопасности, входящий в систему администрирования и обеспечивающий контроль над функционированием системы информационной безопасности (см. раздел СА настоящего проекта); политика информационной безопасности, которая определяет основные положения и сферу действия системы информационной безопасности; политики безопасности использования информационных сервисов, которые определяют конкретные требования по обеспечению безопасности компонентов информационной инфраструктуры безопасности;процедуры обеспечения политик безопасности, описывающие средства и мероприятия по реализации требований политик безопасности и контролю их выполнением (разрабатываются на этапе реализации системы информационной безопасности). Политики и процедуры обеспечения информационной безопасности обеспечивают защиту информационной инфраструктуры от ИТ-рисков путем реализации соответствующих контрмер. Составной частью системы информационной безопасности является система обеспечения непрерывности бизнеса, которая предусматривает решение вопросов, связанных с восстановлением и обеспечением непрерывности бизнес-процессов. Виды информационных угроз. Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа. В настоящее время известно достаточно большое количество угроз, которые классифицируют по различным признакам. По природе возникновения различают естественные и искусственныеугрозы. К первой группе относятся те, что вызваны воздействием на компьютерную систему объективных физических процессов или стихийных природных явлений. Вторая группа – те угрозы, которые обусловлены деятельностью человека. По степени преднамеренности проявления, угрозы разделяют на случайные и преднамеренные. Также есть разделение в зависимости от их непосредственного источника, в качестве которого может выступать природная среда (например, стихийные бедствия), человек (разглашение конфиденциальных данных), программно-аппаратные средства: санкционированные (ошибка в работе операционной системы) и несанкционированные (заражение системы вирусами). Источник угроз может иметь разное положение. В зависимости от этого фактора также выделяют три группы: - Угрозы, источник которых находятся вне контролируемой группы компьютерной системы (пример – перехват данных, передаваемых по каналам связи) - Угрозы, источник которых – в пределах контролируемой зоны системы (это может быть хищение носителей информации) - Угрозы, находящиеся непосредственно в самой системе (например, некорректное использование ресурсов). Угрозы способны по-разному воздействовать на компьютерную систему. Это могут быть пассивные воздействия, реализация которых не влечет за собой изменение структуры данных (например, копирование). Активные угрозы — это такие, которые, наоборот, меняют структуру и содержание компьютерной системы (внедрение специальных программ). В соответствии с разделением угроз по этапам доступа пользователей или программ к ресурсам системы существуют такие опасности, которые проявляются на этапе доступа к компьютеру и обнаружимые после разрешения доступа (несанкционированное использование ресурсов). Классификация по месту расположения в системе подразумевает деление на три группы: угрозы доступа к информации, находящейся на внешних запоминающих устройствах, в оперативной памяти и к той, что циркулирует в линиях связи. Угрозы могут использовать прямой стандартный путь к ресурсам с помощью незаконно полученных паролей или посредством неправомерного применения терминалов законных пользователей, а могут «обойти» существующие средства защиты иным путем. Такие действия, как хищение информации, относят к угрозам, проявляющимся независимо от активности системы. А, например, распространение вирусов может быть обнаружено исключительно в процессе обработки данных. Случайными, или непреднамеренными называются такие угрозы, которые не связаны с действиями злоумышленников. Механизм их реализации изучен достаточно хорошо, поэтому существуют разработанные методы противодействия. Аварии и стихийные бедствия представляют особую опасность для компьютерных систем, так как они влекут за собой наиболее негативные последствия. Вследствие физического разрушения систем информация становится недоступной, либо утрачивается. Кроме того, невозможно полностью избежать или предупредить сбои и отказы в сложных системах, в результате которых, как правило, хранящаяся на них информация искажается или уничтожается, нарушается алгоритм работы технических устройств. Ошибки, которые могут быть допущены в процессе разработки компьютерной системы, включая неверные алгоритмы работы и некорректное программное обеспечение, способны привести к последствиям, которые аналогичны тем, что происходят при сбое и отказе в работе технических средств. Более того, подобные ошибки могут использоваться злоумышленниками в целях воздействия на ресурсы системы. Ошибки пользователей приводят к ослаблению информационной безопасности в 65 % случаев. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками на предприятиях приводит к уничтожению, нарушению целостности и конфиденциальности информации. Выделяют также преднамеренные угрозы, которые связаны с целенаправленными действиями нарушителя. Изучение этого класса затруднено, так как он имеет очень динамичный характер и постоянно пополняется новыми видами угроз. Для проникновения в компьютерную систему с целью дальнейшего хищения или уничтожения информации используются такие методы и средства шпионажа, как прослушивание, хищение программ, атрибутов защиты, документов и носителей информации, визуальное наблюдение и другие. При несанкционированном доступе к данным обычно используют штатные аппаратные и программные средства компьютерных систем, вследствие чего нарушаются установленные правила разграничения доступа пользователей или процессов к информационным ресурсам. Самые распространенные нарушения – это перехват паролей (производится с помощью специально разработанных программ), выполнение каких-либо действий под именем другого человека, а также использование злоумышленником привилегий законных пользователей. Специальные вредоносные программы – «компьютерные вирусы» — это небольшие программы, способные самостоятельно распространятся после внедрения в компьютер путем создания своих копий. При определенных условиях вирусы оказывают негативное воздействие на систему; – «черви» – утилиты, которые активируются при каждой загрузке компьютера. Они обладают способностью перемещаться в пределах системы или сети и размножаться аналогично вирусам. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти, а затем к блокировке работы; – «троянские кони» — такие программы «скрываются» под видом полезного приложения, а, на самом деле, наносят вред компьютеру: разрушают программное обеспечение, копируют и пересылают злоумышленнику файлы с конфиденциальной информацией и т.д. Основные правовые методы защиты информационной безопасности. Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические. К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности являются: внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Россия, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также вцелях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ; законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан; разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну; уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России; законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи; определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций; создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности. Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются: создание и совершенствование системы обеспечения информационной безопасности РФ; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ; формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства. Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц. |