Тема № 11(30.03.2015). Контрольные вопросы Что такое информация ограниченного использования
Скачать 1.41 Mb.
|
Тема 11 Информационная безопасность предприятия. Защита персональных данных, а также сведений, составляющих государственную, коммерческую, налоговую и банковскую тайны. Содержание темы:
Контрольные вопросы:
На протяжении тысяч лет под обеспечением безопасности информации понималась исключительно задача обеспечения ее конфиденциальности. Были испробованы разные способы обеспечения конфиденциальности – от тайнописи и использования незнакомого иностранного языка для скрытия информации от недруга до отрезания языка носителю информации, что было, видимо, эффективно в условиях, когда письменностью владели единицы людей и онемевший носитель не мог передать никому свое знание секрета. В итоге конкуренции методов победила криптография, в котором работали и работают выдающиеся математики как прошлого, так и настоящего. Радио представило новую возможность передачи информации. Сразу возникла возможность передавать в эфире значительные объемы конфиденциальной информации. Это породило сразу два направления деятельности: по созданию эффективных шифров и алгоритмов их взломов. Изучение проблем создания, хранения, обработки и передачи информации показало, что функция защиты информации на всех стадиях методологически может быть представлена тремя этапами:
Первые два этапа характеризуются экстенсивными подходами к решению проблем защиты информации, основное содержание которых связано с осмыслением важности и необходимости проблемы, накоплением и анализом статистической информации, внедрением в практику более эффективным методов и средств защиты. Последний, современный этап, характеризуется разработкой и внедрением принципиально новых научных подходов, реализующих системные принципы. Введение Экскурс в теорию информации Слово «информация» латинского происхождения, что в переводе означает сообщение о каком-либо факте, событии. В широком смысле слова – любые сведения, дающие представление о той или иной стороне материального мира и происходящих в нем процессах. В философском смысле, информация – есть отражение реального мира. В практическом смысле, информация – есть все сведения, являющиеся объектом хранения, передачи и преобразования. Основные признаки информации: Качественный – позволяет расчленить информацию по отраслям знаний и функциям. Количественный – позволяет определить единицу измерения информации. Количественным описанием процессов информации и математическими закономерностями занимается теория информации. Информация есть характеристика не сообщения, а соотношения между сообщением и его потребителем. Без наличия потребителя говорить об информации так же бессмысленно, как и без наличия сообщения. Схема передачи информации Помехи и шумы Канал связи ИИ ПрдС К ДК ПрИ ПрмС Защита от помех ПрдС – передатчик сообщения К - кодер ИИ – источник информации ПрмС – приемник сообщения ДК - декодер ПрИ – приемник информации Белов В.М., Новиков С.Н., Солонская О.И. Теория информации. 2012. М. Телеком ЗНАНИЯ ИНФОРМАЦИЯ ДАННЫЕ ТРЕБОВАНИЯ: полезность доступность объективность актуальность полнота согласованность достоверность релевантность понятность защищенность Топ-менеджмент Менеджмент бизнес-направлений Руководство служб, подразделений Персонал Качество и уровни информации Информационное поле бизнеса и его информационная сфера образуются из:
Информационные характеристики бизнеса Противоборствующая сторона Противоборствующая сторона Стремление сохранить собственную информацию Стремление получить чужую информацию Стремление навязать заведомо ложную информацию Информационное противоборство Формализация угроз, уязвимостей и рисков Первый этап Царегородцев А.В., Тараскин М.М., Дербин Е.А. Один из подходов к формализации описания угроз, уязвимостей и рисков системы защиты информации на предприятии, 2012, М., ж. Национальная безопасность Второй этап Что охранять? От кого охранять? Модель угроз Модель нарушителя Третий этап Идентификация и оценка информационных активов организации Источники проблем обеспечения безопасности информации См. далее См. темы №№ 3, 7, 12, 15 Идентификация и оценка информационных активов организации Идентификация Оценка
Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива.
? 2 1 Модель нарушителя Цели Квалификация Пространственно-временные характеристики проникновения Пути проникновения в АС Осведомленность Техническая оснащенность Случайные, непреднамеренные действия / хулиганство / промышленный шпионаж / продажа информации Любопытство / кража информации / преодоление средств защиты / нарушение работы программ / заражение вирусами / разрушение Начинающий / специалист / профессионал / сотрудники предприятия Последовательное (рубеж за рубежом) / один рубеж / комбинированное / во время функционирования АС / вне времени функционирования АС Из глобальной сети / из внутренней сети АС Неосведомленный нарушитель / общая осведомленность / осведомленность о конкретной АС / о назначении АС / полная осведомленность Домашняя ЭВМ / сетевая ЭВМ в АС / ЭВМ последнего поколения в сети АС / ЭВМ последнего поколения в сети АС, со специальной техникой и ПО для преодоления системы защиты Мотивация Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Статья 2. Основные понятия, используемые в настоящем Федеральном законе В настоящем Федеральном законе используются следующие основные понятия:
Статья 16. Защита информации
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
Научно-технический прогресс приводит к ускорению изменений. Поэтому при обеспечении безопасности сложной социально-экономической системы возникает дефицит информации. Не зная реального положения дел, ее руководство не в состоянии блокировать возникающие опасности и риски. Например, мэр города не имеет полной информации об угрозах местному бизнесу со стороны внешних конкурентов. В региональном управлении применяются местнические подходы, наносящие вред государству. Федеральные власти не владеют ситуацией в регионах, управляемых ими же предложенными руководителями. Мировое сообщество не имеет полной информации о распространении оружия массового поражения, пределах роста, обусловленных ограничениями ноосферы и т.д. Все чаще возникают кризисы, обусловленные приближением необходимых скоростей принятия решений в реальных, жизненно важных областях к предельно возможной для руководителя скорости обучения и реагирования. С ними растут риски и угрозы безопасности социально-экономических систем. Глобализация приводит к социально-политической и экономической прозрачности государств, размыванию барьеров между странами. Глобальная безопасность связана с миграцией не только населения (человеческого капитала), но и финансового капитала, созданием новых его центров. В этих условиях выживают и развиваются организации, в максимальной степени использующие возможности быстрых перемен для укрепления собственной безопасности. При этом необходимо учитывать, что наиболее полную информацию об угрозах и рисках имеют руководители, непосредственно работающие на местах, в городе или регионе. Они же располагают оперативными возможностями для последовательной минимизации рисков и устранения угроз. В результате выигрывают организации, которые обеспечивают максимальное использование возможностей своих сотрудников на местах для повышения безопасности в условиях быстрых перемен. Для этого применяются прогрессивные адаптивные механизмы безопасности, разработкой которых занимаются исследователи. Проблема дефицита информации Условия быстрых перемен Эффект глобализации Напоминание о теме № 1 Изучение среды защиты Построение механизмов защиты Определение требований к защите Анализ уязвимости информации 4 3 2 1 Организация защиты информации на этапе эмпирического подхода Структура унифицированной концепции защиты информации Среда защиты Концепция информатизации Методология оценки уязвимости и защиты Система, функции, задачи и средства защиты Условия повышения эффективности защиты Требования к концептуальным решениям
Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера, интересы ЧТО ТАКОЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ? СТЕЙКХОЛДЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Тайна персональных данных Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» Статья 3. Основные понятия
Согласие Отзыв согласия ОПЕРАТОР Персональные данные СУБЪЕКТ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ Отказ в согласии Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением специально предусмотренных случаев. |