Главная страница
Навигация по странице:

  • Направление подготовки бакалавриата 10.03.01-«Информационная безопасность» Реферат

  • Москва, 2023 г.

  • основы информационной безопасности 2703 (1). Меры защиты информации в соответствии с требованиями Государственной системы защиты информации


    Скачать 53.16 Kb.
    НазваниеМеры защиты информации в соответствии с требованиями Государственной системы защиты информации
    Дата09.04.2023
    Размер53.16 Kb.
    Формат файлаdocx
    Имя файлаосновы информационной безопасности 2703 (1).docx
    ТипРеферат
    #1048068


    НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

    «МЭИ»

    ИНЖЕНЕРНО-ЭКОНОМИЧЕСКИЙ ИНСТИТУТ

    Кафедра безопасности и информационных технологий
    Направление подготовки бакалавриата

    10.03.01-«Информационная безопасность»

    Реферат
    Тема: Меры защиты информации в соответствии с требованиями Государственной системы защиты информации



    Выполнил:

    студент группы







    Плашин

    Д.В.

    Проверил:

    доцент кафедры







    Крамкин


    П.Е.



    Москва, 2023 г.

    Содержани


    Введение 3

    Глава 1. Деятельность государственной системы защиты информации 4

    1.1. Государственная система защиты информации 4

    Глава 2. Методы и средства защиты информации на территории Российской Федерации 9

    2.1.Виды защиты информации 9

    2.2.Нормативные акты, действующие на территории РФ 10

    Заключение 14

    Список используемых источников 16

    Введение 3

    Глава 1. Деятельность государственной системы защиты информации 4

    1.1. Государственная система защиты информации 4

    1.2. Угрозы информационной безопасности 5

    Глава 2. Методы и средства защиты информации на территории Российской Федерации 9

    2.1. Виды защиты информации 9

    2.2. Нормативные акты, действующие на территории РФ 10

    Заключение 14

    Список используемых источников 16




    Введение


    В связи с бурным развитием информационно-коммуникационных технологий проблематика информационной безопасности распространяется практически на все сферы жизнедеятельности личности, общества и государства, связанные с производством, преобразованием, потреблением, накоплением и хранением информации, независимо от способов и средств осуществления этих процессов.

    Реализация системы защиты информации ГИС позволяет нейтрализовать угрозы безопасности информации, а также выполнить обязательные требования нормативных правовых актов РФ, подтвердив это аттестатом соответствия информационной системы требованиям безопасности информации.

    Вопросы защиты информации приобретают особую важность. Поэтому тема работы является актуальной.

    Целью работы является анализ мер защиты информации в соответствии с требованиями Государственной системы защиты информации.

    Для достижения поставленной цели необходимо выполнить следующие задачи:

    1. Проанализировать меры защиты информации государственной системы.

    2. Определить правовые основы защиты информации, рассмотреть основные регламентирующие документы на законодательном уровне РФ.

    Работа состоит из Введения, двух глав, Заключения, Списка используемых источников, насчитывающего 15 наименований.

    В первой главе работы рассматривается понятие Государственной системы защиты информации и информационная безопасность как часть системы обеспечения национальной безопасности Российской Федерации.

    Вторая глава посвящена оценке методов и средствам защиты информации, применяемых на территории Российской Федерации.


    Глава 1. Деятельность государственной системы защиты информации


    1.1. Государственная система защиты информации

    Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленными соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации.

    Информационная безопасность является составной частью системы обеспечения национальной безопасности Российской Федерации наряду с политической, военной, экономической, социальной и экологической безопасностью и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.

    Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет ФСТЭК России.

    Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программнотехнических воздействий с целью разрушения или искажения информации в процессе обработки, передачи и хранения [1].

    Деятельность государственной системы защиты информации осуществляется на основе:

    1) законности;

    2) подконтрольности Президенту Российской Федерации;

    3) разграничении полномочий федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, интегрированных структур оборонно-промышленного комплекса и организаций по защите информации, а также отдельными должностными лицами.

    Государственная система защиты информации включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

    1.2. Угрозы информационной безопасности

    Обеспечение и поддержка информационной безопасности включают комплекс разноплановых мер, которые предотвращают, отслеживают и устраняют несанкционированный доступ третьих лиц. Работы по защите информации в органах государственной власти и на предприятиях проводятся на основе актов законодательства Российской Федерации [1].

    Меры ИБ направлены также на защиту от повреждений, искажений, блокировки или копирования информации. Принципиально, чтобы все задачи решались одновременно, только тогда обеспечивается полноценная, надежная защита.

    Угрозы информационной безопасности проявляются не самостоятельно, а через возможное взаимодействие с наиболее слабыми звеньями системы защиты, то есть через факторы уязвимости. Угроза приводит к нарушению деятельности систем на конкретном объекте-носителе.

    Основные уязвимости возникают по причине действия следующих факторов[2]:

    1. несовершенство программного обеспечения, аппаратной платформы;

    2. разные характеристики строения автоматизированных систем в информационном потоке;

    3. часть процессов функционирования систем является неполноценной;

    4. неточность протоколов обмена информацией и интерфейса;

    5. сложные условия эксплуатации и расположения информации.

    Чаще всего источники угрозы запускаются с целью получения незаконной выгоды вследствие нанесения ущерба информации. Но возможно и случайное действие угроз из-за недостаточной степени защиты и массового действия угрожающего фактора.

    Существует разделение уязвимостей по классам, они могут быть:

    1. объективными;

    2. случайными;

    3. субъективными.

    Если устранить или как минимум ослабить влияние уязвимостей, можно избежать полноценной угрозы, направленной на систему хранения информации. Угрозы информационной безопасности могут быть классифицированы по различным признакам:

    1. По аспекту информационной безопасности, на который направлены угрозы:

    1.1.Угрозы конфиденциальности (неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой.

    В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя, сбоев в работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна [3] и конфиденциальная информация [4] (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений, сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации).

    1.2.Угрозы целостности (неправомерное изменение данных). Угрозы нарушения целостности, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами, от умышленных действий персонала до выхода из строя оборудования.

    1.3. Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы).

    При нарушении доступности создаются такие условия, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.

    2. Все источники угроз информационной безопасности можно разделить на три основные группы:

    2.1. Обусловленные действиями субъекта (антропогенные источники), действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления.

    Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.

    2.2. Обусловленные техническими средствами (техногенные источники), угрозы менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.

    2.3. Источники — данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить, или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы [9].

    Содержимое модели угроз полностью описано новой методикой оценки ФСТЭК, она пришла на смену полностью устаревшей базовой модели угроз предыдущего поколения. Новая методика диктует следующие требования к содержанию модели [5]:

    1. определить все последствия, которые могут возникнуть в случае использования угроз (ущерб рядовым гражданам или компаниям, ущерб государству);

    2. определить все возможные объекты для атак, перечислить функционирующие в ИС системы и сети, каналы связи;

    3. оценить возможности вероятных злоумышленников, иными словами – определить источники атак;

    4. оценить способы атак, вероятные для исследуемой системы;

    5. оценить возможности по выполнению атак и определить актуальность угроз;

    6. оценить вероятные сценарии атак в социальных сетях.


    Глава 2. Методы и средства защиты информации на территории Российской Федерации




      1. Виды защиты информации

    Согласно [2] защита информации бывает следующих видов:

    Правовая защита информации - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

    Техническая защита информации; ТЗИ - Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно- технических средств.

    Криптографическая защита информации - Защита информации с помощью ее криптографического преобразования.

    Физическая защита информации - Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

    Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные и технические.

    Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.

    Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

    Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

    Нарушения по степени важности делятся на три категории:

    первая невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность утечки по техническим каналам;

    вторая невыполнение требований защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

    третья невыполнение других требований по защите информации [1].

      1. Нормативные акты, действующие на территории РФ

    Законодательный уровень является важнейшим для обеспечения информационной безопасности. На законодательном уровне различают две группы мер:

    1. меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (меры ограничительной направленности) [9];

    2. направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

    Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения по противодействию иностранным техническим разведкам, а также путем проведения специальных работ, порядок организации и выполнения которых определяется Советом министров Правительством РФ [1].

    В [1] главными направлениями работ по защите информации являются:

    1) обеспечение эффективного управления системой защиты информации;

    2) определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;

    3) анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;

    4) разработка организационно-технических мероприятий по защите информации и их реализация;

    5) организация и проведение контроля состояния защиты информации.

    Основным законом РФ является Конституция, принятая 12 декабря 1993 года.

    В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

    Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

    Право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

    На территории РФ действует Уголовный кодекс, в главе 28 “Преступление в сфере компьютерной информации содержится три статьи:

    Статья 272. Неправомерный доступ к компьютерной информации.

    Рассматриваемая статья защищает право владельца на неприкосновенность, конфиденциальность и целостность информации в информационной системе. Владельцем информации является лицо, в полном объеме реализующее полномочия владения, пользования и распоряжения информацией и правомерно пользующееся услугами по обработке информации (объект преступления).

    Деяние, ответственность за которое предусмотрено ст. 272 УК РФ, должно состоять в неправомерном доступе к охраняемой законом компьютерной информации (объективная сторона преступления), который подразумевает совершение последовательности действий, совершенных из корыстных побуждений или если они повлекли за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютера, системы компьютеров или их сети.

    Обязательным признаком состава данного преступления является наступление вредных последствий для владельца либо информационно-вычислительной системы – уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютера, системы компьютеров или их сети.

    При этом речь идет не только о затруднениях, связанных с манипуляциями в памяти компьютера, но и о помехах, проявляющихся на экране монитора, при распечатывании компьютерной информации, а также устройствах периферии.

    Следует отметить, что просмотр информации, который хранится в памяти компьютера не образует состава преступления.

    Основополагающим среди российских законов, посвященных вопросам информационной безопасности является закон "Об информации, информационных технологиях и о защите информации" [6].

    В нем даются основные определения, намечаются направления, в которых должно развиваться законодательство в данной области, регулируются отношения, возникающие при:

    1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

    2) применении информационных технологий;

    3) обеспечении защиты информации.

    Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Обладатель информации, оператор информационной системы обязан обеспечить:

    1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

    2. своевременное обнаружение фактов несанкционированного доступа к информации;

    3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

    4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

    5. постоянный контроль за обеспечением уровня защищенности информации.

    Очень сложно на законодательном уровне создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий.

    Заключение


    Информация – это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.

    Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.

    Эффективность предотвращения угроз информационной безопасности напрямую зависит от комплексного подхода к решению исследуемой проблемы.

    Обеспечение необходимого уровня безопасности информационных ресурсов требует регулярной модернизации системы информационной безопасности, включая усовершенствования нормативно-правовой базы, внедрение новых программных продуктов и проведение обучающих мероприятий для сотрудников.

    В первой главе были исследованы теоретические аспекты угроз информационной безопасности, рассмотрены основные задачи обеспечения информационной безопасности, а также была проведена подробная классификация угроз информационной безопасности.

    Данная часть исследования имеет принципиальную значимость, поскольку своевременная идентификация и классификация угроз информационной безопасности необходима для эффективного обеспечения защиты информационных ресурсов.

    Во второй главе был произведен анализ нормативно-правовой базы, обеспечивающая информационную безопасность, были выявлены основные недостатки действующих методов выявления угроз информационной безопасности, а также был произведен обзор наиболее актуальных угроз информационной безопасности.

    Таким образом, цель данной работы была достигнута, задачи решены.

    На основе систематизации нормативно-методической базы выбрано около 10 важных документов для проведения анализа мер защиты информации государственной системы. В соответствии с новой методикой ФСТЭК рассмотрены новые требования к содержанию модели угроз.

    Благодаря Положению о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и ее утечки по техническим каналам (утв. постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. N 912-51) определены основные виды защиты информации, а также ее правовые основы, рассмотрены основные регламентирующие документы на законодательном уровне РФ.


    Список используемых источников


    1. Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и ее утечки по техническим каналам (утв. постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. N 912-51).

    2. ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения".

    3. Федеральный закон от 21.07.1993 N 5485-I "О государственной тайне" (с изменениями и дополнениями).

    4. Указ Президента РФ от 06 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» (ред. от 13.07.2015).

    5. Методический документ. Утверждён ФСТЭК России 5 февраля 2021 г. – ФСТЭК России.

    6. Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 29.12.2022).

    7. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (ред. От 06.02.2023).

    8. Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993г.) (ред. от 22.07.2014).

    9. Кириленко В.И. Создание общей системы мер обеспечения информационной безопасности // Государственная служба. – 2009. - №6.

    10. Крат Ю.Г. Основы информационной безопасности. – Хабаровск: ДВГУПС, 2008.- с.7.

    11. Бабаш А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. — М.: КноРус, 2016. — 136 c.

    12. Гафнер В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. — Рн/Д: Феникс, 2017. — 324 c.

    13. Емельянова Н.З. Защита информации в персональном компьютере: Уч.пос / Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2017. - 352 c.

    14. Жук А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: Риор, 2017. - 480 c

    15. Информационная безопасность: Учебник для студентов вузов. — М.: Академический Проект; Гаудеамус, 2-е изд. — 2004. — 544 с.





    написать администратору сайта