Анализ документооборота, защищенного ЭП. Курсовая работа. Назначение и структура правового обеспечения защиты информации
 Скачать 106.29 Kb.
|
Правовые основы защиты информации от несанкционированного доступа.Статья 2 N 149-ФЗ обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; Под субъектами информационных отношений понимают: – государство в целом или его отдельные органы и организации; – общественные или коммерческие организации и предприятия (юридические лица); – отдельные лица (физические лица). Правовые основы для защиты информации для данных субъектов дает пункты 3 и 4 статьи 6 149 Федерального закона. Для удовлетворения законных прав и интересов субъектов информационных отношений необходимо постоянно поддерживать следующие основные свойства информации: доступность, целостность и конфиденциальность. п3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе: 1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; 2) использовать информацию, в том числе распространять ее, по своему усмотрению; 3) передавать информацию другим лицам по договору или на ином установленном законом основании; 4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; 5) осуществлять иные действия с информацией или разрешать осуществление таких действий. п4. Обладатель информации при осуществлении своих прав обязан: 1) соблюдать права и законные интересы иных лиц; 2) принимать меры по защите информации; 3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами. 149ФЗ Ст 16. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи. 149ФЗ Ст 16. п. 4 Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации; 7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. Требования к защите АС от НСД указаны в: Руководящий документ Гос. Тех комиссии «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации» от 30 марта 1992 г. Требования к защите СВТ от НСД указаны в: Руководящий документ Гос. Тех комиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС (Руководящий документ Гос. Тех комиссии «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» от 30 марта 1992 г.) Основные направления обеспечения защиты от НСД 6.1. Обеспечение защиты СВТ и АС осуществляется: - системой разграничения доступа (СРД) субъектов к объектам доступа; - обеспечивающими средствами для СРД. 6.2. Основными функциями СРД являются: - реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным; - реализация ПРД субъектов и их процессов к устройствам создания твердых копий; - изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов; - управление потоками данных в целях предотвращения записи данных на носители несоответствующего грифа; - реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам\ 6.3. Обеспечивающие средства для СРД выполняют следующие функции: - идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта; - регистрацию действий субъекта и его процесса; - предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов; - реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД; - тестирование; - очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными; - учет выходных печатных и графических форм и твердых копий в АС; - контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств. |