Главная страница
Навигация по странице:

  • Вопросы для самоконтроля

  • Законодательство Российской Федерации в области информации и информационной безопасности

  • Виды информации, защищаемой законодательством РФ.

  • Международное право в сфере защиты информации

  • Закон РФ «О государственной тайне».

    		•

    Лекция 3. Законодательство рф в сфере информационной безопасности. Закон рф О государственной тайне


    Скачать 349.19 Kb.
    НазваниеЗаконодательство рф в сфере информационной безопасности. Закон рф О государственной тайне
    Дата16.02.2021
    Размер349.19 Kb.
    Формат файлаdocx
    Имя файлаЛекция 3.docx
    ТипЗакон
    #176755
    страница1 из 5
      1   2   3   4   5

    Лекция 3

    Основные понятия информационной безопасности (ИБ) и защиты информации (ЗИ). Место ИБ и ЗИ в системе национальной безопасности. Классификация информации по степени конфиденциальности. Понятие и структура угроз защищаемой информации. Модель нарушителя. Методы и средства ЗИ.

    Вопросы для самоконтроля:

          1. Основные понятия информационной безопасности и защиты информации.

          2. Законодательство РФ в сфере информационной безопасности. Закон РФ «О государственной тайне».

          3. Понятие и структура угроз защищаемой информации. Модель нарушителя.

          4. Методы и средства защиты информации.


    Основные понятия защиты информации и информационной безопасности
    Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития ИТ.

    Рассмотрим основные понятия защиты информации и информационной безопасности компьютерных систем и сетей с учетом определений ГОСТ Р 50922-96.

    Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

    Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

    Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

    Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.

    Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.

    Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

    Защита информации от НСД — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.

    Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

    Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной.

    Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п.

    Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы:

    аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.);

    программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

    данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

    персонал — обслуживающий персонал и пользователи.

    Одной из особенностей обеспечения информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде:

    для представления информации — машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.;

    объектам системы — пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;

    субъектам системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.

    Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.

    Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. К конфиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

    Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.

    Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения. Обеспечение целостности данных является одной из сложных задач защиты информации.

    Достоверность информации — свойство информации, выражающееся в строгой принадлежности субъекту, который является ее источником, либо тому субъекту, от которого эта информация принята.

    Юридическая значимость информации означает, что документ, являющийся носителем информации, обладает юридической силой.

    Доступность данных. Работа пользователя с данными возможна только в том случае, если он имеет к ним доступ.

    Доступ к информации — получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств. Субъект доступа к информации — участник правоотношений в информационных процессах.

    Оперативность доступа к информации — это способность информации или некоторого информационного ресурса быть доступными для конечного пользователя в соответствии с его оперативными потребностями.

    Собственник информации — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.

    Владелец информации — субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.

    Пользователь (потребитель) информации — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.

    Право доступа к информации — совокупность правил доступа к информации, установленных правовыми документами или собственником либо владельцем информации.

    Правило доступа к информации — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.

    Различают санкционированный и несанкционированный доступ к информации.

    Санкционированный доступ к информации — это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.

    Несанкционированный доступ к информации — нарушение установленных правил разграничения доступа. Лицо или процесс, осуществляющие НСД к информации, являются нарушителями правил разграничения доступа. НСД является наиболее распространенным видом компьютерных нарушений.

    Ответственным за защиту компьютерной системы от НСД к информации является администратор защиты.

    Доступность информации подразумевает также доступность компонента или ресурса компьютерной системы, т. е. свойство компонента или ресурса быть доступным для законных субъектов системы. Примерный перечень ресурсов, которые могут быть доступны, включает: принтеры, серверы, рабочие станции, данные пользователей, любые критические данные, необходимые для работы.

    Целостность ресурса или компонента системы — это свойство ресурса или компонента быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

    С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация. С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом. Идентификация субъекта — это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему (сеть). Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта. Аутентификация субъекта — это проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил. После идентификации и аутентификации субъекта выполняют процедуру авторизации. Авторизация субъекта — это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).

    Под угрозой безопасности АС понимаются возможные действия, способные прямо или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети). С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы — это присущее системе неудачное свойство, которое может привести к реализации угрозы. Атака на компьютерную систему — это поиск и/или использование злоумышленником той или иной уязвимости системы. Иными словами, атака — это реализация угрозы безопасности.

    Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.

    Защищенная система — это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

    Способ защиты информации — порядок и правила применения определенных принципов и средств защиты информации.

    Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации

    Комплекс средств защиты (КСЗ) — совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

    Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

    Корпоративные сети относятся к распределенным автоматизированным системам (АС), осуществляющим обработку информации. Обеспечение безопасности АС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования АС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, т. е. защиту всех компонентов АС — аппаратных средств, программного обеспечения (ПО), данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на разработанной для АС политике безопасности.

    Политика безопасности — это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз.
    Законодательство Российской Федерации в области информации и информационной безопасности
    Вопросы правового обеспечения защиты информации занимают все более значительное место в законодательстве Российской Федерации. В приведенном далее списке указаны основные нормативные правовые акты в области информационной безопасности.

    • Конституция Российской Федерации:

    • Закон РФ от 05.03.1992 № 2446-1 «О безопасности».

    • Закон РФ от 23.09.1992 № 3521-1 «О правовой охране программ для электронных вычислительных машин и баз данных».

    • Закон РФ от 23.09.1992 № 3526-1 «О правовой охране топологий интегральных микросхем».

    • Закон РФ от 09.07.1993 № 5351-1 «Об авторском праве и смежных правах».

    • Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».

    • Федеральный закон от 29.12.1994 № 77-ФЗ «Об обязательном экземпляре документов».

    • Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности».

    • Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».

    • Федеральный закон от 07.07.2003 № 126-ФЗ «О связи».

    • Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

    • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

    • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».


    Государственные стандарты и руководящие документы:
    по защите от НСД к информации:


    • ГОСТ Р 50922-96. Защита информации. Основные термины и определения

    • ГОСТ Р 50739-95. Средства вычислительной техники. Защита от НСД к информации. Общие технические требования

    • ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения •по криптографической защите и ЭЦП:

    • ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования

    • ГОСТ Р 34.10-94 (2001). Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма

    • ГОСТ Р 34.11-94. Функция хеширования по защите от утечки по техническим каналам:

    • ГОСТ Р В50170-92. Противодействие иностранной технической разведке.

    • Термины и определения ГОСТ 29339-92. Защита информации от утечки за счет ПЭМИН. Общие технические требования

    • ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний


    Виды информации, защищаемой законодательством РФ.
    Классификация информации по категориям доступа.

    Объект защиты – обобщающий термин для всех форм существования информации, требующих защиты от технических разведок. По своему составу объекты защиты могут быть единичными и групповыми.

    Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений конфиденциального характера, а также средства контроля эффективности защиты информации.

    Федеральный закон «Об информации, информационных технологиях и о защите информации» классифицирует информацию в зависимости от категории доступа к ней и от порядка ее предоставления или распространения. В соответствии со ст. 5 указанного закона по категориям доступа информация подразделяется на общедоступную информацию и информацию ограниченного доступа, т.е. такую информацию, доступ к которой ограничен федеральными законами.

    По порядку предоставления или распространения информация подразделяется:

    - на свободно распространяемую;

    - предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

    - подлежащую предоставлению или распространению в соответствии с федеральными законами (например, сведения об имущественном положении кандидатов в депутаты);

    - ограничиваемую или запрещаемую к распространению в Российской Федерации (например, разжигающую национальную, расовую или религиозную ненависть и вражду).

    Статья 9 Федерального закона «Об информации, информационных технологиях и о защите информации» устанавливает обязательность соблюдения конфиденциальности информации ограниченного доступа, т.е. «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».

    Информация ограниченного доступа подразделяется на сведения,

    представляющие собой:

    - государственную тайну;

    - коммерческую тайну;

    - служебную тайну;

    - профессиональную тайну - сведения, полученные гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности;

    - персональные данные граждан (физических лиц).

    В Указе Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» предпринята попытка упорядочить состав конфиденциальной информации.

    Указом утвержден перечень сведений конфиденциального характера, в котором перечислены шесть видов информации:

    1. сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

    2. сведения, составляющие тайну следствия и судопроизводства;

    3. служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

    4. сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);

    5. сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

    6. сведения о сущности изобретения полезной модели или промышленного образца до официальной публикации информации о них.

    Международное право в сфере защиты информации

    До середины прошлого столетия авторское право не существовало как таковое. Право собственности могло распространяться лишь на конкретные произведения искусства (картины, скульптуры и т. п.). Начиная с середины XIX в. авторское право становится самостоятельной формой собственности - произведения интеллектуального труда стали отвечать всем признакам товара.

    Бернская конвенция «Об охране литературных и художественных произведений» 1886 г. Работа по созданию правового инструмента по охране авторского права была начата в Брюсселе в 1858 г. на состоявшемся там конгрессе авторов произведений литературы и искусства. Затем последовали конгрессы в Антверпене 1861 и 1877 г.) и Париже 1878 г.), с 1883 г. работа была продолжена в Берне, где в 1886 г. после трех дипломатических конференций было выработано международное соглашение, получившее название Бернской конвенции об охране литературных и художественных произведений. Соглашение было подписано девятью государствами: Бельгией, Великобританией, Испанией, Италией, Либерией, Гаити, Тунисом, Францией и Швейцарией. Конвенция вступила в силу 5 декабря 1887 г.

    Основные положения Конвенции подлежали обязательному включению в национальные законодательства стран-участниц в тех случаях, когда национальные законодательства обеспечивали менее благоприятный режим для обладателей авторских прав. В этом проявилось стремление создателей Конвенции к унификации основных положений авторского права.

    Парижская конференция 1896 г. 15 апреля 1896 г. в Париже состоялась первая конференция по изменению Конвенции 1886 г. В конвенцию было включено понятие «публикация», определенное как выпуск копий. Таким образом, представление и исполнение драматических, драматическо-музыкальных и музыкальных произведений, выставки произведений искусства к публикации не относились. Было также принято уточнение к ст. 3, в соответствии с которым охрана предоставлялась произведению, впервые опубликованному в стране - участнице Конвенции даже в том случае, когда автор был гражданином страны, не входящей в Бернский союз. Территориальный принцип Конвенции оставался неизменным, однако, акцент был перенесен с издателя на автора произведения.

    Берлинская конференция 1908 г. Результатом работы конференции явился почти полный пересмотр всех основных положений Бернской конвенции. Новая редакция содержала 30 статей, и основные нововведения относились к следующим проблемам. Конвенция 1886 г. ставила охрану авторского права в зависимость от условий выполнения формальностей, предусмотренных в стране первой публикации. На Берлинской конференции было решено отказаться от всех формальностей даже в том случае, если в стране первой публикации они существуют.

    Берлинский вариант Конвенции более полно определил и существенно расширил круг объектов охраны, включив в него произведения хореографии и пантомимы, кинематографии, фотографии и архитектуры. Были признаны права композиторов на разрешение адаптировать их произведения для исполнения аппаратами механического воспроизведения и их публичное исполнение. Правила, регламентирующие право перевода, были расширены. Берлинская конференция признала их действительность на протяжении всего срока действия авторского права без всяких ограничений.

    Срок охраны авторского права был установлен равным 50 годам, исчисляемым со дня смерти автора. Правило не носило обязательный характер - допускались различия в сроках охраны авторских прав, определяемые законом страны, где ищется защита. Конвенция более четко определила понятия литературного и художественного произведений и закрепила положение о том, что они должны охраняться во всех странах-участницах с обязательным отражением этого в национальных законодательствах.

    Римская конференция 1928 г. Римская конференция проходила в период бурного развития средств массовой информации и коммуникаций. Это нашло отражение в признании охраны прав авторов при трансляции по радио их произведений, в расширении числа объектов охраны, признании личных прав автора и т.п. Уровень охраны авторского права был повышен в связи с включением в число объектов авторского права устных литературных произведений (лекций, речей, проповедей и т.п.). К числу наиболее важных нововведений следует отнести признание так называемых личных прав автора, которые сохраняются за ним и при отчуждении имущественных прав (издание, публикация, постановка и т.п.).

    Брюссельская конференция 1948г. Бернская конвенция подверглась существенным изменениям в Брюсселе в 1948 г.

    Основной целью конференции было стремление добиться более полной унификации правил Конвенции и национальных законодательств, а также учесть новые условия научного и технического развития. Унификация правил применения Конвенции была достигнута путем усиления принципа ее главенства над национальными законодательствами. Стокгольмская конференция 1967 году. К этому времени на международной арене появилось большое количество развивающихся стран с их специфическими нуждами и проблемами, которые стремились понизить уровень охраны авторских прав с целью получить свободный доступ к произведениям науки и культуры. Добившиеся высокого уровня охраны авторских прав развитые капиталистические страны боялись наметившейся тенденции и всячески ей противились. Для сохранения прежнего уровня охраны авторского права предполагалось пойти на сужение границ Бернского союза. Результатом сложной борьбы между двумя основными тенденциями в международном авторском праве явился протокол, отразивший в определенной мере проблемы развивающихся стран и предоставивший им значительные послабления.

    К наиболее существенным изменениям следует отнести:

    1. усовершенствование критериев применения конвенции и определение понятий страны происхождения и публикации;

    2. признание права на воспроизведение;

    3. особый режим кинематографических и приравненных к ним произведе­ний (телефильмы и т.п.);

    4. расширение личных прав автора (личные права существуют независи­мо от имущественных прав и даже после их отчуждения);

    5. расширение сроков охраны авторских прав.

    Конференция приняла специальную резолюцию, поощряющую стремления некоторых стран выработать особое соглашение о продлении срока действия авторского права свыше установленных 50 лет, исчисляемых со дня смерти автора. Что касается России, то она присоединилась к Бернской концепции лишь спустя почти 100 лет после ее первого опубликования, в ноябре 1994 г.
    Закон РФ «О государственной тайне».
    К государственной тайне относятся сведения, засекреченные органами или государством. Распространение таких сведений может повлечь за собой нанесение ущерба Российской Федерации, поэтому был принят закон 5485-1. Этот закон регулирует, регламентирует и контролирует все правоотношения и процессы, возникающие в описываемой области.
      1   2   3   4   5

    написать администратору сайта