01_КрМЗИ. Информационная безопасность и защита информации. Информационная безопасность и защита информации
Скачать 1.82 Mb.
|
Информационная безопасность и защита информации Доцент кафедры «Информационные технологии и системы» ДВГУПС Анисимов В.В. Основные понятия Информация (informatio, лат. - разъяснение, изложение) - сведения, передаваемые людьми устным, письменным или другим способом с помощью условных сигналов, технических средств и т.д. С середины 20-го века информация является общенаучным понятием, включающим в себя: сведения, передаваемые между людьми, человеком и автоматом, автоматом и автоматом; сигналы в животном и растительном мире; признаки, передаваемые от клетки к клетке, от организма к организму; и т.д. Информация (в узком смысле) - сведения, являющиеся объектом сбора, хранения, обработки, непосредственного использования и передачи в информационных системах. Основные понятия Информационная безопасность - состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства. Информационная безопасность (в узком смысле) - состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз ИБ), которые могут нанести неприемлемый ущерб субъектам информационных отношений. Защита информации – комплекс правовых, организационных и технических мероприятий и действий по предотвращению угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в ИС. Субъекты информационных отношений - владельцы и пользователи информации и поддерживающей инфраструктуры. К поддерживающей инфраструктуре относятся не только компьютеры, но и помещения, системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций, обслуживающий персонал. Информационная угроза – потенциальная возможность неправомерного или случайного воздействия на объект защиты, приводящая к потере, искажению или разглашению информации. Основные составляющие информационной безопасности Доступность информации – свойство системы обеспечивать своевременный беспрепятственный доступ правомочных (авторизированных) субъектов к интересующей их информации или осуществлять своевременный информационный обмен между ними. Целостность информации – свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Конфиденциальность информации – свойство информации быть известной и доступной, только правомочным субъектам системы (пользователям, программам, процессам). Иногда в число основных составляющих ИБ включают защиту от несанкционированного доступа (НСД) к информации, под которым понимают доступ к информации, нарушающий правила разграничения доступа с использование штатных средств. В тоже время обеспечение конфиденциальности как раз и подразумевает защиту от НСД. Объекты защиты все виды информационных ресурсов. Информационные ресурсы (документированная информация) - информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать; права граждан, юридических лиц и государства на получение, распространение и использование информации; система формирования, распространения и использования информации (информационные системы, библиотеки, архивы, персонал, нормативные документы и т.д.); система формирования общественного сознания (СМИ, социальные институты и т.д.). Виды правовой (регламентированной законами) информации: информация с ограниченным доступом:
конфиденциальная информация; информация без права ограничения; иная общедоступная информация (например, за деньги); информация, запрещенная к распространению. Государственная тайна Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Владельцем государственной тайны является само государство. Требования по защите этой информации и контроль за их соблюдением регламентируются законом РФ «О государственной тайне». В нем законодательно установлен Перечень сведений, сопоставляющих государственную тайну, и круг сведений, не подлежащих к отнесению к ней. Предусмотрена судебная защита прав граждан в связи с необоснованным засекречиванием. Органы защиты государственной тайны: межведомственная комиссия по защите государственной тайны; федеральные органы исполнительной власти, уполномоченные в области:
обороны – Министерство обороны; внешней разведки – ФСБ (обеспечивает, в т.ч. криптографическую защиту); противодействия техническим разведкам и технической защиты информации – ФСТЭК; другие органы. Конфиденциальная информация Конфиденциальная информация – документированная информация, правовой режим которой установлен специальными нормами действующего законодательства в области государственной, коммерческой, промышленной и другой общественной деятельности. Владельцы конфиденциальной информации - различные учреждения, организации и отдельные индивидуумы. В Указе Президента РФ «Перечень сведений конфиденциального характера» конфиденциальная информация разбита на семь видов: персональные данные; тайна следствия и судопроизводства; служебная тайна - служебная информация ограниченного распространения о госорганах или подведомственных им организациях, а также информация, получаемая из внешних источников работниками госорганов при исполнении обязанностей; профессиональная тайна - информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.); коммерческая тайна - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам; сведения о сущности изобретения, полезной модели или промышленного образца по официальной публикации информации о них; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов. Персональные данные Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В законе РФ «О персональных данных» выделены следующие права субъектов персональных данных (кроме некоторых категорий граждан: владеющих государственной тайной, осужденных и т.д.): информационное самоопределение; доступ к своим персональным данным; внесение изменений в свои персональные данные; блокирование персональных данных; обжалование неправомерных действий в отношении персональных данных; возмещение ущерба. В статье 24 Конституции РФ предусмотрена защита некоторой части персональных данных - «1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Государственные органы и организации, органы местного самоуправления имеют право на работу с персональными данными в пределах своей компетенции, установленной действующим законодательством, или на основании лицензии. В последнем случае с ними могут работать также негосударственные юридические и физические лица. Федеральный закон «О государственной тайне». Статья 7. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию: о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях; о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности; о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям; о фактах нарушения прав и свобод человека и гражданина; о размерах золотого запаса и государственных валютных резервах Российской Федерации; о состоянии здоровья высших должностных лиц Российской Федерации; о фактах нарушения законности органами государственной власти и их должностными лицами. Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суде. Конституция РФ. статья 24 - «2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом»; статья 42 - «Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением». Конституция РФ. статья 29 - «2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства». Кодекс РФ об административных правонарушениях: статья 5.61 «Оскорбление»; статья 5.62 «Дискриминация»; статья 6.13 «Пропаганда наркотических средств, психотропных веществ или их прекурсоров, растений, содержащих наркотические средства или психотропные вещества либо их прекурсоры, и их частей, содержащих наркотические средства или психотропные вещества либо их прекурсоры, новых потенциально опасных психоактивных веществ; статья 6.17 «Нарушение законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию»; статья 6.21 «Пропаганда нетрадиционных сексуальных отношений среди несовершеннолетних»; статья 6.26 «Организация публичного исполнения произведения литературы, искусства или народного творчества, содержащего нецензурную брань, посредством проведения театрально-зрелищного, культурно-просветительного или зрелищно-развлекательного мероприятия»; статья 14.48 «Представление недостоверных результатов исследований (испытаний)»; статья 17.9 «Заведомо ложные показание свидетеля, пояснение специалиста, заключение эксперта или заведомо неправильный перевод»; статья 20.3 «Пропаганда либо публичное демонстрирование нацистской атрибутики или символики, либо атрибутики или символики экстремистских организаций, либо иных атрибутики или символики, пропаганда либо публичное демонстрирование которых запрещены федеральными законами»; статья 20.29 «Производство и распространение экстремистских материалов»; и другие. Уголовный кодекс РФ: статья 110 «Доведение до самоубийства» - «д) в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях (включая сеть "Интернет")»; статья 119 «Угроза убийством или причинением тяжкого вреда здоровью»; статья 128.1 «Клевета»; статья 142 «Фальсификация избирательных документов, документов референдума»; статья 155 «Разглашение тайны усыновления (удочерения)»; статья 172.1 «Фальсификация финансовых документов учета и отчетности финансовой организации»; статья 205.2 «Публичные призывы к осуществлению террористической деятельности, публичное оправдание терроризма или пропаганда терроризма»; статья 207 «Заведомо ложное сообщение об акте терроризма»; статья 217.2 «Заведомо ложное заключение экспертизы промышленной безопасности»; статья 242 «Незаконные изготовление и оборот порнографических материалов или предметов»; статья 280 «Публичные призывы к осуществлению экстремистской деятельности»; статья 303 «Фальсификация доказательств и результатов оперативно-розыскной деятельности»; статья 306 «Заведомо ложный донос»; статья 307 «Заведомо ложные показание, заключение эксперта, специалиста или неправильный перевод»; статья 319 «Оскорбление представителя власти»; статья 354 «Публичные призывы к развязыванию агрессивной войны»; статья 354.1 «Реабилитация нацизма»; и другие. Основные носители информации: открытая печать (газеты, журналы, отчеты, реклама и т.д.); люди; средства связи (радио, телевидение, телефон, пейджер и т.д.); документы (официальные, деловые, личные и т.д.); электронные, магнитные и другие носители, пригодные для автоматической обработки данных. Классификация средств защиты Средства защиты Формальные Технические (физические и аппаратные) Программные Специфические Неформальные Законодательные (нормативно-правовые) Организационные (административные) Морально-этические Средства защиты информации Формальные средства защиты – выполняют защитные функции строго по заранее предусмотренной процедуре без участия человека. Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно от ИС, создавая различного рода препятствия на пути дестабилизирующих факторов (замок на двери, жалюзи, забор, экраны). Аппаратные средства – механические, электрические, электромеханические, электронные, электронно-механические, оптические, лазерные, радиолокационные и тому подобные устройства, встраиваемые в ИС или сопрягаемые с ней специально для решения задач защиты информации. Программные средства – пакеты программ, отдельные программы или их части, используемые для решения задач защиты информации. Специфические средства могут быть реализованы аппаратно, программно или иным способом (например, криптографические средства). Средства защиты информации Неформальные средства защиты – регламентируют деятельность человека. Законодательные средства – законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Средства уровня государства. Организационные средства – организационно-технические и организационно-правовые мероприятия, осуществляемые в течение всего жизненного цикла защищаемой ИС (строительство помещений, проектирование ИС, монтаж и наладка оборудования, испытания и эксплуатация ИС). Другими словами – это средства уровня организации, регламентирующие перечень лиц, оборудования, материалов и т.д., имеющих отношение к ИС, а также режимов их работы и использования. К организационным мерам также относят сертификацию ИС или их элементов, аттестацию объектов и субъектов на выполнение требований обеспечения безопасности и т.д. Морально-этические средства – сложившиеся в обществе или в данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе, ведет к потере престижа и авторитета (например, «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США»). Способы передачи секретной информации на расстоянии Создать абсолютно надежный, недоступный для других канал связи между абонентами (физически защищенный канал связи, курьер). Использовать общедоступный канал связи, но скрыть сам факт передачи информации (стеганография). Использовать общедоступный канал связи, но передавать по нему нужную информацию в таком преобразованном виде, чтобы восстановить ее мог только адресат (криптография). |