авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:   || 2 | 3 |
-- [ Страница 1 ] --

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное общеобразовательное учреждение

высшего профессионального образования

«СИБИРСКАЯ

ГОСУДАРСТВЕННАЯ ГЕОДЕЗИЧЕСКАЯ АКАДЕМИЯ»

(ФГБОУ ВПО «СГГА»)

ИНСТИТУТ КАДАСТРА И ГИС

СТОРЧАК Н.Н.

БЕЗОПАСНОСТЬ ИНФОРМАЦИИ

КОНСПЕКТ ЛЕКЦИЙ ДЛЯ СТУДЕНТОВ ОЧНОЙ, ЗАОЧНОЙ И ЭКСТЕРНАТНОЙ

ФОРМЫ ОБУЧЕНИЯ ПО НАПРАВЛЕНИЮ 311100 “ГОРОДСКОЙ КАДАСТР” НОВОСИБИРСК 2010г.

Оглавление 1 Введение. Информатизация общества и проблемы защиты информации........ 4 1.1 Возникновение и история развития проблемы защиты информации......... 4 1.1.1Базис и периодизация процесса ЗИ научно- методологический............ 6 1.1.2Современная постановка задачи защиты информации (ЗИ)................ 1.2 Цели и задачи информатизации общества................................................... 1.2.1 Цели и задачи информатизации общества............................................ 1.2.2 Общая схема информационного обеспечения деятельности объекта (ИОД).................................................................................................................. 1. 3 Объективные предпосылки индустриализации информационных процессов............................................................................................................... 1.3.1 Системная классификация информации................................................ 1.3.2 Унификация структуры информационного потока.............................. 1.3.3 Унификация процедур обработки информации.................................... 2 Основные концепции защиты информации в АС.............................................. 2. 1 Теория защиты и основные концепции защиты информации в АС........ 2.1.1 Определение и основные понятия теории защиты информации........ 2.1.2 Безопасность информации и основные концепции защиты информации в АС. Традиционные меры защиты твердых копий............... 2.1.3 Анализ и классификация организационных и программно-аппаратных структур автоматизированных систем............................................................ 3 Основы правовой защиты информации.............................................................. 3.1 Организационно-правовое обеспечение защиты информации............

...... 3.1.1 Правовое регулирование и организация работ по защите информации............................................................................................................................. 3.1.2 Руководящие нормативно-технические, методические и организационные документы в области информационной безопасности.. 3.1.3 3ащита информации и оценка состояния научно-технических проблем ЗИ на СВТ в геодезии и картографии.............................................. 3. 2 Защита информации в автоматизированных системах (на предприятии)................................................................................................................................. 3.2.1 Организационные мероприятия и процедуры по обеспечению защиты информации в автоматизированных системах............................................... 3.3 Структура проблемы информационной безопасности............................... 3.3.1.Виды конфиденциальных сведений....................................................... 3.3.2 Полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защите........... 3.3.3 Органы защиты ГТ................................................................................... 3.4 Основы законодательства РФ о государственной тайне............................ 3.4.1 Субъекты и объекты правоотношений.................................................. 3.4.2 Принципы, механизм и процедуры засекречивания............................ 3.4.3 Степени секретности информации......................................................... 3. 5 Правовые аспекты защиты информации..................................................... 3.5.1 Права и обязанности субъектов.............................................................. 3.5.2 Уголовно-правовая защита информации. Правовые аспекты защиты информации. Конституция Российской Федерации...................................... 3.5.3 Уголовный кодекс РФ и защита государственной тайны.................... 3.6 Компьютерные правонарушения.................................................................. 3.6.1 Что такое компьютерное преступление................................................. 3.6.2 Возможные меры ответственности........................................................ Заключение............................................................................................................... Контрольные вопросы............................................................................................. Вопросы для повторения темы 1: «Информатизация общества и проблемы защиты информации»........................................................................................... Вопросы для повторения темы 2: «Основные концепции защиты информации в автоматизированных системах»................................................ Вопросы для повторения темы 3: «Информационная безопасность. Основы правовой защиты»................................................................................................. 1 Введение. Информатизация общества и проблемы защиты информации 1.1 Возникновение и история развития проблемы защиты информации ВВЕДЕНИЕ Дисциплина «Безопасность информации» для направления подготовки дипломированных специалистов 560500 – Землеустройство и земельный кадастр. Специальности 311100 – Городской кадастр.

Изучается в 7 семестре в следующем порядке:

- лекции – 26 часов - лабораторно-практические занятия – 26 часов.

Всего 52 часа Предназначена:

- для формирования у студентов концептуальных основ защиты информации;

- для изучения организационно-правового обеспечения защиты информации.

Цели и задачи дисциплины:

Курс содержит анализ современного состояния проблемы защиты информации и охраны интеллектуальной собственности, комментарии к законодательству в этой области и призван обеспечить начальную правовую подготовку в области безопасности информационных технологий.

Требования:

В результате изучения курса студент должен знать:

- задачи информатизации общества и проблемы защиты информации;

- классификацию АС в зависимости от области использования и уровня конфиденциальности обрабатываемой информации;

- наличие угроз и их специфику в различных типах АС;

- виды защиты информации;

- правовое регулирование и организацию работ по защите информации.

Должны уметь:

- создавать программно-аппаратные диспетчеры доступа;

- создавать системы разграничения доступа;

- осуществлять защиту информации от компьютерных вирусов;

- осуществлять защиту программ и ценных баз данных от несанкционированного копирования и распространения.

Актуальность изучения дисциплины.

26 октября 2000 г. в Санкт-Петербурге состоялась конференция «Проблемы информационной безопасности России». Выступил президент РФ В.В. Путин, в своем выступлении он еще раз напомнил известную формулу, что «Кто владеет информацией, тот владеет миром» и подчеркнул, что завтрашний день страны будут определять информационные ресурсы.

Для современного общества проблемы информационного обеспечения всех сфер деятельности по своей значимости и актуальности превосходят проблему дальнейшей индустриализации производства, которая до недавнего времени считалась одной из центральных. Современное общество вступает в постиндустриальный период своего развития, который по всеобщему мнению должен быть назван информационным.

Под информационным обеспечением деятельности понимается предоставление каждому ее участнику всей необходимой ему информации с соблюдением требований своевременности, актуальности, релевантности (смысловое соотношение между информационным запросом и полченным сообщением), толерантности (терпимости, снисходительности).

Интенсификация информационных процессов порождает ряд попутных и серьезных проблем. Одной из наиболее серьезных и острых выступает проблема надежной защиты циркулирующей в системе информационного обеспечения информации, т.е. предупреждение ее искажения или уничтожения, несанкционированной модификации, злоумышленного получения и использования и т.д. Особую остроту проблема защиты приобретает в связи с повсеместной и массовой компьютеризацией.

Эффективная защита может быть обеспечена лишь при взаимном согласовании целенаправленных действий (усилий) специалистов – профессионалов в области защиты информации (ЗИ) и широкого круга руководителей и специалистов, соприкасающихся с информационными процессами, для чего всем нужны соответствующие знания и навыки.

Рекомендованная литература:

А) основная:

1. «Основы защиты информации» В. А. Герасименко, А. А.

Малюк М-97г.

2. «Защита информации в АСОД» В.А. Герасименко М-94г. (Кн.1 и Кн.2) 3. «Информационная безопасность. Основы правовой защиты»

М.МИФИ-95г. В.С. Горбатов, Т.А. Кондратьева.

Б) дополнительная:

1. «Экономическая разведка и контрразведка». Практическое пособие Н-ск – 94г.

1.1.1Базис и периодизация процесса ЗИ научно- методологический Проблема ЗИ имеет многовековую историю:

- наскальные рукописи – попытка сохранить информацию о реалиях объективного мира - древние рукописи - специальные меры для сохранения информации (И) в тайне:

выдающийся политический деятель и полководец древнего Рима Ю.Цезарь использовал криптографические преобразования текстов (названных шифром Цезаря), весьма примитивный.

Вопрос ЗИ в АС рассматривается на глубину реального существования этих систем, измеряемый периодом в 30 с лишним лет.

Опыт ЗИ в АСОД представляет двоякий интерес:

1. в чисто познавательном плане 2. в плане обоснования наиболее рациональных путей решения проблемы ЗИ.

У нас в стране ранее все работы по ЗИ были закрытыми, поэтому публикаций не было, это отрицательно сказалось на распространении опыта, в последнее время положение изменилось, однако понадобится значительное время.

В зарубежных странах проблема ЗИ разрабатывается уже более 30 лет.

Зарубежные специалисты единодушны в оценке чрезвычайной важности проблемы ЗИ в АСОД. Последствия злоумышленных действий всегда были достаточно тяжелы.

Поэтому и в нашей стране резко возрос интерес к проблеме ЗИ в АСОД:

1. Непрерывно растет число публикаций 2. Регулярно проводятся специальные конференции и семинары 3. Издаются специальные журналы «Безопасность информационных технологий», «Конфидент».

4. Подготовка специальной и повышенной квалификации специалистов по ЗИ.

Таким образом, есть все основания утверждать, что к настоящему времени уже сложилась отечественная школа ЗИ. Отличительная особенность отечественной школы состоит в том, что в ней наряду с решением сугубо прикладных текущих проблем защиты большое внимание уделяется формированию развитого научно-методологического базиса, создающего объективные предпосылки для решения всей совокупности задач на регулярной основе.

Исходной основой формирования указанного базиса служит системно концептуальный подход. Характерными особенностями его являются:

1. Полный учет особенностей существующих и перспективных концепций построения, организации и обеспечения функционирования в АСОД (автоматизированная система обработки данных).

2. Системный учет всей совокупности потенциально возможных дестабилизирующих факторов, влияющих на защищенность И.

3. Наиболее полный учет имеющихся и перспективных возможностей (способов, методов, средств) ЗИ.

4. Разработка унифицированных подходов к формированию перечня, способов, методов и средств решения задач З.

Последовательное развитие перечисленных особенностей системно концептуального подхода позволило сформировать так называемую унифицированную концепцию ЗИ (УКЗИ), создавшую надежный базис для эффективного решения любой совокупности задач З в широком спектре потенциально возможных условий.

Рассмотрим развитие методологических подходов к организации и обеспечению ЗИ.

За истекшее время, после возникновения проблемы, существенно изменилось как представление о ее сущности, так и методологические подходы к решению. Изменения происходили постепенно и непрерывно, поэтому вся периодизация этого процесса будет носить искусственный характер.

Весь период активных работ процесса ЗИ делится на три этапа, которые условно можно назвать:

1. начальным 2. развитым 3. комплексным 1. Начальный этап защиты характеризуется тем, что под ЗИ понималось предупреждение несанкционированного ее получения лицами, не имеющими на это полномочий, и для этого использовались формальные (т.е.

функционирующие без участия человека) средства.

Наиболее распространенными механизмами защиты были проверки по паролю прав на доступ к АСОД с целью:

- Предупредить доступ незарегистрированных пользователей и разграничение доступа к массивам (базам) данных с целью - предупредить доступ зарегистрированных пользователей к данным, находящимся за пределами их полномочий.

Проверка прав на доступ по паролю заключалась в том, что каждому зарегистрированному пользователю предоставлялся персональный пароль (некоторый набор символов из вполне определенного алфавита). Все пароли хранились в защищенной области ЗУ, доступ пользователя к АСОД разрешался только тогда, когда предъявляемый им пароль совпадал с хранящимся в ЗУ. Основное достоинство данного механизма в его простоте, основной недостаток - низкая надежность: короткие пароли можно разгадать простым перебором возможных комбинаций, длинные – трудно запомнить;

кроме того, искусный злоумышленник при определенных условиях попадал в ту область ЗУ, в которой хранились эталонные пароли. В целях повышения надежности проверки прав разработаны следующие меры: увеличение длины алфавита, из которого формировались пароли;

использование нескольких паролей;

шифрование эталонных паролей и т.д.

Разграничение доступа к массивам (базам) данных осуществлялась несколькими способами:

- разделение массивов на зоны по степени секретности с представлением каждому пользователю соответствующего уровня доступа;

- по выделенным пользователем мандатам, в которых указывались идентификаторы тех элементов массивов данных, к которым им разрешался доступ;

- по специально составленной матрице полномочий, по строкам которой размещались идентификаторы элементов массивов данных, а на пересечении строк и столбцов – условное обозначение прав соответствующего пользователя относительного соответствующего элемента данных (доступ запрещен, разрешено читать, записывать, то и др. и т.п.) Механизмы разграничения доступа оказались достаточно эффективными и настолько необходимыми, что в той или иной модификации используются до настоящего времени и будут использоваться и в будущем.

Рассмотренные механизмы защиты реализовывались с помощью специальных программ, которые выполняли свои функции под управлением операционной системы защищаемой ЭВМ. Но для обеспечения эффективного их функционирования необходимы специальные организованные мероприятия:

- генерирование и распределение паролей - внесение эталонных паролей в ЗУ ЭВМ - формирование и ведение реквизитов разграничения доступа - общая организация защиты и др.

Общая оценка механизмов начального этапа защиты сводится к тому, что они обеспечили определенный уровень защиты, однако проблему в целом не решили, поскольку опытные злоумышленники находили способы и пути их преодоления.

Этап развитой защиты, он характеризуется тремя факторами:

1. Комплексирование целей защиты, это обеспечение целостности И и предупреждение несанкционированного ее получения.

2. Расширение арсенала используемых средств З, как по качеству, так и по разнообразию. Комплексное применение технических, программных и организационных средств. ЗИ путем криптографического преобразования. Законодательные акты.

3. Все применяемые средства З в АСОД объединяются в функциональные самостоятельные системы защиты.

Для иллюстрации 2-го этапа только (для опознания пользователей) разрабатывались методы и средства, основанные на следующих признаках:

1. традиционные пароли по усложненным процедурам 2. голос человека, т.к. он индивидуален отпечатки пальцев, индивидуальность общеизвестная 3.

геометрия руки, по длине четырех пальцев руки человека 4.

рисунок сетчатки глаз, тоже является индивидуальной характеристикой 5.

личная подпись человека (характерная графика, динамика подписи и 6.

давление пишущего инструмента) 7. фотография человека 8. персональные карточки, содержащие идентифицирующую информацию – для надежного опознавания человека.

Характеризуется интенсивным поиском, разработкой и реализацией способов, методов и средств З.

Примерно такое же состояние с разработкой методов и средств решения других задач защиты, их арсенал достаточно детально рассмотрен в гл. 6 В.А.

Герасименко «Основы защиты информации» М-97 г. с. 284.

Способы ЗИ:

- регламентационный - принуждение - побуждение - препятствие - управление - маскировка Средства ЗИ:

- формальные - неформальные 1. Этап комплексной защиты, он приходит на смену второму, поэтому это этап будущего.

Формирование научно-методологического базиса ЗИ, т.е. перевод дела ЗИ на строго научную основу.

Основные выводы, вытекающие из теории защиты, сводятся к следующему:

1. ЗИ в современных АСОД должна быть комплексной как по целям З, так и по используемым способам, методам, средствам 2. В целях создания условий для широкомасштабной оптимизации З должен быть разработан и обоснован набор стратегических подходов 3. Должен быть разработан развитый и унифицированный методико инструментальный базис 4. Все цели могут быть достигнуты при взаимосвязи с проблемами информатизации основных сфер жизнедеятельности общества.

1.1.2Современная постановка задачи защиты информации (ЗИ) Наиболее характерной особенностью современной постановки задачи ЗИ является комплексность защиты.

Комплексность понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность) или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность).

Применительно к проблеме защиты в настоящее время речь должна идти о всеобщей комплексности. Почему?

Потому что к наиболее устойчивым тенденциям развития систем и процессов обработки информации следует отнести такие:

1. Массовое насыщение предприятий (учреждений, организаций) средствами ВТ и прежде всего – персональными ЭВМ;

2. Все более интенсивное сращивание традиционных и автоматизированных технологий обработки И с неуклонным ростом доли безбумажных процедур;

3. Непосредственный доступ к ресурсам систем автоматизированной обработки массы пользователей, не являющихся профессиональными программистами, а потому не владеющими в должной мере всеми необходимыми знаниями и навыками правильного и рационального их использования;

4. Сопряжение средств ВТ в локальные и территориальные распределительные сети;

5. Все более настойчивое наращивание информационных массивов (особенно программных ресурсов) в интеллектуальную собственность и товар.

До недавнего времени представление о ЗИ как о предупреждении несанкционированного ее получения (сохранения тайны) является чрезмерно узким. Понятие ГТ до недавнего времени ассоциировалось преимущественно с государственными секретами, в то время как в современных условиях распространение получили понятия:

- промышленной - коммерческой - банковской - личной тайны и т.п.

Таким образом, даже в рамках традиционного представления о ЗИ ее содержание должно быть существенно расширено.

Но в условиях, создаваемых перечисленными выше тенденциями повышенную значимость приобретают такие проблемы, как:

- обеспечение физической целостности информации (предупреждение уничтожения или искажения) - обеспечение логической целостности (предупреждение разрушения или искажения в автоматизированных банках логических структур данных, задаваемых пользователями) - предупреждение несанкционированной модификации информации - предупреждение несанкционированного копирования (размножения) информации, являющейся чьей-либо собственностью - соблюдение авторских прав в бумажных технологиях хранения и обработки информации.

ЦЕЛЕВАЯ КОМПЛЕКСНОСТЬ Независимая защита информации по каждой из целей – накладна, а во многих случаях невозможна. Отсюда вытекает объективная необходимость перехода к целевой комплексной защите.

ИНСТРУМЕНТАЛЬНАЯ КОМПЛЕКСНОСТЬ В рамках прежнего представления о ЗИ практически независимо развивались три вида защиты:

- организационная (службы режима, первые отделы и т.д.) - техническая (службы противодействия инженерно-технической р-ке) - службы ЗИ в АСУ и на ВЦ Самостоятельно развиваются криптографические средства защиты.

В условиях неуклонного и повсеместного слияния традиционных и автоматизированных технологий обработки информации независимое развитие и использование различных видов защиты нереальна – необходима интеграция всех видов в единый комплексный арсенал защиты.

Суммируя изложенное выше, содержание понятия комплексной защиты можно структурировать.

Структуризация содержания понятия комплексной защиты Реализуемые Используемые виды защиты цели защиты Один Более одного, но Все не все Одна Локальная защита Более одной, но Полукомплексная защита не все Все Комплексная защита Существует значительное число объектов с повышенными требованиями к их защите:

- военные объекты стратегического назначения - особо важные объекты ВПК - объекты системы правительственной связи Круг целей их защиты расширяется и должен включать:

1) маскировку функционального назначения;

2) маскировку организационно-структурного построения;

3) маскировку технологических схем функционирования;

4) собственную ЗИ в рассмотренном выше смысле.

При слиянии традиционных и автоматизированных технологий обработки информации и непосредственном доступе масс пользователей к ресурсам ВТ все большая часть этих пользователей попадает в прямую зависимость от получаемой из ЭВМ информации.

Принципиальное значение приобретают характеристики информации:

- своевременность выдачи информации - полнота выдачи - актуальность информации - релевантность (смысловое соответствие между информационным запросом и полученным сообщением) - терпимость, снисходительность и т.д.

Характеристики зависят от показателей:

- своевременности актуализации находящейся в ней информации - глубины, полноты - адекватности ее обработки и др.

Перечисленные характеристики и показатели образуют свойство информации, называемое е качеством.

При традиционных технологиях ее обработки - качество актуально - масштабы меньше - в силу полной наглядности представления информации и процедур е обработки она решалась естественно В условиях автоматизации - возрастают объемы и масштабы обработки - решение задач осуществляется на иной основе.

Поэтому обеспечение качества информации в АС и сетях переросло в самостоятельную и сложную НТ (научно-техническую) проблему.

Как показывают исследования данной проблемы, ее эффективное решение может быть получено в рамках той же концептуально методологической базы, что и проблемы защиты информации. Отсюда представляется вывод о целесообразности совместного системного изучения и разработок проблем ЗИ и обеспечения ее качества.

В настоящее время все более остро становится проблема так называемой информационной безопасности. Технические, технологические и организационные системы, а также люди, коллективы людей и общество в целом сильно подвержены внешним информационным воздействиям, причем последствия негативного воздействия могут носить не просто тяжелый, а трагический характер.

Например: управление ВС и комплексами оружия (в том числе и РЯ) практически полностью автоматизированы. Время на сбор и обработку И и принятие решения резко сокращается. Поэтому осуществляется передача функций средствам электронной ВТ, а средства ВТ сильно подвержены внешним воздействиям. США заразили вирусом компьютерные системы управления ПВО Ирака, что сыграло свою роль в ходе и исходе операции «Буря в пустыне».

Общеизвестно, что целенаправленной подтасовкой фактов и умелым методическим преподнесением их СМИ можно сформировать достаточно устойчивое общественное мнение требуемого содержания. Психика и мышление человека подвержены внешним информационным воздействиям.

Можно запрограммировать поведение человека вплоть до изменения веры и мировоззрения. Появился термин «зомбирование».

Таким образом, остро актуальной является не только проблема ЗИ, но и защита от И.

Вместо понятия вооруженной борьбы все более прочно входит в обиход понятие информационной войны.

Решение проблемы может быть осуществлено на основе того концептуально-методологического базиса, который сформирован в процессе разработки основ теории ЗИ. Проблему защиты от информации целесообразно включить в расширенное толкование понятия комплексной ЗИ Суммируя изложенное содержание комплексной ЗИ на объекте может быть представлено, как показано на рис.1.

ПОЛЬЗОВАТЕЛИ ВНЕШНЯЯ 1,3, 3, СРЕДА 1,3, 4 3, ВНУТРЕННИЕ ПРОЦЕДУРЫ ПОТОКИ ОБРАБОТКИ 3, 4 2,3, Рис.1 – Содержание комплексной ЗИ на объекте ОБЪЕКТ 1 – обеспечение качества выдачи 2 – обеспечение качества обработки 3 – защита информации 4 – защита от информации 1.2 Цели и задачи информатизации общества 1.2.1 Цели и задачи информатизации общества Информатизация общества - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов. Согласно Федеральному Закону «Об информации, информатизации и защите информации», принятому 25.01.1995г. (ст.3):

1. Государственная политика в сфере формирования информационных ресурсов и информатизации направлена на создание условий для эффективного и качественного информационного обеспечения, решения стратегических и оперативных задач социального и экономического развития РФ.

2. Основными направлениями государственной политики в сфере информатизации являются:

- обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

- формирование и защита государственных информационных ресурсов;

- создание и развитие федеральных и региональных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве РФ;

- создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе государственных информационных ресурсов.

- Обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;

- Содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;

- Формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;

- Поддержка проектов и программ информатизации;

- Создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;

- Развитие законодательства в сфере информационных процессов, информатизации и защиты информации.

2. Общая схема и содержание информационного обеспечения различных сфер деятельности.

Под информационным обеспечением деятельности (ИОД) предприятия, учреждения или другой организации, понимается создание, организация и обеспечение функционирования такой системы сбора, хранения, обработки и выдачи информации, которая обеспечивала бы представление всем подразделениям и должностным лицам организации всей необходимой им информации в требуемое время, требуемого качества и при соблюдении всех установленных правил обращения с информацией.

1.2.2 Общая схема информационного обеспечения деятельности объекта (ИОД) I Анализ Формирование изменений в целей деятельности функциониров объекта ания объекта Анализ Формирование целей структуры ИКО функцион ирования объекта II Прием и Обновление и Функциональн обработка пополнение ое входных использование ИКО потоков ИКО III Регулирование Анализ входных состояния ИКО потоков (ИКО информационного кадастрового объекта) – подсистема формирования и совершенствования I информационного кадастра II – подсистема организации и обеспечения функционирования информационных технологий III – подсистема управления входными потоками.

Вывод: С точки зрения защиты информации предметом наиболее пристального внимания должны быть информационный кадастр и информационная технология.

Определение информационного кадастра и его общая структура На рисунке, исходной основой системы обеспечения деятельности (ИОД) выступают цели функционирования организации, на основе анализа которых формируется так называемый информационный кадастр организации (ИКО).

Под ИКО понимается полная и хорошо структурированная совокупность данных, необходимых и достаточных для высокоэффективного информационного обеспечения деятельности организации.

ИКО удобно представить в виде упорядоченной совокупности так называемых объектно-характеристических таблиц (ОХТ), каждая из которых представляет собой таблицу, в строках которой находятся наименования тех реалий объективного мира (параметров, событий, явлений или обобщенно – объектов), по столбцам – наименования тех характеристик учитываемых объектов, значения которых необходимы для информационного обеспечения деятельности организации. Сами значения характеристик располагаются в соответствующих клетках ОХТ.

Единицы измерения (м) Общий периметр АСОД 1. 3 Объективные предпосылки индустриализации информационных процессов Введение Одной из наиболее сложных проблем, в определенной мере сдерживающей темпы информатизации общества, является необходимость приоритетного обеспечения вопросов национальной безопасности (социальной, экономической, экологической и военно-стратегической) в условиях широкого применения средств вычислительной техники и связи для обработки конфиденциальной и секретной информации в государственных и частных предприятиях, в органах и учреждениях государственного управления, а также в банковской и биржевой инфраструктурах.

Социально-экономические последствия широкого внедрения компьютеров в жизнь современного общества привели к появлению ряда проблем информационной безопасности, таких, как необходимость:

- защиты имущественных прав граждан, предприятий, государства на информацию и вычислительные ресурсы в соответствии с требованиями гражданского административного и хозяйственного права (включая защиту секретов и защиту интеллектуальной собственности).

- Поддержания непрерывности и корректности функционирования важнейших автоматизированных и информационных служб, что обусловлено требованиями физической безопасности людей, экологической обстановки и материальной сохранности имущества.

- Защиты гражданских прав и свобод, гарантированных действующим законодательством.

Проблема защиты имущественных прав на информацию возникает в связи с необходимостью обеспечения нормального функционирования социальных, экономических и административно-управленческих общественных механизмов в процессе информатизации общества, приводящем к превращению информации в объект собственности, т.е. в предмет товарно-денежных отношений.

1.3.1 Системная классификация информации Объективные предпосылки к реализации информационного обеспечения создаются совокупностью результатов, полученных в рамках информатики, развиваемой на естественно - научных подходах. К ним относятся:

1) системная классификация информации 2) унифицированная структура информационного потока 3) унификация процедур обработки информации 4) систематизация методов обработки информации 5) унификация информационной технологии 6) формирование концепции управления процессами обработки информации.

Под системной классификацией информации понимается такая информация, которая удовлетворяет требованиям решения всего комплекса задач, реализуемых в системе. Сама процедура классификации заключается в выборе критериев деления И на классы и обоснования классификационной структуры по выбранным критериям. Вся информация делится на 2 вида:

1. сведения об источниках, где могут быть необходимые данные.

2. Собственно данные (факты), пригодные для использования.

Первый вид И называется документальной, второй – фактографической.

Документальная И классифицируется, исходя из содержания объемов и способов оформления:

- Корреспонденция (входящая и исходящая) - Техническая документация различного назначения - Документальная информация общего назначения (газетная и журнально-книжная) Фактографическая классифицируется по срочности, с которой она должна обрабатываться:

- Быстро меняющаяся (оперативная) - Медленно меняющаяся (исходная или непроверенная, регламентная или официальная) - Постоянная Системная классификация информации Информац ия Документальная Фактографическая Корреспонд Прочая Медленно Быстро меняющаяся енция документац меняющаяся документация Техническая (нормативно – (оперативная) ия справочная) Постоянная (официальная) (непроверенна Регламентная Исходящ Журнально Исходная Входящая книжная Газеты ая я) Вывод: Основной объем фактографической информации для организации составляет медленно меняющаяся информация. Она составляет базис организации.

Исходная – неполная, непроверенная, непроанализированная.

Регламентная – прошедшая все виды предварительной обработки и проверенная в качестве официальной.

1.3.2 Унификация структуры информационного потока Информационный поток определяется как движение в некоторой среде данных, представленных в структурном виде. Отсюда следует, что для формирования структуры информационного потока необходимо сформировать среду, в которой должны двигаться данные (И) и структурировать информацию, которая должна циркулировать.

Среду образует структура подразделений соответствующей организации.

Потоки информации в пределах организации делятся на:

- входные (приходящие извне) - внутренние (между различными подразделениями одной и той же организации) - выходные (выходящие из организации) Информационные потоки в канале связи могут быть разделены на:

- односторонние - двусторонние Циркуляцией информационных потоков называется факт регулярного их движения между различными объектами (организациями) или между различными элементами одного и того же объекта (одной и той же организации).

Основными процессами, обеспечивающими циркуляцию информационных потоков, являются:

Генерирование (возникновение) И.

1.

Передача И.

2.

Возможные взаимосвязи Прием И.

3.

этих процессов приведены Накопление и хранение И.

4.

на схеме.

Поиск И.

5.

Выдача И.

6.

Общая схема циркуляции информационных потоков.

ВХОДНЫЕ ПОТОКИ Переработ Генериров Выдача И.

Прием И.

Передача ание И.

ВЫХОДНЫЕ ка И.

И.

ПОТОКИ Накопление и хранение И.

Поиск И.

ВНУТРЕННИЕ ПОТОКИ Как следует из приведенной схемы, маршруты циркуляции информации могут быть различными, причем схема каждого из них определяется количеством участвующих процессов и последовательностью их осуществления. Схемы возможных маршрутов могут быть составлены на основе схемы.

1.3.3 Унификация процедур обработки информации Реализация перечисленных выше процессов предполагает осуществление некоторых задач обработки информации.

Под задачей обработки информации будем понимать такую ситуацию в процессе циркуляции информационного потока, которая имеет характерную структуру (содержание), и которую надо преодолеть (найти выход или иначе – найти определенное решение), причем это решение должно соответствовать конкретной цели и заключаться в осуществлении некоторых операций над информацией.

Диапазон обработки информации, осуществляемой в процессе решения задач, бывает чрезвычайно широк. В наиболее простых случаях обработка ограничивается простым отбором (поиском) необходимых данных в некоторых массивах, в наиболее сложных случаях – производится глубинная переработка имеющейся информации с осуществлением весьма сложных операций.

Отсюда следует, что системная классификация задач должна осуществляться по двум критериям:

- относительно самого содержания процедур обработки - относительно их глубины и сложности.

Объединение классификации по обоим рассматриваемым критериям и образует системную классификационную структуру унифицированных задач обработки информации.

Структура и содержание унифицированной технологии автоматизированной обработки информации.

Объективные предпосылки, необходимые для построения информационной технологии:

1. Обеспечение обработки всех видов И. на всех этапах циркуляции информационных потоков.

2. Унифицированность практических приложений 3. Осуществление всех процедур обработки И. на регулярной основе.

4. Полная структуризация на всех уровнях.

5. Высокая эффективность обработки И.

Общая структура унифицированной технологии автоматизированной обработки информации (УТАОИ) состоит из технологических участков:

1. Прием входных потоков И.

2. Обработка быстро - меняющейся И. в реальном масштабе времени.

3. Формирование текущих массивов входной И.

4. Базовая обработка входных потоков И.

5. Формирование и обработка массивов исходных данных 6. Аналитико – систематическая обработка И.

7. Внесение регламентных данных в И. кадастр.

8. Функциональная обработка регламентных данных.

9. Формирование и выдача выходных потоков.

Общая структура УТАОИ.

ВХОД ВЫХО Д 1 3 4 5 6 7 8 2 Основные концепции защиты информации в АС 2. 1 Теория защиты и основные концепции защиты информации в АС Введение В Законе РФ от 25.01.95 «Об информации, информатизации и защите информации» определены следующие цели и защиты информации в вычислительных системах и сетях:

1. предотвращение утечки, хищения, утраты, несанкционированного уничтожения или копирования, искажение, модификации (подделки), блокирования информации и информационные системы;

2. сохранение полноты, достоверности, целостности информации и ее массивов и программ обработки, установленным собственником или уполномоченным им лицом;

3. сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;

4. обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;

5. сохранение секретности, конфиденциальности информации в соответствии с правилами, установленными действующим законодательством;

6. соблюдение прав авторов программно-информационной продукции, используемой в информационных системах;

Указанные выше проблемы и цели дают широкую гамму конкретных задач и требований к современным информационным технологиям, что обуславливает актуальность развития методов и средств защиты информации.

2.1.1 Определение и основные понятия теории защиты информации Теория защиты информации определяется как система основных идей, относящихся к защите информации в современных системах е обработки, дающая целостное представление о сущности проблемы защиты, закономерностях е развития и существенных связях с другими отраслями знания, формирующаяся и развивающаяся на основе опыта практического решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики ЗИ.

В определении уже содержатся общие сведения о задачах теории защиты;

в боле же развернутом виде теория защиты должна:

1. предоставлять полные и адекватные сведения о происхождении, сущности и развитии проблем защиты;

2. полно и адекватно отображать структуру и содержание взаимосвязей с родственными и смежными областями знаний;

3. аккумулировать опыт предшествующего развития исследований, разработок и практического решения задач ЗИ;

4. ориентировать в направлении наиболее эффективного решения основных задач защиты и предоставлять необходимые для этого научно-методологические и инструментальные средства;

5. формировать научно-обоснованные перспективные направления развития теории и практики ЗИ.

Вывод:

Приведенный перечень предметно свидетельствует о большом объеме и многоаспектности теории защиты, что порождает трудности е формирования.

Эти трудности усугубляются ещ тем, что проблема ЗИ относится к числу новых исследований, разработок и практической их реализации появляются новые аспекты, ЗИ представляется все более комплексной и все более масштабной проблемой.

2.1.2 Безопасность информации и основные концепции защиты информации в АС. Традиционные меры защиты твердых копий Словарь терминов и определений по безопасности и защите информации М.-1996 г. с.9 дает определение, что такое безопасность информации:

Безопасность информации – это защита информации (ЗИ) от случайного или преднамеренного доступа лиц, не имеющих на это права получения, раскрытия, модификации и разрушения.

Реализация требований и правил по ЗИ, поддержанию информационных систем в защищенном состоянии, эксплуатация специальных технических и программно-математических средств защиты и обеспечение организационных и инженерно-технических мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляется службами безопасности информации.

Концепция ЗИ – система взглядов, требований и условий организации защиты охраняемых сведений от разглашения, утечки и несанкционированного доступа к ним через различные каналы.

Основные концепции ЗИ в Ас должны устанавливаться на основе взаимосвязи следующих основных понятий:

1) «что защищать», т.е. определить объекты защиты – ПО, информационные ресурсы, виды и типы автоматизированных рабочих мест (АРМ), информация и т.п.;

2) «от кого защищать», т.е. определить возможных нарушителей (ВН), разработать модель нарушений (МН) и выявить каналы утечки (ВКУ) ЦКИ (составить каталог возможных нарушений и угроз, причин и обстоятельств их возникновения);

3) «как защищать», т.е. проанализировать функционирование технологий создания ЦКИ, различных типов автоматизированных рабочих мест, локальных вычислительных сетей и выполняемых на них функций, определить требования к необходимым методам и средств защиты – организационным, техническим (включая и технические средства охраны), аппаратным, программным и криптографическим и разработать общую концепцию комплексной системы защиты информации ЦКИ;

4) «чем защищать», т.е. определить состав, количество и перечень необходимых средств защиты, просчитать их стоимость (варианты) для закрытия каждого выявленного канала утечки, закупорить или адаптировать под имеющиеся СВТ и соответствующее ПО;

5) «какова надежность защиты», т.е. определить количественные и качественные значения защищенности ЦКИ (где это возможно), провести натуральные испытания и опытно-теоретические исследования комплексной системы защиты. Смоделировать и провести учебные «атаки»для «слома» (обхода) СЗ.

Традиционные меры защиты твердых копий (специальных карт, планов и сопроводительных документов) в режимно-секретной службе.

Лица, назначенные на должности, связанные с секретными сведениями, допускаются к исполнению своих обязанностей только после изучения или требований Наставления в части их касающейся.

Прием зачетов по знанию основных требований Наставления рабочими и служащими, допущенными к секретным сведениям, организуются ежегодно.

Режим секретности.

Режим секретности – это установленный нормативными актами высших органов государственной власти и государственного управления РФ единый порядок обеспечения сохранности государственных секретов, включающих в себя систему административно правовых, организационных, инженерно технических и иных мер.

Режим секретности обеспечивается:

1. установлением порядка и правил отнесения сведений к государственным секретам;

2. установление особого режима секретности на предприятии, отнесенных, в установленном порядке, к особо режимным, особо важным и режимным;

3. установлением порядка доступа персонала к государственным секретам;

4. обеспечением безопасности информации на объектах вычислительной техники (АС);

5. сохранение государственной тайны при проведении научно исследовательских и опытно-конструкторских работ (НИОКР);

6. организацией секретного делопроизводства;

7. установлением пропускного режима на территории предприятия;

8. специальной подготовке лиц, допускаемых к государственным секретам;

9. осуществление систематического контроля за состоянием режима секретности и проведением других необходимых мероприятий.

Обязанности лиц, допущенных к секретным документам, работам и изделиям.

Обязаны:

a) знать и строго выполнять требования настоящего Наставления, хранить в тайне секретные сведения, ставшие им известными по службе, пресекать действия других лиц, которые могут привести к разглашению секретных сведений или утрате (хищению) секретных документов (изделий). О причинах или условиях возможной утечки секретных сведений немедленно докладывать своему непосредственному начальнику;

b) соблюдать установленный порядок выезда за границу;

c) выполнять секретные работы в объеме своих служебных обязанностей;

d) немедленно учитывать все полученные секретные документы в описи (форма №7),хранить их только в сейфах, ежедневно перед окончанием рабочего дня проверять их наличие. Сейфы с секретными документами после каждого вскрытия закрывать, по окончании рабочего дня опечатывать и сдавать под охрану. Не допускать совместного хранения в сейфе (рабочей папке) секретных и несекретных документов. Переносить секретные документы внутри учреждения только в папках, обеспечивать их сохранность;

e) разрабатывать секретные документы, производить записи секретного характера только в рабочей тетради (блокнотах) или на листах бумаге, учтенных в секретном органе;

f) ознакомлять с секретными документами и передавать их другим исполнителям только под роспись с разрешения своего непосредственного начальника;

g) ежемесячно сообщать своему непосредственному начальнику и в режимно-секретный орган об утрате или недостаче секретных документов и изделий, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов, где хранятся секретные документы;

h) своевременно сдавать в секретный орган секретные документы, необходимость в которых миновала.

Лицам, допущенным к секретным работам, запрещается:

a) вносить фото-, звуко-, видеозаписывающую, радиопередающую и принимающую аппаратуру в помещение, где проводятся секретные работы;

b) сообщать устно или письменно секретные сведения;

c) вести переговоры, передавать секретные телеграфные и фото материалы по открытым каналам связи;

d) сообщать сведения о проводимых секретных работах при обращении по личным вопросам;

e) выносить из учреждения секретные документы без разрешения начальника учреждения, а также пользоваться городским и личным транспортом для их перевозки и заходить с ними в места, не связанные с выполнением задания;

f) выполнять секретные работы и хранить секретные документы на квартирах, в места отдыха и других местах;

g) передавать секретные документы и изделия и принимать их без росписи;

h) снимать копии с секретных документов;

i) держать во время работы секретные документы в удобном для обозрения посторонними лицами положении;

j) оставлять секретные документы на столах;

k) хранить секретные документы в сейфах, от которых утеряны ключи, а также передавать ключи от сейфа, жетоны на получение папок и личные номера печати;

l) использовать секретные сведения в несекретной служебной папке, несекретных диссертациях, технических изданиях, открытых статьях, докладах, выступлениях.

Концептуальные основы защиты информации в АС.

2.1.3 Анализ и классификация организационных и программно аппаратных структур автоматизированных систем Под автоматизированной системой (АС ) понимается человекомашинная система, предназначенная для решения определенного круга прикладных задач. Большое многообразие областей применения АС, различия по количественному и качественному составу пользователей и обслуживающего персонала, содержанию и характеру обрабатываемой информации определяют специфические особенности каждой АС и требуют их классификации с целью выработки общих принципов и универсальных решений по защите информации в каждом классе АС.


Учитывая, что реализация системы ЗИ является дорогостоящей задачей, при проектировании системы защиты каждой АС необходимо учитывать специфику угроз и их последствия с целью обоснования и минимизации затрат на разработку и эксплуатацию средств защиты [1].

Возможно несколько взаимодополняющих подходов к классификации АС:

- по области использования;

- по характеру информации;

- по программно-аппаратной структуре.

В таблице 1 приведена классификация АС в зависимости от области их использования и уровня конфиденциальности обрабатываемой информации.

Принадлежность к определенному ведомству, характеризует степень глобального ущерба, который, в принципе, может быть нанесен в результате утечки или искажения информации, причем нарушение защиты информации в АС гражданских ведомств, как правило, ведет к экономическим потерям, в то время как в оборонных ведомствах приводит также к угрозе национальной безопасности государства.

Разделение объектов по виду собственности определяет, какие интересы превалируют при защите информации в АС:

- государственные или - частные, а специализация функций АС в значительной степени определяет специфику угроз в конкретной АС.

Уровень конфиденциальности обрабатываемой информации соотносит ущерб с конкретным владельцем информации, разрешая доступ к информации другим субъектам, определяет уровень конфиденциальности информации, что существенным образом сказывается на реализации системы разграничения доступа в АС.

В любой АС могут использоваться персональные ЭВМ (ПВЭМ) или системы коллективного пользования.

Таблица Вид Принадлежность Специализация функций Уровень Шифр ведомства объекта АС конфиденциальности АС по виду обрабатываемой собственности информации 1. Планирование, Государственная, управление, надзор, служебная охрана правопорядка;

2. Финансовая Государственная, Государственные деятельность, маркетинг. служебная 3. Производство. Гос., служебная 4. Образование, культура Гос., служебная 5. Транспорт, связь, Государственная, Г информационное служебная Р обслуживание А 6. Научная и проектная Госуд., служебная, Ж деятельность. личная Д 7. Обслуживание Служебная, личная А населения.

Н 1. Планирование, Государственная, С управление, надзор, служебная К охрана правопорядка;

И 2. Финансовая Госуд., служебная, Е деятельность, маркетинг. личная 3. Производство. Гос., служ., личная Частные 4. Образование, культура Гос., служ., личная 5. Транспорт, связь, информационное Гос., служ., личная обслуживание 6. Научная и проектная Гос., служ., личная деятельность.

7. Обслуживание Служебная, личная населения.

1. Планирование, Государственная, управление, надзор, служебная О охрана безопасности;

Б 2. Финансовая Государственная, Государственные О деятельность, маркетинг. служебная Р 3. Производство. Гос., служебная О 4. Образование, культура Гос., служебная Н 5. Транспорт, связь, Государственная, Н информационное служебная Ы обслуживание Е 6. Научная и проектная Госуд., служебная, деятельность. личная 7. Обслуживание войск. Гос., служ., личная 1. Планирование, управление, надзор, Гос., служ., личная О охрана безопасности;

Б 2. Финансовая Гос., служ., личная О деятельность, маркетинг.

Частные Р 3. Производство. Гос., служ., личная О 4. Образование, культура Гос., служ., личная Н 5. Транспорт, связь, Гос., служ., личная Н информационное Ы обслуживание Е 6. Научная и проектная Гос., служ., личная деятельность.

7. Обслуживание войск. Гос., служ., личная 3 Основы правовой защиты информации 3.1 Организационно-правовое обеспечение защиты информации Введение Информационная безопасность (ИБ) – содержит анализ современного состояния проблемы защиты информации и охраны интеллектуальной собственности, комментарии к законодательству в этой области и призвана обеспечить начальную правовую подготовку специалистов (в основном технического профиля) в области безопасности информационных технологий.

Эффективное развитие и функционирование общества, а также любой его организационной и организационно-технической системы обеспечивается комплексом социальных норм, регулирующих поведение коллективных (юридических) и индивидуальных (физических) субъектов управления. Особая роль при этом принадлежит сфере государственного управления, одной из главных задач которой является обеспечение действий субъектов в соответствии с нормами права. Право, регулируя имущественные и социальные отношения, выражает и обеспечивает относительную стабильность и согласованность действий субъектов в отношении объектов права, их составных элементов и структур и актуальность разработки правовых норм и обеспечение их неукоснительного выполнения.

Судебный (правовой) механизм защиты интересов противоборствующих сторон не менее эффективен, чем иерархическая (вертикальная) структура управления, основу правоотношений составляет административный (силовой) характер разрешения проблемных ситуаций на основе подчиннности нижестоящих звеньев вышестоящим.

Как показывает опыт экономически развитых стран, в условиях преобладания рыночных отношений или относительной равноправности субъектов управления необходимо гармоничное сочетание правовых и административных методов регулирования деятельности организационных структур.

Нынешнее состояние развития нашего общества характеризуется резким развалом административно- командной структуры и медленным становлением горизонтальных структур управления. Слаба, устарела и неадекватна переходному состоянию к рыночной экономике законодательная база. Именно неопределнность общей социально-политической обстановки, постоянно меняющиеся «правила игры» - основные причины того, что многие вопросы правоотношений в области информационной безопасности не проработаны, особенно в сфере их практической реализации.

В сфере БИ-ных технологий эти трудности усугубляются бурными процессами компьютеризации и информатизации практически во всех сферах деятельности общества. В то же время для регулирования правоотношений традиционные нормы имущественного (вещного) права применимы не всегда.

Отличие информации как коммерческого продукта от материальных объектов состоит в идеальном характере е сущности, непрерывно связанном с присутствием человека – производителя, с одной стороны, и существованием на одном из видов материальных носителей – с другой. В результате, нет общепринятой формулировки в юридическом смысле понятия «информация», а следовательно, и юридической трактовки, например е «хищения».

Тем не менее, следует признать реально существующей общественную потребность в решении указанных вопросов. Е актуальность определяется следующими объективными предпосылками:

- законодательным разрушением прежнего монопольного порядка распоряжения национальным информационным ресурсом со стороны государственных органов директивного управления;

- переходом к рыночной модели экономики, требующим создания эффективной защиты предпринимательской деятельности, когда государство не только гарант правового регулирования правоотношений юридических и физических лиц, но также и субъект этих отношений;

- необходимостью охраны национального информационного ресурса при активном включении в сферу международных коммуникационных связей;

- возникновение новых форм общественных отношений деловых структур на основе широкого использования технических средств: электронная подпись, электронное соглашение с правом юридической силы и т.д.

Эти предпосылки обусловили хотя и медленное, но верное движение вперд по пути решения возникших вопросов.

Цель изучения данной темы:

- исследование существующей нормативной базы в области ИБ. Это исследование предназначено для обеспечения начальной правовой подготовки специалистов, в основном, технического профиля, в области безопасности информационных технологий.

3.1.1 Правовое регулирование и организация работ по защите информации Вопросы развития и внедрения безопасных информационных технологий тесным образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования общественных отношений в процессе информатизации. При этом их решение зависит не только от уровня развития вычислительной техники, но и от признания за информацией статуса товара, продукта общественного производства. Установление в законодательном порядке права собственности на информацию является важнейшим аспектом формирования информационной политики информационной политики государства.

Разработка и внедрение законодательной базы информатизации невозможна без активной государственной информационной политики, направленной на построение по единому замыслу организационно правового механизма управления информационными процессами, увязанного с научно-технической программой информатизации.

Серьзным шагом в направлении создания правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, является принятие Закона РФ «Об информации, информатизации и защите информации» (3). В указанном законе определн:

- правовой режим информации - правила, процедуры и распределение ответственности в области защиты информации в системах е обработки - установлен порядок правовой защиты и гарантии реализации прав - ответственность субъектов информационных взаимоотношений В области информатизации закон разработан как базовый по признакам охвата важнейших направлений и условий, закрепления правовых институтов и форм отношений, имеющих значение для дальнейшего развития законодательства, разработки подзаконных актов и организационных структур в этой области.

Наиболее существенными с рассматриваемых позиций в законе являются:

12-статья, устанавливающая общий правовой режим информации, в которой определено отношение информации как к важному объекту собственности граждан, коллективов, государства и общества в целом (общественное достояние), а также как к возможному объекту пользования, с учтом деления информации на категории открытого и ограниченного доступа;


17-статья, закрепляющая за собственником информации права на действия по отношению к ней и признающая за информацией статуса имущества юридических лиц;

декларирующая право собственности на программно 18-статья, информационную продукцию с авторскими правами;

10-статья, определяющая режим доступа к информации.

Глава 4 закона полностью посвящена вопросам защиты информации и информ. систем, при чм подчркивается, что защита информации в системах е обработки направленных:

1. на обеспечение важнейших конституционных прав личности, коллектива и государства;

2. на охрану прав собственности;

3. на обеспечение безопасности населения;

4. на обеспечение безопасности и обороноспособности страны.

Физическим и юридическим лицам предоставлено право на защиту информации и систем е обработки от:

- преступных посягательств - несанкционированных действий - других видов угроз.

В статье 20 – провозглашены цели защиты информации и систем е обработки.

Статья – 15 определяет требования к владельцу информационной системы по обеспечению уровня защиты информации в соответствии с правилами, установленными собственниками информации.

Статья – 19 предусматривает создание государственной системы сертификации продукции по требованиям безопасности информации и лицензирования деятельности предприятий по оказанию услуг в области защиты информации.

Глава 5 – важна с точки зрения осуществления права на информацию, защиту прав субъектов, отношений в области информатизации. Здесь гарантируются для физ, и юр. лиц, явл. участниками информационных отношений, такие виды юр. защиты как :

- судебная защита;

- страхование интересов собственника;

- обеспечение возмещения ущерба;

- оказание юр. помощи.

Вопросы ответственности за нарушение и посягательства на информацию и информ. системы должны быть предусмотрены в уголовном и гражданском законодательстве. Однако ни в одном из уголовных кодексов нет статей, специально посвящнных компьютерным преступлениям. Нет таких определений и в гражданском законодательстве и в нормах административного права об ответственности за нарушения в сфере использования средств ВТ.

только в уголовном законе может быть определено что именно является преступлением, т.е. деянием, запрещнным под страхом наказания. В законодательстве об административных правонарушениях устанавливаются нормы ответственности за правонарушение, не повлекшее общественно опасных последствий.

Действующее уголовное законодательство при небольшой корректировке может быть использовано при квалификации некоторых компьютерных преступлений. Так, умышленное уничтожение носителей с машинной информацией, удаление файлов, изменение записи файлов может квалифицироваться по статье 98 УК РСФСР. «Умышленное уничтожение или повреждение государственного или общественного имущества».

Для того чтобы заработали уголовно-правовые и административно правовые нормы, необходимо, чтобы законом был установлен порядок санкционированного доступа информации в автоматизированные системы.

По действующему законодательству информации сама по себе предметом хищения быть не может, однако может использоваться для совершения других преступлений, например для получения сведений, составляющих гос. тайну, и дальнейшего их разглашения. ( ст.75 УК РСФСР).

Действующие правовые нормы трактуют понятие «хищение» как изъятие информации из пользования настоящим владельцем. При несанкционированном копировании никакого изъятие из пользования не происходит. Однако нормы, касающиеся защиты авторских прав, не всегда подходят, хотя «основами гражданского законодательства» они распространены на программно-информационную продукцию. Для реализации авторского права на компьютерную информацию соответствующие нормы должны быть включены в ГК РФ. В связи с этим представляется целесообразным ввести в законодательство норму, трактующую хищение информации как уголовное преступление.

Проблема квалификации компьютерных преступлений, е «узкие места»

и возможные перспективы решения достаточно полно изложены в работах (4,5), откуда цитируются вышеуказанные предложения.

В качестве возможного правового решения этой проблемы можно привести некоторые положения проекта закона РФ «Об ответственности за правонарушения при работе с информацией (6).

Отличительной особенностью этого закона с точки зрения безопасности обрабатываемой информации можно признать статью 4, определяющую следующие основания уголовной административной или дисциплинарной ответственности за совершнные правонарушения:

1.- нарушение технологии обработки информации, норм и требований по е защищнности и правил доступа к ней;

1. - несанкционированный доступ (НСД) к информации, программным средствам или в информационную систему;

2. - хищение информации (как оконченное преступление или действие в составе: гос. Измены, шпионажа, незаконного присвоения, передачи и использования коммерческой тайны);

3. – неправомерное искажение, модификация и уничтожение информации и программных средств, изготовление заведомо непригодного программного обеспечения;

4. – изготовление и распространение программ-вирусов.

Кроме того, статья раздела 4, полностью посвящнного компьютерным правонарушениям, предусматривает уровень ответственности различных групп субъектов правовых отношений за возможные нарушения норм, требований и правил, установленных по отношению к обрабатываемой информации и самим информационным системам.

Исходя из приведнных правовых актов и предложений, можно определнным образом прогнозировать состояние законодательства в области безопасности информации при существующих тенденциях его развития.

Определнные особенности содержит в себе проблема доказательства вины правонарушения.

Зарубежные исследования показывают, что, несмотря на успехи отдельных злоумышленников в проникновении в компьютерные системы и сети, большую опасность представляют законные пользователи этих систем и сетей, которые повинны в 80% правонарушений.

Учитывая то обстоятельство, что терминалами АС, узлами сетей и даже отдельными ПЭВМ пользуется большое количество официально допущенных к работе пользователей, задача поиска правонарушителя серьзно затрудняется. Хотя в состав программного обеспечения АС, не говоря уже о современных системах защиты информации от НСД, входят средства контроля и протоколирования действий пользователей и посторонних лиц, доказать вину конкретного субъекта, предъявляя ему в качестве улики его идентификатор или пароль, достаточно сложно по двум причинам:

Во-первых, юридически очень сложно доказать, что эти атрибуты сохраняются в надлежащей тайне, к тому же пароли часто бывают групповыми.

Во-вторых, такие улики и способ их нахождения не зафиксированы законодательно. Более того, эти улики не являются неотъемлемыми характеристиками личности, какими являются, например, подпись или отпечатки пальцев в криминалистике.

Поэтому доказательства вины преступника или правонарушителя необходимо включить в законодательные нормы, дающие возможность в целях доступа в АС средства аутентификации личности по характеристикам, присущим конкретному субъекту, какими являются за рубежом средства распознавания пользователей:

по голосу по отпечаткам пальцев по геометрии кисти руки по радужной оболочке глаз по динамическим характеристикам подписи и т. д.

При рассмотрении проблемы подтверждения личности правонарушителя с помощью технических средств возникают следующие вопросы:

- какими техническими средствами можно обеспечить полную аутентификацию пользователя АС при правомерном или НСД доступе к информации?

- С какой вероятностью должен идентифицироваться пользователь АС в случае применения технических средств?

- какими методами или способами может быть признана подлинность пользователя?

И вс же основная проблема правового регулирования вопросов безопасности информации лежит не в этой плоскости.

Любой закон будет действовать только при условии предусмотрения механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого закона на всех условиях управления.

В этом смысле показательны законы ФРГ, Франции, директивы президенты США по защите информации.

Так в ФРГ – для реализации требований, правил и процедур по защите информации введн институт уполномоченных по защите, назначаемых законодательной властью, начиная от уровня федерального министерства ВД и кончая уровнем администрации любой фирмы. Во Франции на республиканском уровне соответствующие функции по защите информации выполняются Национальной комиссией по информатике и свободам, а в США – руководящей группой по обеспечению безопасности.

Подобная иерархическая структура управления деятельностью по обеспечению безопасности информации предусмотрена в законе (3), для координации организационно-методического руководства деятельностью в этой области, контроля защищнности информации, осуществления других связанных с этим функций.

С помощью правовых норм должны быть решены вопросы как:

- отнесение информации к категориям открытого доступа, определение полномочий по доступу к информации - права должностных лиц на установление и изменением полномочий - способы и процедуры доступа - порядок контроля, документирования и анализа действий персонала - ответственность за нарушение установленных требований и правил - соответствующие штрафные санкции Предложения по структуре законодательного обеспечения в области защиты информации изложены в (7).

Административное регулирование и практическая деятельность в области в нашей стране были связаны на начальном этапе своего развития, в основном, с защитой гос. секретов. Гос. секреты защищали прежде всего от утраты, утечки в традиционной сфере обращения документов, в меньшей степени придавая значение их защите при автоматизированной обработке. Вполне естественно поэтому, что не уделялось должного внимания защите от уничтожения или искажения информации в АС. Лишь в области передачи информации по линиям связи учитывалась возможность утечки секретной и навязывания ложной информации и велись работы по их предупреждению. В результате к концу 80-х годов сложилась ситуация, когда на гос. уровне отсутствовали утвержднные нормативно-технические требования по защите информации от НСД.

Единственным официальным документом, в очень общем виде, определявшим требования в этой области, была Инструкция по секретному делопроизводству, в ряде разделов которой содержались некоторые рекомендации по вопросам организации автоматизированной обработки информации. Это не означало, что в стране не занимались серьзно вопросами защиты информации от НСД, но организована эта работа была и координировалась на отраслевом уровне.

Для устранения этого недостатка по инициативе Гсотехкомиссии СССР (ныне Гостехкомиссия России) была разработана гос. научно-техническая программа по созданию средств вычислительной техники общего назначения в защищнном варианте, в которой большое внимание уделялось проведению исследований в разработке нормативно-технических документов в области защиты информации от НСД.

Серьзным результатом интеграции в рамках одного государственного органа всего комплекса вопросов по защите информации стала разработка и становление гос. системы защиты информации, предусматривающая реализацию единой научно-технической политики по комплексной защите информации на всех уровнях управления (8).

Эта система предусматривает создание и функционирование органа управления гос. системы защиты информации в лице Гостехкомиссии, осуществляющей координацию деятельности органов и организаций в области защиты информации, обрабатываемой техническими средствами, организационно-методическое руководство этой деятельностью, разработку и финансирование научно-технических программ по защите информации, утверждения нормативно-технической документации, функции гос. органа по сертификации продукции по требованиям безопасности информации, лицензирование деятельности предприятий по оказанию услуг в этой области.

Деятельность по защите секретной информации в информационных системах должна осуществляться во взаимодействии с органами гос.

безопасности. В этой работе Гостехкомиссия должна опираться на ведущие научные центры страны, специализирующиеся в различных направлениях безопасности информации, и отраслевые и республиканские органы защиты информации, являющиеся следующим уровнем управления и связующим звеном с предприятиями и организациями, испытывающими потребность в защите информации.

Гос. система защиты информации дополняется системой контроля защищнности информации в лице уполномоченных гос. органов, осуществляющих обязательный контроль за выполнением требований по защите информации, являющейся собственностью государства. Такие контрольные органы могут представлять для собственников негосударственной конфиденциальной информации услуги по оценке соответствия защищнности этой информации установленным требованиям.

Конкретная организационная структура гос. системы защиты информации может изменяться в зависимости от складывающейся политической и экономической ситуации, роль Гостехкомиссии в этой системе может играть другой гос. орган управления.

Необходимость существования гос. системы защиты информации и соответствующих организационных структур подтверждается не только в условиях административно-командной системы, но и в странах с развитыми рыночными отношениями. Зарождающаяся правовая основа защиты информации, приобретающая особенно большое значение в условиях сосуществоввания различных форм собственности, может опираться на конкретные организационные структуры, осуществляющие законотворческую деятельность и являющиеся базой механизма реализации законов. И органы комиссии как неотъемлемая принадлежность любого государства, в случае противоправной деятельности по отношению к информации должны опираться на какие-то организационные структуры.

Важными элементами гос. системы защиты информации является подсистема лицензирования деятельности предприятий по оказанию услуг в области защиты информации и подсистема сертификации средств вычислительной техники по требованиям безопасности информации. Функционирование указанных подсистем должно стимулировать разработку и внедрение современных, высококачественных технических средств и защищать потребителя продукции и услуг от недобросовестной работы исполнителя.

Подсистема лицензирования направлена на создание условий, при которых право заниматься работами по защите информации для стороннего заказчика предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию). (9) Подсистема сертификации СВТ по требованиям безопасности информации, одновременно составляет часть гос. системы сертификации продукции, действующей под управлением органов сертификации.(10) Более подробно вопросы сертификации и лицензирования в области защиты информации изложены в пособии (20).

Важным организационным документом гос. системы защиты информации является «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» (11), утвержднное 30 марта 1992 года председателем Гостехкомиссии.

Указанное положение устанавливает единый в стране порядок исследований, разработок, введение в действие и эксплуатации защищнных от НСД к информации СВТ и АС.

Положение определяет организационную структуру и порядок проведения работ, систему гос. нормативных актов, стандартов, руководящих документов по этой проблеме, порядок их эксплуатации и контроля защищнности.

Система нормативно-технических документов, предусмотренная положением, определяет работу в двух направлениях:

- разработка СВТ общего и специального назначения, защищнных от утечки, искажения, или уничтожения информации, включая разработку программных и технических средств и систем защиты информации от НСД ;

- разработка, внедрение и эксплуатация АС различного уровня и назначения, создаваемых как на базе защищнных СВТ, прошедших сертификационные испытания, так и на базе несертифицированных средств и систем защиты, например, систем собственной разработки;

Исходя из практических потребностей, в Положении определены различные варианты разработки защищнных СВТ, среди которых предусматривается разработка:

защищнных общесистемных программных средств (ОС, СУБД, телемониторов, сетевых программных средств);

- защищнных программных средств на базе общесистемного программного обеспечения, находящегося в эксплуатации и поставляемого вместе с незащищнными СВТ предприятиями-изготовителями или Гос. фондом алгоритмов и программ;

- защищнных программных средств на базе импортных общесистемных программных прототипов, что особенно актуально в наши дни для ПЭВМ и ПВС на их основе.

В положении изложены также порядок разработки, внедрения и эксплуатации средств криптографической защиты информации (СКЗИ) от НСД.

Управление государственной системой защиты информации.

Разработка и становление государственной системой ЗИ, предусматривает реализацию единой научно-технической политики по комплексной защите информации на всех уровнях управления. Эта система предусматривает создание и функционирование органа управления государственной системой ЗИ в лице Гостехкомиссии.

Необходимость существования гос. системы ЗИ подтверждается не только в условиях административно-командной системы, но и в условиях рыночных отношений, в условиях сосуществования различных форм собственности. Их деятельность может опираться только на конкретные организационные структуры, осуществляющие законотворческую деятельность и являющиеся базой механизма по реализации законов.

Гостехкомиссия России (орган управления гос. системы ЗИ) Координация Организационно- Разработку и Утверждает деятельности органов методическое финансирование научно-техническую и организаций в руководство научно-технических документацию области ЗИ, программ по защите деятельностью обрабатываемой информации техническими средствами подсистемы Лицензирование деятельности предприятий по Сертификация продукции по оказанию услуг в области ЗИ требованиям БИ дополняется Система контроля ЗИ Услуги по оценке состояния Уполномоченные гос. органы Уполномоченные гос. органы для уровня защиты СИ осуществляют контроль за собственников негос. Конфиденциальной установленным выполнением требований по ЗИ, информации. Осущ. Контроль за требованиям являющейся собственностью гос. выполнением требований по ЗИ.

Взаимодействие при ЗСИ в информационной системе осуществляется Ведущие н.т. центры Отраслевые и Органами ГБ специализированные в различных республиканские органы направлениях БИ ЗИ предприятия организации 3.1.2 Руководящие нормативно-технические, методические и организационные документы в области информационной безопасности Организационные документы, рассмотренные в предыдущем разделе, представляют собой пакет нормативных подзаконных актов гос. системы защиты информации, который дополняет и конкретизирует в организационном плане правовые акты.

Кроме них для нормальной деятельности в области безопасности информации необходим пакет нормативных документов технического характера:

- стандартов - руководящих документов - инструкций Как уже отмечалось, до последнего времени в области защиты информации от НСД в стране не существовало общегосударственных требований, хотя документ такого направления бал разработан и введн в действие для стран-членов СЭВ.



Pages:   || 2 | 3 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.