Главная » Учебно-методические материалы » ТЕХНИЧЕСКИЕ ДИСЦИПЛИНЫ » Информационная безопасность: курс лекций (СИБИТ)

ТЕМА 6. ОРГАНИЗАЦИОННО-ПРАВОВЫЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
10.11.2017, 12:28

Организационные методы защиты информации

Организационные методы защиты информации делятся на организационно- административные и организационно-технические методы защиты.

Организационно-административные методы защиты

Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется.

Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно- административным мероприятиям защиты информации относятся:

· выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

· выделение специальных ЭВМ для обработки конфиденциальной информации, организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

· использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

· организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

· организация регламентированного доступа пользователей к работе на ЭВМ, средствах связи и в хранилищах носителей конфиденциальной информации, установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

· разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации, постоянный контроль за соблюдением установленных требований по защите информации.

Организационно-технические методы защиты информации

Организационно-технические методы защиты информации охватывают все структурные элементы автоматизированных информационных систем на всех этапах их жизненного цикла. Организационно-техническая защита информации обеспечивается осуществлением следующих мероприятий: ограничением доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков, отключением ЭВМ от локальной вычислительной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случаев передачи этой информации по каналам связи, использованием для отображения конфиденциальной информации жидкокристаллических, а для печати - струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу. При использовании обычных дисплеев и принтеров с этой же целью рекомендуется включать устройства, создающие дополнительный шумовой эффект (фон) - генераторы шума, кондиционер, вентилятор, или обрабатывать другую информацию на рядом стоящей ЭВМ, установкой клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу, размещением оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 метров от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры; организацией электропитания ЭВМ от отдельного блока питания, использованием бесперебойных источников питания для персональных компьютеров для силовых электрических сетей с неустойчивым напряжением и плавающей частотой. Основное назначение бесперебойных источников питания (БИП) - поддержание работы компьютера после исчезновения напряжения в электрической сети. Это обеспечивается за счет встроенных аккумуляторов, которые подзаряжаются во время нормальной работы. БИП мгновенно предупредит своего владельца об аварии электропитания и позволит ему в течение некоторого времени (от нескольких минут до нескольких часов) аккуратно закрыть файлы и закончить работу. Кроме обычных для БИП функций, они могут выполнять функцию высококлассного стабилизатора напряжения и электрического фильтра. Важной особенностью устройства является возможность непосредственной связи между ним и сетевой операционной системой.

Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы

В России в апреле 1992 г. была утверждена «Программа подготовки законодательного и нормативного обеспечения работ в области информатизации». В соответствии с этой Программой была намечена разработка базового Закона Российской Федерации в области информатизации «Об информации, информатизации и защите информации», а также специальных законов «О государственной тайне», «О коммерческой тайне», «Об ответственности за злоупотребления при работе с информацией» и др.

Основные государственные акты, регламентирующие защиту информации: Конституция Российской Федерации, Гражданский Кодекс Российской Федерации, Уголовный Кодекс Российской Федерации, Декларация прав и свобод человека и гражданина Российской Федерации, Законы Российской Федерации, Указы Президента Российской Федерации, Распоряжения Президента Российской Федерации, Постановления Правительства Российской Федерации, Решения Гостехкомиссии России, Совместные решения Гостехкомиссии России и ФАПСИ, Руководящие документы Гостехкомиссии России, Документы по созданию автоматизированных систем и систем защиты информации, Стандарты по защите от несанкционированного доступа (НСД) к информации, Стандарты по криптографической защите и ЭЦП, Стандарты, применяемые при оценке качества объектов информатизации, Нормативные документы, регламентирующие сохранность информации на объекте информатизации, Стандарты ЕСПД, ЕСКД, СРПП, Стандарты в области терминов и определений, Законы Российской Федерации и др.

Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства

Основные задачи государственных органов в сфере информационной безопасности связаны с охраной общественных интересов, предотвращением противоправной деятельности, а также с защитой информации, имеющей государственную важность (военных сведений, информации о космических и ядерных технологиях и т.п.). При этом решение вопросов информационной безопасности в частном секторе экономики, как правило, является прерогативой самих частных компаний и организаций, а вмешательство государства в эту сферу должно быть минимизировано. Таким образом, на практике деятельность органов власти, как правило, концентрируется на решении вопросов информационной безопасности внутри отдельных сфер, которые считаются наиболее важными для обеспечения государственной безопасности и достижения политических целей: вооруженные силы, внешняя разведка, стратегические технологии (например, космические, атомные и военные), государственные финансы, общественная стабильность и некоторые другие. Решению вопросов информационной безопасности в других областях государственными органами, как правило, уделяется меньше внимания. Государственные органы могут решать определенные задачи информационной безопасности, не относящиеся напрямую к защите государственных информационных систем, в тех случаях, когда выгоды от государственного вмешательства существенно превышают затраты и решения, предлагаемые государством, не составляют конкуренции альтернативным решениям (услугам, технологиям, методикам и т.п.), которые предлагаются (или потенциально могут быть предложены) частными компаниями.

Деятельность государства в сфере информационной безопасности, как правило, строится на более общих задачах государственной власти, таких как:

· сохранение суверенитета государства;

· сохранение государственной и политической стабильности в стране;

· сохранение и развитие демократических институтов общества, а также обеспечение прав и свобод граждан;

· укрепление законности и правопорядка;

· обеспечение социально-экономического развития страны и устойчивости финансовой системы;

· участие в жизни международного сообщества.

Особенности сертификации и стандартизации криптографических услуг

Процесс синтеза и анализа СКЗИ отличается высокой сложностью и трудоемкостью, поскольку необходим всесторонний учет влияния перечисленных выше угроз на надежность реализации СКЗИ. В связи с этим практически во всех странах, обладающих развитыми криптографическими технологиями, разработка СКЗИ относится к сфере государственного регулирования. Государственное регулирование включает, как правило, лицензирование деятельности, связанной с разработкой и эксплуатацией криптографических средств, сертификацию СКЗИ и стандартизацию алгоритмов криптографических преобразований.

В России в настоящее время организационно-правовые и научно-технические проблемы синтеза и анализа СКЗИ находятся в компетенции Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации.

Правовая сторона разработки и использования СКЗИ регламентируется в основном указом Президента Российской Федерации от 03.04.95 № 334 с учетом принятых ранее законодательных и нормативных актов РФ.

Дополнительно учитываемой законодательной базой являются законы: "О федеральных органах правительственной связи и информации", "О государственной тайне", "Об информации, информатизации и защите информации", "О сертификации продукции и услуг".

Лицензированию подлежат следующие виды деятельности:

1. Разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации.

2. Разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации.

3. Разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация закрытых систем и комплексов телекоммуникаций органов власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности (далее - закрытых систем и комплексов телекоммуникаций), предназначенных для передачи информации, составляющей государственную или иную охраняемую законом тайну.

4. Проведение сертификационных испытаний, реализация и эксплуатация шифровальных средств, закрытых систем и комплексов телекоммуникаций, предназначенных для обработки информации, не содержащей сведений, составляющих государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации.

К шифровальным средствам относятся:

1. Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику.

2. Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от несанкционированного доступа к информации при ее обработке и хранении.

3. Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от навязывания ложной информации, включая средства имитозащиты и "цифровой подписи".

4. Аппаратные, аппаратно-программные и программные средства для изготовления ключевых документов к шифровальным средствам независимо от вида носителя ключевой информации.

К закрытым системам и комплексам телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер.

Порядок сертификации СКЗИ установлен Системой сертификации средств криптографической защиты информации РОСС.Р11.0001.030001 Госстандарта России.

Стандартизация алгоритмов криптографических преобразований включает всесторонние исследования и публикацию в виде стандартов элементов криптографических процедур с целью использования разработчиками СКЗИ апробированных криптографически стойких преобразований, обеспечения возможности совместной работы различных СКЗИ, а также возможности тестирования и проверки соответствия реализации СКЗИ заданному стандартом алгоритму.

В России приняты следующие стандарты:

1. алгоритм криптографического преобразования 28147-89;

2. алгоритмы хеширования, простановки и проверки цифровой подписи Р34.10.94 и Р34.11.94.

Из зарубежных стандартов широко известны и применяются алгоритмы шифрования DES, RC2, RC4, алгоритмы хеширования МD2, МD4 и МD5, алгоритмы простановки и проверки цифровой подписи DSS и RSA.

Подводя итоги, можно указать примерные пути развития информационных технологий в рамках защищенных АС, опирающиеся на применение криптографических механизмов:

1. Ориентация на шифрование группового массива данных и защиту целостности отдельных объектов АС типа исполняемые модули (из которых происходит порождение субъектов).

2. Полное управление защитой только со стороны администратора сети. Реализация процедур изоляции ключей пользователей от администратора программными мерами (существование ключей только внутри программ и их уничтожение сразу после использования, хранение ключей в объектах АС, недоступных обычным пользователям).

3. Работа администратора с выделенной рабочей станцией с реализацией принципов централизованного управления СКЗИ.

4. Разделяемость клиентской части СКЗИ (рабочая станция) на отдельные модули и индивидуальные структуры данных для этих модулей.

5. Администрирование сетевых криптографически защищенных ресурсов преимущественно без участия владельцев индивидуальных ключей. Возможность установки защиты самим пользователем.

6. Локальная интероперабельность - реализация защитных механизмов СКЗИ для некоторого подмножества файлово-совместимых ОС на рабочей станции и любого ПО на сервере.

7. Существование у пользователя индивидуальных данных (возможность этого задается дополнительными атрибутами защиты - право порождения ключа для защиты локальных данных, возможность отключения администратора СКЗИ от своего криптографически защищенного объекта, возможность создания объекта индивидуального доступа, право допустить к объекту другого пользователя).

8. Использование открытого интерфейса криптографических функций. Организация универсальных структур данных под переменные длины ключей и имитовставок.

9. Реализация процедуры единого выхода во внешнюю  сеть  -  через  почтовую  СКЗИ - шлюз, либо шифрование объектов транспортной системы АС.

10.Снабжение клиента пользовательским интерфейсом (через функции открытого интерфейса), с помощью которого он может встраивать в свои приложения (в основном клиенты СУБД) криптографические функции.

На основании изложенных выше положений можно сделать вывод о том, что перспективные технологии применения криптографической защиты развиваются в направлении применения открытых интерфейсов криптографических функций, а также использования собственных вычислительных ресурсов прикладных средств.

Законодательная база информационной безопасности

Федеральные законы РФ. Указы президента РФ.

Постановления правительства РФ. Нормативные документы ФСТЭК России. Нормативные документы ФСБ России.

Нормативные документы Роскомнадзора. Концепция информационной безопасности.

Ответственность за нарушения и преступления в информационной сфере.

Место информационной безопасности экономических систем в национальной безопасности страны

Информационная безопасность играет ключевую роль в обеспечении жизненно важных интересов Российской Федерации. Это, в первую очередь, обусловлено насущной потребностью, создания развитой и защищенной информационной среды общества. Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства.

В политической сфере все большее значение приобретают информационные факторы. В традиционном противостоянии политических соперников растут удельный вес и значимость информационно-психологического воздействия.

Экономический потенциал государства все в большей степени определяется объемом информационных ресурсов и уровнем развития информационной инфраструктуры. В то же время растет уязвимость экономических структур от недостоверности, запаздывания и незаконного использования экономической информации.

В военной сфере исход вооружённой борьбы все в большей степени зависит от качества добываемой информации и уровня развития информационных технологий, на которых основываются системы разведки, радиоэлектронной борьбы, управления войсками и высокоточным оружием.

В сфере духовной жизни возникает опасность развития в обществе агрессивной потребительской идеологии, тотальной коммерциализации культуры, распространения идей насилия и нетерпимости, воздействия на психику разрушительных форм мифологизированного сознания. Эти угрозы и защита от них, а также утверждение нравственных ценностей реализуются внутри информационной среды и прежде всего через средства массовой информации и формирования общественного мнения.

Информационная среда, являясь системообразующим фактором во всех сферах национальной безопасности, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации. В то же время она представляет собой самостоятельную сферу национальной безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию государства, юридических лиц, граждан.

Концепция информационной безопасности

В Концепции информационной безопасности Российской Федерации (далее - Концепция) на основе анализа современного состояния информационной безопасности определены цели, задачи и ключевые проблемы обеспечения информационной безопасности.

Рассмотрены объекты, угрозы информационной безопасности и возможные их последствия, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности государства.

Излагаются основные положения государственной политики обеспечения информационной безопасности в Российской Федерации, организационная структура и принципы построения системы информационной безопасности.

Концепция служит методологической основой разработки комплекса нормативно- правовых и организационно-методических документов, регламентирующих деятельность в области информационной безопасности органов представительной, исполнительной и судебной властей Российской Федерации, субъектов Российской Федерации, органов местного самоуправления (далее - органы государственной власти и управления), предприятий, учреждений и организаций независимо от их организационно-правовой формы и формы собственности (далее - предприятия).





БАНКОВСКОЕ ДЕЛО
БУХГАЛТЕРСКИЙ УЧЕТ
БЮДЖЕТ И БЮДЖЕТНАЯ СИСТЕМА РФ
ВЫСШАЯ МАТЕМАТИКА, ТВ и МС, МАТ. МЕТОДЫ
ГУМАНИТАРНЫЕ НАУКИ
ДОКУМЕНТОВЕДЕНИЕ И ДЕЛОПРОИЗВОДСТВО
ДРУГИЕ ЭКОНОМИЧЕСКИЕ ДИСЦИПЛИНЫ
ЕСТЕСТВЕННЫЕ ДИСЦИПЛИНЫ
ИНВЕСТИЦИИ
ИССЛЕДОВАНИЕ СИСТЕМ УПРАВЛЕНИЯ
МАРКЕТИНГ
МЕНЕДЖМЕНТ
МЕТ. РЕКОМЕНДАЦИИ, ПРИМЕРЫ РЕШЕНИЯ ЗАДАЧ
МИРОВАЯ ЭКОНОМИКА И МЭО
НАЛОГИ И НАЛОГООБЛОЖЕНИЕ
ПЛАНИРОВАНИЕ И ПРОГНОЗИРОВАНИЕ
РАЗРАБОТКА УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ
РЫНОК ЦЕННЫХ БУМАГ
СТАТИСТИКА
ТЕХНИЧЕСКИЕ ДИСЦИПЛИНЫ
УЧЕБНИКИ, ЛЕКЦИИ, ШПАРГАЛКИ (СКАЧАТЬ)
ФИНАНСОВЫЙ МЕНЕДЖМЕНТ
ФИНАНСЫ, ДЕНЕЖНОЕ ОБРАЩЕНИЕ И КРЕДИТ
ЦЕНЫ И ЦЕНООБРАЗОВАНИЕ
ЭКОНОМИКА
ЭКОНОМИКА, ОРГ-ЦИЯ И УПР-НИЕ ПРЕДПРИЯТИЕМ
ЭКОНОМИКА И СОЦИОЛОГИЯ ТРУДА
ЭКОНОМИЧЕСКАЯ ТЕОРИЯ (МИКРО-, МАКРО)
ЭКОНОМИЧЕСКИЙ АНАЛИЗ
ЭКОНОМЕТРИКА
ЮРИСПРУДЕНЦИЯ