- •Понятие информационной безопасности, смежные понятия.
- •2. Иб в системе национальной б рф.
- •3.Понятие и проблема инфо-й войны, информационный терроризм и т.П.
- •4. Проблемы региональной иб
- •5. Современное состояние проблем б и зи (тех аспекты).
- •6. Современное состояние проблем иб (гум аспекты).
- •7. Доктрина иб рф - структура, объект защиты.
- •1. Нац интересы рф в информационной сфере.
- •2. Их обеспечение.
- •8. Доктрина иб рф - основные источники угроз иб рф.
- •9. Доктрина иб рф - основные угрозы иб рф.
- •1.Гуманитарные
- •3.Технологические
- •4.Защиты инфор-ых ресурсов
- •10. Доктрина иб рф - основные задачи по обеспечению иб рф.
- •1.Гуманитарные
- •3.Технологические
- •4.Защиты инфор-ых ресурсов
- •13. Метамодель «объект-среда-защита» - основные представления.
- •2. Опасность, реализация к-рой становится весьма вероятной.
- •3. Фактор или совокупность факторов, создающих опасность объекту, т.Е.
- •1. Коэф-т готовности.
- •2. Коэф-т работоспособности.
- •1. Коэф-т готовности.
- •2. Коэф-т работоспособности.
- •1.Антропогенные. Обусловленные действиями субъекта
- •2.Стихийные. Обусловленные стихийными источниками
- •3.Техногенные. Обусловленные техническими средствами
- •1.Человеческий фактор
- •2.Документы
- •3.Технические каналы
- •4. Аппаратная реализация методов несанкционированного доступа к информации
- •5.Телефония
- •31. Роль и место криптографических средств защиты информации в обеспечении информационной безопасности
- •Профиль защиты
10. Доктрина иб рф - основные задачи по обеспечению иб рф.
Данный документ, «представляющий собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности» России, служит основой для «формирования государственной политики» в сфере информации.
Задачи:
1.Гуманитарные
1.01.Повысить эффек-ть использования инф-ой инфраструктуры в интересах общ-го развития.
1.02.Усовершенствовать систему рационального форм-ия, сохр инфо ресурсов составляющих основу научного и дух потенциала РФ.
1.03.Обеспечить конституционные права человека и гражданина, свободно искать и производить инфо, любым законным способом.
1.04.Обеспечить те же права и свободы на личную и семейную тайну.
1.05.Укрепить механизмы правового регулирования отношений в обл. охраны интеллектуальной собственности, конфиденциальности инфо.
1.06.Гарантировать свободу СМИ и запрет цензуры.
1.07.Недопускать пропаганду, агитацию для вражды.
1.08.Обеспечить запрет на сбор, хранение, использование инфо о частной жизни лица.
2.Гос-полит-ие
2.1.Укреплять гос СМИ и расширять их возможности.
2.2.Повысить эффективность инфор-ых гос ресурсов.
3.Технологические
3.1.Развивать и совершенствовать инфраструктуру РФ.
3.2.Развивать отеч. Индустрию инфо-ых услуг.
3.3.Обеспечить гос поддержку фундам-х и прикладных исследований.
3.4.Развивать производство конкурентно свободных средств связи.
4.Защиты инфор-ых ресурсов
4.01.Повысить безопасность инфор-х систем: систем связи органов власти, фин, банковских сфер, систем военного назначения.
4.02.Интентифицировать развитие отеч производства аппаратных средств ЗИ и методов контроля.
4.03.Обеспечить защиту сведений составляющих тайну.
4.04.Расширять м/народное сотрудничество.
11. Законодательство в сфере ИБ, основные правовые акты, характеристика
В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
законодательного;
административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
процедурного (меры безопасности, ориентированные на людей);
программно-технического.
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.
Мы будем различать на законодательном уровне две группы мер:
меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);
направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).
Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных средств обеспечения конфиденциальности.
Весьма продвинутым в плане информационной безопасности является Уголовный кодекс Российской Федерации. Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
статья 272. Неправомерный доступ к компьютерной информации;
статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;
статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Первая имеет дело с посягательствами на конфиденциальность, вторая - с вредоносным ПО, третья - с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне". В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации”. В нем даются основные определения и намечаются направления развития законодательства в данной области. Закон на первое место ставит сохранение конфиденциальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности сказано довольно мало.
Закон "Об электронной цифровой подписи", развивающий и конкретизирующий приведенные выше положения закона "Об информации...".
Закон "Об участии в международном информационном обмене"
В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии России, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года Руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защитных средств.
В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести российские стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них - необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских компаний. Второе - доминирование аппаратно-программных продуктов зарубежного производства.
12. Принцип целенаправленности в анализе Б и построения СЗИ.
Перед тем, как приступить к созданию системы защиты, всегда встает вопрос: а от чего же надо защититься? От того на сколько трезво будет дана оценка возникающим угрозам безопасности информации, во многом будет зависеть и выбор оптимального режима защиты.
В самом начале надо отметить определенные допущения. Условия: 1. Предположим, что у нас действительно есть информация, которую необходимо защищать от посторонних глаз. 2. Мы действительно здраво рассудив, идем на определенные затраты по созданию системы защиты информации. Правда, нам очень хочется затратить на это как можно меньше средств (как можно меньше - это не значит мало, это ровно столько сколько объективно требуется для защиты). Для этой цели там надо выбрать оптимальное соотношение методов защиты, максимально учитывающих уже сделанную какую-никакую работу.
1. Прежде всего попробуем определить что защищать, от кого или от чего защищать и уж потом решить вопрос как защищать. 2. От кого и от чего надо защищаться. 3. Как защищаться.
4. Выбор защиты (предлагаемые комплексы защиты).