Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Уральский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
КУРС_лекций_ИБП_12.doc
Скачиваний:
12
Добавлен:
11.09.2019
Размер:
880.64 Кб
Скачать
►Содержание►

5.3 Система информационной безопасности предприятия.

5.3.1 Основные положения.

Процесс расширения границ информатизации современного общества приводит к расширению сферы отношений, регулируемых нормами информационного законодательства.

Выделим три группы отношений, достаточно емкие по содержанию:

1) отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации (ст. 29 Конституции РФ);

2) отношения, возникающие при применении информационных технологий и средств их обеспечения (например, правоотношения по созданию информационных сетей);

3) отношения, возникающие при защите информации (например, связанные с правом на защиту личной жизни, защиты информации от несанкционированного доступа).

Сущность и характер общественных отношений, возникающих между различными субъектами в информационной сфере, во многом определяются особенностями и юридическими свойствами информации - основного объекта, по поводу которого и возникают эти отношения. Объект информационных отношений обладает специфическими свойствами. Данная специфика предопределена многоаспектностью и многогранностью самого понятия «информация». Соответственно информационные отношения, как правило, не выступают в чистом виде. Чаще всего они сопровождают другие отношения в сфере управления, государственного строительства, международного сотрудничества, в области экономики, жизни граждан и т.д. Процессы этого сопровождения все чаще и чаще регламентируются законодательными и иными нормативными актами: устанавливаются обязательность предоставления соответствующих видов информации, порядок ее распространения, правила доступа к ней и ограничения, ответственность за определенные правонарушения, обеспечение информационной безопасности и т.д.14

П од информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Цель ИБ — обеспечение бесперебойной работы организации, минимизация ущерба от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

ИБ достигается путем реализации соответствующего комплекса мероприятий по управлению ИБ, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей ИБ организации.

Организация эффективной и надежной защиты невозможна без предварительного анализа возможных угроз безопасности информации.

Информационная безопасность состоит из трех основных компонентов:

  1. конфиденциальность: обеспечение доступа к информации только авторизованным пользователям;

  2. целостность: обеспечение достоверности и полноты информации и методов ее обработки;

  3. доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Нарушения конфиденциальности, целостности и доступности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Современная информационная система состоит из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

  • аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

  • программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

  • данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

  • персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Причинами случайных воздействий при эксплуатации могут быть:

  • аварийные ситуации из-за стихийных бедствий и отключений электропитания;

  • отказы и сбои аппаратуры;

  • ошибки в программном обеспечении;

  • ошибки в работе персонала;

  • помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

  • недовольством служащего своей карьерой;

  • взяткой;

  • любопытством;

  • конкурентной борьбой;

  • стремлением самоутвердиться любой ценой.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке:

  • Через человека:

    • хищение носителей информации;

    • чтение информации с экрана или клавиатуры;

    • чтение информации из распечатки.

  • Через программу:

    • перехват паролей;

    • расшифровка зашифрованной информации;

    • копирование информации с носителя.

  • Через аппаратуру:

    • подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

    • перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Компьютерные сети могут подвергаться удаленным атакам, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.

Виды тайн, предусмотренных законодательством России.

В настоящее время действует ряд законов, содержащих упоминание о различных видах тайн. Например, государственная, банковская, налоговая, коммерческая, служебная, врачебная, нотариальная тайны страхования, завещания, усыновления (удочерения) ребенка, переписки (переговоров, сообщений) с помощью различных средств связи, совещаний судей, персональных данных работника, следствия, голосования, личная, семейная и другие.

Однако в формальном смысле охраняемых законом тайн не так уж и много, ибо соответствующие правовые механизмы, обеспечивающие процедуру охраны ряда вышеуказанных тайн, во многих нормативных правовых актах отсутствуют, что позволяет признать их декларативными, так как соблюдение любой тайны предполагает в какой-то степени ограничение прав и свобод граждан России, что в силу части 3 ст. 55 Конституции РФ (в ред. от 30 декабря 2008 г.) возможно только на основании федерального закона.15

Говоря о защите информации, в рамках данного курса, предлагается следующая классификация тайн по семи категориям:

    1. государственная тайна: защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст.2 ФЗ РФ «О государственной тайне»).

    2. коммерческая тайна: информация составляет коммерческую тайну в случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, обладатель информации принимает меры к охране ее конфиденциальности (ст. 3 ФЗ РФ «О коммерческой тайне»).

    3. банковская тайна: информация, доступ к которой банк, в соответствии с законом, имеет право ограничивать (ФЗ «О банках и банковской деятельности» ст. 26).

    4. налоговая тайна: сведения о налогоплательщиках, за исключением, разглашенных налогоплательщиком самостоятельно или с его согласия, ИНН, о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения (ст.102 Налогового кодекса РФ).

    5. профессиональная тайна: адвокатская16 (ст.8 ФЗ «Об адвокатской деятельности и адвокатуре в РФ»), врачебная17 (ст.61 «Основы законодательства РФ об охране здоровья граждан») и т.п.;

    6. служебная тайна: то, что становится известным работнику во время исполнения служебных обязанностей, т.е. к его прямым профессиональным обязанностям не относится (ст.1470 ГК РФ).

    7. персональные данные: сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. К таким данным, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. (Ст.3 ФЗ «О персональных данных»). Помимо этого законодателем установлены некоторые специальные категории персональных данных, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни физического лица, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека.

Последние шесть категорий составляют конфиденциальную информацию18. В отношении конфиденциальной информации режим защиты устанавливается собственником информационных ресурсов19.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности