- •Южно-уральский государственный университет
- •Курс лекций
- •Информационная безопасность.
- •Челябинск
- •5.3 Система информационной безопасности предприятия. 16
- •Введение
- •5. Система информационной безопасности предприятия.
- •5.1 Основные определения. Информация1 и ее свойства.
- •5.2 Стандарты обеспечения информационной безопасности.
- •5.2.1 Роль стандартов информационной безопасности.
- •5.2.2 Документирование деятельности по обеспечению иб предприятия.11
- •Документы второго уровня
- •Документы третьего уровня
- •Документы четвертого уровня
- •5.3 Система информационной безопасности предприятия.
- •5.3.1 Основные положения.
- •5.3.2 Защита коммерческой тайны на предприятии.
- •5.3.3 Защита персональных данных на предприятии.
- •Глава 14 (ст. 85 - 90). Защита персональных данных работника.
- •5.3.4 Электронный документооборот. Электронная подпись.
- •Преследуемые цели39
- •Сущность цифровой подписи.
- •Удостоверяющий центр
- •Формирование и проверка эп
- •Секретные и открытые ключи
- •Средства эп
- •Криптографические хэш-функции
- •Комплексная защита сообщений
- •5.3.5 Ответственность за нарушения правил обращения с конфиденциальной информацией.
- •5.4 Создание системы информационной безопасности предприятия.
- •5.4.1 Основные цели, методы и принципы.
- •5.4.2 Методическое направление работ по созданию ксзи
- •5.4.3 Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности.
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •5.4.4 Техническое направление работ по созданию ксзи
- •5.4.5 Выводы. Как построить защищенную информационную систему?
- •5.5 Современные технологии защиты данных.43
- •5.5.1 Технология криптографической защиты информации.
- •5.5.2 Технологии аутентификации.
- •Приложение
- •Положение о коммерческой тайне
5.3 Система информационной безопасности предприятия.
5.3.1 Основные положения.
Процесс расширения границ информатизации современного общества приводит к расширению сферы отношений, регулируемых нормами информационного законодательства.
Выделим три группы отношений, достаточно емкие по содержанию:
1) отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации (ст. 29 Конституции РФ);
2) отношения, возникающие при применении информационных технологий и средств их обеспечения (например, правоотношения по созданию информационных сетей);
3) отношения, возникающие при защите информации (например, связанные с правом на защиту личной жизни, защиты информации от несанкционированного доступа).
Сущность и характер общественных отношений, возникающих между различными субъектами в информационной сфере, во многом определяются особенностями и юридическими свойствами информации - основного объекта, по поводу которого и возникают эти отношения. Объект информационных отношений обладает специфическими свойствами. Данная специфика предопределена многоаспектностью и многогранностью самого понятия «информация». Соответственно информационные отношения, как правило, не выступают в чистом виде. Чаще всего они сопровождают другие отношения в сфере управления, государственного строительства, международного сотрудничества, в области экономики, жизни граждан и т.д. Процессы этого сопровождения все чаще и чаще регламентируются законодательными и иными нормативными актами: устанавливаются обязательность предоставления соответствующих видов информации, порядок ее распространения, правила доступа к ней и ограничения, ответственность за определенные правонарушения, обеспечение информационной безопасности и т.д.14
П од информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Цель ИБ — обеспечение бесперебойной работы организации, минимизация ущерба от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.
ИБ достигается путем реализации соответствующего комплекса мероприятий по управлению ИБ, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей ИБ организации.
Организация эффективной и надежной защиты невозможна без предварительного анализа возможных угроз безопасности информации.
Информационная безопасность состоит из трех основных компонентов:
конфиденциальность: обеспечение доступа к информации только авторизованным пользователям;
целостность: обеспечение достоверности и полноты информации и методов ее обработки;
доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Нарушения конфиденциальности, целостности и доступности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.
Современная информационная система состоит из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:
аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
персонал - обслуживающий персонал и пользователи.
Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Причинами случайных воздействий при эксплуатации могут быть:
аварийные ситуации из-за стихийных бедствий и отключений электропитания;
отказы и сбои аппаратуры;
ошибки в программном обеспечении;
ошибки в работе персонала;
помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:
недовольством служащего своей карьерой;
взяткой;
любопытством;
конкурентной борьбой;
стремлением самоутвердиться любой ценой.
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке:
Через человека:
хищение носителей информации;
чтение информации с экрана или клавиатуры;
чтение информации из распечатки.
Через программу:
перехват паролей;
расшифровка зашифрованной информации;
копирование информации с носителя.
Через аппаратуру:
подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.
Компьютерные сети могут подвергаться удаленным атакам, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.
Виды тайн, предусмотренных законодательством России.
В настоящее время действует ряд законов, содержащих упоминание о различных видах тайн. Например, государственная, банковская, налоговая, коммерческая, служебная, врачебная, нотариальная тайны страхования, завещания, усыновления (удочерения) ребенка, переписки (переговоров, сообщений) с помощью различных средств связи, совещаний судей, персональных данных работника, следствия, голосования, личная, семейная и другие.
Однако в формальном смысле охраняемых законом тайн не так уж и много, ибо соответствующие правовые механизмы, обеспечивающие процедуру охраны ряда вышеуказанных тайн, во многих нормативных правовых актах отсутствуют, что позволяет признать их декларативными, так как соблюдение любой тайны предполагает в какой-то степени ограничение прав и свобод граждан России, что в силу части 3 ст. 55 Конституции РФ (в ред. от 30 декабря 2008 г.) возможно только на основании федерального закона.15
Говоря о защите информации, в рамках данного курса, предлагается следующая классификация тайн по семи категориям:
государственная тайна: защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст.2 ФЗ РФ «О государственной тайне»).
коммерческая тайна: информация составляет коммерческую тайну в случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, обладатель информации принимает меры к охране ее конфиденциальности (ст. 3 ФЗ РФ «О коммерческой тайне»).
банковская тайна: информация, доступ к которой банк, в соответствии с законом, имеет право ограничивать (ФЗ «О банках и банковской деятельности» ст. 26).
налоговая тайна: сведения о налогоплательщиках, за исключением, разглашенных налогоплательщиком самостоятельно или с его согласия, ИНН, о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения (ст.102 Налогового кодекса РФ).
профессиональная тайна: адвокатская16 (ст.8 ФЗ «Об адвокатской деятельности и адвокатуре в РФ»), врачебная17 (ст.61 «Основы законодательства РФ об охране здоровья граждан») и т.п.;
служебная тайна: то, что становится известным работнику во время исполнения служебных обязанностей, т.е. к его прямым профессиональным обязанностям не относится (ст.1470 ГК РФ).
персональные данные: сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. К таким данным, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. (Ст.3 ФЗ «О персональных данных»). Помимо этого законодателем установлены некоторые специальные категории персональных данных, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни физического лица, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека.
Последние шесть категорий составляют конфиденциальную информацию18. В отношении конфиденциальной информации режим защиты устанавливается собственником информационных ресурсов19.