Классификация мер обеспечения безопасности компьютерных систем
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на правовые (законодательные), морально-этические, организационные (административные), физические и инженерно-технические (аппаратурные и программные) (рис.3.1).
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации, и являющиеся сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, в отличие от законодательных утвержденные нормативных актов, однако их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.
Рис. 3.1. Схема классификации мер обеспечения безопасности компьютерных систем
Организационные (административные) меры защиты— это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;
мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
мероприятия, осуществляемые при подборе и подготовке персонала системы;
организацию охраны и надежного пропускного режима;
организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
организацию явного и скрытого контроля за работой пользователей;
мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.
Организационные меры обеспечивают исполнение существующих нормативных актов и строятся с учетом существующих правил поведения, принятых в стране и/или организации;
Воплощение организационных мер требует создания нормативных документов;
Для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами;
Применение и использование технических средств защиты требует соответствующей организационной поддержки;
Утверждение норм поведения персонала — в актах обязательского права.
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена в рис.3.2.
Рис. 3.2. Взаимосвязь мер обеспечения безопасности
Правовая защита информационного ресурса признана как на международном, так и на государственном уровнях. На международном уровне она определяется соответствующими конвенциями, декларациями и реализуется путем патентования, защиты авторских прав и лицензирования на определенный вид деятельности и владение соответствующей информацией (табл.3.1).
На государственном уровне правовая защита реализуется государственными и ведомственными нормативными актами:
Конституция РФ;
Законы РФ, принятые Государственной думой;
Гражданские, административные, уголовные кодексы;
Приказы, положения, инструкции.
Примечание. в дополнении к закону об информации, информатизации и защите информации приняты: закон о правовой охране программ для ЭВМ и баз данных, закон по топологии интегральных микросхем и др.
Правовой режим работы с информацией ограниченного доступа определяется двумя законами:
Закон о государственной тайне (рис. 3.3);
Закон о коммерческой тайне.
Таблица 3.1. Иерархическая структура правовой защиты
| 1 блок
| Конституционное законодательство, нормы по вопросам защиты информации
|
| 2 блок
| Общие законы и кодексы (законы о собственности, о правах граждан, о гражданстве, о налогах, которые включают нормы по защите информации)
|
| 3 блок
| Законы об организации управления ( касаются отдельных структур экономики, хозяйства, административно-государственных органов)
|
| 4 блок
| Специальные законы, относящиеся к конкретным сферам информационной деятельности (важнейшим является Федеральный закон об информации, информатизации и защите информации*)
|
| 5 блок
| Законодательство субъектов РФ по вопросам защиты информации
|
| 6 блок
| Подзаконные нормативные акты, конкретизирующие использование конкретных законов в конкретных условиях практической деятельности.
|
| 7 блок | Правоохранительное законодательство РФ, которое содержит сведения об ответственности за правонарушение в сфере информационной деятельности
|
В соответствии со СТ.139 «Служебная тайна» ГК РФ тайна представляет собой информацию, которая имеет действительную или потенциальную коммерческую ценность (рис 3.4).
К конфиденциальным могут быть отнесены сведения, которые соответствуют перечню, утвержденному Указом Президента от 06.03.97 «Об утверждении перечня сведений конфиденциального характера»
Устанавливается несколько степеней секретности сведений, составляющих государственную тайну:
особо важно (ОВ);
совершенно секретно (СС);
секретно (С).
Таблица 3.2 Виды конфиденциальной информации
| Конфиденциальная информация | Личная | Сведения о фактах, событиях, частной жизни граждан, позволяющие идентифицировать его личность |
| Судебно-следственная | Информация, составляющая тайну следствия
| |
| Служебная | Информация, доступ к которой ограничен органами гос. власти
| |
| Профессиональная | Сведения (врачебная, нотариальная, адвокатская и пр. информация, касающаяся профессиональной деятельности человека
| |
| Коммерческая | Сведения, связанные с коммерческой деятельностью
| |
| Производственная | Сведения о сущности изобретений до официальных публикаций, патентования либо иной формы защиты авторских прав
|
В Ст.21 Закона определяется допуск должностных лиц к государственной тайне, а также основания для отказа должностному лицу в допуске к государственной тайне.
Рис. 3.3. Схема сведений, относящихся к государственной тайне
Рис. 3.4. Схема сведений, не подлежащих закрытию
- Федеральное агентство по образованию
- Лекция 1. Информационная безопасность Предисловие
- Современная ситуация в области информационной безопасности
- Проблемы безопасности лвс
- Термины и определения
- Рис 1.3. Схема обеспечения безопасности информации
- Классификация методов и средств защиты информации
- Безопасности
- Классификация угроз безопасности
- Основные непреднамеренные искусственные угрозы
- Неформальная модель нарушителя в ас
- Причины возникновения угроз ас и последствия воздействий
- Лекция 3. Основные направления защиты информации Классификация мер обеспечения информационной безопасности
- Классификация мер обеспечения безопасности компьютерных систем
- Закон о коммерческой тайне предприятия
- Лекция 4. Пакет руководящих документов Государственной технической комиссии при Президенте Российской Федерации
- Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
- Документы Гостехкомиссии России о модели нарушителя в автоматизированной системе
- Классификация защищенности средств вычислительной техники. Классификация защищенности автоматизированных систем
- Показатели защищенности межсетевых экранов
- Общие положения:
- Лекция 5. Организационные меры защиты информации
- Организационная структура, основные функции службы компьютерной безопасности
- Перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации от нсд
- Планирование восстановительных работ
- Лекция 6. Административный уровень информационной безопасности
- Политика безопасности
- Программа безопасности
- Синхронизация программы безопасности с жизненным циклом систем
- Лекция 7. Управление рисками
- Подготовительные этапы управления рисками
- Основные этапы управления рисками
- Управление рисками при проектировании систем безопасности. Анализ рисков
- Рис 7.1. Схема подходов к проведению анализа рисков Общая схема анализа рисков
- Основные подходы к анализу рисков
- Анализ рисков в информационных системах с повышенными требованиями к безопасности
- Определение ценности ресурсов
- Оценка характеристик факторов риска
- Ранжирование угроз
- Оценивание показателей частоты повторяемости и возможного ущерба от риска
- Оценивание уровней рисков
- Лекция 8. Процедурный уровень информационной безопасности Основные классы мер процедурного уровня
- Управление персоналом
- Физическая защита
- Поддержание работоспособности
- Реагирование на нарушения режима безопасности
- Планирование восстановительных работ
- Лекция 9. Аппаратно-программные средства защиты
- Основные механизмы защиты компьютерных систем от проникновения в целях дезорганизации их работы и нсд к информации
- Основные понятия программно-технического уровня информационной безопасности
- Идентификация и аутентификация
- Парольная аутентификация
- Одноразовые пароли
- Сервер аутентификации Kerberos
- Идентификация и аутентификация с помощью биометрических данных
- Управление доступом
- Ролевое управление доступом
- Модель безопасности БеллаЛа Падулы
- Р Нарушениесвойства Ограниченияис.9.4. Схема запрещенного взаимодействия конфиденциального объекта
- Системы разграничения доступа
- Диспетчер доступа. Сущность концепции диспетчера доступа состоит в том, что некоторый абстрактный механизм является посредником при всех обращениях субъектов к объектам (рис.9.5).
- Атрибутные схемы
- Лекция 10. Основные понятия криптологии, криптографии и криптоанализа
- Краткая история. Традиционные симметричные криптосистемы
- Симметричные системы с закрытым (секретным) ключом
- Алгоритмы des и Тройной des
- Алгоритм idea
- Алгоритм гост 28147-89
- Асимметричные системы с открытым ключом. Математические основы шифрования с открытым ключом
- Алгоритм rsa (Rivest, Shamir, Adleman)
- Алгоритм Эль Гамаля
- Лекция 11. Электронная цифровая подпись
- Контроль целостности
- Цифровые сертификаты
- Основные типы криптоаналитических атак
- Лекция 12. Управление механизмами защиты
- Система обеспечения иб рф, ее основные функции и организационные основы
- Общие методы обеспечения иб рф
- Особенности обеспечения иб рф в различных сферах жизни общества
- Организационные, физико-технические, информационные и программно-математические угрозы. Комплексные и глобальные угрозы иб деятельности человечества и обществ
- Источники угроз иб рф
- Организационное и правовое обеспечение
- Информационной безопасности рф. Правовое
- Регулирование информационных потоков
- В различных видах деятельности общества
- Международные и отечественные правовые и нормативные акты обеспечения иб процессов переработки информации
- Организационное регулирование защиты процессов переработки информации
- Категорирование объектов и защита информационной собственности
- Лекция 14. Методологические основы
- Обеспечения информационной безопасности
- Жизнедеятельности общества и его структур
- Современные подходы к обеспечению решения проблем иб деятельности общества
- Методология информационного противоборства.
- Информационно - манипулятивные технологии
- Технологии информационного противоборства в Интернете и их анализ
- Лекция 15. Всемирная паутина - World Wide Web (www)
- Поиск информации в Интернете с помощью браузера
- Примеры политик для поиска информации
- Веб-серверы
- Примеры политик веб-серверов
- Лекция 16. Электронная почта Использование электронной почты
- Основы e-mail
- Угрозы, связанные с электронной почтой
- Защита электронной почты
- Хранение электронных писем
- Приложения
- Законодательство Российской Федерации по вопросам обеспечения информационной безопасности Основы законодательства России по вопросам защиты информации
- Глава 19. Преступления против конституционных прав и свобод человека и гражданина
- Глава 23. Преступления против интересов службы в коммерческих и иных организациях.
- Глава 22. Преступления в сфере экономической деятельности
- Глава 25. Преступления против здоровья населения и общественной нравственности
- Глава 29. Преступления против основ конституционного строя и безопасности государства
- Глава 28. Преступления в сфере компьютерной информации
- Глава 6. Общие положения:
- Глава 38. Выполнение научно-исследовательских, опытно-конструкторских и технологических работ.
- Глава 45. Банковский счет:
- Глава 48. Страхование
- Важнейшие законодательные акты в области защиты информации
- 3.2.1. Закон рф «о государственной тайне»”
- Раздел VI, статья 20 Закона относит к органам, осуществляющим защиту государственной тайны на территории Российской Федерации, следующие организации:
- Закон рф “Об информации, информатизации и защите информации”
- Защита конфиденциальной информации