18.1Предмет законодательства
Для создания и поддержания необходимого уровня защищенности объектов ИС разрабатывается система правовых норм, регулирующих отношения сотрудников в сфере безопасности, определяются основные направления деятельности в данной области, формируются органы обеспечения безопасности и механизмы контроля их деятельности.
Основными принципами обеспечения безопасности являются законность, достаточность, соблюдение баланса личных интересов и предприятия, взаимная ответственность персонала и руководства взаимодействие с государственными правоохранительными органами.
Правовые или законодательные основы обеспечения безопасности ИС составляют Конституция РФ, Законы РФ, Кодексы, указы и другие нормативные акты, регулирующие отношения в области информации.
Предметами правового регулирования в этом плане являются:
Правовой режим информации, средств информатики, индустрии информатизации и систем информационных услуг в условиях риска, средства и формы защиты информации.
Правовой статус участников правоотношений в процессах информатизации (определение права на информацию, гарантий и защиты прав и установления ответственности в зависимости от ролей субъектов в процессе информатизации).
Порядок отношений субъектов с учетом их правового статуса на различных стадиях и уровнях процесса функционирования информационных структур и систем.
Законодательство по информационной безопасности можно представить как неотъемлемую часть всей системы законов Российской Федерации, в том числе:
— Конституционное законодательство. Нормы, касающиеся вопросов информатизации, входят в них как составные элементы.
— Общие основные законы (о собственности, недрах, земле, о правах граждан, гражданстве, налогах), включают нормы по вопросам информатизации.
— Законы по организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам информации. Наряду с общими вопросами информационного обеспечения деятельности конкретного органа эти нормы должны устанавливать обязанность органа по формированию и актуализации систем и массивов (банков) информации.
— Специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входят законы по информатизации. Именно состав и содержание этих законов образуют специальное законодательство как основу правового обеспечения информатизации и защиту информации.
— Подзаконные нормативные акты в области информатизации.
— Правоохранительное законодательство РФ, содержащее нормы ответственности за правонарушения в области информатизации.
Специальное законодательство в области информатизации представляется совокупностью законов. В их составе особое место принадлежит базовому закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов процесса информатизации:
информатизации и информационных систем;
субъектов — участников процесса;
правоотношений производителей — потребителей информационной продукции, владельцев информации;
обработчиков и потребителей на основе отношение собственности при обеспечении гарантий интересов граждан и государства.
Другой закон — "Об охране прав граждан в условиях информатизации" — отвечает мировой практике защиты интересов отдельной личности; права на личную жизнь в части, связанной с информацией, обеспечивают механизмы и процедуры правовой защиты информации, принадлежащей гражданам, информации о гражданах, информации, потребляемой гражданами в связи с реализацией их права и обязанностей; ответственность государства и других структур общества за соблюдение прав и интересов граждан России, иностранных граждан.
Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах «О государственной тайне» и «О коммерческой тайне».
В 1992 г.был принят специальный закон «О правовой охране программ для ЭВМ и баз данных». Одновременно с указанным законом был принят Закон РФ «О правовой охране технологии интегральных микросхем». Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базы данных, технологии интегральных микросхем и программы для ЭВМ.
К правовому обеспечению относятся и такие формы как составление договоров на проведение работ и на оказание информационных услуг. Здесь правовая гарантия предусматривается определенными условиями ответственности за нарушение сторонами принятых обязательство (помимо возмещения убытков возможны штрафные санкции).
Помимо этих гарантий стороны могут прибегнуть к страхованию убытков. Тогда они в договоре определяют, какая именно сторона заключает договор страхования со страховой компанией, а также случаи возникновения убытков, подлежащих страхованию. Как правило, страхование берет на себя исполнитель, но тогда страховая сумма учитывается при определении цены договора.
- 1Угрозы информационным системам. Факторы, приводящие к информационным потерям
- 1.1Введение
- 1.2Осуществление угроз информационным ресурсам
- 1.3Факторы, приводящие к информационным потерям
- 1.4Виды угроз информации
- 1.5Источники возникновения угроз
- 2Криптография. Симметричные алгоритмы шифрования.
- 2.1Введение
- 2.2Терминология
- 2.3Симметричные криптосистемы
- 2.4Алгоритм Цезаря
- 2.5Алгоритм замены полиалфавитный
- 2.6Алгоритм замены с большим ключом
- 2.7Перестановки.
- 2.8Гаммирование.
- 3Криптография. Несимметричные алгоритмы шифрования.
- 3.1Системы с открытым ключом
- 3.2Алгоритм Диффи-Хеллмана – протокол генерации секретного ключа.
- 3.3Описание системы с открытым ключом
- 3.4Алгоритм rsa
- 3.5Практическая реализация rsa
- 3.6Пример 1 rsa.
- 3.7Пример 2 rsa.
- 3.8Пример 3 rsa.
- 3.9Немного об арифметических операциях по модулю n.
- 3.10Сложение.
- 3.11Вычитание.
- 3.12Умножение.
- 3.13Деление.
- 3.14Обратное по модулю.
- 3.15Стандарт шифрования данных гост 28147-89
- 3.16Простые числа
- 4Электронная подпись
- 4.1Эцп - зашифрованный текст
- 4.2Эцп - открытый текст
- 4.3Использование хэш-функций
- 4.4Сертификация
- 4.5Имитовставка или mac-код
- 4.6 Шифрование больших сообщений и потоков данных
- 4.7Шифрование, кодирование и сжатие информации
- 4.8Аппаратные шифраторы.
- 5Управление ключами
- 5.1Генерация ключей
- 5.2Накопление ключей
- 5.3Распределение ключей
- 5.4Использование “блуждающих ключей”
- 6Стеганография
- 6.1Введение
- 6.2Электронные «водяные знаки».
- 6.3Скрытие текста в 24-разрядном bmp файле.
- 8.2Технология шифрования
- 8.3Взаимодействие с пользователем
- 8.4Восстановление данных
- 8.5Немного теории
- Процесс шифрования
- Процесс восстановления
- 8.6Реализация в Windows 2000
- 8.7Выводы
- 9Протокол ipSec в Window 2000.
- 9.1Реализация промышленных стандартов
- 9.2Реализация Windows ip Security
- 9.3Пример
- 9.4О совместимости
- 10Защищенные каналы. Аутентификация.
- 10.1Введение
- 10.2Аутентификация на основе хэш-функций.
- 10.3Аутентификация на основе общего секретного ключа
- 10.4Аутентификация на основе открытого ключа
- 10.5Аутентификация с использованием центра распределения ключей
- 11Протокол Kerberos в Windows 2000.
- 11.1Аутентификация в Windows 2000
- 11.2Преимущества аутентификации по протоколу Kerberos
- 11.3Начальная аутентификация.
- 11.4Метка времени в качестве средства для взаимной аутентификации.
- 11.5Аутентификация за пределами домена
- 11.6Срок годности билетов. Обновляемые билеты.
- 11.7Подпротоколы
- 11.8Подпротокол tgs Exchange
- 11.9Подпротокол cs Exchange
- 11.10Билеты
- 11.11Какие данные из билета известны клиенту
- 11.12Как служба kdc ограничивает срок действия билета
- 11.13Что происходит после истечения срока действия билета
- 11.14Обновляемые билеты tgt
- 11.15Делегирование аутентификации
- 11.16Представительские билеты
- 11.17Передаваемые билеты
- 12Криптографические протоколы
- 12.1Стегоканал
- 12.1.1Скрытие сообщения с одноразовым блокнотом
- 12.1.2Скрытие сообщения с одноразовым блокнотом и ключевой фразой
- 12.2Защищенный канал
- 12.2.1Протокол взаимоблокировки
- 12.2.2В92 – протокол.
- 12.3Аутентификация
- 12.3.1Аутентификация skey
- 12.3.2Взаимная аутентификация - однонаправленные сумматоры
- 12.6Протокол разбиения секрета
- 13.2Криптоанализ и атаки на криптосистемы
- 13.3Атака 1. Расшифровка ранее полученного сообщения при помощи специально подобранного текста.
- 13.4Атака 2. Подпись нотариуса на неверном документе.
- 13.5Атака 3. Подпись на документе вторым способом.
- 13.6Атака 4. Атака при использовании общего модуля.
- 13.7Выводы
- 14Вредоносные программы. Вирусы. Защита.
- 14.1Классификация компьютерных вирусов
- 14.2Загрузочные вирусы
- 14.3Файловые вирусы
- 14.3.1Способы заражения - запись поверх.
- 14.3.2Способы заражения - паразитические
- 14.3.3Способы заражения - Вирусы без точки входа
- 14.3.4Способы заражения - Компаньон-вирусы
- 14.3.5Способы заражения - Файловые черви
- 14.3.6Способы заражения - Link-вирусы
- 14.3.7Алгоритм работы файлового вируса
- 14.4Макро-вирусы
- 14.4.1Алгоритм работы Word макро-вирусов
- 14.5Полиморфик-вирусы
- 14.5.1Полиморфные расшифровщики
- 14.5.2Уровни полиморфизва
- 14.5.3Изменение выполняемого кода
- 14.6Стелс-вирусы. Загрузочные вирусы
- 14.6.1Стелс-вирусы. Файловые вирусы
- 14.6.2Стелс-вирусы. Макро-вирусы
- 14.7Резидентные вирусы в Windows
- 14.8Прочие "вредные программы"
- 14.9Троянские кони (логические бомбы)
- 14.10Утилиты скрытого администрирования (backdoor) компьютеров в сети.
- 14.11Intended-вирусы
- 14.12Конструкторы вирусов
- 14.13Полиморфные генераторы
- 14.14Irc-черви
- 14.15Сетевые вирусы
- 14.16Методы обнаружения и удаления компьютерных вирусов.
- 14.17Типы антивирусов. Сканеры.
- 14.17.1Crc-сканеры
- 14.17.2Блокировщики
- 14.17.3Иммунизаторы
- 14.17.4Правила защиты
- 15Анализ защищенности tcp/ip
- 15.1Пассивные атаки на уровне tcp. Подслушивание
- 15.2Активные атаки на уровне tcp
- 15.2.1Предсказание tcp sequence number
- 15.2.2Описание
- 15.2.3Детектирование и защита
- 15.3.1Ранняя десинхронизация
- 15.3.2Десинхронизация нулевыми данными
- 15.3.3Ack-буря
- 15.4Пассивное сканирование
- 15.5Затопление icmp-пакетами
- 15.6Локальная буря
- 15.7Затопление syn-пакетами
- 16Атака через Internet
- 16.1Понятие удалённой атаки через Internet
- 16.2Пример удалённой атаки через интернет
- 16.3Классификация удаленных атак через систему Internet
- 16.4Понятие типовой удаленной атаки
- 16.5Причины успеха удаленных атак на сеть Internet
- 17Защита локальной сети и одиночного компьютера от атак через Internet.
- 17.1Программно-аппаратные методы защиты от удаленных атак в сети Internet
- 17.2Аппаратные шифраторы сетевого трафика
- 17.3Можно организовать прокси - сервер.
- 17.4Firewall или брандмауэр.
- 17.5Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- 17.6Основные виды межсетевых экранов (брандмауэров)
- 17.7Фильтрующие маршрутизаторы
- 17.8Пример работы фильтрующего маршрутизатора
- 17.9Недостатки и преимущества фильтрующих маршрутизаторов
- 17.10Шлюзы сетевого уровня
- 17.11Шлюзы прикладного уровня
- 17.12Преимущества и недостатки шлюзов прикладного уровня
- 17.13Усиленная аутентификация
- 17.14Применение межсетевых экранов для организации виртуальных корпоративных сетей
- 18Правовое обеспечение безопасности ис.
- 18.1Предмет законодательства
- 18.2Уголовная ответственность
- 18.3Требования к безопасности ис в сша
- 18.4Стандартизация аппаратных средств
- 18.5Требования к безопасности информационных систем в России
- 18.6Показатели защищенности средств вычислительной техники
- 18.7Заключение
- 18.8Рекомендации
- 19Пароли ис.
- 19.1Пароли. Хранение и передача по сети.
- 19.2Безопасность паролей и шифрование
- 19.3Идентификация и аутентифокация. Использование токенов.
- 19.4Равнозначность паролей
- 19.5Восстановление паролей текстовом виде
- 19.6Поиск по словарю
- 19.7Прямой подбор
- 19.8“Комбинированный” метод
- 19.9Работа программ вскрытия паролей Windows nt
- 19.10Основные меры защиты.
- 19.11Программы подбора паролей
- 19.16Троянская конница
- 19.17Программно-технические мероприятия защиты.
- 19.18Защита паролем
- 19.19Создание надежных паролей