17.2. Правовые и организационные аспекты информационной безопасности
Правовые аспекты. Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве развитых стран мира. Компьютер-ные преступления получили такое широкое распространение, что для борьбы с ними введены специальные статьи в уголовный кодекс.
До принятия нового Гражданского кодекса России источниками права на информацию были правовой обычай и договор, а также отдельные нормы законов, зачастую противоречащих друг другу [3]. С введением в действие нового кодекса впервые в нашем зако-нодательстве информация стала полноправным объектом права
(ст. 128ГКРФ).
Значительным шагом в деле правового обеспечения деятельности по защите информации явилось принятие Федеральным Собранием России закона «Об информации, информатизации и защите инфор-мации» [2]. В нем впервые официально вводится понятие «конфиден-циальной информации», которая рассматривается как информация, не являющаяся общедоступной. Закон устанавливает общие право-вые требования к организации защиты данных в процессе обработки, хранения и циркуляции в технических устройствах и сетях связи контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
Закон утверждает на государственно-правовом уровне электрон-ную цифровую подпись в качестве средства защиты информации от несанкционированного искажения, подмены (имитозащиты) и под-тверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 «юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью». При этом «юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования». В законе раскрываются требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их использования в информационно-телекоммуникационных системах.
В течение первой половины 1995 г. правительством Российской Федерации во исполнение закона «О государственной тайне» приня-ты постановления «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с ис-пользованием сведений, составляющих государственную тайну, соз-данием средств защиты информации, а также с осуществлением ме-роприятий и (или) оказанием услуг по защите государственной тай-ны» (№ 333 от 15 апреля 1995 г.) и «О сертификации средств защиты информации» (№ 608 от 26.06.95 г.).
Указанные постановления формируют механизм получения пред-приятиями и организациями (независимо от их организационно-правовой формы) лицензии на право осуществления любой деятельности, связанной с информацией, составляющей государственную тайну, а также общий порядок сертификации средств, предназначен-ных для защиты секретной информации.
Принятый Государственной думой Федеральный закон «Об уча-стии в международном информационном обмене» от 5 июня 1996 г. № 85-ФЗ определяет необходимость сертификации средств и лицен-зирования деятельности в области международного информационно-го обмена при работе с конфиденциальной информацией. Закон пре-доставляет ФАПСИ право участвовать в определении ограничений на вывоз из Российской Федерации и ввоз в нашу страну иностран-ных информационных продуктов, а также утверждения порядка ли-цензирования деятельности, сертификации средств и аттестования систем международного обмена при работе с конфиденциальными сведениями.
Перечисленные нормативные акты утвердили полномочия и ком-петенцию ФАПСИ в сфере лицензирования деятельности в области защиты и сертификации средств защиты информации.
Организационные аспекты [4]. Включают в себя выработку поли-тики информационной безопасности; анализ рисков (т.е. ситуаций, в которых может произойти нарушение нормальной работы информа-ционной системы, а также утрата или рассекречивание данных); пла-нирование обеспечения информационной безопасности; планирова-ние действий в чрезвычайных ситуациях; подбор средств обеспече-ния информационной безопасности. Перейдем к более подробному рассмотрению перечисленных выше задач.
Политика информационной безопасности определяет:
- какую информацию и от кого (чего) следует защищать;
- кому и какая информация требуется для выполнения служебных обязанностей;
- какая степень защиты требуется для каждого вида информации;
- чем грозит потеря того или иного вида информации;
- как организовать работу по защите информации.
Решения по этим вопросам принимают руководители организа-ции, имеющие право решать, какой риск должен быть исключен, а на какой можно пойти, а также определять объем и порядок финанси-рования работ по обеспечению выбранного уровня информационной безопасности.
Для выработки политики информационной безопасности необхо-димо провести исследования. Сначала осуществляется сбор инфор-мации, состоящей из описания структуры организации; перечня и краткой характеристики функций, выполняемых каждым ее подразделением и работником; иерархии должностных лиц; описания функ-циональных связей между подразделениями и отдельными рабочими местами; перечня информационных объектов, циркулирующих в системе; перечня применяемых системных и прикладных программ (ком-плексов) с указанием используемых и порождаемых ими информаци-онных объектов; описания топологии комплекса технических средств компьютерной системы.
Потом производится обработка и систематизация полученных данных. Информационные объекты могут быть классифицированы по тематике, по иерархическому признаку, по предполагаемому размеру ущерба от потери данной информации (или по выгоде для конкурента при ее получении), по трудоемкости ее восстановления.
Наконец, планируется организационное обеспечение информаци-онной безопасности. Идеальная схема предполагает наличие незави-симого подразделения информационной безопасности, которое под-чинено одному из первых лиц организации. Основными функциями этого подразделения являются предоставление пользователям дос-тупа к информации в соответствии с принятой в организации полити-кой безопасности, а также контроль за соблюдением принятой поли-тики безопасности и ее проведение на различных уровнях.
Анализ рисков заключается в определении, изучении и системати-зации. Также формируются требования к средствам обеспечения ин-формационной безопасности и осуществляется выбор соответствую-щих программных и технических решений.
По результатам анализа составляется отчет, содержащий пере-чень рисков, упорядоченных по степени их «опасности», и рекомен-дации по снижению вероятности возникновения опасных ситуаций. Проведенный анализ должен предоставить руководству предприятия всю информацию, которая необходима для принятия решений, по возможности, альтернативных. Например, принять меры, снижающие вероятность возникновения опасной ситуации и/или уменьшающие возможный ущерб в случае отказа информационной системы, а также несанкционированного доступа к данным, воздержаться от принятия определенных защитных мер и пойти на «рассчитанный» риск.
Планирование обеспечения безопасности состоит в разработке документа, содержащего описание мер, средств и способов обеспе-чения информационной безопасности. Этот документ определяет и последовательность действий, направленных на реализацию ком-плекса мер по обеспечению информационной безопасности, которая должна быть утверждена руководством организации.
Планирование действий в чрезвычайной ситуации состоит в раз-работке документа, определяющего, за счет каких резервных средств будет обеспечено функционирование организации в условиях выхода из строя ее информационной системы, а также намечающего меры по восстановлению работоспособности этой системы. План действий в чрезвычайной ситуации разрабатывается на основе результатов анализа рисков.
Средства обеспечения информационной безопасности можно ус-ловно разделить на следующие группы:
- системы контроля доступа (управляют правами доступа пользо-вателей, регистрируют обращения к защищаемым данным, осущест-вляют аутентификацию пользователей и сетевых систем);
- системы шифрования информации (кодируют данные, храня-щиеся на локальных дисках пользователей и передаваемые по теле-коммуникационным каналам);
- системы электронно-цифровой подписи (обеспечивают аутен-тификацию получаемой информации и контроль ее целостности);
- системы антивирусной защиты (контролируют состояние памяти вычислительных систем, предотвращают заражение файлов на ло-кальных и сетевых дисках, а также распространение вирусов по сети);
- системы защиты firewall (осуществляют авторизацию входяще-го и исходящего трафика между локальной компьютерной сетью и Internet);
- системы резервного хранения и восстановления информации (обеспечивают запись информации на резервные носители и, в слу-чае необходимости, ее восстановление на жестких дисках компьюте-ров предприятия).
В заключение необходимо отметить, что само по себе наличие да-же самых совершенных планов обеспечения информационной безо-пасности не может служить гарантией безопасности данных и надеж-ности работы информационной инфраструктуры. Залогом эффектив-ной работы информационной инфраструктуры и системы безопасно-сти являются постоянный контроль за выполнением всех требований политики информационной безопасности, взаимодействие всех ответственных лиц, обучение специалистов и пользователей тому, как нужно действовать в чрезвычайной ситуации.
- Часть I. Способы передачи сообщений
- Глава 1. Спектры
- 1.1 Спектры периодических сигналов
- 1.2. Спектры непериодических сигналов
- 1.3. Сигналы электросвязи и их спектры
- Глава 2. Модуляция
- 2.1. Принципы передачи сигналов электросвязи
- 2.2. Амплитудная модуляция
- 2.3 Угловая модуляция
- 2.4. Импульсная модуляция
- 2.5. Демодуляция сигналов
- Глава 3. Цифровые сигналы
- 3.1. Понятие о цифровых сигналах
- 3.2. Дискретизация аналоговых сигналов
- 3.3. Квантование и кодирование
- 3.4. Восстановление аналоговых сигналов
- Глава 4. Принципы многоканальной передачи
- 4.1. Одновременная передача сообщений
- 4.2. Частотное разделение каналов
- 4.3. Временное разделение каналов
- Глава 5. Цифровые системы передачи
- 5.1. Формирование группового сигнала
- 5.2. Синхронизация
- 6.3. Регенерация цифровых сигналов
- 5.4. Помехоустойчивое кодирование
- Глава 6. Цифровые иерархии
- 6.1. Плезиохронная цифровая иерархия
- 6.2. Синхронная цифровая иерархия
- Глава 7. Линии передачи
- 7.1. Медные кабельные линии
- 7.2. Радиолинии
- 7.3. Волоконно-оптические кабельные линии
- Глава 8. Транспортные сети
- 8.1. Предпосылки создания транспортных сетей
- 8.2. Системы передачи для транспортной сети
- Vc низшего порядка (Low order vc, lovc)
- Vc высшего порядка (High order vc, hovc)
- 8.3. Модели транспортных сетей
- 8.4. Элементы транспортной сети
- 8.5. Архитектура транспортных сетей
- Часть II. Службы электросвязи. Телефонные службы и службы документальной электросвязи
- Глава 9. Основные понятия и определения
- 9.1. Информация, сообщения, сигналы
- 9.2. Системы и сети электросвязи
- 9.3. Эталонная модель взаимосвязи открытых систем
- 9.4. Методы коммутации в сетях электросвязи
- 9.5 Методы маршрутизации в сетях электросвязи
- Т а б л и ц а 9.2. Устройства, реализующие функции маршрутизации
- Глава 10. Телефонные службы
- 10.1. Услуги, предоставляемые общегосударственной системой автоматизированной телефонной связи
- 10.2. Структура городских телефонных сетей (гтс) с низким уровнем цифровизации и перспективы развития
- 10.3. Расчет коммутационного узла с коммутацией каналов 10.3.1. Модель коммутационного узла
- 10.3.1 Модель коммутационного узла
- 10.3.2. Структура коммутационных полей станций и узлов
- 10.3.3. Элементы теории телетрафика
- Глава 11. Телеграфные службы
- 11.1. Сети телеграфной связи
- 11.2. Направления развития телеграфной связи
- Глава 12. Службы пд. Защита от ошибок и преобразование сигналов
- 12.1. Методы защиты от ошибок
- 12.2. Сигналы и виды модуляции, используемые в современных модемах
- Глава 13. Службы пд. Сети пд.
- 13.1. Компьютеры — архитектура и возможности
- 13.2. Принципы построения компьютерных сетей
- 13.3. Международные стандарты на аппаратные и программные средства компьютерных сетей
- 13.4. Сетевые операционные системы
- 13.5. Локальные компьютерные сети
- 13.6. Глобальные компьютерные сети
- 13.7. Телефонная связь по компьютерным сетям
- Глава 14. Факсимильные службы
- 14.1. Основы факсимильной связи
- 14.2. Организация факсимильной связи
- Глава 15. Другие службы документальной электросвязи
- 15.1. Видеотекс
- 15.2. Голосовая почта
- Глава 16. Единая система документальной электросвязи
- 16.1. Интеграция услуг документальной электросвязи [1]
- 16.2. Назначение и основные принципы построения служб обработки сообщений [2]
- 16.3. Многофункциональные терминалы
- Глава 17. Обеспечение информационной безопасности в телекоммуникационных системах
- 17.1. Общие положения
- 17.2. Правовые и организационные аспекты информационной безопасности
- 17.3. Технические аспекты информационной безопасности
- Часть III. Интеграция сетей и служб электросвязи
- Глава 18. Узкополосные цифровые сети интегрального обслуживания (у-цсио)
- 18.1. Пути перехода к узкополосной цифровой сети интегрального обслуживания
- 18.2. Службы и услуги узкополосной цсио
- 18.3. Система управления у-цсио
- Глава 19. Широкополосные и интеллектуальные сети
- 19.1. Условия и этапы перехода к широкополосной сети интегрального обслуживания (ш-цсио)
- 19.2. Услуги ш-цсио
- 19.3. Способы коммутации в ш-цсио
- 19.4. Построение коммутационных полей станций ш-цсио
- 19.5. Причины и условия перехода к интеллектуальной сети (ис)
- 19.6. Услуги ис
- Глава 20. Система межстанционной сигнализации по общему каналу в цсио
- 20.1. Понятие об общем канале сигнализации
- 20.2. Протоколы системы сигнализации № 7 itu-t
- 20.3. Способы защиты от ошибок в окс № 7
- 20.4. Характеристики окс
- 20.5. Способы построения сигнальной сети
- Глава 21. Широкополосные сети и оборудование компании «Huawei Technologies Co, Ltd»
- 21.1. Оптическая сеть абонентского доступа с интеграцией услуг honet
- 21.2. Построение транспортных сетей на базе оборудования компании «Huawei Technologies Co., Ltd»
- 21.3. Цифровая коммутационная система с программным управлением с&с08
- 21.4. Высокоскоростной коммутирующий маршрутизатор Radium 8750
- Часть IV. Современные методы управления в телекоммуникациях
- Глава 22. Общие положения
- 22.1. Многоуровневое представление задач управления телекоммуникациями
- 22.2. Функциональные группы задач управления
- Глава 23. Интегрированные информационные системы управления предприятиями электросвязи
- 23.1. Понятия и определения в области информационных систем управления предприятием
- 23.2. Анализ структуры интегрированной информационной системы управления предприятием регионального оператора связи
- 23.3. Новое системное проектирование как передовая технология на этапе внедрения современных информационных систем
- 23.4. Требования к функциональности интегрированной информационной системы управления предприятием для регионального оператора связи
- 23.5. Требования к используемым информационным технологиям, техническим средствам и программному обеспечению
- Глава 24. Управление услугами. Качество предоставляемых услуг
- 24.1. Система качества услуг электросвязи
- 24.2. Базовые составляющие обеспечения качества услуги
- 24.3. Оценка качества услуг связи с точки зрения пользователя и оператора связи
- Глава 25. Управление услугами.
- 25.1. Общие положения
- 25.2. Классификация аср
- 25.3. Централизованный способ построения системы расчетов
- 25.4. Интеграция аср с системами управления tmn
- 25.5. Основные технические требования для аср
- 25.6. Обзор автоматизированных систем расчетов
- 25.7. Заключение
- Глава 26. Управление сетями и сетевыми элементами
- 26.1. Архитектура систем управления сетями и сетевыми элементами
- 26.2. Системы управления первичными и вторичными сетями
- 26.3. Принципы построения системы управления
- Глава 27. Решения компании strom telecom в области tmn (Foris oss)
- 27.1. Общая характеристика семейства продуктов Foris oss
- 27.2. Автоматизация расчетов. Подсистема TelBill
- 27.3. Многофункциональные подсистемы сбора данных и взаимодействия с атс
- 27.4. Подсистема сбора данных и их биллинговой предобработки TelCharge
- 27.5. Подсистемы TelRes, TelTe, TelRc
- 27.6. Система «Электронный замок»
- 27.7. Подсистема поддержки клиентов tccs (Foris Customer Care Systems)
- 27.8. Подсистема Контакт-центр