Уровни обеспечения информационной безопасности
В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
процедурного (меры безопасности, ориентированные на людей);
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Процедурный уровень ориентирован на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой, поэтому «человеческий фактор» заслуживает особого внимания.
В российских компаниях накоплен богатый опыт регламентирования и реализации процедурных (организационных) мер, однако дело в том, что они пришли из «докомпьютерного» прошлого, поэтому требуют переоценки.
Следует осознать ту степень зависимости от компьютерной обработки данных, в которую попало современное общество. Без всякого преувеличения можно сказать, что необходима информационная гражданская оборона. Спокойно, без нагнетания страстей, нужно разъяснять обществу не только преимущества, но и опасности, связанные с использованием информационных технологий. Акцент следует делать не на военной или криминальной стороне дела, а на гражданских аспектах, связанных с поддержанием нормального функционирования аппаратного и программного обеспечения, то есть концентрироваться на вопросах доступности и целостности данных.
На процедурном уровне можно выделить следующие классы мер:
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.
Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.
Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству.
Классификация обеспечения информационной безопасности
В зависимости от значимости данных и их конфиденциальности выделяют несколько классов защиты информации, которые структурируют хранение и обработку в индивидуальных и коммерческих целях. Внедрение классификации особенно актуально при распределении ответственности специалистов в рамках организации бизнес-процессов. Классы информационной безопасности утверждены на международном уровне, но допускают американские и европейские стандарты, а также требования Гостехкомиссии при президенте России к защите данных.
Систематика защищенности средств вычислительной техники
Степени необходимой защиты для устройств и систем хранения и обработки данных регламентированы государственной документацией и включают в себя семь классов, значимость которых обратно пропорциональна росту порядкового номера. Первый класс предполагает наибольшую значимость СВТ. При этом классификация включает и распределение на 4 группы, каждая из которых характеризуется различными требованиями: например, необходимостью комплексного контроля и резервного копирования, гарантиями архитектуры и проектирования, руководствами пользователя.
Типизация средств защиты автоматизированных систем
Предупреждение несанкционированного доступа утверждено аналогичным документом, который определяет классификацию в зависимости от вовлеченности пользователей в контроль и обработку данных. Здесь выделяют три уровня с различными требованиями конфиденциальности:
- Системы, доступные для большого количества пользователей, где хранят и обрабатывают данные различной степени значимости, объединяют в первую группу и обозначают классами 1А–1Д.
- Во вторую категорию включают автоматизированные системы, где пользователи обладают равнозначными правами, с классами 2А и 2Б.
- Третья группа характеризует систему одного пользователя, который хранит и обрабатывает информацию на одинаковых по конфиденциальности типах устройств. Здесь выделяют классы 3А и 3Б.
Типизация межсетевых экранов
Большую значимость степень защиты информации получает, когда пользователь использует интернет для получения, обработки или обмена данными. Также конфиденциальность актуальна и в том случае, если интернет подключают на том устройстве, где хранится значимая информация. В этом случае говорят о межсетевом экране – методике защиты от потенциальных угроз за счет фильтрации информации в случае использования подключения к интернету. Часто межсетевые экраны объединяют функции внутренней и внешней защиты.
Классы защиты
Государственные стандарты РФ выделяют 6 классов защищенности, которые распределяют личное, коммерческое, промышленное и государственное использование данных. При этом первые три характеризуют информацию, относящуюся к государственной тайне. Четвертый и пятый описывают защиту данных первого и второго уровня соответственно, а шестой объединяет третий и четвертый уровень защиты информации.
Типы межсетевых экранов
В зависимости от механики защиты сетевого трафика среди межсетевых экранов выделяют фильтрующие маршрутизаторы, шлюзы сеансового уровня и приложений. Одновременно межсетевые экраны разделяют на аппаратные и программные, однако все они разделены на пять типов с соответствующими буквенными обозначениями. Так, например, тип А характеризует аппаратные межсетевые экраны для физического оборудования при его установке для выхода в интернет. При этом тип Г обрабатывает протоколы трафика с помощью программного обеспечения.
Типизация средств защиты систем обнаружения вторжений
Такие меры требуются для предотвращения несанкционированного доступа к данным. При этом они актуальны как для устройств с подключением к интернету, так и для автономных автоматизированных систем. Механика предполагает программную или аппаратную защиту, но часто используют гибридный тип, который объединяет две методики предупреждения вмешательств.
Классы защиты
Средства защиты систем от несанкционированных вторжений классифицируют по аналогии с межсетевыми экранами и выделяют 6 классов, где первые три относят к государственному уровню обеспечения безопасности с присвоением статуса государственной тайны. Четвертый и пятый класс отвечают за обнаружение вторжений для использования данных уровня 3 и 4, а шестой класс описывает 1–3 уровень конфиденциальности информации.
Типы систем
Такие системы в рамках стандартизации разделяют на несколько типов в зависимости от механики их работы. Так, например, существует типирование на основе методов обнаружения атак, их предотвращения и анализа атаки. В соответствии с уровнем их применения системы обнаружения вторжений делят на сетевые и системные. Первые используют шаблонные модели распознавания трафика, а вторые контролируют систему на основе журнала регистрации событий.
Типизация защищенности средств антивирусной защиты информации
Приказом №21 Федеральная служба по товарному и экспортному контролю РФ обновила требования к средствам антивирусной защиты, которые предполагают использование специального программного обеспечения для предотвращения и устранения вредоносных программ и приложений. Механика антивирусного программного обеспечения основана на алгоритмах сканирования системных или сетевых данных. При этом для повышения эффективности следует использовать несколько направленных антивирусов одновременно, что гарантирует комплексную защиту от вредоносных файлов и программ.
Классы защиты
Нормативная классификация предполагает шесть уровней антивирусной защищенности, значимость которых возрастает от шестого к первому. Шестой класс используют для информации 3 и 4 уровня конфиденциальности, четвертый и пятый – для 1 и 2 уровня соответственно, а первые три класса предполагают государственную тайну и требуют повышенной степени защиты данных.
Типы средств
Все антивирусные программы разделяют по механике взаимодействия с потенциально вредоносным программным обеспечением. Так выделяют детектор, дезинфектор, иммунизатор и другие разновидности антивирусов. Однако вне зависимости от способа работы с вирусами все программы распределяют на четыре типа:
- А – для централизованного администрирования серверов и центров обмена данными;
- Б – для локальной защиты серверов и персональных компьютеров;
- В – для автоматизированных устройств;
- Г – для автономных устройств.
Типизация защиты средств доверенной загрузки
Доверенные варианты старта работы устройства повышают защищенность информации на нем за счет комплексной проверки источника информации. При этом механизм идентификации может стартовать по инициативе пользователя или встроенного алгоритма устройства BIOS. По этой модели, к примеру, происходит установка программного обеспечения с использованием внешнего носителя – флешки или диска. Дифференциация таких средств защиты зависит от необходимости подключения к интернету во время идентификации данных.
Классы защиты
Устройства доверенной загрузки также разделяют на шесть категорий в зависимости от необходимой конфиденциальности данных. Первые три класса относят к использованию в рамках систем обработки государственной информации. Четвертый класс подходит для 1–3 уровня конфиденциальности информации. При характеристике пятого класса следует ориентироваться на степень угроз и необходимость подключения к интернету и внедрять для 3 и 4 уровня защиты данных. Шестой класс вводят для информационных систем общего уровня. Здесь также выделяют отдельную категорию II уровня для всех пользователей, который требует использования средств доверенной защиты 4 уровня.
Типы средств
В зависимости от использования программной или аппаратной механики взаимодействия с потенциальными или фактическими угрозами устройства доверенной загрузки делят на три типа:
- Базовой системы ввода-вывода – предупреждает несанкционированный доступ к устройству и данным, а также внесение изменений благодаря программно-техническому методу управления работой. Оно ориентировано в первую очередь на физическую защиту устройства.
- Платы расширения – предупреждает загрузку вредоносных программ благодаря разграничению доступа и контролю параметров настройки устройства.
- Загрузочной записи – предотвращает загрузку на уровне операционной системы, которую осуществляют первично на физическом уровне.
Типизация защиты средств контроля съемных машинных носителей
Механика гарантирования безопасности сведений на оборудовании посредством контроля съемных устройств подразумевает одновременно две схемы взаимодействия с потенциально вредными программами или файлами. В первом случае модуль разграничивает доступ к информации, а во втором предупреждает ее копирование или удаление посредством съемных носителей. Классификация разделяет средства контроля в зависимости от типа информации и ее значимости для пользователя. При этом к съемным носителям относят не только диски, флешки, дискеты и другие устройства, но и портативное оборудование – ноутбуки, мобильные телефоны, планшеты.
Классы защиты
Средства контроля съемных носителей разделяют на шесть категорий в зависимости от нужной степени сохранности данных. Первые три определяют безопасность на уровне государственной тайны, 4 и 5 классы требуются для 1 и 2 уровня защищенности данных, а 6 подходит для 3 и 4 уровней конфиденциальности.
Типы средств
При проведении дополнительных проверок съемных носителей следует предупредить ложные срабатывания механизма защиты, чтобы не тормозить работу оборудования. В зависимости от методов оценки потенциальных угроз модули контроля работают по принципу анализа контента или предупреждения утечки информации. В большинстве случаев одно и то же устройство совмещает в себе два модуля.
Типизация операционных систем для обеспечения защиты информации
Защита данных на уровне операционных систем предполагает несколько методик, которые зависят от выбранного типа системы. ОС разделяют на 3 категории: общего назначения, встраиваемые и реального времени, которые обозначают буквами А, Б и В соответственно. При этом операционные системы содержат как встроенные механизмы защиты, так и дополняются специальным программным обеспечением. Операционные системы разделяют на 6 классов защиты. Первые три требуются для обработки информации в области государственной тайны, 4 и 5 используют для 1 и 2 уровней конфиденциальности, а шестой – для 3 и 4 уровней.
Практика. Создание системы защиты персональных данных
Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.
Кто обеспечивает защиту данных?
Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.
Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.
При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф. С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.
Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.
Что защищать и от чего?
Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:
точное место жительства;
адрес электронной почты.
Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.
Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:
если им получено согласие на обработку (необязательно письменное);
планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
обрабатываются персональные данные своих сотрудников;
в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.
Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.
Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.
Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.
Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:
Политика в отношении персональных данных задокументирована и находится в публичном доступе.
Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).
Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.
Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.
Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.
Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.
Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:
программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;
некоторые процессы системы (в частности, защитные) функционируют не в полную силу;
усложнены условия эксплуатации и хранения информации.
Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):
Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.
неисправность технических средств,
слабые антивирусы, отсутствие шлюзов безопасности,
невозможность зрительного контроля за серверами и доступом к ним.
Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.
Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).
Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.
Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):
Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.
Фатальность. Эта характеристика предполагает оценку степени глубины влияния угрозы на общее функционирование системы и способность специального персонала компании справиться с последствиями от влияния этого фактора.
Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.
Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.
Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.
угроза, вызванная небрежностью сотрудников, работающих с информационной системой;
угроза, инициируемая субъектами извне с целью получения личной выгоды.
искусственная угроза, созданная при участии человека;
природная, неподконтрольная человеку (чаще всего — стихийные бедствия).
Непосредственная причина угрозы:
человек, разглашающий строго конфиденциальные сведения;
природный фактор (вне зависимости от масштаба);
специализированное вредоносное программное обеспечение, нарушающее работу системы;
удаление данных случайным путем из-за отказа техники.
Момент воздействия угрозы на информационные ресурсы:
в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);
при получении системой новой информации;
независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).
Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.
Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.
Построение системы защиты персональных данных
Классификация уровней защиты
Информационная безопасность подразумевает четыре уровня защиты от угроз:
Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).
Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).
Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.
Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.
Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.
Обеспечение защиты
Защита информации по уровням в каждом случае состоит из цепочки мер.
Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.
Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.
Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.
Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.
Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.
Средства защиты информации
Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.
Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты. Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации). Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.
Криптографические средства защиты информации
Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.
К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.
Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.
Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.
Рекомендации по защите персональных данных
Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей. Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов. Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.
Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников. Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями.
Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве. Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями.
66. Понятие защиты информации. Уровни защиты информации
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.
Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.
На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.
Термины и определения системы защиты информации
Утечка конфиденциальной информации – это проблема информационной безопасности, неподконтрольная владельцу, которая предполагает, что политика информационной безопасности допускает выход данных за пределы информационных систем или лиц, которые по долгу службы имеют доступ к данной информации.
Утечка информации может быть следствем разглашения конфиденциальной информации (защита информации от утечки путем жесткой политики информационной безопасности и правовой защиты информации по отношению к персоналу), уходом данных по техническим каналам (проблемы информационной безопасности решаются с помощью политики информационной безопасности, направленной на повышение уровня компьютерной безопасности, а также защита информации от утечки обеспечивается здесь аппаратной защитой информации и технической защитой информации, обеспечивающие безопасное надежное взаимодействие баз данных и компьютерных сетей), несанкционированного доступа к комплексной системе защиты информации и конфиденциальным данным.
Несанкционированный доступ – это противоправное осознанное приобретение секретными данными лицами, не имеющими права доступа к данным. В этом случае обеспечение защиты информации (курсовая работа) лежит на плечах закона о защите информации.
Первый уровень правовой основы защиты информации
Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.
Правовое обеспечение информационной безопасности РФ:
Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете;
Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);
Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тай¬не);
Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных про¬грамм для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);
Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциаль¬ная информация, ст. 21 определяет порядок защиты информа¬ции);
Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершен¬но секретно» и «секретно»; ст. 20 — органы по защите государ¬ственной тайны, межведомственную комиссию по защите госу¬дарственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, от¬ носящейся к государственной тайне); Защита информации курсовая работа.
Федеральные законы «О лицензировании отдельных видов дея¬тельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об ав¬торском праве и смежных правах» от 09.07.93 № 5351-1, «О право¬ вой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие при¬ знания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или пу¬тем возмещения причиненных убытков, в сумму которых включа¬ются полученные нарушителем доходы).
Как видите, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря ФЗ о защите информации.
Второй уровень правовой защиты информации
На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.
Третий уровень правового обеспечения системы защиты экономической информации
К данному уровню обеспечения правовой защиты информации (реферат) относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.
Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.
Четвертый уровень стандарта информационной безопасности
Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.