Законодательно – правовые и организационные основы обеспечения защиты информации.

⇐ ПредыдущаяСтр 9 из 9

В приведенном далее списке указаны основные нормативные правовые акты в области информации информационной безопасности.

Конституция Российской Федерации.

Основы законодательства РФ от 7 июля 1993 г. № 5341-1 об архивном фонде Российской Федерации и архивах.

Закон РФ от 05.03.1992 № 2446-1 «О безопасности».

Закон РФ от 23.09.1992 № 3521-1 «О правовой охране программ для электронных вычислительных машин и баз данных».

Закон РФ от 23.09.1992 № 3526-1 «О правовой охране топологий интегральных микросхем».

Закон РФ от 09.07.1993 № 5351-1 «Об авторском праве и смежных правах».

Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне».

Федеральный закон от 29.12.1994 № 77-ФЗ «Об обязательном экземпляре документов».

Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно- розыскной деятельности».

Федеральный закон от 07.07.2003 № 126-ФЗ «О связи».

Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Требования внутриобъектового режима.

Внутриобъектовый режим — комплекс мероприятий, направленных на обеспечение установленного режима секретности непосредственно в структурных подразделениях, на объектах и в служебных помещениях предприятия.

Основными направлениями работы по организации внутриобъектового режима на предприятии являются:

· определение общих требований режима секретности на предприятии в соответствии с положениями нормативных правовых актов и указаний вышестоящих органов государственной власти организаций);

· ограничение круга лиц, допускаемых к сведениям, составляющим государственную тайну, и их носителям;

· регламентация непосредственной работы сотрудников предприятия, а также командированных лиц, с носителями сведений, составляющих государственную тайну;

· планирование комплекса мероприятий, направленных на исключение утечки сведений, составляющих государственную тайну, и утрат носителей этих сведений;

· организация контроля со стороны должностных лиц предприятия и структурных подразделений по защите государственной тайны за выполнением требований по режиму секретности на предприятии;

· организация работы с персоналом предприятия, допущенным к сведениям, составляющим государственную тайну, а также вновь принимаемыми на работу гражданами.

В ходе выполнения этой работы руководством предприятия используются следующие основные подходы к организации внутриобъектового режима:

· определение ответственности руководителей подразделений должностных лиц за защиту государственной тайны;

· четкое разграничение функций, возлагаемых на соответствующие структурные подразделения предприятия (служба безопасности, режимно-секретное подразделение, подразделение противодействия иностранным техническим разведкам, служба охраны и др.);

· создание эффективной системы контроля за выполнением мероприятий по режиму секретности и обеспечению сохранности Носителей сведений, составляющих государственную тайну.

Руководитель предприятия и соответствующие должностные лица должны обеспечить соблюдение основных принципов формирования системы внутриобъектового режима:

· принципа персональной ответственности руководителей структурных подразделений, других должностных лиц и сотрудников предприятия за выполнение задач в области защиты государственной тайны;

· принципа комплексного использования имеющихся сил и средств для решения задач по защите государственной тайны;

· принципа полного охвата всех направлений деятельности предприятия, в ходе работы по которым возможна утечка сведений, составляющих государственную тайну, или утрата носителей этих сведений.

В организации внутриобъектового режима участвуют следующие основные структурные подразделения предприятия: режимно-секретное подразделение, служба безопасности предприятия, подразделение противодействия иностранным техническим разведкам, подразделение охраны (в части вопросов контроля внутренних объектов и служебных помещений предприятия).

Под организационными средствами защиты информации понимается комплекс мероприятий, планируемых и осуществляемых в целях организации внутриобъектового режима.

Управление криптоключами

У. Диффи и М. Хеллман изобрели метод открытого распределения ключей в 1976 г. Этот метод позволяет пользователям обмениваться ключами по незащищенным каналам связи. Его безопасность обусловлена трудностью вычисления дискретных логарифмов в конечном поле, в отличие от легкости решения прямой задачи дискретного возведения в степень в том же конечном поле.

Суть метода Диффи — Хеллмана заключается в следующем (рис. 5.9).

Рис. 5.9. Метод Диффи — Хеллмана

Пользователи A и В, участвующие в обмене информации, генерируют независимо друг от друга свои случайные секретные ключи к_А и к_в (ключи к_А и к_в — случайные большие целые числа, которые хранятся пользователями А и В в секрете).

Затем пользователь А вычисляет на основании своего секретного ключа к_А открытый ключ K_A= g^k* (mod N), одновременно пользователь В вычисляет на основании своего секретного ключа к_в открытый ключ K_B= g^k* (mod N), где N и g — большие целые простые числа. Арифметические действия выполняются с приведением по модулю N. Числа N и g могут не храниться в секрете. Как правило, эти значения являются общими для всех пользователей сети или системы.

Затем пользователи A и В обмениваются своими открытыми ключами К_А и К_в по незащищенному каналу и используют их для вычисления общего сессионного ключа А’(разделяемого секрета).

Таким образом, результатом этих действий оказывается общий сессионный ключ, который является функцией обоих секретных ключей к_А и к_в.

Злоумышленник, перехвативший значения открытых ключей К_А и К_в, не может вычислить сессионный ключ К, потому что он не имеет соответствующих значений секретных ключей к_А и к_в.

Благодаря использованию однонаправленной функции, операция вычисления открытого ключа необратима, т. е. невозможно по значению открытого ключа абонента вычислить его секретный ключ.

Уникальность метода Диффи — Хеллмана заключается в том, что пара абонентов имеет возможность получить известное только им секретное число, передавая по открытой сети открытые ключи. После этого абоненты могут приступить к защите передаваемой информации уже известным проверенным способом — применяя симметричное шифрование с использованием полученного разделяемого секрета.

Схема Диффи — Хеллмана дает возможность шифровать данные при каждом сеансе связи на новых ключах. Это позволяет не хранить секреты на дискетах или других носителях. Не следует забывать, что любое хранение секретов повышает вероятность попадания их в руки конкурентов или противника.

На основе схемы Диффи — Хеллмана функционирует протокол управления криптоключами IKE (Internet Key Exchange), применяемыми при построении защищенных виртуальных сетей VPN на сетевом уровне.

Билет 28

1. Организационная защита информации — это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

организацию охраны, режима, работу с кадрами, с документами;

использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Система организационных мер по защите информации представляют собой комплекс мероприятий, включающих четыре основных компонента:

— изучение обстановки на объекте;

— разработку программы защиты;

— деятельность по проведению указанной программы в жизнь;

— контроль за ее действенностью и выполнением установленных правил.

Выделяют следующие организационные мероприятия:

— ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

— организация надежной охраны помещений и территории прохождения линии связи;

— организация, хранения и использования документов и носителей конфиденциальной информации, включая порядок учета, выдачи, исполнения и возвращения;

— создание штатных организационных структур по защите ценной информации или назначение ответственного за защиту информации на конкретных этапах е? обработки и передачи;

— создание особого порядка взаимоотношений со сторонними организациями и партнерами;

— организация конфиденциального делопроизводства.

2. Состав и структура системы безопасности предприятия.

Организационная структура системы безопасности предприятия может быть самой разнообразной и зависит от вида конкретного предприятия (организация, банк, фирма), его размера, формы собственности, вида деятельности и т.п. Создавать ее необходимо осознанно и рационально, максимально используя опыт специалистов в сфере безопасности бизнеса.

Структура, численность и состав службы безопасности определяются реальными потребностями предприятия. В зависимости от вида деятельности и размера предприятия его безопасность может быть обеспечена по-разному: от абонементного обслуживания силами частных охранных и детективных структур до развертывания полномасштабной собственной службы и системы безопасности с развитой структурой и штатной численностью.

Основными элементами такой структуры могут быть:

1. руководитель системы безопасности;

2. совет по безопасности предприятия;

3. служба безопасности предприятия в составе отделов: охраны, режима, кадров, специального документооборота, инженерно-технических средств безопасности, контрразведывательной и информационно-аналитической деятельности;

4. структурные подразделения предприятия, активно участвующие в обеспечении комплексной безопасности (кадровое, финансовое, плановое, юридическое, маркетинга и др.).

⇐ Предыдущая 1 2 3 4 5 6 7 89