Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Неумышленные угрозы безопасности и целостности информации
К неумышленным нарушениям относятся: - случайные ошибки персонала; - неверное исполнение программ (затирание данных, блокировка, неэффективное управление совместными ресурсами), связанное с воздействием внешней среды (например, мощное электромагнитное излучение) или сбоями в программе; - неумышленное заражение программами-вирусами дисков и программ; - несчастные случаи, стихийных бедствия (нарушение правил противопожарной безопасности, нарушение правил эксплуатации оборудования и т.п.).
ОСНОВНЫЕ НАПРАВЛЕНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В СОВРЕМЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Эффективная защита от рассмотренных угроз безопасности и целостности информации может реализоваться только через комплексную систему защиты. Это совокупность правовых, организационных мероприятий, технических средств, программно-технических методов, организуемых и поддерживаемых для предупреждения разрушения, утечки или модификации защищаемой информации в вычислительной системе. ПРАВОВОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ Нормативно-правовая база в области обеспечения информационной безопасности формируется на четырех иерархических уровнях: Первый уровень образуют международные договоры и федеральные законы России, например: - Международные конвенции об охране интеллектуальной собственности, авторском праве; - Конституция РФ (ст. 23, 24, 29, 44); - Федеральный закон РФ от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»; - Уголовный кодекс РФ (ст. 272, ст.273, ст.274); - Федеральный закон РФ от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»; - Закон РФ от 21.07.93 № 5485-1 (ред. 01.12.2007) «О государственной тайне»; - Федеральный закон РФ от 10.01.2002 № 1-ФЗ (ред. 08.11.2007) «Об электронной цифровой подписи»; - Федеральный закон РФ от 27.07.2006 №152-ФЗ «О персональных данных». Второй уровень составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться: - Указ Президента РФ от 06.03.97 № 188 (ред. 23.09.2005) «Об утверждении перечня сведений конфиденциального характера»; - Указ Президента РФ от 12.05.09 № 537 «О стратегии национальной безопасности Российской Федерации до 2020 года». - «Доктрина информационной безопасности РФ», утверждена Президентом РФ 09.09.2000 г. №Пр.-1895. - Указ Президента РФ от 16.08.2004 №1085 (ред. от 17.11.2008) «Вопросы Федеральной службы по техническому и экспортному контролю». - Указ Президента РФ от 17.03.2008 №351 (ред. 21.10.2008) «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена». - Постановление Правительства РФ от 15.08.2006 №504 «О лицензировании деятельности по технической защите конфиденциальной информации». - Приказ ФСТЭК РФ №55, ФСБ РФ №86, Мининформсвязи РФ №20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных». - Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». - Приказ ФСБ РФ от 09.02.2005 №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)». Третий уровень - это государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. В качестве примеров можно привести следующие документы: - ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; - Приказ ФСТЭК РФ от 28.08.2007 №182 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по разработке и (или) производству средств защиты конфиденциальной информации»; - Приказ Россвязькомнадзора от 17.07.2008 №08 «Об утверждении образца формы уведомления об обработке персональных данных»; - Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; - Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2008» (принят и введен в действие Распоряжением ЦБ РФ от 25.12.2008). Четвертый уровень образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации территориальных подразделений. В них определяются перечни сведений ограниченного распространения, порядки организации реальных мероприятий и т.д.
Организационные мероприятия
Целью этих мероприятий является создание организационной защиты, предотвращающей доступ посторонних лиц к компьютерам, на которых хранится и обрабатывается сетевая информация, а также к средствам и линиям связи в сети. Организационная защита - это регламентация служебной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение информацией ограниченного распространения и проявления внутренних и внешних угроз. Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся, в основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер. К числу основных таких мер можно отнести: - организация режима и охраны для исключения тайного проникновения на территорию и в помещения посторонних лиц; обеспечение контроля прохода и перемещения сотрудников, посетителей и др.; - создание отдельных рабочих зон (выделенные помещения); - контроль и соблюдение временного режима труда и пребывания на территории сотрудников организации; - проведение работы с сотрудниками: подбор и расстановка персонала; ознакомление, изучение, обучение правилам работы с информацией ограниченного доступа; оповещение о мерах ответственности за нарушение правил защиты информации и др.; - организация специального делопроизводства и документооборота, разработка технологий использования документов и носителей информации ограниченного доступа, их учета, исполнения, возврата, хранения и уничтожения; - использование сертифицированных технических средств сбора, обработки, накопления и хранения информации ограниченного доступа; - анализ внутренних и внешних угроз информации ограниченного доступа и выработка мер по обеспечению ее защиты; - проведение систематического контроля за работой персонала с информацией ограниченного доступа, порядком учета, хранения и уничтожения документов и технических носителей. В каждом случае организационные мероприятия по форме и содержанию являются специфическими для данной организации и обеспечивают безопасность информации в конкретных условиях.
Технические средства защиты
Для решения задач обеспечения безопасности и целостности информации в арсенале специалистов службы безопасности и защиты информации имеется широкий набор технических средств и методов, среди которых два направления занимают важное место: - обнаружение, идентификация, локализация (определение местоположения) подслушивающих устройств и других средств несанкционированной передачи информации из контролируемых помещений; - организация технической защиты информации на основе специальных технических средств, методов и оборудования. |
Последнее изменение этой страницы: 2017-04-12; Просмотров: 630; Нарушение авторского права страницы