БИЛЕТ № 11. Основными критериями оценки надежности являются: политика безопасности и гарантированность

 

1. ПОЛИТИКА БЕЗОПАСНОСТИ

Основными критериями оценки надежности являются: политика безопасности и гарантированность.

Политика безопасности отображает тот набор законов, правил и норм поведения, которым пользуется конкретная организации при обработке, защите и распространении информации.

Политика безопасности – совокупность норм, правил, практических рекомендаций, которые регламентируют работу средств защиты АСОИ от множества угроз безопасности.

Существуют следующие подходы к обеспечению защиты информации АСОИ:

«Фрагментарный» - направленный на противодействие четко определенным угрозам. Достоинство – высокая степень противодействия конкретной угрозе.

Комплексный – ориентированный на создание защищенной среды обработки конфиденциальной информации в АСОИ, который объединяет в единый комплекс разнородные мероприятия противодействия угрозам. Разрешает гарантировать определенный уровень безопасности АСОИ.

Обеспечение безопасности АСОИ делятся на:

• правовые;

• морально-этические;

• административные;

• физические;

• аппаратно-программные.

Правовые меры - все действующие в государстве законы, указы и нормативные акты, которые регламентируют правила обращения с информацией ограниченного доступа и ответственности об их нарушении

Морально-этические меры - различные нормы поведения, которые сложились по мере распространения компьютерной техники.

Административные меры включают:

n разработку правил обработки информации в АСОИ;

n совокупность действий при проектировании и оборудовании вычислительных центров;

n совокупность действий при подборе и подготовке персонала;

n организация надежного пропускного режима;

n организация учета, хранения, использования, уничтожения документов, носителей конфиденциальной информации;

n распределение реквизитов разделения доступа;

n организация скрытого контроля за работой пользователей и персонала.

n Физические меры - различные механические и электрические устройства и сооружения, которые предназначены для создания физических преград (препятствий).

Аппаратно-программные средства - различные электронные устройства и спец. программы, которые реализуют самостоятельно, либо совместно с другими средствами защиты:

n идентификацию;

n аутентификацию;

n разделение доступа к ресурсам АСОИ;

n контроль целостности данных;

n обеспечение конфиденциальности;

n регистрация и анализ действий, которые происходят в АСОИ;

n резервирование ресурсов и компонентов АСОИ.

 

2. ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОСНОВНЫЕ ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ.

Основные положения важнейших законодательных актов РФ в области информационной безопасности и защиты информации

Закон РФ от 21.07.1993 года №5485-1 "О государственной тайне" с изменениями и дополнениями, внесенными после его принятия, регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности РФ.

В Законе определены следующие основные понятия:

n государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ;

n носители сведений, составляющих государственную тайну, – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

n система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;

n доступ к сведениям, составляющим государственную тайну – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;

n гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;

n средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

 

2. Закон РФ "Об информации, информатизации и защите информации"; от 20.02.1995 года №24-ФЗ – является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов РФ на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

Основными задачами системы защиты информации, нашедшими отражение в Законе "Об информации, информатизации и защите информации", являются:

n предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т. п., вмешательства в информацию и информационные системы;

n сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом;

n сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;

n обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;

n сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;

n соблюдение прав авторов программно-информационной продукции, используемой в информационных системах.

В соответствии с законом:

n информационные ресурсы делятся на государственные и негосударственные (ст. 6, ч. 1);

n государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа (ст. 10, ч. 1);

n документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (ст. 10, ч. 2).

Закон определяет пять категорий государственных информационных ресурсов:

1. открытая общедоступная информация во всех областях знаний и деятельности;

2. информация с ограниченным доступом;

3. информация, отнесенная к государственной тайне;

4. конфиденциальная информация;

5. персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом).

 

 

3. ПРАКТИЧЕСКОЕ ЗАДАНИЕ. СОЗДАТЬ ДОКУМЕНТ В MS WORD И ЗАЩИТИТЬ ЕГО ОТ ИЗМЕНЕНИЙ, Т.Е. СДЕЛАТЬ ТАК, ЧТОБЫ ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ИЗМЕНИТЬ ЭТОТ ДОКУМЕНТ БЕЗ ПАРОЛИ.