Правовые и организационные методы защиты

Глава 14. Методы и средства защиты информации в компьютерных системах

В результате освоения данной темы студент должен:

знать:

- назначение и функциональные возможности основных механизмов обеспечения информационной безопасности;

- важнейшие требования нормативных документов к организации защиты информации;

уметь:

- обосновать выбор механизмов защиты ИС от определенного информационного риска;

владеть:

- навыками настройки подсистемы защиты информации ОС Windows;

- навыками использования возможностей приложений MSOffice и Internet Explorer по защите информации.

Правовые и организационные методы защиты

Правовые методы защиты информации служат основой легитимного (законного) построения ИС и использования информации, создания систем защиты ИС. В масштабах страны обеспечение информационной безопасности осуществляет государство. Государство создает необходимые условия в стране для безопасного использования современных информационных технологий в интересах государственных органов, различных организаций и отдельных граждан. Чтобы решить эту проблему государство обязано:

1) выработать государственную политику безопасности в информационной сфере;

2) сформировать законодательство, регулирующее отношения в информационной сфере;

3) создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности информационных технологий;

4) создать систему стандартизации и технического регулирования, лицензирования и сертификации в области защиты информации;

5) обеспечить приоритетное развитие отечественных защищенных информационных технологий;

6) повышать уровень образования граждан в области информационных технологий и обеспечения информационной безопасности, воспитывать у них патриотизм и бдительность;

7) обеспечить свободный доступ граждан к открытой информации;

8) оградить граждан страны от информации, распространение которой запрещено нормативными правовыми актами Российской Федерации;

9) установить ответственность граждан за нарушения законодательства в области информационных технологий.

Решение этих масштабных задач требует от государства, прежде всего, разработать и претворять в жизнь государственную политику по обеспечению безопасности информационных технологий на всех уровнях и во всех сферах человеческой деятельности.

В Российской Федерации вопросы информационной безопасности впервые нашли отражение в «Концепции национальной безопасности Российской Федерации», утвержденной Указом Президента РФ № 1300 от 17 декабря 1997 года. В этом документе отмечается, что «в современных условиях всеобщей информатизации и развития информационных технологий резко возрастает значение обеспечения национальной безопасности РФ в информационной сфере».

Учитывая важность проблемы обеспечения безопасности государства в области информационных технологий Указом Президента Российской Федерации № Пр-1895 от 9 сентября 2000 г. утверждена «Доктрина информационной безопасности Российской Федерации». Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

Для достижения целей политики обеспечения информационной безопасности государство создает необходимую нормативную правовую базу. Ее можно представить в виде иерархической системы нормативных правовых актов.

На верхнем уровне регулируются основы информационной безопасности государства, предприятия и гражданина Российской Федерации, а также вопросы комплексной защиты информации, имеющие отношение ко всем направлениям обеспечения информационной безопасности.

К нормативным правовым актам этого уровня относятся: "Конституция Российской Федерации" от 12.12.1993; Закон РФ "О безопасности" от 5.03.1992 № 2446-1; Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.06 № 149-ФЗ; Федеральный закон "О техническом регулировании" от 27.12.2002 № 184-ФЗ.

Федеральный закон "Об информации, информационных технологиях и о защите информации" является базовым федеральным законом Российской Федерации, регулирующим правоотношения в информационной сфере государства. Значение этого закона заключается, прежде всего, в определении основных понятий информационного права. В законе определены такие термины как: информация, информационные технологии, обладатель информации, конфиденциальность информации и другие.

В нем законодательно закреплены основы политики государства в сфере информационных технологий, права и обязанности субъектов информационного права, а также принципы регулирования ответственности за правонарушения в информационной сфере.

Следующий уровень иерархии законов, которые используются в процессе управления информационной безопасностью, составляют законы, развивающие и конкретизирующие положения информационного права применительно к определенным областям информационной безопасности. К ним относятся действующие законы: "О государственной тайне" от 21.07.1993 № 5485-1; "О коммерческой тайне" от 29.07.2004 № 98-ФЗ; "О связи" от 07.06.2003 № 126-ФЗ; "О средствах массовой информации" от 27.12.1991 № 2124-I; "О рекламе" от 13.03.2006 № 38-ФЗ; "О персональных данных" от 27.07.06 №152 – ФЗ и другие. Для этой группы законов характерно следующее. Они вводят новые дефиниции в конкретной сфере информационного права. Эти законы регулируют взаимоотношения субъектов права при работе с определенного вида информацией (персональной информацией, информацией, составляющей государственную или коммерческую тайну), при использовании информационных технологий для реализации определенных бизнес-процессов (передача информации по каналам связи, массовое распространение информации, реклама, электронная торговля и т. д.).

К третьему, самому низкому, уровню иерархии законов могут быть отнесены законы, которые регламентируют применение определенного механизма противодействия информационным рискам. Примером такого закона может служить Федеральный закон "Об электронной подписи" от 06.04.2011 № 63-ФЗ. Как правило, конкретные технологии информационной сферы регламентируются на более низких по сравнению с законом уровнях. Лишь для технологий, являющихся наиболее важными при обеспечении информационной безопасности государства, применяется регулирование в рамках отдельного закона.

Особое место в вопросах обеспечения информационной безопасности занимают кодифицированные законы Российской Федерации: "Гражданский кодекс Российской Федерации (часть четвертая)" от 18.12.2006 № 230-ФЗ; "Кодекс Российской Федерации об административных правонарушениях" от 13.12.2001 № 195-ФЗ; "Уголовный кодекс Российской Федерации" от 13.06.1996 № 63-ФЗ; "Трудовой кодекс Российской Федерации" от 30.12.2001 № 197-ФЗ и другие акты. Кодифицированные законы содержат отдельные главы и статьи, регулирующие отношения в информационной сфере, в том числе определяющие ответственность граждан за нарушения информационного законодательства.

Следующий уровень нормативного правового регулирования общественных отношений в информационной сфере составляют законы субъектов Российской Федерации, подзаконные акты органов государственного управления и местного самоуправления. Наиболее важные вопросы развития положений законов Российской Федерации отражаются в указах и распоряжениях Президента РФ, а также в постановлениях Правительства РФ.

Кроме законодательной базы на государственном уровне формируется также система национальных стандартов в информационной сфере. Значимость стандартов определяется важностью функций, выполняемых системой стандартизации. Система стандартов позволяет решать следующие задачи управления информационными рисками:

· согласование характеристик блоков, устройств, систем и процессов для их эффективного бесконфликтного совместного использования;

· обеспечение сравнимости результатов измерений и исследований, технических и экономико-статистических данных;

· оценка эффективности функционирования системы или качества продукта;

· определение уровня соответствия объекта исследования лучшим мировым или национальным образцам;

· взаимозаменяемость средств информатизации и информационных технологий;

· сертификация и лицензирование в сфере информационной безопасности.

На верхнем уровне иерархии стандартов, которые используются при управлении информационными рисками, находятся стандарты, предназначенные для эффективного использования информационных систем и информационных технологий. Такие стандарты позволяют повысить устойчивость бизнеса и его эффективность за счет внедрения новых информационных технологий. Вопросы управления информационными рисками в этих стандартах занимают значительное, но не единственное место. Информационные риски связываются не только с нарушением безопасности, но и со снижением качества информации ниже приемлемого уровня.

Наиболее известными стандартами этого уровня являются стандарты: отраслевой стандарт США ControlObjectivesforInformationandrelatedTechnology (CobiT); отраслевой стандарт IT InfrastructureLibrary (ITIL) (наиболее часто используется в Великобритании, Нидерландах и Австралии); национальный стандарт Великобритании BS 15000.

Второй уровень в иерархии стандартов, применяемых для управления информационными рисками, составляют стандарты управления системами информационной безопасности и качеством информации. К этой группе стандартов относятся стандарты, которые определяют процессы создания, эксплуатации, модернизации и утилизации систем информационной безопасности и систем управления информационными рисками.

Примерами стандартов такого уровня могут служить стандарты: международные стандарты управления информационной безопасностью семейства ISO 27000 (более 20 стандартов); ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации»; ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»; ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий; ГОСТ Р ИСО/МЭК 18028-1 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности»; ГОСТ Р ИСО/ТО 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности; ГОСТ 17799-2005 (ISO 17799:2005). Практические правила управления информационной безопасностью; ГОСТ Р ИСО/МЭК 15408-2002. Критерии оценки безопасности информационных технологий; ГОСТ Р 51169-98. Качество служебной информации. Система сертификации информационных технологий в области качества служебной информации. Термины и определения; ГОСТ Р 52294-2004. Информационная технология. Управление организацией. Электронный регламент административной и служебной деятельности. Основные положения; ГОСТ РВ 51987 ИТ.КСАС. Требования и показатели качества функционирования информационных систем. Общие положения; ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России; ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России; ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России; ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России.

На третьем уровне находятся стандарты для управления информационными рисками, которые определяют алгоритмы, принципы действия, порядок применения определенных механизмов защиты и защищенных информационных технологий. Эта группа стандартов определяет также требования к процессам создания и эксплуатации механизмов защиты.

К стандартам этого уровня относятся стандарты шифрования с симметричными ключами DES и AES (США), ГОСТ 28147-89 (Россия); стандарт шифрования с открытыми ключами RSA; стандарты цифровой подписи DSS (США) и ГОСТ Р 34.10 – 94 (Россия); стандарт использования хэш-функции ГОСТ Р 34.11 - 94 (Россия); RAID технология – стандарт defacto, определяющий организацию надежного и эффективного хранения данных и другие.

Для реализации политики информационной безопасности на государственном уровне создана система обеспечения информационной безопасности Российской Федерации, которая является частью системы обеспечения национальной безопасности страны.

Она включает все ветви исполнительной власти: исполнительную, законодательную и судебную.Органами исполнительной власти на федеральном уровне являются: Управление информационнойбезопасности и Межведомственная комиссия по информационной безопасности Совета безопасности РФ; Федеральная служба безопасности РФ;Федеральная служба охраны РФ;Межведомственная комиссия по защите государственной тайны;Федеральная служба по техническому и экспортному контролю, Управление К МВД; Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; Федеральное агентство по техническому регулированию и метрологии.

Перечисленные органы исполнительной власти готовят нормативные акты для представления их в Федеральное Собрание РФ, осуществляют разрешительную и надзорную функции в области информационной безопасности.

В Государственной Думе подготовкой нормативных актов в сфере информационной безопасности занимается Подкомитет по законодательству в сферах обеспечения деятельности спецслужб, противодействия коррупции, информационной безопасности, финансирования правоохранительных органов и спецслужб, социальной защиты их сотрудников, пенсионеров и членов их семей Комитета по безопасности, а также Комитет по информационнойполитике, информационнымтехнологиям и связи. Рассматриваемая проблема обсуждается также в Комиссии Совета Федерации по информационной политике.

На уровне предприятия организационные методы являются стержнем комплексной системы управления информационными рисками. Только с помощью этих методов возможно объединение на правовой основе экономических, технических, программных и криптографических средств и методов обеспечения безопасности информации в единую комплексную систему.

Организационные методы управления информационными рисками могут быть разделены на следующие группы:

· методы применения средств управления;

· методы непосредственного управления информационными рисками;

· методы общего менеджмента.

Большую группу организационных методов управления информационными рисками составляют методы применения средств управления рисками. Для реализации данных методов управления разрабатываются методики, инструкции, графики, схемы, правила, функциональные обязанности, которые позволяют персоналу применять средства управления информационными рисками. По своей сущности это методы, которые обеспечивают применение средств в рамках определенных технологий управления информационными рисками.

Управление отдельными информационными рисками может осуществляться без применения специальных средств. Такие методы используются, если организационные методы эффективнее методов с использованием специальных средств или когда организационные методы используются в дополнение к другим механизмам. В качестве примеров организационных методов управления информационными рисками, имеющих самостоятельное значение, могут служить следующие организационные методы: организация хранения носителей информации в специальных хранилищах, совместное выполнение и контроль особо ответственных операций, допуск в помещения с использованием контролеров и т. п.

К методам общего менеджмента отнесены методы управления, которые выполняются на любом предприятии, при управлении любой системой: планирование работ, создание документации, сбор, обработка и передача управляющей информации, контроль, аудит и т. п.

Экономические методы управления информационными рисками используются для обеспечения экономической эффективности применения системы управления информационными рисками. К экономическим методам управления могут быть отнесены следующие методы:

· определения затрат на систему управления информационными
рисками;

· оценки ущербов от информационных рисков;

· оптимизации общих расходов на управление информационными
рисками;

· страхования информационных рисков;

· создания резервов для минимизации ущербов.

Поиск по сайту: