Помощничек
Главная | Обратная связь

Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Законодательная, нормативно-методическая и научная база функционирования систем защиты информации

⇐ ПредыдущаяСтр 16 из 21Следующая ⇒


Существуют различные представления о системах защиты информации с точки зрения их назначения, состава и дополняющих функций. Предлагаемый подход к рассмотрению совокупности проблем защиты информации не является строго научным, а представляет мнение автора по этим вопросам.

Итак, для формирования полного представления о системах защиты информации целесообразно рассмотреть их основные составляющие, а именно:
1. Законодательная, нормативно-методическая и научная база
2. Структура и задачи органов (подразделений), осуществляющих комплексную защиту информации
3. Организационно-технические и режимные меры
4. Программно-технические методы и средства защиты информации

Учитывая предложенный подход в систематизации материалов книги, напомним, что нормативно-методическая БАЗА (001) является одной из основных составляющих СЗИ. В содержании документов нормативно-методической базы целесообразно отразить следующие группы вопросов:

ОСНОВЫ:

    • 002 Структура и задачи органов (подразделений), обеспечивающих защиту информации;
    • 003 Организационно-технические и режимные меры и методы (политика информационной безопасности);
    • 004 Программно-технические способы и средства.

НАПРАВЛЕНИЯ:

    • 010 Защита объектов корпоративных систем;
    • 020 Защита процессов, процедур и программ обработки информации;
    • 030 Защита каналов связи;
    • 040 Подавление побочных электромагнитных излучений;
    • 050 Управление системой защиты.

ЭТАПЫ:

    • 100 Определение информационных и технических ресурсов, подлежащих защите;
    • 200 Выявление полного множество потенциально возможных угроз и каналов утечки информации;
    • 300 Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
    • 400 Определение требований к системе защиты;
    • 500 Осуществление выбора средств защиты информации и их характеристик;
    • 600 Внедрение и организация использования выбранных мер, способов и средств защиты;
    • 700 Осуществление контроля целостности и управление системой защиты.

 

· Правовые аспекты защиты информации .

· В литературе справедливо обращается внимание на правовые аспекты защиты информации, которые могут возникнуть при недостаточно продуманном или злонамеренном использовании электронно-вычислительной техники. К ним относятся:

· 1. Правовые вопросы защиты массивов информации от искажений и установления юридической ответственности по обеспечению сохранности информации.

· 2. Юридические и технические вопросы защиты хранящейся информации от несанкционированного доступа к ней, исключающие возможность неправомерного использования ее.

· 3. Установление юридически закрепленных норм и методов защиты авторских прав и приоритетов разработчиков программного продукта.

· 4. Разработка мероприятий по приданию юридической силы документам, выдаваемым машинами, и формирование юридических норм, определяющих лиц, ответственных за доброкачественность других документов.

· 5. Правовая защита интересов экспертов, передающих свои знания в фонды банков данных.

· 6. Установление правовых норм и юридической ответственности за использование электронно-вычислительных средств в личных интересах, противоречащих интересам других личностей и общества и могущих нанести им вред.

· Сегодня пока еще отсутствует полная нормативно-правовая и методическая база для построения информационных и вычислительных систем в защищенном исполнении, пригодных для обработки секретной информации в государственных учреждениях и коммерческих структурах.

· Проблема обеспечения информационной безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер.

· При разработке средств защиты возникает ряд проблем правового характера:

· 1. Лицензирование деятельности по разработке программно-аппаратных средств защиты информации. Система лицензирования направлена на создание условий, при которых право заниматься защитой информации предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию).

· 2. Сертификация программно-аппаратных средств с функциями защиты. Система сертификации направлена на защиту потребителя от недобросовестного исполнителя.

· 3. Соответствие разрабатываемых средств защиты концептуальным требованиям к защите, стандартам и другим нормативным документам.

· 4. Отсутствие нормативно-правового обеспечения для решения спорных ситуаций с использованием цифровой подписи в арбитражном суде.

· 5. Задача оценки информации в стоимостном выражении крайне проблематична и часто напрямую не может быть решена, например при возникновении угроз информационным системам, обрабатывающим секретную информацию. В этом случае ответственность устанавливается по аналогии с действующими нормами уголовного права.

· Анализ показывает, что в целом можно выделить следующие критерии состава злоупотреблений в сфере обработки информации:

· 1. Нарушение правил регистрации информационных систем и перечней обрабатываемой информации.

· 2. Нарушение правил сбора информации, а именно: получение информации без разрешения и сбор ее сверх разрешенного перечня.

· 3. Хранение персональной информации сверх установленного срока.

· 4. Ненадлежащее хранение информации.

· 5. Передача третьим лицам сведений, составляющих коммерческую тайну, или персональных сведений.

· 6. Несвоевременное информирование населения о событиях, явлениях и фактах, могущих причинить вред их здоровью или нанести материальный ущерб.

· 7. Превышение пределов компетенции учетной деятельности, допущение неполных учетных записей и фальсификации данных.

· 8. Предоставление заинтересованным лицам заведомо неточной информации.

· 9. Нарушение установленного порядка обеспечения безопасности информации.

· 10. Нарушение правил и технологии безопасной обработки информации.

· 11. Нарушение норм защищенности информации, установленных Законом.

· 12. Нарушение правил доступа к информации или к техническим средствам.

· 13. Нарушение механизма защиты информации и проникновение в систему.

· 14. Обход средств защиты и проникновение в систему.

· 15. Хищение информации с использованием:

· а) технических средств,

· б) доступа к носителям данных.

· 16. Несанкционированное уничтожение данных в информационных системах.

· 17. Несанкционированная модификация данных в информационных системах.

· 18. Искажение (модификация) программного обеспечения.

· 19. Перехват электромагнитных, акустических или оптических излучений.

· 20. Перехват информации, передаваемой по линиям связи путем подключения к ним дистанционного (бесконтактного) съема или любыми другими известными способами.

· 21. Изготовление и распространение заведомо непригодного ПО.

· 22. Распространение компьютерных вирусов.

· 23. Разглашение парольно-ключевой информации.

· 24. Несанкционированное ознакомление (попытка) с защищаемыми данными.

· 25. Несанкционированное копирование (хищение).

· 26. Внесение в программную среду не оговоренных изменений, в том числе и вирусного характера.

 

⇐ Предыдущая6789101112131415161718192021Следующая ⇒

 




Поиск по сайту:
©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.