Существуют различные представления о системах защиты информации с точки зрения их назначения, состава и дополняющих функций. Предлагаемый подход к рассмотрению совокупности проблем защиты информации не является строго научным, а представляет мнение автора по этим вопросам.
Итак, для формирования полного представления о системах защиты информации целесообразно рассмотреть их основные составляющие, а именно: 1. Законодательная, нормативно-методическая и научная база 2. Структура и задачи органов (подразделений), осуществляющих комплексную защиту информации 3. Организационно-технические и режимные меры 4. Программно-технические методы и средства защиты информации
Учитывая предложенный подход в систематизации материалов книги, напомним, что нормативно-методическая БАЗА (001) является одной из основных составляющих СЗИ. В содержании документов нормативно-методической базы целесообразно отразить следующие группы вопросов:
ОСНОВЫ:
002 Структура и задачи органов (подразделений), обеспечивающих защиту информации;
003 Организационно-технические и режимные меры и методы (политика информационной безопасности);
004 Программно-технические способы и средства.
НАПРАВЛЕНИЯ:
010 Защита объектов корпоративных систем;
020 Защита процессов, процедур и программ обработки информации;
100 Определение информационных и технических ресурсов, подлежащих защите;
200 Выявление полного множество потенциально возможных угроз и каналов утечки информации;
300 Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
400 Определение требований к системе защиты;
500 Осуществление выбора средств защиты информации и их характеристик;
600 Внедрение и организация использования выбранных мер, способов и средств защиты;
700 Осуществление контроля целостности и управление системой защиты.
· Правовые аспекты защиты информации .
· В литературе справедливо обращается внимание на правовые аспекты защиты информации, которые могут возникнуть при недостаточно продуманном или злонамеренном использовании электронно-вычислительной техники. К ним относятся:
· 1. Правовые вопросы защиты массивов информации от искажений и установления юридической ответственности по обеспечению сохранности информации.
· 2. Юридические и технические вопросы защиты хранящейся информации от несанкционированного доступа к ней, исключающие возможность неправомерного использования ее.
· 3. Установление юридически закрепленных норм и методов защиты авторских прав и приоритетов разработчиков программного продукта.
· 4. Разработка мероприятий по приданию юридической силы документам, выдаваемым машинами, и формирование юридических норм, определяющих лиц, ответственных за доброкачественность других документов.
· 5. Правовая защита интересов экспертов, передающих свои знания в фонды банков данных.
· 6. Установление правовых норм и юридической ответственности за использование электронно-вычислительных средств в личных интересах, противоречащих интересам других личностей и общества и могущих нанести им вред.
· Сегодня пока еще отсутствует полная нормативно-правовая и методическая база для построения информационных и вычислительных систем в защищенном исполнении, пригодных для обработки секретной информации в государственных учреждениях и коммерческих структурах.
· Проблема обеспечения информационной безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер.
· При разработке средств защиты возникает ряд проблем правового характера:
· 1. Лицензирование деятельности по разработке программно-аппаратных средств защиты информации. Система лицензирования направлена на создание условий, при которых право заниматься защитой информации предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию).
· 2. Сертификация программно-аппаратных средств с функциями защиты. Система сертификации направлена на защиту потребителя от недобросовестного исполнителя.
· 3. Соответствие разрабатываемых средств защиты концептуальным требованиям к защите, стандартам и другим нормативным документам.
· 4. Отсутствие нормативно-правового обеспечения для решения спорных ситуаций с использованием цифровой подписи в арбитражном суде.
· 5. Задача оценки информации в стоимостном выражении крайне проблематична и часто напрямую не может быть решена, например при возникновении угроз информационным системам, обрабатывающим секретную информацию. В этом случае ответственность устанавливается по аналогии с действующими нормами уголовного права.
· Анализ показывает, что в целом можно выделить следующие критерии состава злоупотреблений в сфере обработки информации:
· 1. Нарушение правил регистрации информационных систем и перечней обрабатываемой информации.
· 2. Нарушение правил сбора информации, а именно: получение информации без разрешения и сбор ее сверх разрешенного перечня.
· 3. Хранение персональной информации сверх установленного срока.
· 4. Ненадлежащее хранение информации.
· 5. Передача третьим лицам сведений, составляющих коммерческую тайну, или персональных сведений.
· 6. Несвоевременное информирование населения о событиях, явлениях и фактах, могущих причинить вред их здоровью или нанести материальный ущерб.
· 7. Превышение пределов компетенции учетной деятельности, допущение неполных учетных записей и фальсификации данных.
· 9. Нарушение установленного порядка обеспечения безопасности информации.
· 10. Нарушение правил и технологии безопасной обработки информации.
· 11. Нарушение норм защищенности информации, установленных Законом.
· 12. Нарушение правил доступа к информации или к техническим средствам.
· 13. Нарушение механизма защиты информации и проникновение в систему.
· 14. Обход средств защиты и проникновение в систему.
· 15. Хищение информации с использованием:
· а) технических средств,
· б) доступа к носителям данных.
· 16. Несанкционированное уничтожение данных в информационных системах.
· 17. Несанкционированная модификация данных в информационных системах.
· 18. Искажение (модификация) программного обеспечения.
· 19. Перехват электромагнитных, акустических или оптических излучений.
· 20. Перехват информации, передаваемой по линиям связи путем подключения к ним дистанционного (бесконтактного) съема или любыми другими известными способами.
· 21. Изготовление и распространение заведомо непригодного ПО.
· 22. Распространение компьютерных вирусов.
· 23. Разглашение парольно-ключевой информации.
· 24. Несанкционированное ознакомление (попытка) с защищаемыми данными.
· 25. Несанкционированное копирование (хищение).
· 26. Внесение в программную среду не оговоренных изменений, в том числе и вирусного характера.