Нормативно-правовые основы информационной безопасности

Федеральное государственное образовательное  учреждение среднего

профессионального образования

«Астраханский колледж вычислительной техники» 

• Специальность 230105

 
 

Реферат

по  дисциплине: Информационная безопасность

на тему: «Нормативно-правовые основы информационной безопасности» 
 

Работу  выполнил:                              Студент гр. ПК-51 сз

Яколвев А.Ю. 

Работу  проверил:         Преподователь

Евдошенко О.И. 

       2012

       Основы  информационной безопасности

       Государство – это определенная организация  политической, государственной власти в обществе, организация, не совпадающая с самим обществом. Но в обществе кроме государства существуют и другие организации. Общество – это исторически развивающаяся совокупность отношений между людьми, складывающаяся в процессе их жизнедеятельности. Информация – результат взаимодействия источника, среды передачи и приёмника информации. В большинстве случаев, информацией не является статическое восприятие. Как информация воспринимается объектом потребления, изменение состояния источника информации или среда её передачи – все это имеет значение при ее получении. В узком смысле слова, информацией можно считать результат сравнения одного с другим (дифференцирование). Основная функция приёмника данных – фильтрация, игнорирование шума и выявление нового в бесконечном потоке обычного. Информация необходима для объектов, потребляющих её – как средство обеспечения их существования, позволяет реагировать на изменения в окружающем мире. Информация делится на множество типов: достоверная; непротиворечивая; ложная; неправдоподобная. А так же существует и своя охрана информации, называемая информационная безопасность. Тип информации определяет её потребитель, используя различные среды передачи и источники информации.Информационная безопасность государства – это состояние сохранности информационных ресурсов государства и защиты, законных прав личности и общества в информационной сфере. В современном социуме, информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком – мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Информационную безопасность можно представить двумя частями: информационно-техническая безопасность и информационно-психологическая (психофизическая) безопасность. Безопасность информации – это состояние защищенности информации (ее данных), при которой обеспечены её конфиденциальность, доступность и целостность. Конфиденциальность информации – это принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно, содержащиеся в них сведения без согласия собственника экономического субъекта. За исключением случаев, предусмотренных законодательными актами. Доступность информации – состояние информации (ресурсов автоматизированной информационной системы), при которой субъекты, имеющие право доступа, могут реализовывать их беспрепятственно. Примечание. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов. Целостность информации – является одним из трех основных критериев информационной безопасности объекта. Обеспечение достоверности и полноты информации и методов ее обработки. Не всегда обязательные категории модели безопасности: невозможность отказа от авторства; подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий; достоверность – свойство соответствия предусмотренному поведению или результату; аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. В Государственном стандарте РФ приводится следующая рекомендация использования терминов «безопасность» и «безопасный»: «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует, употреблять эти слова в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации.

       Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо: выявить требования защиты информации, специфические для данного объекта защиты; учесть требования национального и международного Законодательства; использовать наработанные практики (стандарты, методологии) построения подобных СОИБ; определить подразделения, ответственные за реализацию и поддержку СОИБ; распределить между подразделениями области ответственности в осуществлении требований СОИБ. На базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие политику информационной безопасности объекта защиты; реализовать требования политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации; реализовать Систему менеджмента (управления) информационной безопасности (СМИБ); используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости, пересмотр и корректировку СОИБ и СМИБ. Как видно, из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ, корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

       Нормативные документы в области  информационной безопасности

       В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся: акты федерального законодательства, международные договоры РФ; конституция РФ; законы федерального уровня (включая федеральные конституционные законы, кодексы); указы Президента РФ; постановления правительства РФ; нормативные правовые акты федеральных министерств и ведомств; нормативные правовые акты субъектов РФ, органов местного самоуправления. Международные стандарты информационной безопасности – государственные (национальные) стандарты РФ; рекомендации по стандартизации; методические указания.

       Органы, обеспечивающие информационную безопасность

       В зависимости от приложения деятельности в области защиты информации (в  рамках государственных органов  власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

       Государственные органы РФ, контролирующие деятельность в области защиты информации:

       -комитет  государственной думы по безопасности;

       –совет безопасности России;

       –федеральная служба по техническому и экспортному контролю (ФСТЭК);

       –федеральная служба безопасности России (ФСБ России);

       -министерство  внутренних дел Российской Федерации  (МВД России); федеральная служба  надзора в сфере информационных  технологий и массовых коммуникаций (Роскомнадзор). Службы, организующие  защиту информации на уровне предприятия: служба экономической безопасности; служба безопасности персонала (Режимный отдел); отдел кадров; служба информационной безопасности. Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации, её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. Для построения политики информационной безопасности, обязательно требуется рассматривать следующие направления защиты информационной системы:

       –Защита объектов информационной системы;

       –Защита процессов, процедур и программ обработки информации;

       –Защита каналов связи;

       –Подавление побочных электромагнитных излучений;

       –Управление системой защиты.

       По  каждому из перечисленных выше направлений, политика информационной безопасности должна описывать следующие этапы  создания средств защиты информации:

       –Определение информационных и технических ресурсов, подлежащих защите;

       –Выявление полного множества потенциально возможных угроз и каналов утечки информации;

       –Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

       –Определение требований к системе защиты;

       –Осуществление выбора средств защиты информации и их характеристик;

       –Внедрение и организация использования выбранных мер, способов и средств защиты;

       –Осуществление контроля целостности и управление системой защиты.

       Политика  информационной безопасности оформляется  в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты. Документы верхнего уровня политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т.п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях – для внешнего и внутреннего использования. Согласно ГОСТ Р ИСО/МЭК 17799–2005, на верхнем уровне политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса». К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организации информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: безопасность данных, безопасность коммуникаций. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны. В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

       Программно-технические  способы и средства обеспечения информационной безопасности

       Средства  защиты от несанкционированного доступа (НСД):

       -Средства  авторизации;

       -Мандатное управление доступом;

       -Избирательное  управление доступом;

       -Управление  доступом на основе ролей;

       -журналирование (называется еще и аудит).

       Системы анализа и моделирования информационных потоков (CASE системы).

       Системы мониторинга сетей:

       -Системы  обнаружения и предотвращения вторжений (IDS/IPS).

       Системы предотвращения утечек конфиденциальной информации (DLP системы).

       Анализаторы протоколов.

       Антивирусные  средства.

       Межсетевые  экраны.

       Криптографические средства:

       -Шифрование;

       -Цифровая  подпись.

       Системы резервного копирования.

       Системы бесперебойного питания:

       -Источники  бесперебойного питания;

       –Резервирование нагрузки;

       -Генераторы  напряжения.

       Системы аутентификации:

       -Пароль;

       -Сертификат;

       -Биометрия.

       Средства  предотвращения взлома корпусов и краж оборудования.

       Средства  контроля доступа в помещения.

       Инструментальные  средства анализа систем защиты:

       –Программный мониторинговый продукт.

       основа  информационной безопасности (в фирме, большой аудитории, бизнесе)

       Основа  информационной безопасности в организации  – это внутрифирменный контроль и достоверность. Система информационной безопасности (СИБ) является одним из основных элементов организационного менеджмента. От эффективности функционирования СИБ зависит большинство сторон деятельности и успешность организации в целом. Исходными условиями создания полноценной основы системы информационной безопасности должны быть четкие представления о ее целях и структуре, о видах угроз и их источниках, и о возможных мерах противодействия. Среди перечня угроз безопасности фирмы наиболее существенной считается утечка конфиденциальной информации. Изучение механизма движения информации в организациях разного профиля показывает, что особое внимание следует уделять контролю данных, передаваемых по слаботочным информационным сетям, в частности телефонным линиям. Однако, для построения системной работы необходимы четкие процедуры при работе с информацией, а эффективность внедряемой СИБ будет во многом зависеть от соблюдения сотрудниками установленных в организации правил защиты информации. Касаясь организационной структуры, способной воплотить основы программы информационной безопасности и донести их до широкого круга общественности, следует обратить особое внимание на создание и функционирование региональных центров общественной информации, как важнейших элементов непосредственного взаимодействия с различными целевыми аудиториями.