Файл: Меры защиты информации в соответствии с требованиями Государственной системы защиты информации.docx
Добавлен: 12.01.2024
Просмотров: 103
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
защите в соответствии с действующим законодательством, с применением технических, программных и программно- технических средств.
Криптографическая защита информации - Защита информации с помощью ее криптографического преобразования.
Физическая защита информации - Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные и технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.
Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.
Нарушения по степени важности делятся на три категории:
первая невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность утечки по техническим каналам;
вторая невыполнение требований защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;
третья невыполнение других требований по защите информации [1].
Законодательный уровень является важнейшим для обеспечения информационной безопасности. На законодательном уровне различают две группы мер:
1. меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (меры ограничительной направленности) [9];
2. направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).
Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения по противодействию иностранным техническим разведкам, а также путем проведения специальных работ, порядок организации и выполнения которых определяется Советом министров Правительством РФ [1].
В [1] главными направлениями работ по защите информации являются:
1) обеспечение эффективного управления системой защиты информации;
2) определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;
3) анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;
4) разработка организационно-технических мероприятий по защите информации и их реализация;
5) организация и проведение контроля состояния защиты информации.
Основным законом РФ является Конституция, принятая 12 декабря 1993 года.
В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.
Право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.
На территории РФ действует Уголовный кодекс, в главе 28 “Преступление в сфере компьютерной информации содержится три статьи:
Статья 272. Неправомерный доступ к компьютерной информации.
Рассматриваемая статья защищает право владельца на неприкосновенность, конфиденциальность и целостность информации в информационной системе. Владельцем информации является лицо, в полном объеме реализующее полномочия владения, пользования и распоряжения информацией и правомерно пользующееся услугами по обработке информации (объект преступления).
Деяние, ответственность за которое предусмотрено ст. 272 УК РФ, должно состоять в неправомерном доступе к охраняемой законом компьютерной информации (объективная сторона преступления), который подразумевает совершение последовательности действий, совершенных из корыстных побуждений или если они повлекли за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютера, системы компьютеров или их сети.
Обязательным признаком состава данного преступления является наступление вредных последствий для владельца либо информационно-вычислительной системы – уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютера, системы компьютеров или их сети.
При этом речь идет не только о затруднениях, связанных с манипуляциями в памяти компьютера, но и о помехах, проявляющихся на экране монитора, при распечатывании компьютерной информации, а также устройствах периферии.
Следует отметить, что просмотр информации, который хранится в памяти компьютера не образует состава преступления.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности является закон "Об информации, информационных технологиях и о защите информации" [6].
В нем даются основные определения, намечаются направления, в которых должно развиваться законодательство в данной области, регулируются отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Обладатель информации, оператор информационной системы обязан обеспечить:
1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2. своевременное обнаружение фактов несанкционированного доступа к информации;
3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5. постоянный контроль за обеспечением уровня защищенности информации.
Очень сложно на законодательном уровне создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий.
Информация – это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.
Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.
Эффективность предотвращения угроз информационной безопасности напрямую зависит от комплексного подхода к решению исследуемой проблемы.
Обеспечение необходимого уровня безопасности информационных ресурсов требует регулярной модернизации системы информационной безопасности, включая усовершенствования нормативно-правовой базы, внедрение новых программных продуктов и проведение обучающих мероприятий для сотрудников.
В первой главе были исследованы теоретические аспекты угроз информационной безопасности, рассмотрены основные задачи обеспечения информационной безопасности, а также была проведена подробная классификация угроз информационной безопасности.
Данная часть исследования имеет принципиальную значимость, поскольку своевременная идентификация и классификация угроз информационной безопасности необходима для эффективного обеспечения защиты информационных ресурсов.
Во второй главе был произведен анализ нормативно-правовой базы, обеспечивающая информационную безопасность, были выявлены основные недостатки действующих методов выявления угроз информационной безопасности, а также был произведен обзор наиболее актуальных угроз информационной безопасности.
Таким образом, цель данной работы была достигнута, задачи решены.
На основе систематизации нормативно-методической базы выбрано около 10 важных документов для проведения анализа мер защиты информации государственной системы. В соответствии с новой методикой ФСТЭК рассмотрены новые требования к содержанию модели угроз.
Благодаря Положению о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и ее утечки по техническим каналам (утв. постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. N 912-51) определены основные виды защиты информации, а также ее правовые основы, рассмотрены основные регламентирующие документы на законодательном уровне РФ.
Криптографическая защита информации - Защита информации с помощью ее криптографического преобразования.
Физическая защита информации - Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные и технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.
Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.
Нарушения по степени важности делятся на три категории:
первая невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность утечки по техническим каналам;
вторая невыполнение требований защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;
третья невыполнение других требований по защите информации [1].
-
Нормативные акты, действующие на территории РФ
Законодательный уровень является важнейшим для обеспечения информационной безопасности. На законодательном уровне различают две группы мер:
1. меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (меры ограничительной направленности) [9];
2. направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).
Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения по противодействию иностранным техническим разведкам, а также путем проведения специальных работ, порядок организации и выполнения которых определяется Советом министров Правительством РФ [1].
В [1] главными направлениями работ по защите информации являются:
1) обеспечение эффективного управления системой защиты информации;
2) определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;
3) анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;
4) разработка организационно-технических мероприятий по защите информации и их реализация;
5) организация и проведение контроля состояния защиты информации.
Основным законом РФ является Конституция, принятая 12 декабря 1993 года.
В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.
Право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.
На территории РФ действует Уголовный кодекс, в главе 28 “Преступление в сфере компьютерной информации содержится три статьи:
Статья 272. Неправомерный доступ к компьютерной информации.
Рассматриваемая статья защищает право владельца на неприкосновенность, конфиденциальность и целостность информации в информационной системе. Владельцем информации является лицо, в полном объеме реализующее полномочия владения, пользования и распоряжения информацией и правомерно пользующееся услугами по обработке информации (объект преступления).
Деяние, ответственность за которое предусмотрено ст. 272 УК РФ, должно состоять в неправомерном доступе к охраняемой законом компьютерной информации (объективная сторона преступления), который подразумевает совершение последовательности действий, совершенных из корыстных побуждений или если они повлекли за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютера, системы компьютеров или их сети.
Обязательным признаком состава данного преступления является наступление вредных последствий для владельца либо информационно-вычислительной системы – уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютера, системы компьютеров или их сети.
При этом речь идет не только о затруднениях, связанных с манипуляциями в памяти компьютера, но и о помехах, проявляющихся на экране монитора, при распечатывании компьютерной информации, а также устройствах периферии.
Следует отметить, что просмотр информации, который хранится в памяти компьютера не образует состава преступления.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности является закон "Об информации, информационных технологиях и о защите информации" [6].
В нем даются основные определения, намечаются направления, в которых должно развиваться законодательство в данной области, регулируются отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Обладатель информации, оператор информационной системы обязан обеспечить:
1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2. своевременное обнаружение фактов несанкционированного доступа к информации;
3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5. постоянный контроль за обеспечением уровня защищенности информации.
Очень сложно на законодательном уровне создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий.
Заключение
Информация – это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.
Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.
Эффективность предотвращения угроз информационной безопасности напрямую зависит от комплексного подхода к решению исследуемой проблемы.
Обеспечение необходимого уровня безопасности информационных ресурсов требует регулярной модернизации системы информационной безопасности, включая усовершенствования нормативно-правовой базы, внедрение новых программных продуктов и проведение обучающих мероприятий для сотрудников.
В первой главе были исследованы теоретические аспекты угроз информационной безопасности, рассмотрены основные задачи обеспечения информационной безопасности, а также была проведена подробная классификация угроз информационной безопасности.
Данная часть исследования имеет принципиальную значимость, поскольку своевременная идентификация и классификация угроз информационной безопасности необходима для эффективного обеспечения защиты информационных ресурсов.
Во второй главе был произведен анализ нормативно-правовой базы, обеспечивающая информационную безопасность, были выявлены основные недостатки действующих методов выявления угроз информационной безопасности, а также был произведен обзор наиболее актуальных угроз информационной безопасности.
Таким образом, цель данной работы была достигнута, задачи решены.
На основе систематизации нормативно-методической базы выбрано около 10 важных документов для проведения анализа мер защиты информации государственной системы. В соответствии с новой методикой ФСТЭК рассмотрены новые требования к содержанию модели угроз.
Благодаря Положению о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и ее утечки по техническим каналам (утв. постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. N 912-51) определены основные виды защиты информации, а также ее правовые основы, рассмотрены основные регламентирующие документы на законодательном уровне РФ.
Список используемых источников
-
Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и ее утечки по техническим каналам (утв. постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. N 912-51). -
ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения". -
Федеральный закон от 21.07.1993 N 5485-I "О государственной тайне" (с изменениями и дополнениями). -
Указ Президента РФ от 06 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» (ред. от 13.07.2015). -
Методический документ. Утверждён ФСТЭК России 5 февраля 2021 г. – ФСТЭК России. -
Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 29.12.2022). -
Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (ред. От 06.02.2023). -
Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993г.) (ред. от 22.07.2014). -
Кириленко В.И. Создание общей системы мер обеспечения информационной безопасности // Государственная служба. – 2009. - №6. -
Крат Ю.Г. Основы информационной безопасности. – Хабаровск: ДВГУПС, 2008.- с.7. -
Бабаш А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. — М.: КноРус, 2016. — 136 c. -
Гафнер В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. — Рн/Д: Феникс, 2017. — 324 c. -
Емельянова Н.З. Защита информации в персональном компьютере: Уч.пос / Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2017. - 352 c. -
Жук А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: Риор, 2017. - 480 c -
Информационная безопасность: Учебник для студентов вузов. — М.: Академический Проект; Гаудеамус, 2-е изд. — 2004. — 544 с.