Файл: Меры защиты информации в соответствии с требованиями Государственной системы защиты информации.docx
Добавлен: 12.01.2024
Просмотров: 98
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ
«МЭИ»
ИНЖЕНЕРНО-ЭКОНОМИЧЕСКИЙ ИНСТИТУТ
Кафедра безопасности и информационных технологий
Направление подготовки бакалавриата
10.03.01-«Информационная безопасность»
Реферат
Тема: Меры защиты информации в соответствии с требованиями Государственной системы защиты информации
Выполнил: | студент группы | | | Плашин | Д.В. |
Проверил: | доцент кафедры | | | Крамкин | П.Е. |
Москва, 2023 г.
Содержани
Введение 3
Глава 1. Деятельность государственной системы защиты информации 4
1.1. Государственная система защиты информации 4
Глава 2. Методы и средства защиты информации на территории Российской Федерации 9
2.1.Виды защиты информации 9
2.2.Нормативные акты, действующие на территории РФ 10
Заключение 14
Список используемых источников 16
Введение 3
Глава 1. Деятельность государственной системы защиты информации 4
1.1. Государственная система защиты информации 4
1.2. Угрозы информационной безопасности 5
Глава 2. Методы и средства защиты информации на территории Российской Федерации 9
2.1. Виды защиты информации 9
2.2. Нормативные акты, действующие на территории РФ 10
Заключение 14
Список используемых источников 16
Введение
В связи с бурным развитием информационно-коммуникационных технологий проблематика информационной безопасности распространяется практически на все сферы жизнедеятельности личности, общества и государства, связанные с производством, преобразованием, потреблением, накоплением и хранением информации, независимо от способов и средств осуществления этих процессов.
Реализация системы защиты информации ГИС позволяет нейтрализовать угрозы безопасности информации, а также выполнить обязательные требования нормативных правовых актов РФ, подтвердив это аттестатом соответствия информационной системы требованиям безопасности информации.
Вопросы защиты информации приобретают особую важность. Поэтому тема работы является актуальной.
Целью работы является анализ мер защиты информации в соответствии с требованиями Государственной системы защиты информации.
Для достижения поставленной цели необходимо выполнить следующие задачи:
1. Проанализировать меры защиты информации государственной системы.
2. Определить правовые основы защиты информации, рассмотреть основные регламентирующие документы на законодательном уровне РФ.
Работа состоит из Введения, двух глав, Заключения, Списка используемых источников, насчитывающего 15 наименований.
В первой главе работы рассматривается понятие Государственной системы защиты информации и информационная безопасность как часть системы обеспечения национальной безопасности Российской Федерации.
Вторая глава посвящена оценке методов и средствам защиты информации, применяемых на территории Российской Федерации.
Глава 1. Деятельность государственной системы защиты информации
1.1. Государственная система защиты информации
Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленными соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации.
Информационная безопасность является составной частью системы обеспечения национальной безопасности Российской Федерации наряду с политической, военной, экономической, социальной и экологической безопасностью и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.
Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет ФСТЭК России.
Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программнотехнических воздействий с целью разрушения или искажения информации в процессе обработки, передачи и хранения [1].
Деятельность государственной системы защиты информации осуществляется на основе:
1) законности;
2) подконтрольности Президенту Российской Федерации;
3) разграничении полномочий федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, интегрированных структур оборонно-промышленного комплекса и организаций по защите информации, а также отдельными должностными лицами.
Государственная система защиты информации включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.
1.2. Угрозы информационной безопасности
Обеспечение и поддержка информационной безопасности включают комплекс разноплановых мер, которые предотвращают, отслеживают и устраняют несанкционированный доступ третьих лиц. Работы по защите информации в органах государственной власти и на предприятиях проводятся на основе актов законодательства Российской Федерации [1].
Меры ИБ направлены также на защиту от повреждений, искажений, блокировки или копирования информации. Принципиально, чтобы все задачи решались одновременно, только тогда обеспечивается полноценная, надежная защита.
Угрозы информационной безопасности проявляются не самостоятельно, а через возможное взаимодействие с наиболее слабыми звеньями системы защиты, то есть через факторы уязвимости. Угроза приводит к нарушению деятельности систем на конкретном объекте-носителе.
Основные уязвимости возникают по причине действия следующих факторов[2]:
-
несовершенство программного обеспечения, аппаратной платформы; -
разные характеристики строения автоматизированных систем в информационном потоке; -
часть процессов функционирования систем является неполноценной; -
неточность протоколов обмена информацией и интерфейса; -
сложные условия эксплуатации и расположения информации.
Чаще всего источники угрозы запускаются с целью получения незаконной выгоды вследствие нанесения ущерба информации. Но возможно и случайное действие угроз из-за недостаточной степени защиты и массового действия угрожающего фактора.
Существует разделение уязвимостей по классам, они могут быть:
-
объективными; -
случайными; -
субъективными.
Если устранить или как минимум ослабить влияние уязвимостей,
можно избежать полноценной угрозы, направленной на систему хранения информации. Угрозы информационной безопасности могут быть классифицированы по различным признакам:
1. По аспекту информационной безопасности, на который направлены угрозы:
1.1.Угрозы конфиденциальности (неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой.
В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя, сбоев в работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна [3] и конфиденциальная информация [4] (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений, сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации).
1.2.Угрозы целостности (неправомерное изменение данных). Угрозы нарушения целостности, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами, от умышленных действий персонала до выхода из строя оборудования.
1.3. Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы).
При нарушении доступности создаются такие условия, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.
2. Все источники угроз информационной безопасности можно разделить на три основные группы:
2.1. Обусловленные действиями субъекта (антропогенные источники), действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления.
Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.
2.2. Обусловленные техническими средствами (техногенные источники), угрозы менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.
2.3. Источники — данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить, или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы [9].
Содержимое модели угроз полностью описано новой методикой оценки ФСТЭК, она пришла на смену полностью устаревшей базовой модели угроз предыдущего поколения. Новая методика диктует следующие требования к содержанию модели [5]:
-
определить все последствия, которые могут возникнуть в случае использования угроз (ущерб рядовым гражданам или компаниям, ущерб государству); -
определить все возможные объекты для атак, перечислить функционирующие в ИС системы и сети, каналы связи; -
оценить возможности вероятных злоумышленников, иными словами – определить источники атак; -
оценить способы атак, вероятные для исследуемой системы; -
оценить возможности по выполнению атак и определить актуальность угроз; -
оценить вероятные сценарии атак в социальных сетях.
Глава 2. Методы и средства защиты информации на территории Российской Федерации
-
Виды защиты информации
Согласно [2] защита информации бывает следующих видов:
Правовая защита информации - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
Техническая защита информации; ТЗИ - Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих)