Информационная безопасность




Общее определение термина «защита информации» дает ГОСТ Р 50922-96 (Защита информации. Основные термины и определения).

Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

В Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента в 2000 г., под информационной безопасностью понимается «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».

В развитие Доктрины ведомства, в том числе таможенная служба России, разрабатывают свои концепции информационной безопасности. В Концепции информационной безопасности таможенных органов «под информационной безопасностью таможенных органов понимается состояние защищенности национальных интересов государства в информационной сфере деятельности таможенных органов».

Базовые правовые нормы, раскрывающие понятие информации, закрепляющие права и обязанности граждан, коллективов и государства на информацию и защиту информации, даны в Гражданском кодексе РФ, Таможенном кодексе РФ, законах «Об информации, информационных технологиях и защите информации», «О государственной тайне» и др.

Общие правовые нормы защиты информации ограниченного доступа, изложенные в Федеральном законе.

1.Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2.Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

3.Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством РФ о государственной тайне.

4.Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

5.Информация, полученная гражданами (организациями) при исполнении ими профессиональных обязанностей (определенных видов деятельности), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

6.Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

7.Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина, предоставившего такую информацию о себе.

8.Запрещается требовать от гражданина предоставления информации о его частной жизни и получать такую информацию помимо воли гражданина, если иное не предусмотрено федеральными законами.

9.Порядок доступа к персональным данным граждан устанавливается федеральным законом о персональных данных.

Для обеспечения безопасности информации в организациях реализуется система защиты. Она представляет собой совокупность (комплекс) специальных мер правового и административного характера, организационных мероприятий, физических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и всей вычислительной сети.

Политика безопасности строится на основе анализа рисков (определяется модель нарушителя, наиболее вероятные угрозы информационной безопасности и т.п.), которые признаются реальными для информационной системы организации.

С целью построения эффективной системы защиты целесообразно выполнить следующие работы:

- определить уровень угрозы и виды угроз информационной безопасности;

- выявить возможные каналы утечки информации и несанкционированного доступа;

- построить модель потенциального нарушителя;

- выбрать необходимые меры, методы и средства защиты;

- построить комплексную, эффективную систему защиты.

Существуют национальные и международные рекомендации и стандарты, касающихся вопросов организации, разработки и оценки систем защиты информации.

Виды защищаемой информации

Отнесение информации к категории государственной тайны осуществляется в соответствии с Законом РФ «О государственной тайне», коммерческой тайны - Законом РФ «О коммерческой тайне» и т.д.

Государственная тайна1 - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Государственная тайна характеризуется грифом секретности.

Коммерческая тайна2 - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Существуют также банковская, налоговая тайны и т.д.

 

Ведомственная система обеспечения информационной безопасности таможенных органов имеет следующую организационную структуру:

- руководитель ФТС России;

- Совет по информационной безопасности таможенных органов РФ с функциями постоянно действующей технической комиссии по защите государственной тайны;

- структурные подразделения центрального аппарата ФТС России, принимающие участие в соответствии со своими функциями и полномочиями в обеспечении информационной безопасности таможенных органов;

- региональное таможенное управление радиоэлектронной безопасности объектов таможенной инфраструктуры;

- ГНИВЦ ФТС России;

- советы по информационной безопасности региональных таможенных управлений;

- постоянно действующие технические комиссии по защите государствен­ной тайны таможен;

- структурные подразделения таможенных органов, принимающие участие в соответствии со своими функциями и полномочиями в обеспечении информа­ционной безопасности таможенных органов.

Объекты воздействий и причины угроз

Любая из компонент цепи, приведенных на рисунке, может подвергаться слу­чайным или преднамеренным воздействиям (угрозам).

 

Способы нарушения информационной безопасности таможенных органов России подразделяются.

Информационные способы:

- противозаконный сбор, распространение и использование информации;

- манипулирование информацией (дезинформация, сокрытие или искаже­ние информации);

- незаконное копирование данных и программ;

- незаконное уничтожение информации;

- хищение информации из баз и банков данных;

- нарушение характеристик информационного обмена;

- нарушение технологии обработки данных и информационного обмена.

Программно-математические способы:

- внедрение программ-вирусов;

- внедрение программных закладок на стадии проектирования или экс­плуатации системы, приводящее к снятию (блокированию) системы защиты информации.

Физические способы:

- уничтожение, хищение и разрушение средств обработки и защиты инфор­мации, средств связи, целенаправленное внесение в них неисправностей;

- уничтожение, хищение и разрушение машинных или других оригиналов -носителей информации;

- хищение ключей (ключевых документов) средств криптографической защиты.

Радиоэлектронные способы:

- перехват информации в технических каналах ее утечки;

- перехват и дешифрование информации в сетях передачи данных и линиях связи;

- внедрение электронных устройств перехвата информации в технические средства и помещения;

- навязывание ложной информации по сетям передачи данных и линиям связи;

- радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы:

- закупка несовершенного, устаревшего или неперспективного оборудования;

- невыполнение требований законодательства РФ и задержки в разработке и принятии правовых актов в области информационной безопасности.

Обеспечение информационной безопасности таможенных органов достигается за счет комплексного использования следующих средств защиты информации:

- технических средств защиты информации от иностранных технических разведок и от ее утечки по техническим каналам (системы активного зашумления, помехоподавляющие фильтры, средства экранирования и т.п.);

- средств защиты информации от несанкционированного доступа для рабо­чих станций, серверов и сетевого телекоммуникационного оборудования;

- средств криптографической защиты информации;

- межсетевых экранов;

- средств анализа защищенности, обнаружения атак и активного аудита;

- средств антивирусной защиты информации.

- использование смарт-карт, электронных замков и других носителей инфор­мации для надежной идентификации, аутентификации и разграничения досту­па должностных лиц таможенных органов к ресурсам ИВС ОП;

- контроль передаваемой и получаемой информации;

- запрет обращения к нежелательным ресурсам;

- шифрование информации при ее передаче по ИБС ОП, а также использо­вание ЭЦП;

- сбор статистических данных о работе должностных лиц таможенных орга­нов с ресурсами ИБС ОП.

Любая современная система защиты информации предполагает периодиче­ское создание копий сохраняемых данных.

Копирование - является одним из основных средств защиты от любых угроз, заключается в создании копий файлов информационной системы и их систематическом (лучше ежедневном) обновлении.

Основными типами компьютерных вирусов являются: программные, загрузочные, макровирусы.

Программные вирусы представляют собой блоки программного кода, умышленно внедренные в состав прикладных программ, при запуске которых активизируется и имплантированный вирусный код.

Загрузочные вирусы, попав в ЭВМ, размещаются в системных областях гибких и жестких дисков. При запуске компьютера они загружаются в оперативную память.

Макровирусы - особая разновидность вирусов, поражающая документы, выполненные в прикладных программах, использующих так называемые макрокоманды (макросы). Очень часто заражение происходит через сообщения, рассылаемые по электронной почте.

К сожалению, ни одна антивирусная программа не может полностью устранить угрозу проникновения вирусов, в основном эти программы борются с последствиями их воздействия.

Парольная защита и ограничение доступа являются обязательными элементами всех информационных компьютерных систем.

Криптографическая защита.

Считается, что применение криптографических преобразований - наиболее эффективный способ защиты данных от угроз конфиденциальности (получив несанкционированный доступ, нарушитель не может прочесть зашифрованные данные) и некоторых угроз нарушения целостности (невозможно изменить смысл сообщения, не зная его текст).

Криптостойкость определяет стойкость криптографического преобразования (шифра) к раскрытию. Обычно эта характеристика определяется числом возможных ключей либо интервалом времени, необхо­димым для раскрытия шифра лицом, которому не известен секретный ключ.

 




Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-02 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: