БИЛЕТ № 11. Основными критериями оценки надежности являются: политика безопасности и гарантированность
1. ПОЛИТИКА БЕЗОПАСНОСТИ Основными критериями оценки надежности являются: политика безопасности и гарантированность. Политика безопасности отображает тот набор законов, правил и норм поведения, которым пользуется конкретная организации при обработке, защите и распространении информации. Политика безопасности – совокупность норм, правил, практических рекомендаций, которые регламентируют работу средств защиты АСОИ от множества угроз безопасности. Существуют следующие подходы к обеспечению защиты информации АСОИ: «Фрагментарный» - направленный на противодействие четко определенным угрозам. Достоинство – высокая степень противодействия конкретной угрозе. Комплексный – ориентированный на создание защищенной среды обработки конфиденциальной информации в АСОИ, который объединяет в единый комплекс разнородные мероприятия противодействия угрозам. Разрешает гарантировать определенный уровень безопасности АСОИ. Обеспечение безопасности АСОИ делятся на: • правовые; • морально-этические; • административные; • физические; • аппаратно-программные. Правовые меры - все действующие в государстве законы, указы и нормативные акты, которые регламентируют правила обращения с информацией ограниченного доступа и ответственности об их нарушении Морально-этические меры - различные нормы поведения, которые сложились по мере распространения компьютерной техники. Административные меры включают: n разработку правил обработки информации в АСОИ; n совокупность действий при проектировании и оборудовании вычислительных центров; n совокупность действий при подборе и подготовке персонала; n организация надежного пропускного режима; n организация учета, хранения, использования, уничтожения документов, носителей конфиденциальной информации; n распределение реквизитов разделения доступа; n организация скрытого контроля за работой пользователей и персонала. n Физические меры - различные механические и электрические устройства и сооружения, которые предназначены для создания физических преград (препятствий). Аппаратно-программные средства - различные электронные устройства и спец. программы, которые реализуют самостоятельно, либо совместно с другими средствами защиты: n идентификацию; n аутентификацию; n разделение доступа к ресурсам АСОИ; n контроль целостности данных; n обеспечение конфиденциальности; n регистрация и анализ действий, которые происходят в АСОИ; n резервирование ресурсов и компонентов АСОИ.
2. ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОСНОВНЫЕ ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ. Основные положения важнейших законодательных актов РФ в области информационной безопасности и защиты информации Закон РФ от 21.07.1993 года №5485-1 "О государственной тайне" с изменениями и дополнениями, внесенными после его принятия, регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности РФ. В Законе определены следующие основные понятия: n государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ; n носители сведений, составляющих государственную тайну, – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов; n система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях; n доступ к сведениям, составляющим государственную тайну – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну; n гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него; n средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
2. Закон РФ "Об информации, информатизации и защите информации"; от 20.02.1995 года №24-ФЗ – является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов РФ на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации. Основными задачами системы защиты информации, нашедшими отражение в Законе "Об информации, информатизации и защите информации", являются: n предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т. п., вмешательства в информацию и информационные системы; n сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом; n сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации; n обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных; n сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами; n соблюдение прав авторов программно-информационной продукции, используемой в информационных системах. В соответствии с законом: n информационные ресурсы делятся на государственные и негосударственные (ст. 6, ч. 1); n государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа (ст. 10, ч. 1); n документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (ст. 10, ч. 2). Закон определяет пять категорий государственных информационных ресурсов: 1. открытая общедоступная информация во всех областях знаний и деятельности; 2. информация с ограниченным доступом; 3. информация, отнесенная к государственной тайне; 4. конфиденциальная информация; 5. персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом).
3. ПРАКТИЧЕСКОЕ ЗАДАНИЕ. СОЗДАТЬ ДОКУМЕНТ В MS WORD И ЗАЩИТИТЬ ЕГО ОТ ИЗМЕНЕНИЙ, Т.Е. СДЕЛАТЬ ТАК, ЧТОБЫ ДРУГИЕ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ИЗМЕНИТЬ ЭТОТ ДОКУМЕНТ БЕЗ ПАРОЛИ.
|
