36445 (606453), страница 6

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

Общие методы обеспечения информационной безопасности Российской Федерации

Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются: внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации. А также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации; законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан.

Разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну; уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России; законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи; определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций; создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются: создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере. Разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения. Создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации. Сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации; формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности. Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

Приложение

Законы, регулирующие информационную безопасность:

• "О федеральных органах правительственной связи и информации" от 19.02.92 № 4524-1;

• "О безопасности" от 05.03.92 № 2446-1;

• "О правовой охране программ для электронно-вычислительных машин и баз данных" от 23.09.92 № 3523-1;

• "О правовой охране топологий интегральных микросхем" от 23.09.92 № 3526-1;

• "О сертификации продукции и услуг" от 10.06.93 № 5151-1;

• "О стандартизации" от 10.06.93 № 5154-1;

• "Об архивном фонде Российской Федерации и архивах" от 07.07.93 № 5341-1;

• "О государственной тайне" от 21.07.93 № 485-1;

• "О связи" от 16.02.95 № 15-ФЗ;

• "Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ;

• "Об органах федеральной службы безопасности в Российской федерации" от 03.04.95 № 40-ФЗ;

• "Об оперативно-розыскной деятельности" от 12.08.95 № 144-ФЗ;

• "Об участии в международном информационном обмене" от 04.07.96 № 85-ФЗ;

• "Об электронной цифровой подписи" от 10.01.2002 № 1-ФЗ.

Нормативные правовые акты Президента Российской Федерации:

• "Об основах государственной политики в сфере информатизации" от 20.01.94 № 170;

• "Вопросы межведомственной комиссии по защите государственной тайны" от 20.01.96 № 71;

• "Об утверждении перечня сведений конфиденциального характера" от 06.03.97 № 188;

• "О некоторых вопросах межведомственной комиссии по защите государственной тайны" от 14.06.97 № 594;

• "О перечне сведений, отнесенных к государственной тайне" от 24.01.98 № 61;

• "Вопросы Государственной технической комиссии при Президенте Российской Федерации" от 19.02.99 № 212;

• "О концепции национальной безопасности Российской Федерации" от 10.01.2000 N 24;

• "Об утверждении перечня должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне" от 17.01.2000 N 6-рп;

• Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.

Нормативные правовые акты Правительства Российской Федерации:

• "Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР" от 20.02.95 N 170;

• "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15.04.95 N 333;

• "О сертификации средств защиты информации" от 26.06.95 N 608;

• "Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" 04.09.95 N 870;

• "О подготовке к передаче сведений, составляющих государственную тайну, другим государствам" от 02.08.97 N 973;

• "О лицензировании отдельных видов деятельности" от 11.04.00 N 326.

Руководящие документы Гостехкомиссии России:

• Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;

• Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;

• Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

• Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации;

• Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

• Защита информации. Специальные защитные знаки. Классификация и общие требования;

• Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

ВЫВОД

Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами: неправильно введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

На втором месте по размерам ущерба располагаются кражи и подлоги. Согласно имеющимся данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен суммарный ущерб в размере 882 млн. долл. Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней.

Весьма опасны так называемые "обиженные сотрудники" - действующие и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:

- повредить оборудование;

- встроить логическую бомбу, которая со временем разрушит программы и/или данные;

- ввести неверные данные;

- удалить данные;

- изменить данные.

"Обиженные сотрудники", даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения инфраструктуры: аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных "врагов", среди которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

Много говорят и пишут о хакерах, но исходящая от них угроза зачастую преувеличивается. Верно, что почти каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что иногда такие попытки оказываются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте себе, что в любой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного в этом мало.

Много говорят и пишут и о программных вирусах. Причем в последнее время говорят уже о вирусах, воздействующих не только на программы и данные, но и на пользователей. Так, в свое время появилось сообщение о жутком вирусе 666, который, выводя каждую секунду на монитор некий 25-й кадр, вызывает у пользователей кровоизлияние в мозг и смерть (впоследствии это сообщение не подтвердилось).

Однако, говоря о "вирусной" угрозе, обратим внимание на следующий факт. Как показали проведенные в США в 1993 году исследования, несмотря на экспоненциальный рост числа известных вирусов, аналогичного роста количества инцидентов, вызванных вирусами, не зарегистрировано. Соблюдение несложных правил компьютерной гигиены сводит риск заражения практически к нулю. Там где работают, а не играют в компьютерные игры (именно это явление приводит к использованию непроверенных на наличие вирусов программ), число зараженных компьютеров составляет лишь доли процента.

Таковы основные угрозы, на долю которых приходится львиная доля урона, наносимого информационным системам. Рассмотрим теперь иерархию защитных мероприятий, способных противостоять угрозам.

Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. От вирусов и других факторов ущерба оказывается меньше.

ЛИТЕРАТУРА

1. Закон РФ "О государственной тайне" 2008 г. 32 стр.

2. Закон РФ "Об информации, информатизации и защите информации" 2006г. 24стр.

3. Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895. 2004г. 48стр.

4. Словарь терминов Гостехкомиссии при президенте РФ

5. http://prikladnayainformatika.ru/keywords

6. Носов В.А. Вводный курс по дисциплине “Информационная безопасность” 2004г. 50стр.

7. Соколов А.В. «Методы информационной защиты объектов и компьютерных сетей». 2000г. 272стр.

8. Б. Анин «Защита компьютерной информации». 2000г. 384стр.

9. Малюк «Информационная безопасность: концептуальные и методологические основы защиты информации». 2004г. 280стр.

10. Галатенко В.А. «Стандарты информационной безопасности». 2004г. 328стр.

11. П. Ю. Белкин, О. О. Михальский, А. С. Першаков, Д. И. Правиков, В. Г. Проскурин, Г. В. Фоменков «Защита программ и данных». 1999г.

12. http://www.jetinfo.ru/2002/7/1/article1.7.200231.html - Нормативная база анализа защищенности

13. http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm

14. http://counter-terrorism.narod.ru/magazine1/kotenko-8-1.htm - Вопросы ИБ и терроризма

15. http://snoopy.falkor.gen.nz/~rae/des.html - описание алгоритма DES

16. http://markova-ne.narod.ru/infbezop.html - Вопросы ИБ и СМИ

17. http://www.ctta.ru/ - Некоторые проблемы ИБ

18. http://st.ess.ru/steganos.htm - Вопросы стеганографии

19. http://www.infosecurity.ru/_site/problems.shtml - Суть проблемы Информационной Безопасности

20. http://www.jetinfo.ru/2004/11/3/article3.11.2004.html - Федеральный стандарт США FIPS 140-2

Характеристики

Список файлов курсовой работы