2017-10-31
1352
2.1.1. Правовое регулирование в области безопасности информации
Государство должно обеспечить в стране защиту информации, как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:
1) выработать государственную политику безопасности в области информационных технологий;
2) законодательно определить правовой статус компьютерных систем, информации, систем защиты информации, владельцев и пользователей информации и т. д.;
3) создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности информационных технологий;
4) создать систему стандартизации, лицензирования и сертификации в области защиты информации;
5) обеспечить приоритетное развитие отечественных защищенных информационных технологий;
6) повышать уровень образования граждан в области информационных технологий;
7) установить ответственность граждан за нарушения законодательства в области информационных технологий.
|
|
|
На основании правовых документов ведомства (министерства, объединения, корпорации и т. п.) разрабатывают нормативные документы (приказы, директивы, руководства, инструкции и др.), регламентирующие порядок использования и защиты информации в подведомственных организациях.
Важной составляющей правового регулирования в области информационных технологий является установление ответственности граждан за противоправные действия при работе с АС. Преступления, совершенные с использованием КС или причинившие ущерб владельцам компьютерных систем, получили название компьютерных преступлений. В Уголовном кодексе определена уголовная ответственность за преступления в сфере компьютерной информации.
2.1.2. Законодательные методы защиты информации
Незнание закона не освобождает от ответственности за его нарушение, потому нужно знать законодательные методы защиты информации, а особенно хакерам и любителям чужих тайн.
Информацию защищают административные, технические, силовые, юридические и правоохранительные службы государства или негосударственные организации в лице служб информационной безопасности разных уровней, соответствующих отделов милиции, государственных контролирующих органов и судов.
Информацию защищают от иностранных или отечественных, частных или государственных, юридических или физических лиц, которые не имеют права легального доступа к информации, но стремящихся завладеть такой информацией с целью нанесения убытка ее владельцу или для добывания личной выгоды для себя. Интересно отметить тот факт, что достаточно часто государство исключает себя из перечня возможных злоумышленников, ставя свое любопытство к чужим тайнам высшее желание своих граждан хранить эти тайны.
|
|
|
Информацию защищают путем создания надежных систем хранения самой информации, грамотного администрирования готовых систем, принятия охранительно-режимных, следственно-оперативных и профилактических мероприятий к нарушителям безопасности.
Следует акцентировать внимание на то, что всяческие законодательные акты разных стран в сфере защиты информации направлены на защиту не всей информации без разбора, а только особенной информации, которая замечается специальным грифом - грифом секретности или знаком интеллектуальной собственности. С юридической точки зрения, признаком секретности конкретного документа может считаться не только соответствующий значок в верхнем правом кутьи документу, но и само содержание документу. Гриф могут предоставлять государственные чиновники компетентных органов или патентные бюро.
По важности на постсоветском пространстве информацию обычно относят к одному из 5 классов секретности.
Каждый класс (табл.1.1) допускает, что важность среднестатистического документа (средняя стоимость, которую могут заплатить за него заинтересованные лица) увеличивается на порядок за сравнением со стоимостью аналогичного документу из предыдущего класса. Наименьший гриф НДД обычно присваивается документам, которые содержат информацию, стоимость которой эквивалентна одному дню работы квалифицированного сотрудника.
Таблица 1.1
| Гриф таємності інформації | Термін дії грифа |
| Знак інтелектуальної власності | не визначений |
| Не для друку | не визначений |
| Для службового користування / Конфіденційна | не визначений |
| Таємна | 5 років |
| Цілковито таємна | 10 років |
| Особливої важливості | 30 років |
Для работы с электронными документами разной степени секретности должны использоваться компьютерные системы разного уровня безопасности. Для этого разные организации предлагают свои системы классификации уровней безопасности компьютерных систем. Однако общепризнанной является классификация в соответствии с американским стандартом "Критерии безопасности компьютерных систем Министерства обороны США" (Оранжевая книга), который выделил четыре основных группы систем безопасности:
Группа D. Системы без встроенных функций защиты или минимальной защитой.
Группа C. Системы данной группы должны обеспечивать произвольное управление доступом к ресурсам (не все процедуры выполняются с использованием механизмов защиты, а существуют только островки безопасности в виде ресурсов, которые требуют предъявления прав доступа к ним и пользователей, которые владеют такими правами). Системы группы C должны регистрировать действия субъектов, то есть вести журнал аудита. Пользователи, которые имеют права на доступ к определенным ресурсам, могут делегировать свои права другим пользователям по собственному усмотрению. Группа имеет два класса.
Группа B. Главное требование к системам данной группы - мандатное управление доступом (абсолютно все компоненты системы: пользователи, процессы, ресурсы, потоки данных, средства интерфейса перед взаимодействием выполняют сличение "права доступа суб’екта" с "приоритетностью объекта"). Работа в таких системах организована в соответствии с выбранной политикой безопасности - набором неизменных правил. Ядро защиты системы, которая обеспечивает функции защиты, должно быть сертифицировано на корректность реализации этих функций. Группа имеет три класса.
Группа A. Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (произвольного и нормативного). В них требуется дополнительная документация, которая демонстрирует, что архитектура и реализация ядра безопасности отвечают требованиям безопасности.
|
|
|
В этом документе критерием оценки фактически является соответствие множества средств защиты данной системы множеству, указанному в одном из классов оценки. В случае, когда набор средств недостаточный, то систему защиты относят к первому низшему классу., а для проверки ее принадлежности к высшему необходимо применять специальные методики.
Кроме американской классификации защищенных систем существуют также европейская, канадская, японская, французская и другие классификации.
В "Критерии безопасности информационных технологий", разработанных странами Европы, общая оценка уровня безопасности системы состоит из функциональной мощности средств защиты и уровня адекватности их реализации. Главное отличие этого документа в том, что здесь впервые введено понятие адекватности средств защиты и специальная шкала критериев.
В Украине существуют законы "Про інформацію" и "Про захист інформації в автоматизованих системах". В них даны определения основных терминов: информация; информатизация; автоматизированные системы; защита информации; конфиденциальная информация; собственник и владелец информационных ресурсов; пользователь информации.
Также в Украине введены в действие нормативные документы системы технической защиты "Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа".
В национальном стандарте Украины предложены две основных группы безопасности компьютерных систем - произвольный и мандатный доступ, в каждой из которых выделены два класса, которые отвечают классам C1, C2 и B1, B2 американской классификации.
Поскольку массовая информатизация и компьютеризация началась в Украине с опозданием лет на 15, а традиция уважать чужие тайны и уважать чужую интеллектуальную собственность не появилась и поныне, то и законодательство в этой сфере заметно слабее западного. Такая ситуация характерна для большинства стран прежнего СССР, и правовые акты в этой сфере у прежних союзных республик достаточно похожие.
|
|
|
К секретной (особенной важности - ОВ, совершенно секретной - ЦТ. тайной - Т) относится информация, которая содержит сведения, которые составляют государственную или другую предусмотренную законом тайну, разглашение которой наносит вред обществу (государству).
К конфиденциальной информации относятся сведения, которыми владеют, которые используют или которыми распоряжаются отдельные физические или юридические личности, которые распространяют их в соответствии с определенными ими самостоятельно условиями.
Секретная и конфиденциальная информация нуждаются в защите от угроз нарушения конфиденциальности, целостности и доступности, а открытая информация важная для лица, общества и государства - защиты от угроз нарушения целостности и доступности
2.1.3 Общая характеристика организационных методов защиты информации в КС
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности информации такая деятельность относится к организационным методам защиты информации.
Организационные методы защиты информации включают меры, мероприятия и дей ствия, которые должны осуществлять должностные лица в процессе создания и эксплуатации АС для обеспечения заданного уровня безопасности информации.
Организационные методы защиты информации тесно связаны с правовым регулированием в области безопасности информации. В соответствии с законами и нормативными актами в министерствах, ведомствах на предприятиях, в учреждениях (независимо от форм собственности) для защиты информации в АС создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, непосредственно руководству учреждения. Руководители служб организуют создание и функционирование систем защиты информации.
Организационные мероприятия по защите включают в себя совокупность действий по подбору и проверке персонала, участвующего в подготовке и эксплуатации программ и информации, строгое регламентирование процесса разработки и функционирования ИС.
Данные механизмы в общем случае предусматривают:
- развёртывание системы контроля и разграничения физического доступа к элементам автоматизированной системы.
- создание службы охраны и физической безопасности.
- организацию механизмов контроля за перемещением сотрудников и посетителей (с использованием систем видеонаблюдения, и т.д.);
- разработку и внедрение регламентов, должностных инструкций и тому подобных регулирующих документов;
- регламентацию порядка работы с носителями, содержащими конфиденциальную информацию.
Не затрагивая логики функционирования АС, данные меры при корректной и адекватной их реализации являются крайне эффективным механизмом защиты и жизненно необходимы для обеспечения безопасности любой реальной системы.
Организационные методы являются стержнем комплексной системы защиты информации в АС. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты информации в единую комплексную систему. Конкретные организационные методы защиты информации будут приводиться при рассмотрении парирования угроз безопасности информации. Наибольшее внимание будет уделено организационным мероприятиям при рассматривании вопросов построения и организации функционирования комплексной системы защиты информации.
