2015-04-08
2296
НПА з-н РФ о без-сти. Без-сть – состояние защищенности жизненно-важных интересов личности, общества, гос-ва от внутр.и внеш.угроз. Объект без-сти (предмет) (явл-ся и Sами): 1.личность, права и свободы; 2.общ-во, его матер.и дух.ценности; 3.гос-во – строй, тер-ая целостность, суверенитет. Доктрина (2000г) инфо без-сти охватывает все напр.инфо без-сти. Обеспечение баланса интересов личн, общ-ва и гос-ва в инфо сфере. Инфо без-сть – состояние защищ-сти ее нац.интересов (РФ) в инфо сфере, определяющихся сов-стью сбалансированных интересов личн, общ-ва, гос-ва (согласно Доктрине). 2ой НПА Указ Пр-та о стратегии нац.без-сти РФ до 2020г→дает основания для рассм-ия инфо ресурсов в качестве стратегич.ресурса любого напр-ия деят-ти гос-ва. Инфо без-сть явл-ся частью нац.без-сти.
28. Национальные интересы России в информационной сфере: для личности, общества и государства.
Интересы – причина действий индивидов, соц.общностей, опред-х их соц.поведение. Нац.интересы РФ – сов-сть внутр.и внеш.потребностей гос-ва в обеспеч.защищ-сти и устойч.R личн., общ-ва и гос-ва. Интересы личн.в инфо сфере заключ-ся: 1.в реализации конст.прав чел.и гражд.на доступ к инфо; 2.на исп-ие инфо в интересах, осущ-ия незапрещенной з-ом детя-ти; 3.физ,дух.и интел-го R; 4.защите инфо, обеспеч.личн.без-сти. Интересы общ-ва в инфо сфере заключ-ся: -в обеспеч.интересов личности в этой сфере; -созд.прав.соц.гос-ва; -достижение поддерж.общ-го согласия; -а также дух.обновления России. Интересы гос-ва в инфо сфере заключ-ся в создании условий для гармоничного R рос.инфо инфраструктуры; для реализации конст.прав и свобод чел.и гражд.в обл.получения инфо и пользования ею в целях обесп-ия конст.строя, суверенитета и тер-ой целостности России. Осн.составляющие нац.интересов РФ в инфо сфере: 1.соблюдение конст.прав и свобод чел.и гражд.в обл.получения инфо; 2.инфо обеспеч.гос.политики РФ (офиц.позиция РФ); 3.R совр.инфо техн-ий, отечеств.индустрии инфо; 4. Защита инфо ресурсов от несанкц-го доступа;, обеспеч.без-сти инфо сис-м.
29. Доктрина информационной безопасности РФ об основных угрозах в информационной сфере и их источниках.
|
|
|
Угрозы – умышл-ое воздействие, включая несанкц-ый доступ с внег.стороны относ-но конкретной орган-ции или инфо сис-мы. Риски – возможное наступление неблаг-ых последствий, возник.в рез-те отступлений от устан-х правил поведения и орган-ции отнош.Sов, сам-но обеспеч-х без-сть своих инфо сис-м и допускающих нарушение прав.режима инфо ресурсовю Упущения – небрежность оформл.док-тов. Правонарш-ия в форме должн.проступка, адм.правонарш.и уг.проступка. По объетк угрозы делятся (согласно Доктрине): 1 блок: угрозы конст.правам и своб.чел.и гражд., в обл.дух.жизни и инфо деят-ти, а также дух.возрождению России: 1.1.приянтие о.г.в. НПА, ущемл-их конст.права и свободы чел.гражд.в обл.инфо деят-ти; 1.2.созд.монополии на формир-ие, получ.и распр-ие инфо в рФ; 1.3.противодействие реализации гражд.своих конст.прав, на лчин.и сем.тайну, тайну переписки, телеф.переговоров; 1.4.нерацион-ое чрезмерное огранич.доступа к общ.инфо; 1.5.противоправн.применение спец.ср-в воздействия на индивид.общ.соц сознание; 1.6. неисполнение о.г.в. и о.м.с.у.треб-ий фед.закон-ва, регулир-го отн.в инфо сфере; 1.7.неправомерное ограничение доступа гражд.к открытым инфо ресурсам (архивы, библиотеки); 1.8.дезорг-ция и разруш.сис-мы накопления и сохр.культ.ценностей; 1.9.девольвация дух.ценностей, пропаганда образцов массовой культуры, основ.на культе насилия; 1.10.манипуоирование инфо, к-ая содерж.в дезинфо. 2 блок: угрозы инфо обеспеч.гос.политик РФ: 2.1.монополизация инфо рынка России; 2.2.блокирование деят.СМИ по инфо-ию рос.и зарубеж.аудитории; 2.3.низкая эффективность инфо обеспеч.гос.политики РФ, в следствии дефицита квалифицир-х кадров, отсутст-вие сис-мы формир-ия и орган-ии гос.инфо политики. 3 блок: угрозы R отеч.индустрии инфо: 3.1.противодействие к доступу РФ к новейшим инфо техн-м взаимовыгодн.и равноправн.участию рос.производ-ей в мир.разделении труда в индустрии инфо услуг; 3.2.закупка о.г.в.импортных ср-в инфо-ции при неличии отеч.аналогов, не уступающ.по своим хар-кам зарубежным образцам; 3.3.вытеснение с отеч.рынка рос.произв-ей ср-в инфо-ции; 3.4.увеличение оттока за рубеж тех немногих спец-тов в инфо сфере. 4 блок: угрозы без-сти инфо ср-в и инфо сис-м: 4.1.противоправный сбор и исп-ие инфо; 4.2.нарушение технол.обработки инфо; 4.3.разработка и распр-ие программ, наруш-их нормальное функционирование инфо сис-м; 4.4.утечка инфо; 4.5.несанкц.доступ к инфо, наход.в базах и банках данных; 4.6.нарушение закон.ограничений на распр-ие инфо. Источники угроз инфо без-сти: внешние: 1.деят-ть ин., политю, воен.и экон.инфо структур, напр-ая против интересов РФ в инфо сфере; 2.стремление ряда стран к доминированию и ущемлению интересов России в мир.инфо прост-ве, вытеснение со стороны США; 3.обострение м/ународ.конкуренции за обладание инфо техн-ми и ресурсами; 4.деят-ть м/унар.террорист.орг-ций; 5.деят-ть космич.,воздуш,морск, и наземн.техн.ср-в разведки ин.гос-в; 6.разработка рядом гос-в концепции инфо войн. Внутренние: 1.критич.состояние отеч.отраслей промыш-сти; 2.неблагопр.криминог.обстановка; 3.недостат.координация деят-ти ФОГВ, ОГВ Sов по формир-ию и реализации ед.гос.политики в обл.обеспеч.инфо без-сти; 4.недостаточно разработана инфо база, регул-ая отнош.в сфере инфо; 5.независимость инст-та гражд.общ-ва; 6юнедостат.финанс-е меропр-ий по обеспеч.инфо без-сти; 7.снижение эффективности сис-мы образования; 8.недост.кол-во квалифиц-х кадров в обл.обеспеч.инфо без-сти.
30. Информационная война и информационное оружие.
|
|
|
В сер.80-х г.появился термин в связи с нов.задачами ВС США, после окончания «холодной войны». Особенности инфо войны: 1.охватывает все виды инфо и инфо сис-м; 2.объекты инфо войны м/т выступать и как оружие, и как объекты защиты; 3.расширяет тер-ию и прост-во ведения войн, ведется как при объявлении войны, так и в кризис.ситуации ведения войны (признак скрытности); 4.ведение войны как спец.структурами, так и гражд. Концепция инфо войны: 1.подавление элементов инфраструктуры гос.и воен.упр-ия; 2.получение развед.инфо путем перехвата инфо потоков; 3.осущ-ие несанкц-о доступа к инфо ресурсам с последующим их искажением, уничтож.и хищением; 4.формир-ие массов.распрост-ия по инфо каналам противника дезинфо для воздействия на оценку и ориентацию населения и лиц, приним-х решение (запутывание гос.органов). Инфо оружие – ср-во уничтожения, искажения или хищения инфо массивов, добывания из них необх.инфо после преодоления сис-мы защиты, ограничения или воспрещения доступа к ним закон.пользователей, а также дезорган-ция работы техн.ср-в. Признаки: скрытность, масштабность (город, страна), универсальность (воен.и гражд.структуры).
31. Принципы обеспечения информационной безопасности.
|
|
|
Пр-пы: 1.соблюд.К РФ и иного закон-ва; 2.открытость в реализации функции органов власти, предусм-ая инфо-ие общ-ва об их деят-ти, с учетом огранич.устан.-х гос-в; 3.прав.равенство всех уч-ков процесса инфо взаимодействия в независ-сти от их полит, соц.и экон.статуса; 4.выраж.в приоритет.Rотеч.совр.инфо технологий.
32. Задачи и функции обеспечения информационной безопасности.
1.гос-во проводит объект.и всесторонний анализ и прогнозирование угроз инфо без-сти, а также разраб-ет меры по ее обеспечению; 2.орган-ет работу закон.и исп.о.г.в. по реализации мер, напр-х на предотвращение угроз, напр-ых на обеспеч.инфо без-сти; 3.поддерживать деят-ть общ.объединений, напр-ых на объектив.инфо-ие населения асоциально значимых явлений; 4.гос-во осущ-ет контроль за экспортом и импортом ср-в защиты инфо; 5.гос-во форм-ет и реализ-ет гос.политику РФ в инфо сфере. Задачи: 1.форм-ие и реализация ед.гос.политик пообеспеч.защиты нац.интересов от угроз в инфо сфере; 2.соверш-ие закон-ва в обл.обеспеч.инфо без-сти; 3.R и совершенст-ие сис-мы обеспеч.инфо без-сти; 4.координация деят-ти о.г.в.по обеспеч.инфо без-сти; 5.разработка совр.методов и ср-в защиты инфо.
33. Стандарты обеспечения информационной безопасности.
Международные стандарты
· BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
|
|
|
· BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
· BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
· ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
· ISO/IEC 27000 — Словарь и определения.
· ISO/IEC 27001 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
· ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год.
· ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
· German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).
Государственные (национальные) стандарты РФ
· ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.
· Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.
· ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
· ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
· ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
· ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
· ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
· ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
· ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.
· ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.
· ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.
Руководящие документы
· РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.
Нормативные документы ИБ
· Стандарт Банка России СТО БР ИББС-1.0-2014 - Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
· PCI DSS (Payment Card Industry Data Security Standard) - Cтандарт безопасности данных индустрии платёжных карт.
