2015-04-23
4105
Раздел 2. Методы и средства защиты информации
В компьютерных системах
Тема 2.
Методы защиты информации в компьютерных системах.
Содержание:
1. Правовые и организационные методы защиты информации в КС.
1.1. Правовые основы защиты информации.
1.2. Организационные методы защиты информации.
2. Защита информации в КС от случайных угроз и от традиционного шпионажа и диверсий.
2.1. Защита информации в КС от случайных угроз.
2.2. Защита информации в КС от традиционного шпионажа и диверсий.
3. Методы и средства защиты от электромагнитных излучений наводок.
4. Методы защиты от несанкционированного изменения структур КС.
5. Защита информации в КС от несанкционированного доступа.
6. Криптографические методы защиты информации.
С позиции безопасности информации в КС такие системы целесообразно рассматривать в единстве трех компонентов, оказывающих взаимное влияние друг на друга:
- информация;
- технические и программные средства;
- обслуживающий персонал и пользователи.
Угроза безопасности информации – потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.
Угрозы безопасности информации в КС:
а) Случайные угрозы:
- стихийные бедствия и аварии;
- сбои и отказы технических устройств;
- ошибки при разработке КС;
- алгоритмические и программные ошибки;
- ошибки пользователей и обслуживающего персонала;
б) Преднамеренные угрозы:
- традиционный шпионаж и диверсии;
- несанкционированный доступ к информации;
- электромагнитные излучения и наводки;
- несанкционированная модификация структур;
- вредительские программы.
Правовые и организационные методы защиты информации в КС.
Правовые основы защиты информации.
Государство должно обеспечить в стране защиту информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы необходимо:
- выработать государственную политику безопасности в области информационных технологий;
- законодательно определить правовой статус компьютерных систем, информации, систем защиты информации, владельцев и пользователей информации и т.д.;
- создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности информационных технологий;
- создать систему стандартизации, лицензирования и сертификации в области защиты информации;
- обеспечить приоритетное развитие отечественных защищенных информационных технологий;
- повышать уровень образования граждан в области информационных технологий, воспитывать у них патриотизм и бдительность;
- устанавливать ответственность граждан за нарушение законодательства в области информационных технологий.
Государственной Думой РФ 27 июля 2006 года был принят Федеральный закон «Об информации, информационных технологиях и о защите информации». В законе даны определения основных терминов: информация; информационные технологии; информационная система; информационно-телекоммуникационная сеть; конфиденциальность информации; обладатель информации; доступ к информации; распространение информации.
В закон определены права и обязанности граждан и государства по доступу к информации. В нем установлен общий порядок разработки и сертификации информационных систем, технологий, средств их обеспечения, а также порядок лицензирования деятельности в сфере информационных технологий. В законе определены цели и режимы защиты информации, а также порядок защиты прав субъектов в сфере информационных процессов и информатизации.
Другие документы в области защиты информации:
- Закон РФ «О государственной тайне» от 21.07.1993 г. (в ред. ФЗ от 6 октября 1997 г. № 131-ФЗ);
- Закон РФ «О правой охране программ для электронных вычислительных машин и баз данных» от 23.09.1992 г.;
- Закон РФ «Об электронной цифровой подписи» от 10 января 2002 г. № 1-ФЗ.
- Уголовный кодекс Российской Федерации, глава 28 – определена (впервые) уголовная ответственность за преступления в области компьютерных технологий (ст.272 – за неправомерный доступ к компьютерной информации – от денежного штрафа в размере 200 МРОТ до лишения свободы на срок до 5 лет; ст.273 – ответственность за создание, использование и распространение вредоносных (вредительских) программ для ЭВМ (от одного МРОТ или от 2-х месяцев до 7 лет, в зависимости от последствий); ст.274 – ответственность за нарушение правил эксплуатации ЭВМ (от 180 до 200 МРОТ или срок до 4-х лет, без права занимать определенные должности до 5 лет).
