Взаимодействие и координация
Предполагают осуществление мер обеспечения безопасности информации на основе взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при разработке и функционировании АС и ее системы защиты информации, подразделений и специалистов органов МВД специализированных предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации в АС, координации их усилий для достижения поставленных целей Гостехкомиссией России (на этапе разработки и внедрения АС) и подразделениями безопасности органов МВД (на этапе функционирования системы).
Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства зашиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
7.Основные законы, относящиеся к организации и функционированию системы информационной безопасности и защиты информации:
1. Закон Российской Федерации «О государственной тайне» от 21.07.93 №5485-1.
2. Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;
3. Закон Российской Федерации «О персональных данных» от 27.07.2006г. № 152-ФЗ.
4. Закон Российской Федерации «О международном информационном обмене» от 04.07.96 №85-ФЗ.
5. «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895.
6. Указ Президента Российской Федерации от 17.12.97 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. №24.
7. Указ Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера».
8. Постановление Правительства Российской Федерации от 03.11.94 г. №1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти».
9. Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30.11.95 №1203.
10. «Положение о сертификации средств защиты информации».
11. «Положение о сертификации средств защиты информации по требованиям безопасности информации»
8.Нормативно-правовые документы в области информационной безопасности:
· Указ "Об основах государственной политики в сфере информатизации" N 170 от 20.01.94г.
· УП РФ "Вопросы Межведомственной комиссии по защите государственной тайны" от 6 октября 2004 г. № 1286
· УП РФ "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17 марта 2008 г. N 351
· УП РФ "Об утверждении перечня сведений конфиденциального характера" от 6 марта 1997 г. № 188
· УП РФ "Вопросы Федеральной службы безопасности Российской Федерации" от 11 июля 2003 года №960
· УП РФ "Вопросы федеральной службы по техническому и экспортному контролю" от 16 августа 2004 г. № 1085 (с изменениями и дополнениями от 22 марта 2005 г. № 330; от 20 июля 2005 г. №846; от 30 ноября 2006 г. № 1321)
· УП РФ "Концепция национальной безопасности Российской Федерации" от 17 декабря 1997 г. № 1300 в редакции Указа Президента РФ от 10 января 2000 г. № 24
· Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ 9.09.2000г. №Пр-1895)
9.Предмет и объект защиты информации в автоматизированных системах обработки данных:
Под защитой информации в автоматизированных системах обработки данных (АСОД) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации, хранимой и обрабатываемой с использованием средств АСОД.
Основными видами информации, подлежащими защите в АСОД, могут быть:
§ исходные данные, т.е. данные, поступившие в АСОД на хранение и обработку от пользователей, абонентов и взаимодействующих систем;
§ производные данные, т.е. данные, полученные в АСОД в процессе обработки исходных и производных данных;
§ нормативно-справочные, служебные и вспомогательные данные, включая данные системы защиты;
§ программы, используемые для обработки данных, организации и обеспечения функционирования АСОД, включая и программы защиты информации;
§ алгоритмы, на основе которых разрабатывались программы (если они находятся на объектах, входящих в состав АСОД);
§ методы и модели, на основе которых разрабатывались алгоритмы (если они находятся на объектах, входящих в состав АСОД);
§ постановки задач, на основе которых разрабатывались методы, модели, алгоритмы и программы (если они находятся на объектах, входящих в состав АСОД);
§ техническая, технологическая и другая документация, находящаяся на объектах АСОД.
Под угрозой информации в АСОД понимают меру возможности возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения) физической целостности, несанкционированная модификация (или угроза такой модификации) информации, несанкционированное получение (или угроза такого получения) информации, несанкционированное размножение информации.
Общая классификационная структура задач по защите информации в АСОД включает в себя следующие группы:
I. Механизмы защиты:
1) введение избыточности элементов системы;
2) резервирование элементов системы;
3) регулирование доступа к элементам системы;
4) регулирование использования элементов системы;
5) маскировка информации;
6) контроль элементов системы;
7) регистрация сведений о фактах, событиях и ситуациях, которые возникают в процессе функционирования АСОД;
8) своевременное уничтожение информации, которая больше не нужна для функционирования АСОД;
9) сигнализация о состоянии управляемых объектов и процессов;
10)реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени их воздействия на информацию.
II. Управления механизмами защиты:
1) планирование защиты – процесс выработки рациональной (оптимальной) программы предстоящей деятельности. В общем случае различают долгосрочное (перспективное), среднесрочное и текущее планирование;
2) оперативно-диспетчерское управление защитой информации – организованное реагирование на непредвиденные ситуации, которые возникают в процессе функционирования управляемых объектов или процессов;
3) календарно-плановое руководство защитой – регулярный сбор информации о ходе выполнения планов защиты и изменении условий защиты, анализе этой информации и выработке решений о корректировке планов защиты;
4) обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к защите информации – планирование, организация, оценка текущей деятельности, сбор, накопление и обработка информации, относящейся к защите, принятие текущих решений и др.
К основным методам защиты информации относятся:
Ø повышение достоверности информации;
Ø криптографическое преобразование информации;
Ø контроль и учет доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;
Ø ограничение доступа;
Ø разграничение и контроль доступа к информации;
Ø разделение доступа (привилегий);
Ø идентификация и аутентификация пользователей, технических средств, носителей информации и документов.
10. Надежность информации:
Чтобы быть полезной пользователям для принятия управленческих решений, информация должна быть надежной. Согласно стандартам, "информация является надежной, когда в ней нет существенных ошибок, искажений, и когда пользователи могут положиться на нее, как представляющую правдиво то, что она либо должна представлять, либо от нее обоснованно ожидается, что она будет это представлять". Здесь сразу следует обратить внимание на возможную ситуацию противоречия таких характеристик информации как уместность и надежность. Информация может быть уместной, то есть могущей повлиять на принятие пользователем решения, но настолько ненадежной, что принятие ее во внимание может быть потенциально дезориентирующим. Например, если обоснованность и размер иска о возмещении убытков, рассматриваемого в суде, оспаривается, для компании может быть нецелесообразно признавать всю сумму иска в балансе, хотя может быть уместно раскрыть сумму и обстоятельства, связанные с иском.
"Принципы" выделяют пять составляющих надежности бухгалтерской информации: правдивое представление, преобладание сущности над формой, нейтральность, осмотрительность и полнота.
11.Уязвимость информации:
Уязвимость - это любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.
Классификация уязвимостей
Из определений видно, что, производя атаку, нарушитель использует уязвимости информационной системы. Иначе говоря, если нет уязвимости, то невозможна и атака, её использующая. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Рассмотрим различные варианты классификации уязвимостей. Такая классификация нужна, например, для создания базы данных уязвимостей, которая может пополняться по мере обнаружения новых уязвимостей.