Проблемы защиты информации

Проблемы защиты информации

 

Содержание

 

1. Административная и  экономическая защита информационных  ресурсов

1.1 Защита информации и  прав субъектов в области информационных  процессов и информатизации

1.1.1 Цели защиты

1.1.2 Защита информации

1.1.3 Права и обязанности  субъектов в области защиты  информации

1.1.4 Защита прав субъектов  в сфере информационных процессов  и информатизации

1.1.5 Защита права на  доступ к информации

1.2 Методы и средства  защиты информации в экономических  информационных системах

1.3 Виды угроз безопасности  ЭИС

1.4 Ресурсы ЭИС

2. Планирование в среде  информационной системы

Литература

 

1. Административная  и экономическая защита информационных  ресурсов

1.1 Защита информации  и прав субъектов в области  информационных процессов и информатизации

1.1.1 Цели защиты

Целями защиты являются:

предотвращение утечки, хищения, утраты, искажения, подделки информации;

предотвращение угроз  безопасности личности, общества, государства;

предотвращение несанкционированных  действий по уничтожению, модификации, искажению, копированию, блокированию информации;

предотвращение других форм незаконного вмешательства в  информационные ресурсы и информационные системы, обеспечение правового  режима документированной информации как объекта собственности;

защита конституционных  прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной  тайны, конфиденциальности документированной  информации в соответствии с законодательством;

обеспечение прав субъектов  в информационных процессах и  при разработке, производстве и применении информационных систем, технологий и  средств их обеспечения. 

 

1.1.2 Защита информации

1. Защите подлежит любая  документированная информация, неправомерное  обращение с которой может  нанести ущерб ее собственнику, владельцу, пользователю и иному  лицу.

Режим защиты информации устанавливается:

в отношении сведений, отнесенных к государственной тайне, - уполномоченными  органами на основании Закона Российской Федерации "О государственной  тайне";

в отношении конфиденциальной документированной информации - собственником  информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

в отношении персональных данных - федеральным законом.

2. Органы государственной  власти и организации, ответственные  за формирование и использование  информационных ресурсов, подлежащих  защите, а также органы и организации,  разрабатывающие и применяющие  информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

3. Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

4. Организации, обрабатывающие  информацию с ограниченным доступом, которая является собственностью  государства, создают специальные  службы, обеспечивающие защиту информации.

5. Собственник информационных  ресурсов или уполномоченные  им лица имеют право осуществлять  контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

6. Собственник или владелец  документированной информации вправе  обращаться в органы государственной  власти для оценки правильности  выполнения норм и требований  по защите его информации в  информационных системах. Соответствующие  органы определяет Правительство  Российской Федерации. Эти органы  соблюдают условия конфиденциальности  самой информации и результатов  проверки. 

 

1.1.3 Права и  обязанности субъектов в области  защиты информации

1. Собственник документов, массива документов, информационных  систем или уполномоченные им  лица в соответствии с настоящим  Федеральным законом устанавливают  порядок предоставления пользователю  информации с указанием места,  времени, ответственных должностных  лиц, а также необходимых процедур  и обеспечивают условия доступа  пользователей к информации.

2. Владелец документов, массива  документов, информационных систем  обеспечивает уровень защиты  информации в соответствии с  законодательством Российской Федерации.

3. Риск, связанный с использованием  несертифицированных информационных  систем и средств их обеспечения,  лежит на собственнике (владельце)  этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной  системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных  систем может обращаться в  организации, осуществляющие сертификацию  средств защиты информационных  систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива  документов, информационных систем  обязан оповещать собственника  информационных ресурсов и (или)  информационных систем о всех фактах нарушения режима защиты информации. 

 

1.1.4 Защита прав  субъектов в сфере информационных  процессов и информатизации

1. Защита прав субъектов  в сфере формирования информационных  ресурсов, пользования информационными  ресурсами, разработки, производства  и применения информационных  систем, технологий и средств  их обеспечения осуществляется  в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

2. Защита прав субъектов  в указанной сфере осуществляется  судом, арбитражным судом, третейским  судом с учетом специфики правонарушений  и нанесенного ущерба.

3. За правонарушения при  работе с документированной информацией  органы государственной власти, организации и их должностные  лица несут ответственность в  соответствии с законодательством  Российской Федерации и субъектов  Российской Федерации.

Для рассмотрения конфликтных  ситуаций и зашиты прав участников в сфере формирования и использования  информационных ресурсов, создания и  использования информационных систем, технологий и средств их обеспечения  могут создаваться временные  и постоянные третейские суды.

Третейский суд рассматривает  конфликты и споры сторон в  порядке, установленном законодательством  о третейских судах.

4. Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров, ратифицированных Российской Федерацией. 

 

1.1.5 Защита права  на доступ к информации

1. Отказ в доступе к  открытой информации или предоставление  пользователям заведомо недостоверной  информации могут быть обжалованы  в судебном порядке.

Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли - продажи, по другим формам обмена информационными ресурсами  между организациями рассматриваются  арбитражным судом.

Во всех случаях лица, которым отказано в доступе к  информации, и лица, получившие недостоверную  информацию, имеют право на возмещение понесенного ими ущерба.

2. Суд рассматривает споры  о необоснованном отнесении информации  к категории информации с ограниченным  доступом, иски о возмещении ущерба  в случаях необоснованного отказа  в предоставлении информации  пользователям или в результате  других нарушений прав пользователей.

3. Руководители, другие служащие  органов государственной власти, организаций, виновные в незаконном  ограничении доступа к информации  и нарушении режима защиты  информации, несут ответственность  в соответствии с уголовным,  гражданским законодательством  и законодательством об административных  правонарушениях.

1.2 Методы и  средства защиты информации в  экономических информационных системах

 

При разработке АИТ возникает  проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих  компьютерных информационных систем. Современные АИТ обладают следующими основными признаками: Содержат информацию различной степени конфиденциальности;

• при передаче данных имеют  криптографическую защиту информации различной степени конфиденциальности;

• отражают иерархичность  полномочий субъектов, открывают доступ к программам, к АРМ, файл-серверам, каналам связи и информации системы; необходимость оперативного изменения  этих полномочий;

• организуют обработку  информации в диалоговом режиме, в  режиме разделения времени между  пользователями и в режиме реального  времени;

• обеспечивают управление потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

• регистрируют и учитывают  попытки несанкционированного доступа, события в системе и документах, выводимых на печать;

• обеспечивают целостность  программного продукта и информации в АИТ;

• устанавливают наличие  средств восстановления системы  защиты информации, а также обязательный учет магнитных носителей;

• создают условия для  физической охраны средств вычислительной техники и магнитных носителей. Организационные мероприятия и  процедуры, используемые для решения  проблемы безопасности информации, решаются на всех этапах проектирования и в  процессе эксплуатации АИТ. Существенное значение при проектировании придается  предпроектному обследованию объекта. На этой стадии проводятся следующие действия:

• устанавливается наличие  конфиденциальной информации в разрабатываемой  АИТ, оцениваются уровень конфиденциальности и объёмы такой информации;

• определяются режимы обработки  информации (диалоговый, телеобработки  и реального времени), состав комплекса  технических средств, общесистемные  программные средства и т. д.;

• анализируется возможность  использования имеющихся на рынке  сертифицированных средств защиты информации;

• определяется степень  участия персонала, функциональных служб, научных и вспомогательных  работников объекта автоматизации  в обработке информации, характер их взаимодействия между собой и  со службой безопасности;

• вводятся мероприятия  по обеспечению режима секретности  на стадии разработки системы.

Среди организационных мероприятий  по обеспечению безопасности информации важное место принадлежит охране объекта, на котором расположена  защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие  посты охраны, технические средства, предотвращающие или существенно  затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи. Функционирование системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных (процедурных) решений предусматривает:

• учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;

• ведение служебной информации (генерация паролей, ключей, сопровождение  правил разграничения доступа);

• оперативный контроль за функционированием систем защиты секретной информации;

• контроль соответствия общесистемной  программной среды эталону;

• приемку включаемых в  АИТ новых программных средств;

• контроль за ходом технологического процесса обработки финансово-кредитной информации путём регистрации анализа действий пользователей;