Основные методы и приемы обеспечения информационной безопасности

Содержание статьи

Методы обеспечения информационной безопасности

Методыобеспечения информационной безопасности разделяются на правовые, организационные, организационно-технические, технические, экономические.

К правовым методам обеспечения информационной безопасности относится разработка нормативных правовых актов и нормативных ведомственных документов по вопросам обеспечения информационной безопасности.

Наиболее важными направлениями являются:

· внесение изменений и дополнений в целях устранения неточностей и разногласий между законодательными актами Российской Федерации;

· разработка законодательных актов по вопросам защите конфиденциальной информации

· разработка ведомственных методических материалов по организации и проведению работ по защите конфиденциальной информации.

Организационные, организационно-технические методы обеспечения информационной безопасности включают:

· создание и совершенствование системы обеспечения информационной безопасности;

· усиление правоприменительной деятельности органов исполнительной власти, а также предупреждение и привлечение правонарушений в информационной сфере, а также выявление, и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

· разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств;

· создание систем несанкционированного доступа к обрабатываемой информации и уничтожение, искажения информации;

· выявление технических и программных средств, представляющих опасность для информации, информационных ресурсов, информационных систем;

· сертификация средств защиты, лицензирование деятельности в области защиты информации;

· контроль за действиями персонала, обеспечивающего обработку и защиту информации;

· формирование системы мониторинга показателей и характеристик информационной безопасности.

Технические методы обеспечение безопасности информации:

· установка технических и аппаратно-программных, программных средств защиты от несанкционированного доступа к обрабатываемой информации, специальных воздействий, вызывающие разрушения, уничтожения, искажении информации, а также изменения штатных режимов функционирования систем и средств информатизации и связи.

· выявление технических и программных средств, представляющих опасность для средств обработки и передачи информации;

· проведение специальных измерений, технических средств обработки на предмет защищённости от утечки информации по техническим каналам;

· технический контроль за эффективным функционированием средств защиты информации.

Экономические методы обеспечения информационной безопасности Российской Федерации включают:

· разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;

· совершенствование системы финансирования работ;

· страхование информационных рисков физических и юридических лиц.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Студент – человек, постоянно откладывающий неизбежность. 10992 – | 7440 – или читать все.

134.249.83.1 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

ОСНОВНЫЕ МЕТОДЫ И ПРИЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Описание: Таким образом обеспечение информационной безопасности есть совокупность деятельности по недопущению вреда свойствам объекта безопасности обусловливаемым информацией и информационной инфраструктурой и субъектов а также средств этой деятельности. Деятельность по обеспечению информационной безопасности комплекс планируемых и проводимых в целях защиты информационных ресурсов мероприятий направленных на ликвидацию угроз информационной безопасности и минимизацию возможного ущерба который может быть нанесен объекту безопасности вследствие их.

Дата добавления: 2015-01-19

Размер файла: 19.21 KB

Работу скачали: 126 чел.

Поделитесь работой в социальных сетях

Если эта работа Вам не подошла внизу страницы есть список похожих работ. Так же Вы можете воспользоваться кнопкой поиск

ОСНОВНЫЕ МЕТОДЫ И ПРИЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Защита информационных ресурсов предприятия включает деятельность руководства, должностных лиц и структурных подразделений предприятия по принятию правовых, организационных и технических мер, направленных на:

– обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

– соблюдение конфиденциальности информации ограниченного доступа;

– реализацию права на доступ к информации.

Таким образом, обеспечение информационной безопасности есть совокупность деятельности по недопущению вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой, и субъектов, а также средств этой деятельности.

Деятельность по обеспечению информационной безопасности — комплекс планируемых и проводимых в целях защиты информационных ресурсов мероприятий, направленных на ликвидацию угроз информационной безопасности и минимизацию возможного ущерба, который может быть нанесен объекту безопасности вследствие их реализации.

Под субъектами обеспечения информационной безопасности понимаются государственные органы, предприятия, должностные лица, структурные подразделения, принимающие непосредственное участие в организации и проведении мероприятий по обеспечению информационной безопасности.

Средства осуществления деятельности по обеспечению информационной безопасности — это системы, объекты, способы, методы и механизмы, предназначенные для непосредственного решения задач обеспечения информационной безопасности.

Объём (реализация) понятия «информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

  1. Законодательная, нормативно-правовая и научная база.
  2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
  3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
  4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

  • выявить требования защиты информации, специфические для данного объекта защиты;
  • учесть требования национального и международного Законодательства;
  • использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
  • определить подразделения, ответственные за реализацию и поддержку СОИБ;
  • распределить между подразделениями области ответственности в осуществлении требований СОИБ;
  • на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
  • реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
  • реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
  • используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

  • Международные договоры РФ;
    • Конституция РФ;
    • Законы федерального уровня (включая федеральные конституционные законы, кодексы);
    • Указы Президента РФ;
    • Постановления правительства РФ;
    • Нормативные правовые акты федеральных министерств и ведомств;
    • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

  1. Методические документы государственных органов России:
    • Доктрина информационной безопасности РФ;
    • Руководящие документы ФСТЭК (Гостехкомиссии России);
    • Приказы Федеральной службы безопасности;
  2. Стандарты информационной безопасности, из которых выделяют:
    • Международные стандарты;
    • Государственные (национальные) стандарты РФ;
    • Рекомендации по стандартизации;
    • Методические указания.

Органы (подразделения), обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

  • Комитет Государственной думы по безопасности;
  • Совет безопасности России;
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
  • Федеральная служба безопасности Российской Федерации (ФСБ России);
  • Служба внешней разведки Российской Федерации (СВР России);
  • Министерство обороны Российской Федерации (Минобороны России);
  • Министерство внутренних дел Российской Федерации (МВД России);
  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

  • Служба экономической безопасности;
  • Служба безопасности персонала (Режимный отдел);
  • Отдел кадров;
  • Служба информационной безопасности.

Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности, рассматриваемой информационной системы .

Политика безопасности (информации в организации) (англ. Organizational security policy ) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy ) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

  • Защита объектов информационной системы;
  • Защита процессов, процедур и программ обработки информации;
  • Защита каналов связи;
  • Подавление побочных электромагнитных излучений;
  • Управление системой защиты.
Читайте также:  Концептуальная модель информационной безопасности

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

  1. Определение информационных и технических ресурсов, подлежащих защите;
  2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
  3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
  4. Определение требований к системе защиты;
  5. Осуществление выбора средств защиты информации и их характеристик;
  6. Внедрение и организация использования выбранных мер, способов и средств защиты;
  7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Программно-технические способы и средства обеспечения информационной безопасности

В литературе предлагается следующая классификация средств защиты информации:

  1. Средства защиты от несанкционированного доступа (НСД):
    • Средства авторизации;
    • Мандатное управление доступом;
    • Избирательное управление доступом;
    • Управление доступом на основе ролей;
    • Журналирование (так же называется Аудит).
  2. Системы анализа и моделирования информационных потоков (CASE-системы).
  3. Системы мониторинга сетей:
    • Системы обнаружения и предотвращения вторжений (IDS/IPS).
    • Системы предотвращения утечек конфиденциальной информации (DLP-системы).
  4. Анализаторы протоколов.
  5. Антивирусные средства.
  6. Межсетевые экраны.
  7. Криптографические средства:
    • Шифрование;
    • Цифровая подпись.
  8. Системы резервного копирования.
  9. Системы бесперебойного питания:
    • Источники бесперебойного питания;
    • Резервирование нагрузки;
    • Генераторы напряжения.
  10. Системы аутентификации:
    • Пароль;
    • Ключ доступа (физический или электронный);
    • Сертификат;
    • Биометрия.
  11. Средства предотвращения взлома корпусов и краж оборудования.
  12. Средства контроля доступа в помещения.
  13. Инструментальные средства анализа систем защиты:
    • Мониторинговый программный продукт.

Методы обеспечения информационной безопасности

Защита данных
с помощью DLP-системы

И звестные на сегодня общие методы обеспечения информационной безопасности состоят из организационно-технических, экономических и правовых.

Организационно-технические методы информационной безопасности (ИБ) включают:

  • систему обеспечения информационной безопасности (под ней мы подразумеваем комплекс мероприятий (внутренние правила работы с данными, регламент передачи сведений, доступ к ним и т. д.) и технических средств (использование программ и приборов для сохранения конфиденциальности данных));
  • разработку (создание новых), эксплуатацию и усовершенствование уже имеющихся средств защиты информации;
  • перманентный контроль над действенностью принимаемых мер в области обеспечения информационной безопасности.

Последний пункт особенно важен. Без методики оценки очень трудно определить эффективность ИБ. Если эффективность падает, необходимо срочно вносить коррективы (для этого и нужна перманентность контроля).

Они тесно взаимосвязаны с правовыми методами информационной безопасности РФ.

Правовой фактор безопасности РФ состоит из:

  • лицензирования деятельности в части обеспечения информационной безопасности;
  • сертификации технических средств информационной защиты;
  • аттестации объектов информатизации согласно соответствию нормам информационной безопасности РФ.

Третья составляющая, экономическая, включает:

  • составление программ по обеспечению информационной безопасности РФ;
  • определение источников их финансового обеспечения;
  • разработку порядка финансирования;
  • создание механизма страхования информационных рисков.

Информационная безопасность – это всегда комплексная система, все составляющие которой призваны не допустить утечки конфиденциальных сведений по техническим каналам, а также воспрепятствовать стороннему доступу к носителям информации. Все это, соответственно, гарантирует целостность данных при работе с ними: обработке, передаче и хранении, которые должны осуществляться обязательно в правовом поле. Грамотно организованные технические мероприятия позволяют определить использование специальных электронных приспособлений несанкционированного снятия информации, размещенных как в помещении, так и в средствах связи.

В РФ существует несколько нормативных правовых документов, регламентирующих работу в информационной сфере: «Об утверждении Доктрины информационной безопасности РФ», «Об информации, информационных технологиях и о защите информации» и т. д. Одним из фундаментальных является Федеральный закон РФ «О коммерческой тайне». К этому перечню стоит добавить Постановления Правительства РФ «О сертификации средств защиты информации», «О лицензировании деятельности по технической защите конфиденциальной информации», а также Приказ ФСБ «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».

Расширенный перечень нормативно-правовых актов, которые регулируют работу с конфиденциальной информацией, можно посмотреть здесь.

Что же касается экономической составляющей информационной безопасности, то ее основное правило – стоимость системы информационной безопасности не должна быть выше, чем стоимость защищаемых сведений. Кроме этого, необходимо защищать заранее определенную информацию, а не всю подряд (последнее нецелесообразно с экономической точки зрения).

Организационно-техническая составляющая информационной безопасности

Вначале определим объекты защиты. Ими являются:

  • речевая информация;
  • данные, передающиеся техническими средствами.

В защите нуждаются как основные техсредства и системы (ОТСС), задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы (ВТСС), а также заранее определенные помещения.

Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными.

Организационный метод обеспечения информационной безопасности имеет следующие составляющие:

  • создание режима охраны информации;
  • разработка правил взаимоотношений между сотрудниками;
  • регламентация работы с документами;
  • правила использования технических средств в рамках существующего правового поля РФ;
  • аналитическая работа по оценке угроз информационной безопасности.

Защита информационной инфраструктуры от несанкционированного доступа обеспечивается регламентацией доступа субъектов (работников) к объектам (носителям данных и каналам их передачи). Организационный метод обеспечения информационной безопасности не подразумевает использования технического инструментария. Такая информационная безопасность зачастую состоит, например, в удалении ОТСС за периметр охраняемой территории на максимально возможное расстояние.

Применение же технического оборудования и различных программ для обеспечения информационной безопасности, включая системы управления базами данных, прикладное ПО, различные шифровальщики, DLP-системы и SIEM-системы, исключающих утечки данных через компьютерную сеть, относится к техническому методу обеспечения информационной защиты.

«СёрчИнформ КИБ» сочетается с SIEM-решениями. Комбинация продуктов усиливает защиту данных в компании.

Оба метода взаимодополняемы и называются организационно-техническими (например, проведение специальных проверок технических средств и помещений на предмет обнаружения сторонних устройств, предназначенных для фиксирования и передачи информации). Организационно-технические мероприятия в обязательном порядке должны соответствовать правовым методам обеспечения информационной безопасности, предписанным нормативными документами РФ.

Политика информационной безопасности разрабатывается с учетом существования множества подсистем, включая:

  • подсистему предоставления доступа;
  • подсистему регистрации и учета;
  • подсистему по обеспечению безопасности за счет использования шифров.

Главные правила успешной системы информационной безопасности:

  • перманентность действия установленных правил;
  • полнота принимаемых мер;
  • комплексность;
  • согласованность;
  • результативность.

Методы защиты речевой информации

Для обеспечения информационной защиты акустической информации рекомендуется компактно расположить защищаемые помещения, четко установить периметр охраняемой территории, регламентировать допуск работников на территорию, на которую распространяется информационная защита.

Информационная безопасность также состоит в том, чтобы регулярно обследовать помещения и установленные в них технические средства на предмет наличия приспособлений для несанкционированного съема информации. Для усиления информационной безопасности можно использовать вибро- и звукоизоляцию, экранирование, автономизацию ОТСС в границах охраняемой территории, а также временное отключение ОТСС.

Также используются активные и пассивные механизмы обеспечения речевой безопасности. К первым относятся генераторы, вырабатывающие различного рода шумы (виброакустический и электромагнитный, как низко-, так и высокочастотные). Ко вторым: вибро- и звукоизоляция; экранирующие устройства; звукопоглощающие фильтры в воздуховодах.

Методы защиты речевой информации, передающейся техническими средствами

Для обеспечения информационной защиты данных, хранящихся и передающихся техническими средствами, в РФ используют:

  • аутентификацию;
  • регламентирование доступа к объектам;
  • шифрующую систему файлов;
  • ключи;
  • безопасные соединения;
  • IPsec.

Остановимся на каждой из этих форм обеспечения информационной защиты подробнее.

С таким элементом информационной безопасности, как логин и пароль, сталкивались все пользователи операционных систем. Это и есть аутентификация . Она – самый распространенный способ обеспечения безопасности данных, включая информационные сообщения, хранящиеся на сервере или ПК.

Регламентирование доступа к объектам (папкам, файлам, хранящимся в системе) тоже может строиться на аутентификации, но зачастую используются и иные алгоритмы (участникам системы администратором определяются права и привилегии, согласно которым они могут либо знакомиться с какими-то объектами, либо, помимо знакомства, вносить в них изменения, а то и удалять).

Контролировать доступ к документам и действия с ними помогает Device Controllerко ннектор «СёрчИнформ SIEM».

Шифрование файлов (еще одна составляющая информационной безопасности) осуществляется системой EFS при помощи ключа.

Если же говорить об обеспечении безопасного соединения , то для этого используются информационные каналы типа «клиент-клиент» или «клиент-сервер». В РФ такой метод информационной безопасности широко применяется в банковском секторе.

Ну и в заключение об IPsec . Это совокупность протоколов для обеспечения информационной защиты данных, передаваемых по протоколу IP.

На всех перечисленных способах и строится информационная безопасность на наиболее прогрессивных предприятиях России.

15.3. Методы и способы обеспечения информационной безопасности

Общие методы обеспечения информационной безопасности, как правило, разделяются на правовые, организационные и технические.

Читайте также:  Техника безопасности при землетрясении

К правовым методам следует отнести разработку норм, устанавливающих ответственность за преступления в информационной сфере, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым методам относятся также вопросы общественного контроля, принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение.

К организационным методам относят вопросы охраны, подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности органов занимающихся обработкой и хранением информации в случае выхода их из строя, организацию обслуживания информационных систем, создание универсальных средств защиты, которые должны обеспечить безопасность информационных систем и т.п.

К техническим методам можно отнести защиту от несанкционированного доступа к системе путем установления специальных паролей, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных организационных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструктивных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализаций и другие.

Рассмотрим часть из выше представленных методов более конкретно.

Защита интеллектуальной собственности.

Интеллектуальная собственность представляет собой исключительные права на литературные, художественные и научные произведения, программы для ЭВМ и базы данных, а также смежные права на изобретения, промышленные образцы и другие результаты интеллектуальной деятельности, охрана которых предусмотрена законом.

Правовой основой законодательства об интеллектуальной собственности является Конституция РФ:

– ч. 4 ст. 29 – о праве свободно искать, получать, предавать, производить и распространять информацию любым законным, способом; – гарантии свободы литературного, художественного, научного, технического и других видов творчества, преподавания;

– ч. 1 ст. 44 – об охране законом интеллектуальной собственности.

Основный актами этого законодательства являются ГК РФ, Закон «Об авторском праве».

Настоящий Закон (включающий 50 статей) регулирует отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства (авторское право), фонограмм, исполнений, постановок, передач организаций эфирного или кабельного вещания (смежные права).

В ст. 4 данного ФЗ дается подробный глоссарий, в котором автор рассматривается как – физическое лицо, творческим трудом которого создано произведение.

В соответствии с настоящим Законом (ст. 5) авторское право распространяется: на произведения, обнародованные либо необнародованные, но находящиеся в какой-либо объективной форме на территории Российской Федерации, независимо от гражданства авторов и их правопреемников; на произведения, обнародованные либо необнародованные, но находящиеся в какой-либо объективной форме за пределами Российской Федерации, и признается за авторами – гражданами Российской Федерации и их правопреемниками; на произведения, обнародованные либо необнародованные, но находящиеся в какой-либо объективной форме за пределами Российской Федерации, и признается за авторами (их правопреемниками) – гражданами других государств в соответствии с международными договорами Российской Федерации.

Объектами авторского права являются (Ст. 7):

– литературные произведения (включая программы для ЭВМ); драматические и музыкально-драматические произведения, сценарные произведения; хореографические произведения и пантомимы; музыкальные произведения с текстом или без текста; аудиовизуальные произведения (кино-, теле- и видеофильмы, слайдфильмы, диафильмы и другие кино- и телепроизведения); произведения живописи, скульптуры, графики, дизайна, графические рассказы, комиксы и другие произведения изобразительного искусства; произведения декоративно-прикладного и сценографического искусства; произведения архитектуры, градостроительства и садовопаркового искусства; фотографические произведения и произведения, полученные способами, аналогичными фотографии; географические, геологические и другие карты, планы, эскизы и пластические произведения, относящиеся к географии, топографии и к другим наукам; другие произведения.

К объектам авторского права также относятся: производные произведения (переводы, обработки, аннотации, рефераты, резюме, обзоры, инсценировки, аранжировки и другие переработки произведений науки, литературы и искусства); сборники (энциклопедии, антологии, базы данных) и другие составные произведения, представляющие собой по подбору или расположению материалов результат творческого труда.

Не являются объектами авторского права (ст. 80: официальные документы (законы, судебные решения, иные тексты законодательного, административного и судебного характера), а также их официальные переводы; государственные символы и знаки (флаги, гербы, ордена, денежные знаки и иные государственные символы и знаки); произведения народного творчества; сообщения о событиях и фактах, имеющие информационный характер.

Авторское право действует в течение всей жизни автора и 50 лет после его смерти и в следующих случаях:

Автор вправе в том же порядке, в каком назначается исполнитель завещания, указать лицо, на которое он возлагает охрану права авторства, права на имя и права на защиту своей репутации после своей смерти. Это лицо осуществляет свои полномочия пожизненно.

При отсутствии таких указаний охрана права авторства, права на имя и права на защиту репутации автора после его смерти осуществляется его наследниками или специально уполномоченным органом Российской Федерации, который осуществляет такую охрану, если наследников нет или их авторское право прекратилось.

Авторское право на произведение, обнародованное анонимно или под псевдонимом, действует в течение 50 лет после даты его правомерного обнародования. Если в течение указанного срока автор произведения, выпущенного анонимно или под псевдонимом, раскроет свою личность или его личность не будет далее оставлять сомнений, то применяется положение абзаца первого пункта 1 настоящей статьи.

Авторское право на произведение, созданное в соавторстве, действует в течение всей жизни и 50 лет после смерти последнего автора, пережившего других соавторов.

Авторское право на произведение, впервые выпущенное в свет после смерти автора, действует в течение 50 лет после его выпуска. В случае если автор был репрессирован и реабилитирован посмертно, то срок охраны прав, предусмотренный настоящей статьей, начинает действовать с 1 января года, следующего за годом реабилитации.

Исчисление сроков, предусмотренных настоящей статьей, начинается с 1 января года, следующего за годом, в котором имел место юридический факт, являющийся основанием для начала течения срока.

Право авторства, право на имя и право на защиту репутации автора охраняются бессрочно.

Нарушение авторских и смежных прав:

за нарушение предусмотренных настоящим Законом авторских и смежных прав наступает гражданская, уголовная и административная ответственность в соответствии с законодательством Российской Федерации.

физическое или юридическое лицо, которое не выполняет требований настоящего Закона, является нарушителем авторских и смежных прав.

контрафактными являются экземпляры произведения и фонограммы, изготовление или распространение которых влечет за собой нарушение авторских и смежных прав.

контрафактными являются также экземпляры охраняемых в Российской Федерации в соответствии с настоящим Законом произведений и фонограмм, импортируемые без согласия обладателей авторских и смежных прав в Российскую Федерацию из государства, в котором эти произведения и фонограммы никогда не охранялись или перестали охраняться.

Методы и средства защиты электронной информации.

Предупреждение возможных угроз и противоправных действий может быть обеспечено различными методами и средствами, начиная от создания климата в коллективе до создания прочной системы защиты физическими, аппаратными и программными средствами.

Характеристики защитных действий можно классифицировать:

по ориентации (персонал, материальные и финансовые ценности, информация);

по характеру угроз (разглашение, утечка, несанкционированный доступ);

по направлениям (правовая, организационно-техническая, инженерная);

по способам действий (предупреждение, выявление, обнаружение, пресечение, восстановление);

по охвату (территория, здание, помещение, аппаратура, элементы аппаратуры);

по масштабу (объектовая, групповая, индивидуальная).

Средства защиты данных:

уровни защиты (идентификация пользователя, допуск в систему, к данным, к задачам);

уровни защиты данных (база данных, массив, набор, запись, поле);

тип замка (ключевой процедурный);

идентификация (одноуровневая, многоуровневая);

вид пароля (статический (ключ), разовый, изменяемый (пользователем, администратором));

динамическая проверка защищенности (в момент открытия базы, в момент утверждения на обмен данными).

Для защиты от чужого вторжения обязательно; предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:

идентификация субъектов и объектов;

разграничение (иногда и полная изоляция) доступа к вычислительным ресурсам и информации;

контроль и регистрация действий с информацией и программами.

Процедура идентификации и подтверждения подлинности предполагает проверку, является ли субъект, осуществляющий доступ (или объект, к которому осуществляется доступ), тем, за кого себя выдает. Подобные проверки могут быть одноразовыми или периодическими (особенно в случаях продолжительных сеансов работы). В процедурах идентификации используются различные методы:

простые, сложные или одноразовые пароли;

обмен вопросами и ответами с администратором;

ключи, магнитные карты, значки, жетоны;

средства анализа индивидуальных характеристик (голоса, отпечатков пальцев, геометрических параметров рук, лица);

специальные идентификаторы или контрольные суммы для аппаратуры, программ, данных.

Для защиты самого пароля выработаны определенные рекомендации, как сделать пароль надежным:

пароль должен содержать, по крайней мере, восемь символов. Чем меньше символов содержит пароль, тем легче его разгадать;

не используйте в качестве пароля очевидный набор символов, например ваше имя, дату рождения, имена близких или наименования ваших программ. Лучше всего использовать для этих целей неизвестную формулу или цитату;

Защита ЭВМ осуществляется на трех уровнях:

Защита на уровне аппаратуры и программного обеспечения предусматривает управление доступом к вычислительным ресурсам: отдельным устройствам, оперативной памяти, операционной системе, специальным служебным или личным программам пользователя.

Защита информации на уровне данных направлена:

на защиту информации при обращении к ней в процессе работы на ПЭВМ и выполнении только разрешенных операций над ними;

на защиту информации при ее передаче по каналам связи между различными ЭВМ.

Управление доступом к информации позволяет ответить на вопросы:

кто может выполнять и какие операции;

над какими данными разрешается выполнять операции.

Объектом, доступ к которому контролируется, может быть файл, запись в файле или отдельное поле записи файла, а в качестве факторов, определяющих порядок доступа, — определенное событие, значения данных, состояние системы, полномочия пользователя, предыстория обращения и другие данные.

Доступ, управляемый событием, предусматривает блокировку обращения пользователя. Например, в определенные интервалы времени или при обращении с определенного терминала. Доступ, зависящий от состояния, осуществляется в зависимости от текущего состояния вычислительной системы, управляющих программ и системы защиты.

Читайте также:  Паспорт безопасности объекта кто должен иметь

Что касается доступа, зависящего от полномочий, то он предусматривает обращение пользователя к программам, данным, оборудованию в зависимости от предоставленного режима. Такими режимами могут быть «только читать», «читать и писать», «только выполнять» и другие.

Как видно из представленных выше методов и способов защиты информации, они очень разнообразны и требуют от человека достаточно большого количества знаний в области теории организации, права, информатики. Данные знания должны гармонично сосчитаться и дополнять друг друга и только в этом случае при организации всестороннего обеспечения информационной безопасности может быть гарантирован успех.

Раскройте сущность категории «безопасность», «информация», «информационная безопасность».

Дайте определение национальным интересам России в информационной сфере.

Раскройте интересы личности, общества, государства в информационной сфере.

Определите основные составляющие национальных интересов Российской Федерации

Дайте определение индивидуальному сознанию человека. Групповому и массовому сознанию.

Назовите основные нормативно-правовые акты обеспечивающие информационную безопасность личности, общества, государства.

Классифицируйте основные группы методов обеспечения информационной безопасности.

Основные методы и приемы обеспечения информационной безопасности

Деятельность по обеспечению информационной безопасности осуществляется с помощью различных способов, средств и приемов, которые в совокупности и составляют методы. Метод предусматривает определенную последовательность действий на основании и конкретного плана. Методы могут значительно изменяться и варьироваться в зависимости от типа деятельности, в которой они используются, а также сферы применения.

Важными методами анализа состояния обеспечения информационной безопасности являются методы описания и классификации. Для осуществления эффективной защиты системы управления НБ следует, во-первых, описать, а только потом классифицировать различные виды угроз и опасностей, рисков и вызовов и соответственно сформулировать систему мер по осуществлению управления ими.

В качестве распространенных методов анализа уровня обеспечения информационной безопасности используются методы исследования при действующих связей. С помощью данных методов оказываются причинные связи между общ грозами и опасностями, осуществляется поиск причин, которые стали источником и причиной актуализации тех или иных факторов опасности, а также разрабатываются меры по их нейтрализации. В числе данных методов причинных связей можно назвать следующие: метод сходства, метод различия, метод сочетания сходства и различия, метод сопроводительных изменений, метод остатков.

Выбор методов анализа состояния обеспечения информационной безопасности зависит от конкретного уровня и сферы организации защиты в зависимости от угрозы, задачи по дифференциации как различных уровней угроз, так и различных уровней защиты. Что касается сферы информационной безопасности, то в ней обычно выделяют:

5) уровень пользователя;

На физическом уровне осуществляется организация и физическую защиту информационных ресурсов, информационных технологий, используемых и управленческих технологий.

На программно-техническом уровне осуществляется идентификация и проверка подлинности пользователей, управления доступом, протоколирование и аудит, криптография, экранирование, обеспечение высокой доступности.

На уровне управления осуществляется управление, координация и контроль организационных, технологических и технических мероприятий на всех уровнях со стороны единой системы обеспечения информационной безопасности.

На технологическом уровне осуществляется реализация политики информационной безопасности за счет применения комплекса современных автоматизированных информационных технологий.

На уровне пользователя реализация политики информационной безопасности направлена на уменьшение рефлексивного воздействия на объекты информационной безопасности.

На сетевом уровне данная политика реализуется в формате координации действий компонентов системы управления, которые связаны между собой одной целью.

На процедурном уровне принимаются меры, реализуемые людьми. Среди них можно выделить следующие группы процедурных мероприятий: управление персоналом, физическая защита, поддержание работоспособности, регулирования на нарушения режима безопасности, планирования реанимационных работ.

Выделяют несколько типов методов обеспечения информационной безопасности:

1) одноуровневые методы строятся на основании одного принципа управления информационной безопасностью;

2) многоуровневые методы строятся на основе нескольких принципов управления информационной безопасностью, каждый из которых служит решению собственного задачи. При этом частные технологии не связаны между собой и направлены лишь на конкретные факторы информационных угроз;

3) комплексные методы – многоуровневые технологии, которые объединены в единую систему координирующими функциями на организационном уровне с целью обеспечения информационной безопасности, исходя из анализа совокупности и факторов опасности, которые имеют семантическая связь либо генерируются из единого информационного центра информационного воздействия;

4) интегрированные высокоинтеллектуальные методы – многоуровневые, многокомпонентные технологии, построенные на основе мощных автоматизированных интеллектуальных средств с организационным управлением;

Общие методы обеспечения информационной безопасности активно используются на любой стадии управления угрозами. К таким стадий относятся: принятие решения по определению области и контекста информационной угрозы и состава участников процесса противодействия;

Специфика методов, используемых, значительно зависит от субъекта деятельности, объекта воздействия, а также преследуемых целей. Так, методы деятельности индивида в связи с его ограниченной возможностью по обеспечению информационной безопасности в основном сводятся к источнику угрозы, апеллирование к общественному мнению, а также к государству, должна принимать решительные меры по нейтрализации информационных угроз.

Причем, к сожалению, следует констатировать, что в нашей стране не на достаточном уровне осознают опасность именно в информационной сфере, нет штатных единиц в органах государственного управления информационной, не на достаточном уровне проводится подготовка соответствующих специалистов для системы управления.

Весьма важным является применение аналитических методов познания и исследования состояния общественного сознания в сфере информационной безопасности. Например, осознание важности обеспечения информационной безопасности на уровне индивида, общества и организации мешает распространенный миф о том, что защита информации и криптография одно и то же время такое понимание является результатом использования устаревших подходов к информационной безопасности, когда информационная безопасность только отождествляются с защитой информации путем шифрования.

Важным условием обеспечения информационной безопасности являются не столько секретность, конфиденциальность информации, сколько ее доступность, целостность, защита от различных угроз. Итак, система соответственно в реагировать и гарантировать эффективную деятельность в этом направлений.

Другой задачей защиты является обеспечение неизменности информации во время ее хранения или передачи, то есть обеспечение ее целостности. Таким образом конфиденциальность информации, которая обеспечивается с помощью криптографических методов не является главным требованием при проектировании систем защиты информации. Выполнение процедур кодирования и декодирования может замедлить передачу данных и уменьшить доступ к ним из-за того, что пользователь будет лишен возможности своевременного и быстрого доступа к этим данным и информации. Именно поэтому обеспечение конфиденциальности информации должно соответствовать возможности доступа к нее. Таким образом, управление в сфере информационной безопасности должно осуществляться на основе принципа доступности и безопасности. Система обеспечения информационной безопасности в первую очередь должна гарантировать доступность и целостность информации, а ее конфиденциальность в случае необходимости.

Однако не следует питать надежду на создание абсолютной системы информационной безопасности, поскольку, как отмечалось нами выше, мы стоим на той позиции, что угроза и опасность есть атрибутивными компонентами системы информационной безопасности, поэтому их существование и реализация, а также негативные последствия является естественным компонентом системы информационной безопасности. Именно они дают возможность увидеть недостатки в системе управления информационной безопасностью, и одновременно служат импульсом к совершенствованию, т.е. к развитию. Следовательно, важным метод обеспечения информационной безопасности является методом развития.

Основным методом анализа информационных рисков является количественный и качественный анализ, факторный анализ и т.д. Цель качественной оценки рисков – ранжировать информационные угрозы и опасности по различным критериям, система которых позволит сформировать эффективную систему воздействия на них.

Важным методом обеспечения информационной безопасности является также метод критических сценариев. В указанных сценариях анализируются ситуации, когда воображаемый противник парализует систему государственного управления и существенно снижает способность поддерживать государственное управление в пределах оптимальных параметров. Причем анализ событий в мире предоставляет все основания утверждать, что информационные войны становятся органической частью политики национальной безопасности многих развитых стран.

Также можно указать на метод моделирования, с помощью которого можно проводить обучение по информационной безопасности. Положительный опыт этого у США, где на базе одной из известных корпораций постоянно проводятся оперативно-исследовательские обучения, чтобы моделировать различные формы информационных атак в ходе информационной войны.

Среди методов обеспечения информационной безопасности важное значение имеет метод дихотомии. Для противодействия угрозам информационной безопасности принимаются необходимые меры как в направлении предоставления определенного влияния н на источник угрозы, так и в направлении укрепления объекта безопасности. Согласно выделяют две предметные области противодействия. Одна из них образуется совокупностью источников угроз, а другая – совокупность мероприятий по обеспечению грузки информационной безопасности объекта.

Методы воздействия на информацию в форме сообщений можно разделить также на электронные и неэлектронных. Электронные методы воздействия применяются в тех случаях, когда сообщение закрепляются на электромагнитных носителях, которые предназначены для обработки с помощью средств вычислительной техники Они заключаются в уничтожении, искажении, копировании сообщений. Такие действия могут быть совершены только с помощью технического и программного обеспечения неэлектронных методы по своей сути имеют тот же смысл, но реализуются без использования средств вычислительной техники дл я воздействия на сообщение закрепления на других, прежде бумажных, носителях информации.

Методы воздействия на информационную инфраструктуру могут быть разделены на информационные и неинформационные. Информационные методы воздействия ориентированы на нарушения формирования информационно-телекоммуникационных систем, сетей связи, средств автоматизации управления, систем автоматизированной обработки информации, и таким образом, на предупреждение нанесения вреда предметам общественных отношений.

В целом же следует отметить, что выбор целей и методов противодействия конкретным угрозам и опасностям информационной безопасности представляет собой важную проблему и составную часть деятельности по реализации основан них направлений государственной политики информационной безопасности В рамках решения данной проблемы определяются возможные формы соответствующей деятельности органов государственной власти, что требует проведения детального анализу экономического, социального, политического и других слоев общества, государства и личности, возможных последствий выбора тех или иных вариантов осуществления этой деятельности.

Оцените статью
Добавить комментарий