Методы и средства защиты информации

31 час, курсовой проект, экзамен.

Лектор: Ильясов Эмран Эльдарович.

Лаборант: Амрахова Эльмира Шихнетдинова.

Учебники:

1. Хорев П.Б. «Методы и средства защиты информации в компьютерных системах». Москва, 2007г.

2. Соколов А.В., Шаньгин В.Ф. «Защита информации в распределенных корпоративных сетях и системах». Москва, 2002-2004г.

3. Соколов А.В. «Защита от компьютерного терроризма». СПб-BHV, 2002г.

4. Алферов А. «Основы криптографии». Москва-Гелиос АРВ, 2002г.

5. Баричев С. «Основы современной криптографии». Москва-Горячая линия Телеком, 2005г.

6. Журнал «Security Magazine».

5 Сентября 2012 г.

Тема: «Основные составляющие информационной безопасности».

Цель мероприятий в области информационной безопасности — защитить интересы субъектов информационных отношений. Эти интересы многообразны, но все они концентрируются вокруг 3 основных аспектов: доступность, целостность, конфиденциальность.

Первый шаг при построении системы обеспечения информационной безопасности — ранжирование и детализация аспектов. Важность проблематики информационной безопасности объясняется двумя основными причинами:

1. Ценностью накопленных информационных ресурсов.

2. Критической зависимостью от информационных технологий.

Разрушение важной информации, кража конфиденциальных данных, перерыв в работе в следствии отказа, всё это выливается в крупные материальные потери, наносит ущерб репутации организации, более того, проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Современные информационные системы сложны, и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. В таких системах постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами. Меняются принципы построения корпоративных информационных систем. В таких системах используются многочисленные внешние информационные сервисы, предоставляются вовне собственные информационные ресурсы. Получило широкое распространение явление, обозначаемое словом «аутсорсинг» — когда часть функций корпоративной информационной системы передается внешним организациям. Развивается программирование с активными агентами. Подтверждением сложности проблематики информационной безопасности является параллельный довольно быстрый и затратный рост на защитные мероприятия, и рост количества нарушений информационной безопасности в сочетании с ростом среднего ущерба от каждого нарушения.

В связи с изложенным, успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:

1. законодательного

2. административного

3. процедурного

4. программно-технического

Дело в том, что проблема информационной безопасности не только, и не столько техническая: без законодательной базы, без постоянного внимания руководства организации и постоянного выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно.

Комплексность усложняет проблематику информационной безопасности. Требуется взаимодействие специалистов из разных областей. При этом, в качестве основного инструмента борьбы со сложностью предлагается объектно-ориентированный подход: инкапсуляция, наследование, полиморфизм, выделение граней объектов, варирование уровня детализации — все эти универсальные понятия, знание которых необходимо всем специалистам в области информационной безопасности.

Законодательные и правовые основы защиты компьютерной информации и информационных технологий.

Состояние правового обеспечения информатизации и защиты информации Российской Федерации.

Вопросы обеспечения безопасности информационных ресурсов самым теснейшим образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования отношений в области информатизации. Необходимость решения этих вопросов в большей степени зависит не от уровня развития вычислительной техники, а от признания за информацией статуса «товар», продукта общественного производства, установления в законодательном порядке права собственности на информацию. Такая постановка вопроса приобретает особый смысл в современных условиях: демократизация общества, формирование рыночной экономики, включение РФ в мировое сообщество.

Если решение вопросов развития производственной базы, создания средств информатики в какой-то мере можно осуществить с помощью рыночных структур и отношений, то разработка и внедрение законодательной базы информатизации невозможны без активной государственной информационной политики, направленной на построение по единому замыслу организационно-правового механизма управления информационными процессами, увязанного с научно-технической базой информатизации.

Вопрос о правовом обеспечении информатизации в нашей стране был поставлен в 70-х годах ХХ века в связи с развитием автоматизированных систем управления (АСУ) различных уровней. Однако, нормативная основа, выраженная термином «правовое обеспечение» не вышло за рамки ведомственных актов, нескольких постановлений правительства и аналогичных актов республиканского уровня. Поэтому законодательное регулирование проблем информатизации к началу 90-х годов нельзя было назвать удовлетворительным. Необходимо было срочно создать правовую основу информатизации России, законодательно обеспечить эффективное использование информационного ресурса общества, урегулировать отношения на всех стадиях и этапах информатизации, защитить права личности в условиях информатизации и сформировать механизм информационной безопасности. По этой причине проблематика информатизации получает достаточно широкое отражение в законодательстве РФ в 90-х годах ХХ века. В первом документе «Декларация прав и свобод человека и гражданина», принятой постановлением Верховного совета РФ в ноябре 1991г. закреплено общее право граждан на информацию. Статья 13 этой декларации гласит «Каждый имеет право искать, получать и свободно распространять информацию. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности. Перечень сведений, составляющих государственную тайну, устанавливается законом». Здесь не только закреплено право гражданина на информацию, но и определены формы информации с ограниченным режимом доступа, и подчеркнута роль закона в определении сведений, составляющих государственной тайны. То есть тем самым создан определенный плацдарм для дальнейшего решения этих проблем в специальных законах.

В целях комплексного подхода в формировании законодательства по проблемам информации и информатизации России, в 1992г. была утверждена программа подготовки нормативного и законодательного обеспечения работ в области информатизации. В соответствии с этой программой, в дальнейшем были разработаны и приняты ряд законов РФ. Базовым среди них является закон РФ «Об информации, информатизации и защите информации». Были приняты специальные законы «О государственной тайне», «О коммерческой тайне», «Об ответственности за злоупотребление при работе с информацией» и др.

Реализация программы позволила создать правовые основы процесса информатизации в России, нормативно закрепить права граждан, организации и государства за информацию, установить правовой режим информации и систем информатизации с учетом правил охраны государственной и коммерческой тайн, порядка правой, организационной и технической защиты информации и информационного ресурса в целом, основ защиты правовых гарантий, прав потребителей, защитить права автора информационной продукции, законодательно оформить участие России в международном информационном обмене.

Сфера действия закона РФ об информации, информатизации и защите информации (базового закона в области информационного права, принятого в 1995г. — новый закон «Об информации, информационных технологиях и защите информации» принят в июле 2006г.) охватывает отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, накопления, обработки, хранения, поиска, распространения и предоставления потребителю документированной информации при создании и использовании информационных технологий, и средств их обеспечения, при защите информации прав субъектов, участвующих в информационных процессах и информатизации.