Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
28
Добавлен:
13.04.2015
Размер:
45.03 Кб
Скачать

Билет № 37

Вопрос № 1

В чем заключается проблема формирования региональной политики обеспечения информационной безопасности РФ

Несмотря на значительное внимание, уделяемое в настоящее время решению проблем обеспечения информационной безопасности Российской Федерации, формированию и реализации государственной политики России в этой области, ряд крупных вопросов пока остаются слабо разработанными. К ним, в частности, относятся вопросы обеспечения информационной безопасности субъектов Российской Федерации. Отсутствие устоявшегося взгляда на существо этих вопросов существенно затрудняет создание эффективно действующей системы обеспечения информационной безопасности Российской Федерации.

На этом фоне особенно заметены попытки субъектов Российской Федерации самостоятельно очертить контуры своих систем региональной информационной безопасности.

Под регионом понимается территория субъекта Российской Федерации или ассоциаций субъектов Федерации, если эти ассоциации имеют необходимые полномочия по решению задач обеспечения региональной информационной безопасности.

Одним из наиболее сложных вопросов формирования региональной политики в области информационной безопасности является определение предмета этой политики.

С одной стороны, в соответствии со ст. 71 Конституции Российской Федерации основные функции по обеспечению безопасности, включая и информационную безопасность, отнесены к ведению Федерации. Это означает, что все проблемы защиты жизненно важных интересов Российской Федерации в информационной сфере должны решаться федеральными органами государственной власти.

Цели, задачи, принципы, основные направления обеспечения информационной безопасности с точки зрения федеральных властей изложены в проекте Доктрины информационной безопасности Российской Федерации, разработанном Межведомственной комиссией Совета Безопасности Российской Федерации по информационной безопасности.

С другой стороны, информационная сфера не отнесена к предметам исключительного ведения Федерации. Ряд вопросов, таких как защита прав и свобод граждан и прав национальных меньшинств и тд. Федерации в соответствии со ст.72 Конституции Российской Федерации отнесены к предметам совместного ведения Российской Федерации и ее субъектов. Это предполагает принятие субъектами Российской Федерации законов и иных нормативных правовых актов, не противоречащих федеральным законам, регулирующим отношения в этих областях. Кроме того, ст. 71 Конституции Российской Федерации к ведению Федерации относит лишь федеральные информацию и связь. Это в соответствии со ст.73 Конституции Российской Федерации означает, что информация и связь, не являющиеся федеральными, относятся к исключительной компетенции субъектов Российской Федерации.

Все это создает объективную основу для возникновения у субъектов Российской Федерации своих жизненно важных интересов в информационной сфере и формирования своей государственной политики по защите этих интересов.

Региональная политика в сфере обеспечения информационной безопасности Российской Федерации представляет собой систему целей и задач (в рамках предметов совместного ведения Федерации и ее субъектов, предметов исключительного ведения субъектов Федерации) федеральных и региональных органов государственной власти, государственных, общественных и иных организаций и граждан, участвующих в обеспечении информационной безопасности, по предотвращению, парированию и нейтрализации угроз основным интересам Российской Федерации и ее субъектов в информационной сфере.

Эти цели и задачи включают в себя, прежде всего, реализацию конституционных прав и свобод граждан и установленных законами ограничений этих прав и свобод в области сбора, накопления, обработки, производства и распространения региональной информации как на территории Российской Федерации, так и за рубежом, защиты безопасности региональной информационной инфраструктуры, а также механизмов достижения этих целей и решения поставленных задач.

Исходя из этого, существо проблемы формирования региональной политики обеспечения информационной безопасности Российской Федерации заключается, прежде всего, в выявлении основных интересов Российской Федерации и ее субъектов в информационной сфере по предметам совместного ведения, а также интересов субъектов Федерации по предметам их исключительного ведения, определении наиболее опасных угроз этим интересам, направлений и механизмов участия органов федеральной системы обеспечения информационной безопасности, органов государственной власти субъектов Российской Федерации, государственных, общественных и иных организаций и граждан, проживающих на территории субъекта Российской Федерации, в реализации мероприятий по противодействию этим угрозам.

К числу основных задач федеральной политики в области обеспечения информационной безопасности по отношению к регионам следует отнести:

  • формирование основ единого правового пространства в сфере обеспечения информационной безопасности на территории Российской Федерации, а также создание правовой базы функционирования системы региональных центров обеспечения информационной безопасности;

  • содействие формированию и осуществлению регионами собственной региональной политики обеспечения информационной безопасности и ее согласование с федеральной политикой в этой области;

  • участие федеральных органов исполнительной власти в формировании систем обеспечения региональной информационной безопасности;

  • согласование федеральных программ развития единого информационного пространства с региональными программами совершенствования и развития региональных информационных инфраструктур;

  • привлечение регионов к формированию федеральной политики обеспечения информационной безопасности России.

Региональная политика субъектов Российской Федерации по отношению к федеральной власти в области обеспечения информационной безопасности должна строится на основе выявления жизненно важных интересов регионов в информационной сфере, прежде всего, в рамках предметов совместного ведения с Федерацией, а также предметов их исключительного ведения, создания оформленных в правовом, организационном и финансовом плане механизмов защиты этих интересов на основе взаимодействия региональной и федеральной систем обеспечения информационной безопасности.

Внутренняя региональная политика субъектов Российской Федерации в области информационной безопасности должна быть направлена на определение системы целей и задач по предметам их исключительного ведения, к которым в информационной сфере следует отнести:

  • региональную информацию, включая региональные информационные ресурсы, информационную инфраструктуру, системы массового информирования граждан, системы связи;

  • культурное развитие регионов.

Достижение этих целей и решение задач с учетом специфики и возможностей конкретных субъектов российской Федерации целесообразно положить в основу их региональных систем обеспечения информационной безопасности.

Анализ процесса формирования региональной политики в области информационной безопасности позволяет выделить несколько основных проблем, требующих своего первоочередного решения.

К их числу следует отнести выявление субъектами Российской Федерации жизненно важных интересов в информационной сфере в рамках предметов их совместного с Федерацией и исключительного ведения.

Другой большой проблемой является обеспечение безопасного развития регионального информационного рынка. Как известно, уровень и перспективы развития этого рынка во многом определяются потребностями органов государственной власти и хозяйствующих субъектов. На региональном рынке концентрируется региональная информация и действуют информационные брокеры, занятые информационным обслуживанием конечных потребителей информации. В соответствии с Законом «Об информации, информатизации и защите информации» информационные ресурсы, создаваемые за счет регионального бюджета, являются собственностью регионов и регулирование отношений в области создания, распространения и использования этих ресурсов относится к компетенции субъектов Российской Федерации.

Не менее важным представляется решение вопросов обеспечения безопасности региональной информационной инфраструктуры. Основными угрозами здесь являются надежности функционирования региональных информационных и телекоммуникационных систем, и систем связи. Вопросы безопасности информационных и телекоммуникационных систем федерального уровня регулируются федеральным законодательством и в значительной степени уже разработаны.

Представляется, что оптимальное решение выделенных проблем может быть найдено лишь на основе концентрации усилий органов государственной власти субъектов Российской Федерации, государственных и общественных организаций региона, действующих в информационной сфере, хозяйствующих субъектов, специалистов при методической поддержке органов федеральной системы обеспечения информационной безопасности.

Создание региональных систем обеспечения информационной безопасности, осуществляющих: взаимодействие регионов с федеральной системой по вопросам, относящихся к предметам совместного ведения; межрегиональное взаимодействие по вопросам, отнесенным как к предметам совместного ведения, так и к исключительной компетенции самих регионов, а также координацию деятельности государственных и негосударственных структур, действующих на территории региона, по вопросам компетенции субъектов Российской Федерации может явиться действенным средством решения задачи координации.

Вопрос № 2

Классификация уязвимостей информационных систем

Информационная система (ИС) — организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Обеспечение надежной защиты информационной системы — очень сложный процесс, который представляет собой непрерывную и постоянную последовательность действий по реализации комплекса мер информационной безопасности.

Угроза – это потенциально возможное событие, явление или процесс, который посредством воздействия  на компоненты информационной системы может привести к нанесению ущерба.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации).

Устранение или существенно ослабление уязвимостей, влияет на возможности реализации угроз безопасности информации.

Существует следующая классификация уязвимостей:

  1. Объективныезависят от особенностей построения и технических характеристик оборудования, применяемого в информационных системах. Полное устранение этих уязвимостей невозможно, они могут существенно ослабляться техническими и инженерно – техническими методами. К ним можно отнести:

    1. Сопутствующие техническим средствам излучения:

  • Электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей);

  • Электрические (наводки электромагнитных излучений на линии и проводки, просачивание сигналов в сети электропитания, в цепи заземления, неравномерность потребления тока электропитания);

  • Звуковые (акустические, виброакустические).

    1. Активизируемые:

  • Аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах);

  • Программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии программного обеспечения).

    1. Определяемые особенностями элементов:

  • Элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители, микрофоны);

  • Элементы подверженные воздействию электромагнитного поля (магнитные носители, микросхемы).

    1. Определяемые особенностями защищаемого объекта:

  • Местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта);

  • Организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов).

  1. Субъективныезависят от действий сотрудников, в основном устраняются организационными и программно – аппаратными методами:

    1. Ошибки:

  • При подготовке и использовании программно обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных);

  • При управлении сложными системами (при использовании возможностей самообучения систем, организация управления потоками обмена информации);

  • При эксплуатации технических средств (при включении/выключении технических средств, использовании технических средств охраны, использование средств обмена информацией).

    1. Нарушения:

  • Режима охраны и защиты (доступа на объект, доступа к техническим средствам);

  • Режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения);

  • Режима использования информации (обработка и обмен информацией, хранение и уничтожение носителей информации, уничтожения производственных отходов и брака);

  • Режима конфиденциальности (сотрудники в не рабочее время, уволенные сотрудники; обиженные сотрудники).

  1. Случайные зависят от особенностей окружающей информационную систему среды и непредвиденных обстоятельств.

    1. Сбои и отказы:

        • Отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа);

  • Старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, микросхем, кабелей и соединительных линий);

        • Сбои программного обеспечения (операционных систем и СУБД, прикладных программ, сервисных программ, антивирусных программ);

        • Сбои электроснабжения (оборудования, обрабатывающего информацию; обеспечивающего и вспомогательного оборудования);

    1. Повреждения:

  • Жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации; кондиционирования и вентиляции);

        • Ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий; корпусов технологического оборудования).

Другие классификации:

Производя атаку, нарушитель использует уязвимости информационной системы. Если нет уязвимости, то невозможна и атака, которая использует ее. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Для создания базы данных уязвимостей необходимо рассмотреть различные варианты классификаций уязвимостей.

Можно выделить несколько критериев классификации уязвимостей. Уязвимости можно классифицировать по  этапам жизненного цикла, на которых они появляются:

  • уязвимости этапа проектирования;

  • уязвимости этапа реализации;

  • уязвимости этапа эксплуатации.

Уязвимости первого класса наиболее опасны. Источником возникновения этих уязвимостей является процесс проектирования, их трудно обнаружить и устранить. К ним относится проектирование системы без учета требований безопасности.

Уязвимости второго класса заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта или алгоритма. Выявить такие уязвимости значительно проще, чем проектные. К ним относится переполнение буфера.

Источником возникновения уязвимостей третьего класса являются ошибки конфигурирования аппаратного и программного обеспечения. Такие уязвимости наиболее распространены и легче всего обнаруживаются. К ним относятся: наличие слабых паролей; наличие незаблокированных встроенных учётных записей пользователей; неправильным образом установленные права доступа пользователей к информационным ресурсам; наличие в ИС неиспользуемых, но потенциально опасных сетевых служб и программных компонентов

В классификации уязвимостей по уровню в информационной инфраструктуре системы.

Информационная инфраструктура — это система организационных структур, подсистем, обеспечивающих функционирование и развитие информационного пространства  и средств информационного взаимодействия, это основа, без которой автоматизация деятельности предприятия невозможна. Выделяются следующие типы уязвимостей:

  • уязвимости уровня сети —  уязвимости сетевых протоколов;

  • уязвимости уровня операционной системы;

  • уязвимости уровня баз данных — уязвимости конкретных СУБД ;

  • уязвимости уровня приложений  — относятся уязвимости программного обеспечения.

Это наиболее наглядный вариант классификации. Он показывает, что именно уязвимо, но причинно-следственную связь между уязвимостями при использовании такой классификации установить нельзя.

Классификация уязвимостей по степени риска:

  • высокий уровень риска —  уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;

  • средний уровень риска  — уязвимость позволяет атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;

  • низкий уровень риска — уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.

Такая классификация используется для оценки степени критичности уязвимостей  при определении качества защищенности ИС.

Этот вариант классификации достаточно условный и разные источники предлагают свои варианты такой классификации. Соответственно, это очень субъективный метод классификации уязвимостей.

Вопрос № 3

Экономические методы обеспечения информационной безопасности

Согласно Доктрине информационной безопасности РФ общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические.

Экономические методы обеспечения информационной безопасности РФ включают в себя:

  • разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;

  • совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных физических и юридических лиц.

Государственная политика обеспечения информационной безопасности определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти в РФ в этой области, порядок закрепления их обязанностей по защите интересов РФ в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Методы и средства информационной безопасности экономического объекта

Методами обеспечения защиты информации на предприятии являются следующие: Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.). ^ Управление доступом – метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

        • идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

        • аутентификацию (установления подлинности) объекта или субъекта по предъявленному им идентификатору;

        • проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

        • регистрацию обращений к защищаемым ресурсам;

        • реагирование (сигнализация, отключение, задержка работ, отказ в запросе при попытках несанкционированных действий).

Маскировка – метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия. Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму. Принуждение – метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной и уголовной ответственности. Побуждение – метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм. Указанные выше методы обеспечения информационной безопасности реализуются с помощью следующих основных средств: физических, аппаратных, программных, аппаратно-программных, криптографических, организационных, законодательных и морально-этических. ^ Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем. ^ Аппаратные средства защиты – это электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д. ^ Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля. Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия. ^ Аппаратно-программные средства защиты – средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы. ^ Криптографические средства – средства защиты с помощью преобразования информации (шифрование). Организационные средства – организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала. ^ Законодательные средства – правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил. ^ Морально-этические средства – нормы, традиции в обществе, например: Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США. Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и «неформальные» (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность).

Соседние файлы в папке Билеты Осн ИБ