Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
шпоры_безопасность.docx
Скачиваний:
12
Добавлен:
30.04.2019
Размер:
114.17 Кб
Скачать

1. Структура информационных ресурсов и соответствующих законодательных актов.

Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами. (дальше идет схема):

0. Информация, информационные ресурсы. Закон РФ "Об онформации, информационных технологиях и о защите информации" от 27.07.06 №149-ФЗ. В нее входит:

1. Открытая общего пользования. Закон РФ "О СМИ"; УК РФ ст. 140, 144, 237, 242

2. Охраняемая (ограниченного пользования). Закон РФ "Об онформации, информационных технологиях и о защите информации" от 27.07.06 №149-ФЗ

2.1 Конфиденциальная (специальные нормы законодательства). УК РФ ст. 138, 183 и Указ президента РФ № 188 от 06.03.1997

2.1.1 Личного характера (Персональные данные). УК РФ ст. 137, 155, Трудовой кодекс РФ, закон РФ "О Персональных данных" от 27.07.06 №152-ФЗ

2.1.2 Связанная с производственно-хозяйственной деятельностью. Глава 28 УК РФ

2.1.2.1 Объекты авторского права и смежных прав. Закон РФ "Об авторском праве и смежных правах", УК РФ ст. 146

2.1.2.2 Объекты патентованного права (промышленной собственности). "Патентный закон РФ", УК РФ ст. 147, 180

2.1.2.3 Коммерческая тайна. ст. 139 п. 1 Гражданского кодекса РФ, УК РФ ст. 183, Закон РФ "О коммерческой тайне"

2.1.2.3.1 Торговая, финансовая информация

2.1.2.3.2 "НОУ-ХАУ" (беспатентные технологии)

2.1.3 Для служебного пользования. Указ Президента РФ № 1233 от 03.11.94

2.1.4 Сведения о частной жизни, тайна следствия и судопроизводства, ДСП, профессиональная (врачебная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений и т.д.), коммерческая тайна, об изобретениях и промышленных образцах до официальной публикации информации о них. Указ Президента РФ № 168 от 06.03.97

2.2 Гос. тайна. Закон РФ "О гос. тайне". Грифы:

2.2.1 Особой важности

2.2.2 Совершенно секретно

2.2.3 Секретно

2. Государственная тайна и ее защита.

Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Информационная безопасность - защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.. Цель защиты – обеспечение (в порядке возрастания приоритета):

конфиденциальность - защита чувствительной информации от несанкционированного доступа;

целостность - защита точности и полноты информации и программного обеспечения;

доступность - обеспечение доступности информации и основных услуг для пользователя в нужное для него время.

Система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях.

Согласно Закону РФ 21.07.93 №5485-1 «О государственной тайне» к органам защиты гос. тайны относятся: межведомственная комиссия, органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах. Органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях в учреждениях и организациях возлагается на их руководителей.

Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.

3. Федеральные требования по защите информации.

Составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ Статья 16. Защита информации

  1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации.

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. 6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

4. Уголовный кодекс РФ и информационная безопасность.

Преступления в сфере компьютерной информации регламентируются следующими статьями УК:

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации (информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети), если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот МРОТ или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот МРОТ или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев ???, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а также использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом -наказывается штрафом в размере до 80 т. руб. или в размере з/п или иного дохода осужденного за период 1-6 месяцев либо лишением свободы на срок до 2 лет.

2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, - наказываются штрафом в размере до 120 т. руб. или в размере з/п или иного дохода осужденного за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет либо лишением свободы на срок до 3 лет.

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, - наказываются штрафом в размере до 200 т. руб. или в размере з/п или иного дохода осужденного за период до 18 месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет либо лишением свободы на срок до 5 лет.

4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, - наказываются лишением свободы на срок до 10 лет.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом в размере до 80 т. руб. или в размере з/п или иного дохода осужденного за период до 6 месяцев, либо обязательными работами на срок 120-180 часов, либо исправительными работами на срок до 1 года.

2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, - наказывается штрафом в размере 100-300 т. руб. или в размере з/п или иного дохода осужденного за период 1-2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок 2-5 лет, либо обязательными работами на срок 180-240 часов, либо арестом на срок 2-4 месяцев.

3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, - наказываются штрафом в размере до 200 т. руб. или в размере з/п или иного дохода осужденного за период до 18 месяцев, либо ограничением свободы на срок до 3 лет, либо лишением свободы на срок до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.

5. Критерии оценки надежных компьютерных систем. Оранжевая книга.

В "Оранжевой книге" надежная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Надежность систем оценивается по двум основным критериям:

  1. Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Политика безопасности – это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

  2. Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации ИС. Показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Это пассивный элемент защиты, надзирающий за своим защитником.

В "Оранжевой книге" рассматривается два вида гарантированности:

  1. Операционная гарантированность - это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.

Включает в себя проверку следующих элементов: Архитектура системы; Целостность системы; Анализ тайных каналов передачи информации; Надежное администрирование; Надежное восстановление после сбоев.

  1. Технологическая гарантированность охватывает весь жизненный цикл ИС, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные "закладки".

Включает: Тестирование; Доступность системы; Надежность системы; Верификация описания системы.

Концепция надежной вычислительной базы (НВБ) является ключевой при оценке степени гарантированности, с которой система может считаться надежной. НВБ – совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности.

Граница НВБ – периметр безопасности. Компоненты вне НВБ могут быть ненадежными, но это не должно менять ее надежность в целом.

Основное назначение НВБ - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к программам или данным проверяется на предмет согласованности со списком действий, допустимых для пользователя.

От монитора обращений требуется выполнение 3 свойств:

  • Изолированность - монитор д. б. защищен от отслеживания своей работы;

  • Полнота - монитор должен вызываться при каждом обращении, не должно быть способов его обхода;

  • Верифицируемость - монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.