Законодательство РФ в области защиты информации
Одной из наиболее сложных проблем, в определенной мере сдерживающей темпы информатизации общества, является необходимость приоритетного обеспечения вопросов национальной безопасности (социальной, экономической, политической и т.д.) в условиях широкого применения средств вычислительной техники и связи для обработки конфиденциальной и биржевой инфраструктурах. Социально-экономические последствия широкого внедрения компьютеров в жизнь современного общества привели к появлению ряда проблем информационной безопасности.
В связи с возрастающим числом компьютерных преступлений проблема защиты информации является приоритетной в настоящих условиях. Защита информации должна носить комплексный характер.
Комплексный характер защиты достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:
ГОСТ 28147-89 |
Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. |
ГОСТ Р 34.10-94 |
Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. |
ГОСТ Р 34.11-94 |
Информационная технология. Криптографическая защита информации. Функция хэширования. |
ГОСТ Р 50739-95 |
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. |
Алгоритмы реализованы в виде единого комплекса средств криптографической защиты информации (СКЗИ), сертифицированных ФАПСИ, а также единых ключевых систем.
Свою деятельность ЗАО МО ПНИЭИ строит в соответствии с законодательством РФ в области криптографической защиты информации.
Законы Российской Федерации
Закон РФ № 1-ФЗ |
Об электронной цифровой подписи |
|
|||||
Закон РФ № 128-ФЗ |
О лицензировании отдельных видов деятельности |
|
|||||
Закон РФ № 149-ФЗ |
Об информации, информационных технологиях и о защите информации |
|
|||||
Закон РФ № 15-Ф3 |
О связи |
|
|||||
Закон РФ № 24-ФЗ |
Об информации, информатизации и защите информации |
|
|||||
Закон РФ № 3523-1 |
О правовой охране программ для электронных вычислительных машин и баз данных |
|
|||||
Закон РФ № 5154-1 |
О стандартизации |
|
|||||
Закон РФ № 5485-1 |
О Государственной тайне |
|
|||||
Закон РФ № 85-ФЗ |
Об участии в международном информационном обмене |
|
|||||
|
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
Приказ ФАПСИ № 152 |
Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную |
Приказ ФАПСИ № 158 |
Об утверждении положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну |
Дополнительная информация. Приказы фапси
Анализ угроз информационной безопасности
Анализ угроз информационной безопасности позволяет выделить составляющие современных компьютерных угроз – их источники и движущие силы, способы и последствия реализации. Анализ исключительно важен для получения всей необходимой информации об информационных угрозах, определения потенциальной величины ущерба, как материальной, так и нематериальной, и выработки адекватных мер противодействия.
При анализе угроз информационной безопасности используются три основных метода:
Прямая экспертная оценка. Метод экспертных оценок основан на том, что параметры угроз задаются экспертами. Эксперты определяют перечни параметров, характеризующих угрозы информационной безопасности, и дают субъективные коэффициенты важности каждого параметра.
Статистический анализ – это анализ информационных угроз на основе накопленных данных об инцидентах информационной безопасности, в частности, о частоте возникновения угроз определенного типа, их источниках и причинах успеха или неуспеха реализации. Например, знание частоты появления угрозы позволяет определить вероятность её возникновения за определенный промежуток времени. Для эффективного применения статистического метода требуется наличие достаточно большой по объёму базы данных об инцидентах. Нужно отметить ещё одно требование: при использовании объёмных баз необходимы инструменты обобщения данных и обнаружения в базе уже известной и новой информации.
Факторный анализ основан на выявлении факторов, которые с определенной вероятностью ведут к реализации угроз и тем или иным негативным последствиям. Такими факторами могут быть наличие привлекательных для киберпреступников информационных активов, уязвимости информационной системы, высокий уровень вирусной активности во внешней среде и т.д. Поскольку на современные информационные системы влияют множество факторов, обычно используется многофакторный анализ.
При анализе угроз информационной безопасности наиболее эффективно применять комплекс разных аналитических методов. Это значительно повышает точность оценки.
Объекты защиты
Объекты защиты информации – это информация, носитель информации или информационный процесс, которые нуждаются в защите от несанкционированного доступа, изменения и копирования третьими лицами.
Основные объекты защиты информации:
1)Информационные ресурсы, содержащие конфиденциальную информацию;
2)Системы и средства, обрабатывающие конфиденциальную информацию (технические средства приема, обработки, хранения и передачи информации (тспи);
3)ТСПИ размещенные в помещениях обработки секретной и конфиденциальной информации. Общепринятая аббревиатура - ВТСС (вспомогательные технические средства и системы). К ВТСС относятся технические средства открытой телефонной связи, системы сигнализации, радиотрансляции и т.д., а также помещения, которые предназначены для обработки информации с ограниченного использования.
Иными словами, объектами защиты информации являются источники информации; переносчики информации и получатели информации. Однако главная цель – это защита самой информации.