Контрольная работа по "Информационная безопасность"

Задание 1. Обзор зарубежного законодательства в области информационной безопасности.

 В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

• законодательного;
• административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
• процедурного (меры безопасности, ориентированные на людей);
• программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

На законодательном уровне две группы мер:

• - меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);
• - направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного  соблюдения норм и правил ИБ. Это  важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое  трудное) на законодательном уровне - создать механизм, позволяющий  согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности. 
 Очертим некоторые законы нескольких стран (в первую очередь – США), поскольку только в США таких законодательных актов около 500.  
 Ключевую роль играет американский "Закон об информационной безопасности" (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Его цель – реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.  
Характерно, что уже в начале Закона называется конкретный исполнитель –  Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду как регламентация действий специалистов, так и повышение информированности всего общества.  
 Согласно Закону, все операторы федеральных ИС, содержащих конфиденциальную информацию, должны сформировать планы обеспечения ИБ. Обязательным является и периодическое обучение всего персонала таких ИС. НИСТ, в свою очередь, обязан проводить исследования природы и масштаба уязвимых мест, вырабатывать экономически оправданные меры защиты. Результаты исследований рассчитаны на применение не только в государственных системах, но и в частном секторе.  
 Закон обязывает НИСТ координировать свою деятельность с другими министерствами и ведомствами, включая Министерство обороны, Министерство энергетики, Агентство национальной безопасности (АНБ) и т.д., чтобы избежать дублирования и несовместимости.  
Помимо регламентации дополнительных функций НИСТ, Закон предписывает создать при Министерстве торговли комиссию по информационной безопасности, которая должна:

1. выявлять перспективные управленческие, технические, административные и физические меры, способствующие повышению ИБ;
2. выдавать рекомендации Национальному институту стандартов и технологий, доводить их до сведения всех заинтересованных ведомств.  
    С практической точки зрения важен раздел 6 Закона, обязывающий все правительственные ведомства сформировать план обеспечения информационной безопасности, направленный на то, чтобы компенсировать риски и предотвратить возможный ущерб от утери, неправильного использования, несанкционированного доступа или модификации информации в федеральных системах. Копии плана направляются в НИСТ и АНБ.  
    В 1997 году появилось продолжение описанного закона – законопроект "О совершенствовании информационной безопасности" (Computer Security Enhancement Act of 1997, H.R. 1903), направленный на усиление роли Национального института стандартов и технологий и упрощение операций с криптосредствами.   
    В законопроекте констатируется, что частный сектор готов предоставить криптосредства для обеспечения конфиденциальности и целостности (в том числе аутентичности) данных, что разработка и использование шифровальных технологий должны происходить на основании требований рынка, а не распоряжений правительства. Кроме того, здесь отмечается, что за пределами США имеются сопоставимые и общедоступные криптографические технологии, и это следует учитывать при выработке экспортных ограничений, чтобы не снижать конкурентоспособность американских производителей аппаратного и программного обеспечения.  
    Для защиты федеральных ИС рекомендуется более широко применять технологические решения, основанные на разработках частного сектора. Кроме того, предлагается оценить возможности общедоступных зарубежных разработок.

Очень важен раздел 3, в  котором от НИСТ требуется по запросам  частного  сектора готовить добровольные стандарты, руководства,  средства и методы  для инфраструктуры открытых ключей (см. выше  Закон РФ об ЭЦП),  позволяющие сформировать негосударственную  инфраструктуру, пригодную  для взаимодействия с федеральными ИС.  
  В разделе 4 особое внимание обращается на необходимость анализа  средств  и методов оценки уязвимых мест других продуктов частного  сектора в  области ИБ.  
 Приветствуется разработка правил безопасности, нейтральных по  отношению к конкретным техническим решениям, использование в  федеральных ИС коммерческих продуктов, участие в реализации  шифровальных технологий, позволяющее в конечном итоге сформировать  инфраструктуру, которую можно рассматривать как резервную для  федеральных ИС.  
  Важно, что в соответствии с разделами 10 и далее предусматривается  выделение конкретных (и немалых) сумм, называются точные сроки  реализации программ партнерства и проведения исследований  инфраструктуры с открытыми ключами, национальной инфраструктуры  цифровых подписей. В частности, предусматривается, что для  удостоверяющих центров должны быть разработаны типовые правила и  процедуры, порядок лицензирования, стандарты аудита.  
 В 2001 году был одобрен Палатой представителей и передан в Сенат новый  вариант рассмотренного законопроекта – Computer Security Enhancement Act  of 2001 (H.R. 1259 RFS). В этом варианте примечательно как то, что, по  сравнению с предыдущей редакцией, было убрано, так и то, что добавилось.  
 За четыре года (1997-2001 гг.) на законодательном и других уровнях  информационной безопасности США было сделано многое. Смягчены  экспортные ограничения на криптосредства (в январе 2000 г.). Сформирована  инфраструктура с открытыми ключами. Разработано большое число  стандартов (например, новый стандарт электронной цифровой подписи –  FIPS 186-2, январь 2000 г.). Все это позволило не заострять более внимания  на криптографии как таковой, а сосредоточиться на одном из ее важнейших  приложений – аутентификации, рассматривая ее по отработанной на  криптосредствах методике. Очевидно, что, независимо от судьбы  законопроекта, в США будет сформирована национальная инфраструктура  электронной аутентификации. В данном случае законотворческая  деятельность идет в ногу с прогрессом информационных технологий.  
  Программа безопасности, предусматривающая экономически  оправданные  защитные меры и синхронизированная с жизненным  циклом ИС,  упоминается в законодательстве США неоднократно.  Согласно пункту 3534 ("Обязанности федеральных ведомств") подглавы II  ("Информационная безопасность") главы 35 ("Координация федеральной  информационной политики") рубрики 44 ("Общественные издания и  документы"), такая программа должна включать:

1.  
   периодическую оценку рисков с рассмотрением внутренних и внешних угроз целостности, конфиденциальности и доступности систем, а также данных, ассоциированных с критически важными операциями и ресурсами;
2.  
   правила и процедуры, позволяющие, опираясь на проведенный анализ рисков, экономически оправданным образом уменьшить риски до приемлемого уровня;
3.  
   обучение персонала с целью информирования о существующих рисках и об обязанностях, выполнение которых необходимо для их (рисков) нейтрализации;
4.  
   периодическую проверку и (пере)оценку эффективности правил и процедур;
5.  
   действия при внесении существенных изменений в систему;
6.  
   процедуры выявления нарушений информационной безопасности и реагирования на них; эти процедуры должны помочь уменьшить риски, избежать крупных потерь; организовать взаимодействие с правоохранительными органами.  
    Конечно, в законодательстве США имеются в достаточном количестве и положения ограничительной направленности, и директивы, защищающие интересы таких ведомств, как Министерство обороны, АНБ, ФБР, ЦРУ, но мы не будем на них останавливаться. Желающие могут прочитать раздел "Законодательная база в области защиты информации" в превосходной статье О. Беззубцева и А. Ковалева "О лицензировании и сертификации в области защиты информации" (Jet Info, 1997, 4).  
    В законодательстве ФРГ выделим весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.  
   Как, вероятно, и во всех других законах аналогичной направленности, в данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.  
    Государственные учреждения, хранящие и обрабатывающие персональные данные, несут ответственность за нарушение тайны частной жизни "субъекта данных", как говорится в Законе. В материальном выражении ответственность ограничена верхним пределом в 250 тысяч немецких марок.  
    Из законодательства Великобритании упомянем семейство так называемых добровольных стандартов BS 7799, помогающих организациям на практике сформировать программы безопасности. В последующих лекциях мы еще вернемся к рассмотрению этих стандартов; здесь же отметим, что они действительно работают, несмотря на "добровольность" (или благодаря ей?).  
    В современном мире глобальных сетей законодательная база должна быть согласована с международной практикой. В этом плане поучителен пример Аргентины. В конце марта 1996 года компетентными органами Аргентины был арестован Хулио Цезар Ардита, 21 года, житель Буэнос-Айреса, системный оператор электронной доски объявлений "Крик", известный в компьютерном подполье под псевдонимом "El Griton". Ему вменялись в вину систематические вторжения в компьютерные системы ВМС США, НАСА, многих крупнейших американских университетов, а также в компьютерные системы Бразилии, Чили, Кореи, Мексики и Тайваня. Однако, несмотря на тесное сотрудничество компетентных органов Аргентины и США, Ардита был отпущен без официального предъявления обвинений, поскольку по аргентинскому законодательству вторжение в компьютерные системы не считается преступлением. Кроме того, в силу принципа "двойной криминальности", действующего в международных правовых отношениях, Аргентина не может выдать хакера американским властям. Дело Ардита показывает, каким может быть будущее международных компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних соглашений о борьбе с компьютерной преступностью.

Задание 2. Защита документов в Microsoft Excel

В Microsoft Excel предусмотрено  несколько уровней защиты и безопасности, позволяющих управлять доступом к данным Microsoft Excel и их изменению.

• Для оптимальной безопасности следует защищать весь файл книги с помощью пароля, позволяя просматривать и изменять данные только авторизованным пользователям.
• Для дополнительной защиты конкретных данных можно защитить конкретный лист или элементы листа, используя или не используя пароль. Защиту элементов можно использовать, чтобы предотвратить случайные или намеренные операции изменения, перемещения или удаления важных данных.

Чтобы зашифровать книгу и задать пароль :

1. Нажмите кнопку Microsoft Office  и последовательно выберите команды Подготовить и Зашифровать документ.

2. Введите пароль в поле Пароль и нажмите кнопку ОК.

Можно ввести до 255 знаков. По умолчанию в этой функции  применяется усиленное 128-разрядное шифрование по алгоритму AES. Шифрование – это стандартный метод, используемый для защиты файлов.

3. Введите пароль еще раз в поле Подтверждение и нажмите кнопку ОК.
4. Чтобы сохранить пароль, сохраните файл.

Снятие защиты паролем для электронной таблицы Excel

1. Введите пароль, чтобы открыть электронную таблицу.
2. Нажмите кнопку Microsoft Office  и последовательно выберите команды Подготовить и Зашифровать документ.
3. В диалоговом окне Шифрование документа удалите из поля Пароль зашифрованный пароль и нажмите кнопку ОК.
4. Сохраните электронную таблицу.

Установка пароля для защиты электронной таблицы Excel от изменения

Помимо пароля на открытие электронной таблицы Excel также можно задать пароль для защиты файла от изменения другими пользователями.

1. Нажмите кнопку Microsoft Office  , выберите команду Сохранить как и в нижней части диалогового окна "Сохранение документа" нажмите кнопкуСервис.
2. В меню "Сервис" выберите пункт Общие параметры. Откроется диалоговое окно "Общие параметры".
3. В разделе "Совместный доступ к файлу" введите пароль в поле Пароль для изменения:.
4. В диалоговом окне "Подтверждение пароля" введите пароль еще раз и нажмите кнопку ОК.
5. Нажмите кнопку Сохранить.

 Примечание.   Чтобы удалить пароль, повторите описанную выше процедуру и удалите пароль из поля Пароль для изменения:. Нажмите кнопку Сохранить.

Защита файла  книги

Файл всей книги  можно защитить, ограничив круг пользователей, имеющих возможность открывать книгу и использовать содержащиеся в ней данные, и задав пароль на просмотр файла или сохранение внесенных в него изменений.

Защита с  помощью паролей 

Защита с  помощью паролей на уровне файла книги использует улучшенное шифрование (стандартный способ защиты содержимого файла), чтобы защитить книгу от неавторизованного доступа. Пароль может быть задан на вкладке Безопасность в диалоговом окне Параметры (меню Сервис, команда Параметры). Можно задать два отдельных пароля, которые пользователи должны ввести, чтобы :

• Открыть и просмотреть файл     Этот пароль шифруется, чтобы помочь защитить данные от неавторизованного доступа.
• Изменить файл     Этот пароль не шифруется и предназначен только для того, чтобы позволить конкретным <span class="dash041e_0431_044b_0447_043d_044b_0439__Char" style=" font-