Автор работы: Пользователь скрыл имя, 24 Сентября 2013 в 13:35, реферат
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ В РОССИИ - это организованная совокупность специальных законодательных и иных нормативных актов, органов, служб, методов, мероприятий и средств, обеспечивающих безопасность информации от внутренних и внешних угроз.
Принципы защиты информации
1.комплексность
а) обеспечение безопасности обслуживающего персонала, материальных и финансовых ресурсов от всех возможных угроз всеми доступными законными средствами, методами и мероприятиями;
Введение
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ В РОССИИ
это организованная совокупность специальных законодательных и иных нормативных актов, органов, служб, методов, мероприятий и средств, обеспечивающих безопасность информации от внутренних и внешних угроз.
Принципы защиты информации
а) обеспечение безопасности обслуживающего персонала, материальных и финансовых ресурсов от всех возможных угроз всеми доступными законными средствами, методами и мероприятиями;
б) обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, во всех технологических процессах и операциях их создания, обработки, использования и уничтожения;
в) способность системы защиты информации к развитию и совершенствованию в соответствии с изменяющимися внешними и внутренними условиями.
–упреждающий характер мер защиты информации. Предполагает постановку задач по комплексной защите информации на стадии проектирования (создания) системы ее защиты на основе анализа известных и прогнозирования возможных угроз безопасности информации, которые могут появиться в будущем после запуска системы защиты в эксплуатацию (реализацию).
–постоянное поддержание работоспособности и развитие системы защиты информации.
–настойчивость в достижении целей и задач защиты информации. Предполагает постоянный маневр силами и средствами защиты информации, а также принятие нестандартных мер защиты.
–разработка системы защиты информации на основе действующего законодательства, а также иных нормативных актов, регламентирующих безопасность информации. В ходе последующей реализации системы защиты информации –применение всех законных методов и средств обнаружения и пресечения правонарушений в области безопасности информации.
Заключается в том, что все методы и средства защиты информации должны быть научно обоснованными и современными, соответствовать последним достижениям науки и техники. В своей совокупности они должны отвечать всем установленным требованиям и нормам по защите информации.
затраты на разработку и реализацию
(обеспечение заданных параметров)
системы защиты информации не должны
превышать размеры
Предполагает привлечение к разработке и внедрению методов и средств защиты информации специализированных субъектов, имеющих государственную лицензию на определенный вид деятельности в сфере оказания услуг по защите информации. Применяемые ими средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
Предусматривает организацию четкого взаимодействия между всеми субъектами защиты информации, действующими в рамках единой системы защиты информации, а также координацию их усилий и осуществляемых работ в этой сфере для достижения общих целей. Заключается в интеграции и последовательности деятельности по защите конкретных информационных ресурсов.
Предусматривает совершенствование и разработку новых законодательных, организационных и технических мер защиты информации под воздействием объективных и субъективных факторов.
Предполагает наличие единого координационного центра (субъекта), занимающегося общими вопросами управления системой защиты информации, а также единых требований по обеспечению безопасности информации
Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации [18-23].
Государственную систему защиты информации образуют:
· Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и ее центральный аппарат;
· ФСБ, МО, СВР, МВД, их структурные подразделения по защите информации;
· структурные и межотраслевые подразделения по защите информации органов государственной власти;
· специальные центры ФСТЭК России;
· организации по защите информации органов государственной власти;
· головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские учреждения;
· предприятия оборонных отраслей промышленности, их подразделения по защите информации;
· предприятия, специализирующиеся на проведении работ в области защиты информации;
· вузы, институты по подготовке и переподготовке специалистов в области защиты информации.
ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
· обеспечения безопасности информации в ключевых системах информационной инфраструктуры;
· противодействия иностранным техническим разведкам;
· обеспечения защиты информации, содержащей государственную тайну, некриптографическими способами;
· предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней;
· предотвращения специальных воздействий на информацию (ее носители) с целью ее добывания, уничтожения, искажения и блокирования доступа к ней.
Руководство деятельностью ФСТЭК России осуществляет президент РФ.
Непосредственное руководство работами по защите информации осуществляют руководители органов государственной власти и их заместители.
В органе государственной власти могут
создаваться технические
Головные и ведущие НИО
Предприятия, занимающиеся деятельностью в области защиты информации, должны получить лицензию на этот вид деятельности. Лицензии выдаются ФСТЭК России, ФСБ, СВР в соответствии с их компетенцией и по представлению органа государственной власти.
Организация работ по защите информации возлагается на руководителей организаций. Для методического руководства и контроля за обеспечением защиты информации может быть создано подразделение по защите информации или назначен ответственный (штатный или внештатный) за безопасность информации.
Разработка системы ЗИ производится подразделением по технической защите информации или ответственным за это направление во взаимодействии с разработчиками и ответственными за эксплуатацию объектов ТСОИ. Для проведения работ по созданию системы ЗИ могут привлекаться на договорной основе специализированные предприятия, имеющие соответствующие лицензии.
Работы по созданию системы ЗИ проводятся в три этапа (см. рис. 4.3).
На I этапе разрабатывается
· вводится запрет на обработку секретной (служебной) информации на всех объектах ТСОИ до принятия необходимых мер защиты;
· назначаются ответственные за организацию и проведение работ по созданию системы защиты информации;
· определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ, сроки введения в эксплуатацию системы ЗИ;
· проводится анализ возможных технических каналов утечки секретной информации;
· разрабатывается перечень защищаемых объектов ТСОИ;
· проводится категорирование ОТСС, а также ВП;
· определяется класс защищенности автоматизированных систем, участвующих в обработке секретных (служебных) данных;
· определяется КЗ;
· оцениваются возможности средств ИТР и других источников угроз;
· обосновывается необходимость привлечения специализированных предприятий для создания системы защиты информации;
· разрабатывается техническое задание (ТЗ) на создание СЗИ.
Разработка технических
На II этапе:
· разрабатывается перечень организационных и технических мероприятий по защите объектов ТСОИ в соответствии с требованиями ТЗ;
· определяется состав серийно выпускаемых в защищенном исполнении ТСОИ, сертифицированных средств защиты информации, а также состав технических средств, подвергаемых специальным исследованиям и проверке; разрабатываются технические паспорта на объекты ТСОИ и инструкции по обеспечению безопасности информации на этапе эксплуатации технических средств.
На III этапе осуществляются:
· проведение специальных исследований и специальной проверки импортных ОТСС, а также импортных ВТСС, установленных в выделенных помещениях;
· размещение и монтаж технических средств, входящих в состав объектов ТСОИ;
· разработка и реализация разрешительной системы доступа к средствам вычислительной техники и автоматизированным системам, участвующим в обработке секретной (служебной) информации;
· приемосдаточные испытания системы защиты информации по результатам ее опытной эксплуатации;
· аттестация объектов ТСОИ по требованиям защиты информации.
Вводится разрешение на обработку секретной информации на объектах ТСОИ, на которые получены аттестаты.
Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать:
· государственное лицензирование деятельности предприятий в области защиты информации;
· аттестация объектов информации по требованиям безопасности информации, предназначенная для оценки подготовленности систем и средств информатизации и связи к обработке информации, содержащей государственную, служебную или коммерческую тайну;
· сертификация систем защиты информации;
· категорирование предприятий, выделенных помещений и объектов вычислительной техники по степени важности обрабатываемой информации.
Последовательность и содержание организации комплексной защиты информации представлена на рис. 4.4.
К
организационно-техническим
· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах эксплуатации технических средств, подлежащих защите;
· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
· разработка и внедрение технических решений и элементов защиты информации при создании вооружения и военной техники и при проектировании, строительстве и эксплуатации объектов информатизации, систем и средств автоматизации и связи.
Рис. 4.4. Примерная схема контроля защиты информации