Административный уровень информационной безопасности
Автор работы: Пользователь скрыл имя, 23 Декабря 2014 в 14:39, реферат
Описание работы
Вводятся ключевые понятия - политика безопасности и программа безопасности. Описывается структура соответствующих документов, меры по их разработке и сопровождению. Меры безопасности увязываются с этапами жизненного цикла информационных систем.
В жизненном цикле информационного сервиса можно выделить
следующие этапы:
Инициация. На данном этапе выявляется необходимость
в приобретении нового сервиса, документируется
его предполагаемое назначение.
Закупка.На данном этапе составляются спецификации,
прорабатываются варианты приобретения,
выполняется собственно закупка.
Установка. Сервис устанавливается, конфигурируется,
тестируется и вводится в эксплуатацию.
Эксплуатация. На данном этапе сервис не только работает
и администрируется, но и подвергается
модификациям.
Выведение
из эксплуатации. Происходит переход на новый сервис.
Рассмотрим действия, выполняемые на каждом из этапов, более подробно.
На этапе инициации оформляется понимание того, что необходимо
приобрести новый или значительно модернизировать
существующий сервис; определяется, какими
характеристиками и какой функциональностью
он должен обладать; оцениваются финансовые
и иные ограничения.
С точки зрения безопасности важнейшим
действием здесь является оценка критичности как самого сервиса, так и информации,
которая с его помощью будет обрабатываться.
Требуется сформулировать ответы на следующие
вопросы:
какого рода информация предназначается
для обслуживания новым сервисом?
каковы возможные последствия нарушения
конфиденциальности, целостности и доступности этой информации?
каковы угрозы, по отношению к которым
сервис и информация будут наиболее уязвимы?
есть ли какие-либо особенности нового
сервиса (например, территориальная распределенность компонентов), требующие
принятия специальных процедурных мер?
каковы характеристики персонала, имеющие
отношение к безопасности (квалификация, благонадежность)?
каковы законодательные положения и
внутренние правила, которым должен соответствовать новый сервис?
Результаты оценки критичности являются
отправной точкой в составлении спецификаций. Кроме того, они определяют
ту меру внимания, которую служба безопасности
организации должна уделять новому сервису
на последующих этапах его жизненного
цикла.
Этап закупки - один из самых сложных. Нужно окончательно
сформулировать требования к защитным
средствам нового сервиса, к компании,
которая может претендовать на роль поставщика,
и к квалификации, которой должен обладать
персонал, использующий или обслуживающий
закупаемый продукт. Все эти сведения
оформляются в виде спецификации, куда
входят не только аппаратура и программы,
но и документация, обслуживание, обучение
персонала. Разумеется, особое внимание
должно уделяться вопросам совместимости
нового сервиса с существующей конфигурацией.
Подчеркнем также, что нередко средства
безопасности являются необязательными
компонентами коммерческих продуктов,
и нужно проследить, чтобы соответствующие
пункты не выпали из спецификации.
Когда продукт закуплен, его необходимо установить. Несмотря на кажущуюся простоту, установка является очень ответственным делом.
Во-первых, новый продукт следует сконфигурировать.
Как правило, коммерческие продукты поставляются
с отключенными средствами безопасности;
их необходимо включить и должным образом
настроить. Для большой организации, где
много пользователей и данных, начальная
настройка может стать весьма трудоемким
и ответственным делом.
Во-вторых, новый сервис нуждается в процедурных
регуляторах. Следует позаботиться о чистоте
и охране помещения, о документах, регламентирующих
использование сервиса, о подготовке планов
на случай экстренных ситуаций, об организации
обучения пользователей и т.п.
После принятия перечисленных мер необходимо
провести тестирование. Его полнота и комплексность могут служить
гарантией безопасности эксплуатации в штатном режиме.
Период эксплуатации - самый длительный и сложный. С психологической
точки зрения наибольшую опасность в это
время представляют незначительные изменения
в конфигурации сервиса, в поведении пользователей
и администраторов. Если безопасность
не поддерживать, она ослабевает. Пользователи
не столь ревностно выполняют должностные
инструкции, администраторы менее тщательно
анализируют регистрационную информацию.
То один, то другой пользователь получает
дополнительные привилегии. Кажется, что
в сущности ничего не изменилось; на самом
же деле от былой безопасности не осталось
и следа.
Для борьбы с эффектом медленных изменений приходится
прибегать к периодическим проверкам
безопасности сервиса. Разумеется, после
значительных модификаций подобные проверки
являются обязательными.
При выведении из эксплуатации затрагиваются аппаратно-программные
компоненты сервиса и обрабатываемые
им данные. Аппаратура продается, утилизируется
или выбрасывается. Только в специфических
случаях необходимо заботиться о физическом
разрушении аппаратных компонентов, хранящих
конфиденциальную информацию. Программы,
вероятно, просто стираются, если иное
не предусмотрено лицензионным соглашением.
При выведении данных из эксплуатации их обычно переносят на другую систему,
архивируют, выбрасывают или уничтожают.
Если архивирование производится с намерением
впоследствии прочитать данные в другом
месте, следует позаботиться об аппаратно-программной
совместимости средств чтения и записи.
Информационные технологии развиваются
очень быстро, и через несколько лет устройств,
способных прочитать старый носитель,
может просто не оказаться. Если данные
архивируются в зашифрованном виде, необходимо
сохранить ключ и средства расшифровки.
При архивировании и хранении архивной
информации нельзя забывать о поддержании
конфиденциальности данных.
Законодательный уровень является важнейшим для обеспечения
информационной безопасности. Большинство
людей не совершают противоправных действий
не потому, что это технически невозможно,
а потому, что это осуждается и/или наказывается
обществом, потому, что так поступать не
принято.
На законодательном уровне можно выделить две группы мер:
меры ограничительной направленности - меры, направленные на создание и поддержание
в обществе негативного (в том числе с
применением наказаний) отношения к нарушениям
и нарушителям информационной безопасности;
меры созидательной направленности - направляющие и координирующие меры, способствующие повышению образованности
общества в области информационной безопасности,
помогающие в разработке и распространении
средств обеспечения информационной безопасности.
На практике обе группы мер важны в равной степени, но хотелось
бы выделить аспект осознанного соблюдения
норм и правил ИБ. Это важно для всех субъектов
информационных отношений, поскольку
рассчитывать только на защиту силами
правоохранительных органов было бы наивно.
Необходимо это и тем, в чьи обязанности
входит наказывать нарушителей, поскольку
обеспечить доказательность при расследовании
и судебном разбирательстве компьютерных
преступлений без специальной подготовки
невозможно.
Основным законом Российской Федерации
является Конституция, принятая 12 декабря
1993 года. В соответствии со статьей 24 Конституции,
органы государственной власти и органы
местного самоуправления, их должностные
лица обязаны обеспечить каждому возможность
ознакомления с документами и материалами,
непосредственно затрагивающими его права
и свободы, если иное не предусмотрено
законом.
Право на информацию может реализовываться средствами бумажных
технологий, но в современных условиях
наиболее практичным и удобным для граждан
является создание соответствующими законодательными,
исполнительными и судебными органами
информационных серверов и поддержание
доступности и целостности представленных
на них сведений.
Статья 23 Конституции гарантирует право на личную и семейную тайну, право на тайну переписки, телефонных
переговоров, почтовых, телеграфных и
иных сообщений, статья 29 - право свободно
искать, получать, передавать, производить
и распространять информацию любым законным
способом. Современная интерпретация
этих положений включает обеспечение
конфиденциальности данных, в том числе
в процессе их передачи по компьютерным
сетям, а также доступ к средствам защиты информации.
Глава 28 Уголовного кодекса Российской
Федерации
Весьма продвинутым в плане информационной
безопасности является Уголовный кодекс Российской Федерации.
Глава 28 - "Преступления в сфере компьютерной
информации" - содержит три статьи:
статья 272. Неправомерный доступ к компьютерной
информации;
статья 273. Создание, использование и
распространение вредоносных программ
для ЭВМ;
статья 274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети.
Статья 272. Неправомерный доступ к компьютерной
информации
1. Неправомерный доступ к охраняемой
законом компьютерной информации, то есть информации на машинном
носителе, в электронно-вычислительной
машине (ЭВМ), системе ЭВМ или их сети, если
это деяние повлекло уничтожение, блокирование,
модификацию либо копирование информации,
нарушение работы ЭВМ, системы ЭВМ или
их сети, -
наказывается штрафом в размере до 200
000 рублей или в размере заработной платы или иного дохода осужденного
за период до 18 месяцев, либо исправительными
работами на срок от 6 месяцев до 1 года,
либо лишением свободы на срок до 2 лет.
2. То же деяние, совершенное группой
лиц по предварительному сговору
или организованной группой либо лицом с использованием
своего служебного положения, а равно
имеющим доступ к ЭВМ, системе ЭВМ или
их сети, -
наказывается штрафом в размере от 100
000 до 300 000 рублей или в размере заработной платы или иного дохода
осужденного за период от 1 года до 2 лет,
либо исправительными работами на срок
от 1 года до 2 лет, либо арестом на срок
от 3 до 6 месяцев, либо лишением свободы
на срок до 5 лет.
Статья 273. Создание, использование и
распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений
в существующие программы, заведомо приводящих
к несанкционированному уничтожению,
блокированию, модификации либо копированию
информации, нарушению работы ЭВМ, системы
ЭВМ или их сети, а равно использование
либо распространение таких программ
или машинных носителей с такими программами
-
наказываются лишением свободы на срок
до 3 лет со штрафом в размере до 200 000 рублей
или в размере заработной платы или иного
дохода осужденного за период до 18 месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие
последствия, -
наказываются лишением свободы на срок
от 3 до 7 лет.
Статья 274. Нарушение правил эксплуатации
ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации
ЭВМ, системы ЭВМ или их сети
лицом, имеющим доступ к ЭВМ, системе ЭВМ или
их сети, повлекшее уничтожение, блокирование
или модификацию охраняемой законом информации
ЭВМ, если это деяние причинило существенный
вред, -
наказывается лишением права занимать
определенные должности или заниматься определенной деятельностью
на срок до 5 лет, либо обязательными работами
на срок от 180 до 240 часов, либо ограничением
свободы на срок до 2 лет.
2. То же деяние, повлекшее по
неосторожности тяжкие последствия, -
наказывается лишением свободы на срок
до 4 лет.
Закон «О государственной тайне» от 21 июля 1993 года N 5486-1.
Интересы государства в плане обеспечения
конфиденциальности информации нашли наиболее полное выражение
в Законе «О государственной тайне». В
нем государственная тайна определена
как защищаемые государством сведения
в области его военной, внешнеполитической,
экономической, разведывательной, контрразведывательной
и оперативно-розыскной деятельности,
распространение которых может нанести
ущерб безопасности Российской Федерации.
Там же дается определение средств защиты
информации. Согласно данному Закону,
это технические, криптографические, программные
и другие средства, предназначенные для
защиты сведений, составляющих государственную
тайну; средства, в которых они реализованы,
а также средства контроля эффективности
защиты информации.
Закон устанавливает три степени секретности
сведений, составляющих государственную тайну, и соответствующие
этим степеням грифы секретности для носителей
указанных сведений: "особой важности",
"совершенно секретно" и "секретно".
К органам защиты государственной тайны относятся
межведомственная комиссия по защите
государственной тайны, другие уполномоченные
органы федеральной исполнительной власти.
Статья 283 УК РФ. Разглашение государственной
тайны.
1. Разглашение сведений, составляющих государственную тайну, лицом, которому
она была доверена или стала известна
по службе или работе, если эти сведения
стали достоянием других лиц, при отсутствии
признаков государственной измены -
наказывается арестом на срок от четырех
до шести месяцев либо лишением свободы на срок до 4 лет
с лишением права занимать определенные
должности или заниматься определенной
деятельностью на срок до трех лет или
без такового.
2. То же деяние, повлекшее по
неосторожности тяжкие последствия, -
наказывается лишением свободы на срок от 3 до 7 лет с лишением
права занимать определенные должности
или заниматься определенной деятельностью
на срок до трех лет.
Статья 284 УК РФ. Утрата документов, содержащих
государственную тайну.
Закон «О коммерческой тайне» №98-ФЗ от 2004 года.
Коммерческая тайна - режим конфиденциальности
информации, позволяющий ее обладателю при существующих
или возможных обстоятельствах увеличить
доходы, избежать неоправданных расходов,
сохранить положение на рынке товаров,
работ, услуг или получить иную коммерческую
выгоду.