Обеспечение информационной безопасности АС и задач пользователей систем
Согласно Указу сегмент международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов РФ, находящийся в ведении ФСО России, должен быть преобразован в российский государственный сегмент информационно-телекоммуникационной сети Интернет. Отмечается, что подключение российских государственных органов к Интернету должно происходить… Читать ещё >
Обеспечение информационной безопасности АС и задач пользователей систем (реферат, курсовая, диплом, контрольная)
Аттестацию АС на соответствие требованиям безопасности информации организует заказчик, проводит аттестацию АС организация, имеющая лицензию на данный вид деятельности.
В соответствии со ст. 16 Закона об информации, как уже отмечалось, защита информации представляет собой принятие правовых, организационных и технических мер, направленных на реализацию заданных функций АС.
Обеспечение безопасности информации достигается путем выполнения требований по организации проведения следующего комплекса мер:
- — предотвращения НСД к информации и (или) передачи ее лицам, не имеющим права на доступ к этой информации;
- — своевременного обнаружения фактов НСД к информации;
- — предупреждения о возможности наступления неблагоприятных последствий нарушения порядка доступа к информации;
- — недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- — незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД к ней;
- — постоянного контроля за обеспечением уровня защищенности информации.
Разделяя мнение[1] о целесообразности выделения одного из важных свойств АС — «свойство информационной безопасности АС», полагаем, что целесообразно также, характеризуя возможности системы, обеспечивать как собственную безопасность АС, так и безопасность задач пользователей данной системы.
Под собственной информационной безопасностью АС понимается такое ее состояние, при котором обеспечивается защита:
- — системы от различных физических и информационных разрушающих воздействий;
- — информации о самой системе;
- — процессов и технологий, протекающих и реализуемых в информационной системе;
- — информации пользователей АС от преднамеренных действий злоумышленников с целью ее хищения, уничтожения, утраты, несанкционированного получения, копирования, модификации, блокирования, дезорганизации и др.
Под информационной безопасностью задач пользователей АС будем понимать такое состояние системы, при котором осуществляется защита средств информационно-лингвистического обеспечения задач, решаемых пользователем АС:
- — от неадекватной, недостоверной, неполной и несвоевременной информации, предоставляемой пользователю во всех режимах обеспечения его работы;
- — от разрушающих воздействий на информационные ресурсы пользователя АС и от предоставления дезинформации;
- — от терминологического разнообразия и неопределенности терминов в информационно-лингвистическом обеспечении конкретного класса задач пользователей АС.
И. Л. Бачило[2] при оценке состояния информационной безопасности рекомендует учитывать следующие условия:
- 1) точное определение информационного объекта (в частности, АС), чья безопасность обеспечивается;
- 2) информационный статус субъектов, безопасность прав которых обеспечивается;
- 3) правовой статус субъектов, обеспечивающих информационную безопасность;
- 4) знание угроз, рисков, правонарушений в зоне обеспечения информационной безопасности, а также источников, от которых эти угрозы исходят.
При оценке состояния информационной безопасности систем электронного документооборота, как на межведомственном, так и на межгосударственном уровне, и разработке нормативных правовых актов, регулирующих отношения в сфере обеспечения информационной безопасности субъектов различных ведомств и государств важно не только учитывать, но и предъявлять единые требования по обеспечению понятийного единства взаимодействующих систем. Эти требования должны исключать разные определения и толкования терминов, используемых при решении соответствующих классов задач во взаимодействующих ведомствах и государствах.
Так, при реализации единой политики в области информационной безопасности и защиты общих информационных ресурсов Союзного государства разработан Унифицированный глоссарий Союзного государства с определением понятий в области информационной безопасности (рис. 6.1). Этот глоссарий устанавливает четкую дифференциацию общих понятий, относящихся к защите информации или к информационной безопасности в целом. Глоссарий рекомендован для использования в органах государственной власти, организациях и на предприятиях Республики Беларусь и Российской Федерации для обеспечения понятийного единства и совместного решения вопросов в сфере информационной безопасности Союзного государства. Практическое использование указанного глоссария в данной сфере обеспечивает однозначное понимание основных терминов при разработке основополагающих документов Союзного государства в области информационной безопасности[3]. По мнению Е. К. Волчинской[4], в России имеют место терминологическое разнообразие и неопределенность терминов (например, таких, как «объекты защиты», «критически важные объекты» и др.), нарушение безопасности которых угрожает национальной безопасности государства. Известное понятие " критическая информационная инфраструктура Российской Федерации" определяется в документе государственной политики Российской Федерации по обеспечению безопасности АС управления производственными и технологическими процессами.
Критическая информационная инфраструктура Российской Федерации определяется как совокупность АС управления критически важными объектами и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий.
Рис. 6.1. Схема унифицированного глоссария Союзного государства в области информационной безопасности.
Одним из источников обеспечения терминологического единства в сфере обеспечения информационной безопасности в Российской Федерации является Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27 033−1—2011 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции» (утвержден приказом Ростехрегулирования от 01.12.2011 № 683-ст). Здесь применены термины, но ИСО/МЭК 7498, ИСО/МЭК 27 000, ИСО/МЭК 27 001, ИСО/МЭК 27 002, ИСО/МЭК 27 005 с соответствующими определениями.
Основные нормативные правовые акты, определяющие требования по защите информации АС Российской Федерации, указаны в табл. 6.1.
Таблица 6.1
Нормативные правовые акты. | Требования, устанавливаемые актами по защите АС. |
Закон об информации, информационных технологиях и о защите информации. | Регулирует отношения, возникающие:
|
Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утверждены Президентом РФ 03.02.2012 № 803). | Разработаны в целях реализации основных положений Стратегии национальной безопасности Российской Федерации до 2020 года, в соответствии с которой одним из путей предотвращения угроз информационной безопасности Российской Федерации является совершенствование безопасности функционирования АС критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации. |
Указ Президента РФ от 22.05.2015 № 260 «О некоторых вопросах информационной безопасности Российской Федерации» . | Согласно Указу сегмент международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов РФ, находящийся в ведении ФСО России, должен быть преобразован в российский государственный сегмент информационно-телекоммуникационной сети Интернет. Отмечается, что подключение российских государственных органов к Интернету должно происходить по защищенным каналам связи с использованием шифровальных средств. |
Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах,. | Устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется АС управления производственными и технологическими процессами на критически важных. |
Продолжение табл. 6.1
Нормативные правовые акты. | Требования, устанавливаемые актами по защите АС. |
потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (утверждены приказом ФСТЭК России от 14.03.2014 № 31). | объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации. |
Модельный закон о критически важных объектах информационно-коммуникационной инфраструктуры (принят на 41-м пленарном заседании межпарламентской ассамблеи государств — участников СНГ (постановление от 28.11.2014 № 41 -14). | Определяет правовые, экономические, социальные и организационные основы безопасного функционирования и обеспечения безопасности критически важных объектов информационно-коммуникационной инфраструктуры, а также регулирует отношения в этой области. |
Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» . | Требования, устанавливаемые данным приказом, обеспечивают в системах общего пользования:
|
1) Указ Президента РФ № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании. | Эти акты устанавливают организационные и технические меры защиты информации, принимаемые при использовании информационно-телекоммуникационных систем. |
Продолжение табл. 6.1
Нормативные правовые акты. | Требования, устанавливаемые актами по защите АС. |
информационно-телекоммуникационных сетей международного информационного обмена" ;
| международного информационного обмена в государственных информационных системах, а также определяют содержание мер защиты информации от НСД и правила их реализации. |
| Эти документы регламентируют мероприятия организационно-технического обеспечения устойчивого и безопасного функционирования информационных систем, а также устанавливают обязанности операторов федеральных информационных систем общего пользования по защите информации. |
| Указанные документы определяют порядок разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. |
Приказ Минкомсвязи России от 02.09.2011 № 221 «Об утверждении Требований к информационным системам электронного документо; | Устанавливает требования к управлению информационной безопасностью систем электронного документооборота федеральных органов исполнительной власти. |
Окончание табл. 6.1
Нормативные правовые акты. | Требования, устанавливаемые актами по защите АС. |
оборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения" . |
- [1] Правовое обеспечение информационной безопасности: учебник / под ред. В. А. Минаева [и др.]. М.: Маросейка, 2008. С. 339
- [2] Бачило И. Л. Информационное право: учебник для вузов.-Издат, 2009. С. 405
- [3] Российско-белорусский научно-практический журнал. Т. 8. № 1. Мн.; М., 2004
- [4] Волчинская Е. К. Некоторые приоритеты национальной безопасности в информационной сфере и проблемы их законодательного обеспечения // Информационное право. 2009. № 4