Обеспечение информационной безопасности АС и задач пользователей систем

РефератПомощь в написанииУзнать стоимостьмоей работы

Согласно Указу сегмент международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов РФ, находящийся в ведении ФСО России, должен быть преобразован в российский государственный сегмент информационно-телекоммуникационной сети Интернет. Отмечается, что подключение российских государственных органов к Интернету должно происходить… Читать ещё >

Обеспечение информационной безопасности АС и задач пользователей систем (реферат, курсовая, диплом, контрольная)

Аттестацию АС на соответствие требованиям безопасности информации организует заказчик, проводит аттестацию АС организация, имеющая лицензию на данный вид деятельности.

В соответствии со ст. 16 Закона об информации, как уже отмечалось, защита информации представляет собой принятие правовых, организационных и технических мер, направленных на реализацию заданных функций АС.

Обеспечение безопасности информации достигается путем выполнения требований по организации проведения следующего комплекса мер:

— предотвращения НСД к информации и (или) передачи ее лицам, не имеющим права на доступ к этой информации;
— своевременного обнаружения фактов НСД к информации;
— предупреждения о возможности наступления неблагоприятных последствий нарушения порядка доступа к информации;
— недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
— незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД к ней;
— постоянного контроля за обеспечением уровня защищенности информации.

Разделяя мнение^[1] о целесообразности выделения одного из важных свойств АС — «свойство информационной безопасности АС», полагаем, что целесообразно также, характеризуя возможности системы, обеспечивать как собственную безопасность АС, так и безопасность задач пользователей данной системы.

Под собственной информационной безопасностью АС понимается такое ее состояние, при котором обеспечивается защита:

— системы от различных физических и информационных разрушающих воздействий;
— информации о самой системе;
— процессов и технологий, протекающих и реализуемых в информационной системе;
— информации пользователей АС от преднамеренных действий злоумышленников с целью ее хищения, уничтожения, утраты, несанкционированного получения, копирования, модификации, блокирования, дезорганизации и др.

Под информационной безопасностью задач пользователей АС будем понимать такое состояние системы, при котором осуществляется защита средств информационно-лингвистического обеспечения задач, решаемых пользователем АС:

— от неадекватной, недостоверной, неполной и несвоевременной информации, предоставляемой пользователю во всех режимах обеспечения его работы;
— от разрушающих воздействий на информационные ресурсы пользователя АС и от предоставления дезинформации;
— от терминологического разнообразия и неопределенности терминов в информационно-лингвистическом обеспечении конкретного класса задач пользователей АС.

И. Л. Бачило^[2] при оценке состояния информационной безопасности рекомендует учитывать следующие условия:

1) точное определение информационного объекта (в частности, АС), чья безопасность обеспечивается;
2) информационный статус субъектов, безопасность прав которых обеспечивается;
3) правовой статус субъектов, обеспечивающих информационную безопасность;
4) знание угроз, рисков, правонарушений в зоне обеспечения информационной безопасности, а также источников, от которых эти угрозы исходят.

При оценке состояния информационной безопасности систем электронного документооборота, как на межведомственном, так и на межгосударственном уровне, и разработке нормативных правовых актов, регулирующих отношения в сфере обеспечения информационной безопасности субъектов различных ведомств и государств важно не только учитывать, но и предъявлять единые требования по обеспечению понятийного единства взаимодействующих систем. Эти требования должны исключать разные определения и толкования терминов, используемых при решении соответствующих классов задач во взаимодействующих ведомствах и государствах.

Так, при реализации единой политики в области информационной безопасности и защиты общих информационных ресурсов Союзного государства разработан Унифицированный глоссарий Союзного государства с определением понятий в области информационной безопасности (рис. 6.1). Этот глоссарий устанавливает четкую дифференциацию общих понятий, относящихся к защите информации или к информационной безопасности в целом. Глоссарий рекомендован для использования в органах государственной власти, организациях и на предприятиях Республики Беларусь и Российской Федерации для обеспечения понятийного единства и совместного решения вопросов в сфере информационной безопасности Союзного государства. Практическое использование указанного глоссария в данной сфере обеспечивает однозначное понимание основных терминов при разработке основополагающих документов Союзного государства в области информационной безопасности^[3]. По мнению Е. К. Волчинской^[4], в России имеют место терминологическое разнообразие и неопределенность терминов (например, таких, как «объекты защиты», «критически важные объекты» и др.), нарушение безопасности которых угрожает национальной безопасности государства. Известное понятие " критическая информационная инфраструктура Российской Федерации" определяется в документе государственной политики Российской Федерации по обеспечению безопасности АС управления производственными и технологическими процессами.

Критическая информационная инфраструктура Российской Федерации определяется как совокупность АС управления критически важными объектами и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий.

Рис. 6.1. Схема унифицированного глоссария Союзного государства в области информационной безопасности.

Одним из источников обеспечения терминологического единства в сфере обеспечения информационной безопасности в Российской Федерации является Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27 033−1—2011 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции» (утвержден приказом Ростехрегулирования от 01.12.2011 № 683-ст). Здесь применены термины, но ИСО/МЭК 7498, ИСО/МЭК 27 000, ИСО/МЭК 27 001, ИСО/МЭК 27 002, ИСО/МЭК 27 005 с соответствующими определениями.

Основные нормативные правовые акты, определяющие требования по защите информации АС Российской Федерации, указаны в табл. 6.1.

Таблица 6.1

Нормативные правовые акты.	Требования, устанавливаемые актами по защите АС.
Закон об информации, информационных технологиях и о защите информации.	Регулирует отношения, возникающие: 1) при осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий: 3) обеспечении защиты информации
Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утверждены Президентом РФ 03.02.2012 № 803).	Разработаны в целях реализации основных положений Стратегии национальной безопасности Российской Федерации до 2020 года, в соответствии с которой одним из путей предотвращения угроз информационной безопасности Российской Федерации является совершенствование безопасности функционирования АС критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации.
Указ Президента РФ от 22.05.2015 № 260 «О некоторых вопросах информационной безопасности Российской Федерации» .	Согласно Указу сегмент международной компьютерной сети Интернет для федеральных органов государственной власти и органов государственной власти субъектов РФ, находящийся в ведении ФСО России, должен быть преобразован в российский государственный сегмент информационно-телекоммуникационной сети Интернет. Отмечается, что подключение российских государственных органов к Интернету должно происходить по защищенным каналам связи с использованием шифровальных средств.
Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах,.	Устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется АС управления производственными и технологическими процессами на критически важных.

Продолжение табл. 6.1

Нормативные правовые акты.	Требования, устанавливаемые актами по защите АС.
потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (утверждены приказом ФСТЭК России от 14.03.2014 № 31).	объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации.
Модельный закон о критически важных объектах информационно-коммуникационной инфраструктуры (принят на 41-м пленарном заседании межпарламентской ассамблеи государств — участников СНГ (постановление от 28.11.2014 № 41 -14).	Определяет правовые, экономические, социальные и организационные основы безопасного функционирования и обеспечения безопасности критически важных объектов информационно-коммуникационной инфраструктуры, а также регулирует отношения в этой области.
Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» .	Требования, устанавливаемые данным приказом, обеспечивают в системах общего пользования: — поддержание целостности и доступности информации; — предупреждение о возможных неблагоприятных последствий нарушения порядка доступа к информации; — проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации; — своевременное обнаружение фактов неправомерных действий в отношении информации; — недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование; — возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий; — проведение мероприятий по постоянному контролю за обеспечением защищенности АС; — организацию записи и хранения сетевого трафика
1) Указ Президента РФ № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании.	Эти акты устанавливают организационные и технические меры защиты информации, принимаемые при использовании информационно-телекоммуникационных систем.

Продолжение табл. 6.1

Нормативные правовые акты.	Требования, устанавливаемые актами по защите АС.
информационно-телекоммуникационных сетей международного информационного обмена" ; 2) Приказ ФСТЭК России от 11.02.2013 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» ; 3) Меры защиты информации в государственных информационных системах (утверждены ФСТЭК России 11.02.2014)	международного информационного обмена в государственных информационных системах, а также определяют содержание мер защиты информации от НСД и правила их реализации.
1) Приказ Минкомсвязи России от 25.08.2009 .№ 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» ; 2) Постановление Правительства РФ от 18.05.2009 № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» ; 3) руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утвержден решением Гостехкомиссии России от 30.03.1992)	Эти документы регламентируют мероприятия организационно-технического обеспечения устойчивого и безопасного функционирования информационных систем, а также устанавливают обязанности операторов федеральных информационных систем общего пользования по защите информации.
1) Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» ; 2) Специальные требования и рекомендации, но технической защите конфиденциальной информации (СТР-К)	Указанные документы определяют порядок разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Приказ Минкомсвязи России от 02.09.2011 № 221 «Об утверждении Требований к информационным системам электронного документо;	Устанавливает требования к управлению информационной безопасностью систем электронного документооборота федеральных органов исполнительной власти.

Окончание табл. 6.1

Нормативные правовые акты.	Требования, устанавливаемые актами по защите АС.
оборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения" .

[1] Правовое обеспечение информационной безопасности: учебник / под ред. В. А. Минаева [и др.]. М.: Маросейка, 2008. С. 339
[2] Бачило И. Л. Информационное право: учебник для вузов.-Издат, 2009. С. 405
[3] Российско-белорусский научно-практический журнал. Т. 8. № 1. Мн.; М., 2004
[4] Волчинская Е. К. Некоторые приоритеты национальной безопасности в информационной сфере и проблемы их законодательного обеспечения // Информационное право. 2009. № 4

Показать весь текст

Заполнить форму текущей работой