Общие положения защиты информации

Автор работы: Пользователь скрыл имя, 22 Апреля 2012 в 22:47, реферат

Краткое описание

В основе защиты информации лежит совокупность правовых форм деятельности ее собственника, организационно-технических и инженерно- технических мероприятий, реализуемых с целью выполнения требований по сохранению защищаемых сведений и информационных процессов, а также мероприятий по контролю эффективности принятых мер защиты информации.

Скачать целиком (21.69 Кб) Сколько стоит заказать работу?
Содержимое работы - 1 файл

Общие положения защиты информации.docx

— 24.13 Кб (Скачать файл)

Общие положения защиты информации

 

В основе защиты информации лежит совокупность правовых форм деятельности ее собственника, организационно-технических  и инженерно- технических мероприятий, реализуемых с целью выполнения требований по сохранению защищаемых сведений и информационных процессов, а также мероприятий по контролю эффективности принятых мер защиты информации.

Учитывая то, что в новых  экономических условиях в нашей  стране собственником информации может быть государство, юридическое лицо, группа физических лиц или отдельное физическое лицо, характер проведения защиты информации может быть определен в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственниками информации.

Режим защиты конфиденциальной информации устанавливается собственником  информационных ресурсов или уполномоченным лицом в соответствии с законодательством  Российской Федерации.

Уровень технической защиты конфиденциальной информации, а также  перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта  защиты, с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов.

Защита информации должна предусматривать ее сохранность  от широкого круга различных угроз, таких, как утечка информации, несанкционированные  и непреднамеренные воздействия.

Эти угрозы предусматривают  защиту информации не только как деятельность по предотвращению неконтролируемого  распространения защищаемой информации от разглашения, несанкционированного доступа к информации и получения различного рода разведками (государственными, конкурента, промышленного шпионажа), но также и от искажения информации, ее копирования, блокировки доступа к информации или ее уничтожения, утрате или уничтожению носителя информации или сбоя его функционирования. При этом не следует забывать о возможности искажения, уничтожения, копирования защищаемой информации или блокирование доступа к ней, а также утраты или уничтожения носителя информации или сбоя его функционирования из-за ошибок пользователя информацией, сбоя технических и программных средств информационных систем или природных явлений или иных нецеленаправленных на изменение информации воздействий.

Такой широкий круг угроз  может осуществляться как сотрудниками фирм промышленного шпионажа, конкурентов, различных разведок, так и самими потребителями информации (как правило, из-за низкой квалификации последних), или из-за природных и нецеленаправленных воздействий. Возможные угрозы защищаемой информации, последствия нарушения, возможный нарушитель и объект защиты приведены в таблице:

информация несанкционированный утечка защита

Угроза защищаемой информации

Последствия нарушения

Нарушитель

Объект защиты

Утечка информации

Неконтролируемое распространение, несанкционированный доступ к защищаемой информации, получение информации спецслужбами (конкурента, промышленного шпионажа, разведками, в том числе технической).

Злоумышленник, промышленный шпион, техническая  разведка.

Информация, носитель информации, информационный процесс.

Несанкционированные воздействия

Искажение информации, копирование информации, уничтожение информации, блокирование доступа к информации, утрата или  уничтожение носителя информации, сбои функционирования носителя информации.

Злоумышленник, промышленный шпион.

Информация, носитель информации, информационный процесс.

Непреднамеренные воздействия

Искажение или уничтожение защищаемой информации, копирование информации, блокирование доступа к информации, утрата или уничтожение носителя информации, сбои функционирования носителя информации.

Пользователь информацией, природные явления, нецеленаправленные действия.

Информация, носитель информации, информационный процесс.


 

Объектами, в отношении  которых необходимо обеспечить защиту в соответствии с поставленной целью  защиты, в рассмотренных случаях  выступает:

  • информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, а также информация, чувствительная по отношению к несанкционированным действиям с ней (чувствительная информация);
  • информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования и уничтожения информации;
  • носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, технических решений и процессов.

Эти объекты, в отношении  которых обеспечивается защита проявляются через конкретные физические объекты, с конкретным содержанием технических средств для проведения соответствующей производственной деятельности- предприятий, заводов, фирм, офисов. Учитывая техническую оснащенность современных защищаемых объектов их в подавляющем большинстве можно отнести к объектам информатизации.

К подобным объектам относятся:

  • средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;
  • технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);
  • защищаемые помещения (ЗП) - помещения, предназначенные для проведения конфиденциальных переговоров.

Применительно к рассмотренным  угрозам необходима защита таких  носителей информации, как:

  • физическое лицо;
  • материальный объект;
  • физические поля;
  • химические, биологические среды и т.п. и информационных процессов по:
    • созданию информации;
    • сбору информации;
    • обработке информации;
    • накоплению информации;
    • хранению информации;
    • передаче информации;
    • преобразованию информации;
    • поиску информации;
    • получению информации;
    • использованию информации;
    • уничтожению информации;
    • защите информации от внешних угроз (случайные, целенаправленные);
    • защите информации от внутренних угроз (случайные, целенаправленные).

Учитывая столь широкий  объем защитных мероприятий в  целях уменьшения затрат на защиту информации необходимо обоснованное выделение той части информации, которая подлежит защите и организацию ее защиты в соответствии с нормами и требованиями, предъявляемыми собственником и владельцем информации.

Контроль эффективности  защиты информации должен содержать  проверку соответствия эффективности  мероприятий по защите информации установленным  требованиям или нормам эффективности  защиты информации.

Организация защиты информации

 

Организация защиты информации определяет содержание и порядок  действий по обеспечению защиты информации.

Основные направления  в организации защиты информации определяются системой защиты, мероприятиями  по защите информации и мероприятиями  по контролю за эффективностью защиты информации, где:

  • предлагаемая система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами по защите информации;
    • мероприятие по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

Органом защиты информации выступает  административный орган, осуществляющий организацию защиты информации.

Объектом защиты является информация, носитель информации, информационный процесс и соответствующее ЗП, в отношении которых необходимо обеспечить защиту в соответствии с поставленной целью защиты информации.

Технику защиты информации составляют средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

К средствам и системам управления защитой информации можно  отнести технические и программные средства и системы, используемые для организации и осуществления управления защитой информации.

В мероприятия по защите информации входят способы защиты информации, категорирование, лицензирование, сертификация и аттестация.

Сертификация - это процесс, осуществляемый в отношении такой  категории, как "изделие" (средство). В результате сертификации, после  выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, или  подтверждается качество изделия. Сертификация средств защиты информации - деятельность изготовителей и потребителей средств по установлению (подтверждению) соответствия средств ЗИ требованиям нормативных документов по защите информации, утвержденных государственными органами по сертификации.

Лицензирование - мероприятия, связанные с предоставлением  лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действий лицензий, аннулированием действий лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.

Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом  юридическому лицу или индивидуальному предпринимателю.

Аттестация выделенных помещений - первичная проверка выделенных помещений  и находящихся в них технических  средств на соответствие требованиям защиты. Наряду с аттестацией, выделенные помещения подвергаются периодическим аттестационным проверкам.

Аттестационная проверка выделенных помещений - периодическая  проверка в целях регистрации  возможных изменений состава  технических средств, размещенных  в помещениях, выявления возможных  неприятностей, регистрации возможных  изменений характера и степени  конфиденциальности закрытых мероприятий. График периодических аттестационных проверок составляется, исходя из следующих  сроков: для помещений первой и  второй групп - не реже 1 раза в год; для  помещений третьей группы - не реже 1 раза в 1,5 года.

Под аттестацией объектов информатизации понимается комплекс организационно-технических  мероприятий, в результате которых  посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям  стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца  объекта информатизации.

Организационный контроль эффективности  защиты информации содержит проверку полноты и обоснованности мероприятий  по защите информации требованиям нормативных  документов по защите информации, а  технический контроль эффективности  защиты информации - контроль эффективности защиты информации, проводимый с использованием технических средств контроля.

Организация и проведение работ по защите информации с ограниченным доступом определяется «Положением  о государственной системе защиты информации в РФ от иностранных технических  разведок и от её утечки по техническим  каналам».

Организация работ по защите информации

Возлагается на руководителей предприятий и учреждений, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатации.

Методическое руководство и и контроль за эффективностью предусмотренных мер защиты возлагается на руководителей служб безопасности.

Научно-техническое руководство и  непосредственную организацию работ по созданию системы защиты информации (СЗИ) - главный конструктор (или другое лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации).

Информация о работе Общие положения защиты информации