Лекция 3. Основы безопасности информационных технологий и систем

Быстрое развитие информатизации в РФ, проникновение ее во все сферы жизненно важных интересов личности, общества и государства вызвали помимо несомненных преимуществ и появление ряда существенных проблем. Одной из них стала необходимость защиты информации.

Распространение компьютерных систем, объединение их в коммуникационные сети усиливает возможности электронного проникновения в них.

Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронных платежей, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу предприятий, корпораций и банков, что приводит к ощутимым материальным потерям. Защита данных в компьютерных сетях становится одной из самых острых проблем на сегодняшний день.

 

Нормативно-правовые акты в области информационной безопасности в РФ

 

1. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

2. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.)

3. Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" (с изменениями от 8 ноября 2007 г.)

4. Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" (с изменениями от 2 февраля, 18 декабря 2006 г., 24 июля 2007 г.)

5. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895)

6. Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

7. Приказ Министерства информационных технологий и связи РФ от 9 января 2008 г. N 1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации"

 

Классификация информации хранимой в электронном виде

Информация, хранимая в электронном виде обычно имеет следующую классификацию:

1) По секретности:

а) несекретная;

б) служебная;

в) гриф «Секретно»;

г) гриф «Совершенно секретно»;

д) гриф «Особой важности»;

2) по ценности:

а) обычная;

б) ценная информация;

в) особо ценная информация.

Обычная информация — это информация, ущерб от нарушения защиты которой (связанный, например, с утечкой коммерческих секретов) не превышает 100 тысяч рублей в государственном секторе экономики.

Ценная информация — это информация, ущерб от нарушения защиты которой (связанный, например, с утечкой коммерческих секретов) может превысить 100 тысяч рублей в государственном секторе экономики (но не более 1 млн. рублей). Особо ценная информация — это информация ущерб от нарушения защиты которой может превысить 1 млн. рублей государственном секторе экономики.

 

Основные понятия

Современное общество называется информационным. Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют хакером.

Информационная безопасность (ИБ) – невозможность нанесения вреда свойствам объекта безопасности, обуславливаемым информацией и информационной инфраструктурой (защищенность от угроз).

Понятие информационной безопасности подразумевает:

– надежность работы компьютера;

– сохранность ценных данных;

– защиту информации от внесения в нее изменений неуполномоченными лицами;

– сохранение тайны переписки в электронной связи.

 

К объектам информационной безопасности на предприятии относят:

 

– информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;

– средства и системы информатизации - средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.

 

Система обеспечения безопасности информации включает подсистемы:

– компьютерную безопасность (комплекс технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов);

– безопасность данных (защита данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении);

– безопасное ПО (общесистемные и прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы);

– безопасность коммуникаций (принятие мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос).

 

Политика безопасности включает в себя анализ возможных угроз и выбор соответствующих мер противодействия, являющихся совокупностью тех норм, правил поведения, которыми пользуется конкретная организация при обработке информации и ее защите.

Угроза безопасности информации - события или действия, которые могут привести к искажению, неразрешенному использованию или к разрушению информационных ресурсов управления системы, а также программных и аппаратных средств.

Защита информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

Основные предметные направления ЗИ - охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.

Система защиты информации представляет организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз