Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. N ПР-1895Стр 1 из 9Следующая ⇒
Экзамен 1.Роль ИБ в системе национальной безопасности (какие направления национальной безопасности, схема,...) Информационная безопасность - является одной из составных и в настоящее время доминирующих в системе информационной безопасности РФ. Например: для обеспечения потоков в Америке 1960 годов по проекту Министерства обороны была разработана система передачи данных с выбором произвольного маршрута. Схема
В информационной безопасности различают 4 раздела: 1. Определение роли и место информационной безопасности; 2. Защита информации; 3. Угрозы и дестабилизирующие воздействия; 4. Обеспечение защиты информации, где выделяют такие разделы, как организационная, инженерно – техническая и правовая – как важнейшая часть. правовая защита — это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе; организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение ка кого-либо ущерба исполнителям; инженерно-техническая защита — это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности.
2.Действия по обеспечению информационной безопасности (что обеспечивается,какие мероприятия/действия...) Согласно ГОСТ Р 50922-2006, обеспечение информационной безопасности - это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и осуществляются работы по построению и разработке систем информационной безопасности.
Комплексная защита информации, как основа ИБ § Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право;
§ Целостность — избежание несанкционированной модификации информации; § Доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа . Систему защиты информации можно разделить на 3 важнейшие составляющие: 1. Организационная 2. Правовая 3. Инженерно – техническая Система ИБ в РФ (составляющая ИБ) Анализ зафиксированных фактов и уголовных дел, связанных с информационной безопасностью, свидетельствует о стремительном росте правонарушений. Промышленный шпионаж, неправомерное овладение и присвоение информации, недобросовестная конкуренция и т.п. уже превратились в реальный фон деятельности как государственных, так и коммерческих структур. Положение можно охарактеризовать, как довольно напряженное, что обусловлено: Мировой уровень технического состояния противодействия попыткам нарушения информационной безопасности личности, общества и государства в целом достаточно высок. Однако для практической деятельности необходимо наличие финансовых средств на:
Понятие безопасности информации (не путать с ИБ) и её составляющая (конкретная защита самой информации) Безопасность информации — состояние защищённости информации обрабатываемой средствами вычислительной техники от внутренних и внешних угроз. Главная задача - защищать информацию от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, незаконного ее тиражирования, а также блокирования вычислительного процесса....
Её составляющие…
Конфиденциальность — необходимость предотвращения утечки (разглашения) какой-либо информации. Служебная тайна — защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Однозначное определение понятия «служебная тайна» в действующем законодательстве РФ отсутствует. Служебная тайна является одним из объектов гражданских прав по гражданскому законодательству РФ. Режим защиты служебной тайны в целом аналогичен режиму защиты коммерческой тайны. В ряде случаев за разглашение служебной тайны закон предусматривает уголовную ответственность.
Целостность информации – термин, который означает, что данные полны, условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление. В криптографии и информационной безопасности целостность данных — это данные в том виде, в каком они были созданы. Примеры нарушения целостности данных: § злоумышленник пытается изменить номер аккаунта в банковской транзакции, или пытается подделать документ. § случайное изменение при передаче информации или при неисправной работе жесткого диска. § искажение фактов средствами массовой информации с целью манипуляции общественным мнением.
Доступность (информации [ресурсов автоматизированной информационной системы]) - состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно. Доступность (документа) - свойство документа, состоящее в том, что форма представления документа обеспечивает физическую возможность измерения заданных параметров этого представления документа (содержания, атрибутов, технологии) заданными средствами в заданных точках за конечное время.
Доступ к информации - возможность получения информации и ее использования. Доступ (в автоматизированной информационной системе) - получение возможности ознакомления с информацией, ее обработки и (или) воздействия на информацию и (или) ресурсы автоматизированной информационной системы с использованием программных и (или) технических средств.
Подготовка специалистов в области ИБ (направления и профили,уточнение) В 2010 году выросло число утечек конфиденциальной информации, совершенных случайно или по оплошности, и одна из причин этого — низкий уровень подготовки сотрудников. Без повышения квалификации персонала задачу защиты информации не решить. Практика последних лет показывает, что подготовка специалистов в области информационной безопасности становится не только актуальной, но и жизненно необходимой для существования предприятия. Риски для компании, связанные с различными воздействиями на ее информационную инфраструктуру, являются неотъемлемой частью процесса управлениянепрерывностью бизнеса. При этом зачастую, особенно в небольших компаниях, в вопросах защиты информации руководители полагаются на рядовых сотрудников, не имеющих соответствующей квалификации.
Отдельные менеджеры считают, что справиться с задачей обеспечения информационной безопасности компании может практически любой человек, знакомый с ИТ., способный установить и настроить необходимые программные и аппаратные средства. Однако большая часть проблем в данной области не решается только путем применения программно-аппаратных средств – большое значение имеют организационные меры. Умение взглянуть на проблему защиты информации и обеспечения информационной безопасности в целом требует от сотрудников не только знания технологий, но и менеджерских навыков в данной области. Идеальный вариант решения вопросов информационной безопасности в компании выглядит следующим образом: · создана и успешно функционирует система управления информационной безопасностью; · отработаны все необходимые документы; · реализованы различные современные методы и способы защиты информации;
· имеется структурное подразделение, ответственное за защиту информации; · все сотрудники осознают важность задачи обеспечения информационной безопасности и строго выполняют предписанные им инструкции и регламенты. Процесс обучения специалистов в области информационной безопасности условно можно разделить на подготовку руководителей и подготовку сотрудников, ответственных за эту деятельность в компании. Все это должно происходить на фоне повышения осведомленности каждого сотрудника компании в вопросах информационной безопасности.
Специфика обучения различных категорий пользователей состоит в глубине и масштабности отработки тех или иных вопросов. Например, руководителю необходим общий, целостный взгляд на проблему «сверху», и большая часть необходимых ему вопросов лежит в области организации процессов – главное в понимании того, что проблема существует. Для руководителей важна структурированность преподнесения информации о правовых, нормативных документах и ответственности за невыполнение их предписаний.
10. Особенности подготовки бакалавров ИБ в НГЛУ (составляющая учебного плана, вариативная часть, ВУЗ ввел дополнения по языкам) В настоящее время НГЛУ, являющийся одним из четырех лингвистических университетов России, ведет подготовку специалистов и бакалавров по таким основным образовательным программам высшего профессионального образования, как «Лингвистика», «Журналистика», «Связи с общественностью и реклама», «Международные отношения», «Филология», «Перевод и переводоведение», «Менеджмент», «Экономика», «Информационная безопасность», «Туризм», «Документоведение и архивоведение» и др. В числе преподаваемых языков, кроме упомянутых, - испанский, итальянский, турецкий, японский, китайский языки. Аспирантура университета ведет подготовку научно-педагогических кадров по 16 специальностям. В числе дополнительных образовательных программ видное место занимает преподавание русского языка иностранным гражданам.
11. Профессиональный цикл обучения как основа будущей работы (рассказать о дисциплинах (история,философия,..)) Внешние источники угроз К внешним источникам относятся:
1. деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере; 2. стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков; 3. обострение международной конкуренции за обладание информационными технологиями и ресурсами; 4. деятельность международных террористических организаций; 5. увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий; 6. деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
7. разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных сис-тем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
Внутренние источники угроз
К внутренним источникам относятся: 1. критическое состояние отечественных отраслей промышленности; 2. неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере; 3. недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации; 4. недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика; 5. неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России; 6. недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации; 7. недостаточная экономическая мощь государства; 8. снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности; 9. недостаточная активность федеральных органов государствен-ной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан; 10. отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан
Принципы обеспечения ИБ Для защиты автоматизированных систем (АС) на основании руководящих документов ГТК могут быть сформулированы следующие понятия: 1. Информационная безопасность (ИБ) АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов. 2. ИБ АС обеспечивается комплексом программно технических средств и поддерживающих их организационных мер. 3. ИБ АС должна обеспечиваться на всех этапах обработки информации и во всех режимах функционирования 4. программно технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС. 5. неотъемлемой частью работ по ИБ является оценка эффективности средств защиты осуществляющейся по методике учитывающей всю совокупность технических характеристик оцениваемого объекта. 6. защита АС должна предусматривать контроль эффективности средств защиты. Рассмотренные подходы могут быть реализованы при обеспечении следующих принципов: · системности · комплексности · неразрывной защиты · разумной достаточности · гибкость управления и применения · открытость алгоритмов и механизмов защиты · простоты применения защитных мер и средств. · Принцип системности. Системный подход к защите компьютерных систем предполагает необходимость взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов при всех видах информационной деятельности и информационного проявления. При обеспечении ИБ ОС необходимо учитывать все слабые и наиболее уязвимые места системы, а так же характер, возможные объекты и направления атак на систему со стороны нарушителя, пути проникновения распределенной системы и НСД к информации. Принцип комплексности. Для обеспечения защиты имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающие все существующие каналы угроз и не содержащие слабых мест на стыках отдельных её компонентов. Принцип непрерывности защиты. ЗИ это не разовое мероприятие и не конкретная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный направленный процесс предполагающий принятие соответствующих мер на всех этапах существования АС. Разработка системы защиты должна вестись параллельно обработке самой защищаемой системы. Разумная достаточность. Важно правильно выбрать тот уровень защиты при котором затраты риск и размер возможного ущерба были бы приемлемы и не создавали неудобств пользователю. Гибкость системы защиты. Часто приходится создавать систему защиты в условиях большой неопределенности поэтому принятые меры и средства защиты особенно в начальный период их эксплуатации могут оказывать как чрезмерный так и недостаточный уровень защиты. Для обеспечения уровня варьирования защищенности средство защиты должно обладать определенной гибкостью особенно если средство необходимо установить на работающую систему не нарушая процесса её нормального функционирования. Методы обеспечения ИБ На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности: 1. Средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
2. Средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
3. Межсетевые экраны;
4. Виртуальные частные сети;
5. Средства контентной фильтрации;
6. Инструменты проверки целостности содержимого дисков;
7. Средства антивирусной защиты
8. Системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические. К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
Требования о защите общедоступной информации могут устанавливаться только для достижения целей. 4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации. 5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.
Организация ИБ в Министерствах и Ведомствах (что разрабатывают,вспомнить и другие службы) Органы исполнительной власти уделяют большое внимание ИБ. Органы гос-венного управления и министерства и ведомства в пределах своей компетенции выполняют следующие функции: 1. Определение перечня сведений (как на федеральном уровне, так и на субъективном) 2. Обеспечивает разработку и осуществление технических и обоснованных мер по защите информации по ведомствам предприятия 3. Организуют и координируют проведение научно – технических работ и осуществляют поиск в области защиты информации в соответствии с (ИОКР/отраслевыми государственными программами) 4. Разрабатывают отраслевые документы по защите информации. Для каждой отрасли есть специфика, которую обязательно учитывают в комплексной системе безопасности. 5. Министерство контролирует положение в предприятиях, установленных норм и требований по защите информации 6. Создают отраслевые центры по защите информации и контролей применяемых мер 7. Организуют подготовку и повышение квалификации специальностей по защите информации
Идентификация пользователя
Защита паролем Главным защитным рубежом по праву считается система парольной защиты. Каждый раз после включения компьютера работа с операционной системой начинается с элементарного «знакомства»: мы сообщаем свое имя и пароль. Имя необходимо для идентификации пользователя, пароль в свою очередь подтверждает правильность произведенной идентификации. Введенная в диалоговом режиме информация сравнивается с той, которая находится в распоряжении операционной системы. Если они совпадают, пользователь получает доступ ко всем операциям, с которыми связано его имя. И как бы ни хотелось ускорить загрузку операционной системы, это средство защиты обязательно для всех пользователей сети, как корпоративной, так и домашней.
Самый распространенный способ взлома такого пароля – использование парольного взломщика. Смарт-карты
Современные смарт-карты давно вытеснили своих предков – карты с магнитной полосой. Это не удивительно, ведь преимущества смарт-карт неоспоримы. Взять хотя бы их информационную емкость. Объем памяти смарт-карты в разы превышает емкость памяти карт предыдущего поколения. Смарт-карта долговечна и имеет очень высокую степень защиты данных от считывания и подделки.
Смарт-карта является безопасной при совместной работе защитных механизмов ее корпуса, операционной системы, чипа и приложения. Если же из строя выйдет хоть один из перечисленных компонентов, гарантия безопасности, увы, минимальна. USB-ключ
Принцип работы USB-ключа заключается в следующем: после инсталляции специальной программы компьютер не включится до тех пор, пока USB-ключ не будет вставлен в специальный порт. Порой сам ключ выступает как носитель информации небольшого объема, в памяти которого, кстати, можно хранить свой пароль.
Использование USB-ключа дает пользователю ряд преимуществ.
Во-первых, используется более сложный пароль, который автоматически передается в систему.
Во-вторых, больше не надо отвлекаться на пароли, если нужно на некоторое время отойти от компьютера. Вытащите ключ, и ПК заблокируется автоматически. По возвращении просто вставьте ключ на место.
В-третьих, можно использовать один USB-ключ для доступа к рабочему и домашнему компьютеру.
И, наконец, один из самых важных моментов – ключ практически невозможно подделать. Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN – VirtualPrivateNetwork) и межсетевое экранирование. Рассмотрим их подробно. Виртуальные частные сети Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты Межсетевое экранирование Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:
Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.
Комплексная защита Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности: 1. Защита компьютера от физического доступа. 2. Защита компьютера от НСД по сети и организация VPN. 3. Шифрование файлов по требованию. 4. Автоматическое шифрование логических дисков компьютера. 5. Вычислени/проверка ЭЦП. 6. Защита сообщений электронной почты. 31. Нормативно методическое обеспечение (рассказать о доктрине, о законах, о ГОСТ-ах, коснуться разнообразных стандартов). Доктрина информационной безопасности Российской Федерации — совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Доктрина служит основой для: § формирования государственной политики в области обеспечения информационной безопасности Российской Федерации; § подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации; § разработки целевых программ обеспечения информационной безопасности Российской Федерации. ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети
|
||||||||||||||||||||
Последнее изменение этой страницы: 2017-02-21; просмотров: 294; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 52.14.224.197 (0.142 с.) |