Информация как объект защиты

Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты.

Федеральным законом "Об информации, информатизации и защите информации" определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

Закон также устанавливает, что "конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации". При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон "Об информации, информатизации и защите информации" напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РСФСР "О банках и банковской деятельности в РСФСР" ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139):

- соответствующая информация неизвестна третьим лицам;

- к ней свободного доступа на законном основании;

- меры по обеспечению ее конфиденциальности принимает собственник информации.

В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия - чрезмерная "засекреченность" приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом "О коммерческой тайне" права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.

Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

- предотвращение утечки, хищения, искажения, подделки информации;

- предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;

- сохранение государственной тайны, конфиденциальности документированной информации.

Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.

Организация защиты информации

Отдельный раздел законопроекта "О коммерческой тайне", посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:

- установление особого режима конфиденциальности;

- ограничение доступа к конфиденциальной информации;

- ограничение доступа к конфиденциальной информации;

- осуществление контроля за соблюдением установленного режима конфиденциальности.

Конкретное содержание указанных мероприятий для каждого отдельно взятого предприятия может быть различным по масштабам и формам. Это зависит в первую очередь от производственных, финансовых и иных возможностей предприятия, от объемов конфиденциальной информации и степени ее значимости. Существенным является то, что весь перечень указанных мероприятий обязательно должен планироваться и использоваться с учетом особенностей функционирования информационной системы предприятия.

Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как правило, особый режим конфиденциальности подразумевает:

- организацию охраны помещений, в которых содержатся носители конфиденциальной информации;

- установление режима работы в помещениях, в которых содержатся носители конфиденциальной информации;

- установление пропускного режима в помещения, содержащие носители конфиденциальной информации;

- закрепление технических средств обработки конфиденциальной информации за сотрудниками, определение персональной ответственности за их сохранность;

- установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);

- организацию ремонта технических средств обработки конфиденциальной информации;

- организацию контроля за установленным порядком.

Требования устанавливаемого на предприятии особого режима конфиденциальности оформляются в виде организационно-распорядительных документов и доводятся для ознакомления до сотрудников предприятия.

Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.

Как показывает практика работы, для разработки необходимого комплекса мероприятий по защите информации желательно привлечение квалифицированных экспертов в области защиты информации.

Средства защиты информации

Как уже отмечалось выше, эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством защиты информации понимается техническое, программное средство или материал, предназначенные или используемые для защиты информации. В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп:

- средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;

- средства, обеспечивающие защиту информации при передаче ее по каналам связи;

- средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;

- средства, обеспечивающие защиту от воздействия программ-вирусов;

- материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования

Основное назначение средств защиты первой группы - разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают:

- идентификацию и аутентификацию пользователей автоматизированных систем;

- разграничение доступа зарегистрированных пользователей к информационным ресурсам;

- регистрацию действий пользователей;

- защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM;

- контроль целостности СЗИ и информационных ресурсов.

В качестве идентификаторов пользователей применяются, как правило, условные обозначения в виде набора символов. Для аутентификации пользователей применяются пароли.

Ввод значений идентификатора пользователя и его пароля осуществляется по запросу СЗИ с клавиатуры. Многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные карточки, смарт-карточки, электронные таблетки Touch Memory и другие. Отдельно стоит сказать об использовании в качестве идентификатора индивидуальных биологических параметров (отпечаток пальца, радужная оболочка глаза), присущих каждому человеку. Использование в качестве идентификаторов индивидуальных биологических параметров характеризуется, с одной стороны, высшим уровнем конфиденциальности, а с другой - очень высокой стоимостью таких систем.

Разграничение доступа зарегистрированных пользователей к информационным ресурсам осуществляется СЗИ в соответствии с установленными для пользователей полномочиями. Как правило, СЗИ обеспечивают разграничение доступа к гибким и жестким дискам, логическим дискам, директориям, файлам, портам и устройствам. Полномочия пользователей устанавливаются с помощью специальных настроек СЗИ. По отношению к информационным ресурсам средствами защиты могут устанавливаться такие полномочия, как разрешение чтения, записи, создания, запуска исполняемыхо файлов и другие.

С развитием сетевых технологий появился новый тип СЗИ - межсетевые экраны (firewalls), которые обеспечивают решение таких задач, как защита подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защита корпоративных потоков данных, передаваемых по открытым сетям.

Защита информации при передаче ее по каналам связи осуществляется средствами криптографической защиты (СКЗИ). Характерной особенностью этих средств является то, что они потенциально обеспечивают наивысшую защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки).

И несколько слов о материалах, обеспечивающих безопасность хранения, транспортировки носителей информации и защиту их от копирования. В основном это специальные тонкопленочные материалы с изменяющейся цветовой гаммой или голографические метки, которые наносятся на документы и предметы (в том числе и на элементы компьютерной техники автоматизированных систем). Они позволяют:

- идентифицировать подлинность объекта;

- контролировать несанкционированный доступ к ним.

 

Наибольшая эффективность защиты информации достигается при комплексном использовании средств анализа защищенности и средств обнаружения опасных информационных воздействий (атак) в сетях. Средства обнаружения атак в сетях предназначены для осуществления контроля всего сетевого трафика, который проходит через защищаемый сегмент сети, и оперативного реагирование в случаях нападения на узлы корпоративной сети.

Большинство средств данной группы при обнаружении атаки в сети оповещают администратора системы, регистрируют факт нападения в журнале системы и завершают соединение с атакующим узлом. Дополнительно, отдельные средства обнаружения атак позволяют автоматически реконфигурировать межсетевые экраны и маршрутизаторы в случае нападения на узлы корпоративной сети.

 

12 Контрольные вопросы

1. Дайте характеристику основным возможностям ГИС MapInfo.

2. Какие задачи можно решать с помощью ГИС MapInfo?

3. Структура хранения информации в MapInfo.

4. Назовите виды представления данных в MapInfo.

5. Назовите основные этапы сбора и обработки данных.

6. Растровые изображения каких форматов можно использовать в MapInfo?

7. Для какой цели выполняется геопривязка (регистрация) растровых изображений?

8. Перечислить способы векторизации.

9. Как можно изменить атрибуты конкретного объекта?

10. Какие типы объектов можно сохранять в слоях MapInfo?

11.С помощью каких инструментов можно выполнять выборку данных?

10. Методы создания тематических карт.

11. 20. Перечислить основные операции по созданию отчета.

12.

13. ФЦП «Электронная Россия (2002-2010 годы)».

14. Распоряжение Правительства РФ №1555-р от 17.10.2009 «О плане перехода на предоставление государственных услуг и исполнение государственных функций в электронном виде федеральными органами исполнительной власти».

15. Указ Президента РФ от 25 декабря 2008 г. № 1847 «О Федеральной службе государственной регистрации, кадастра и картографии».

16. Единая федеральная информационная система государственной регистрации прав на недвижимость и государственного кадастрового учета недвижимости.

17. Задача создания инфраструктуры пространственных данных Российской Федерации (ИПД РФ).

18. Технология моделирования и анализа природно-технического комплекса с использованием ГИС.

19. Общие аналитические операции и методы пространственно-временного моделирования.

20. Функции работы с базами данных.

21. Формирование и редактирование пространственных данных.

22. Геокодирование.

23. Картометрические функции.

24. Создание моделей поверхностей и анализ растровых изображе­ний.

25.. Построение буферных зон.

26. Оверлейные операции.

27. Агрегирование данных.

28. Зонирование.

29. Функции моделирования и анализа в среде ГИС – MapInfo.

30. Информация как объект защиты. Организация защиты информации.

31. Средства защиты информации.

 

Библиографический список

 

1. Основы геоинформатики: учеб. пособие для студ. вузов в 2 кн.: / Капралов Е.Г., [ и др.].– М.: «Академия», 2004. Кн. 1.- 352 с.

2. Бугаевский Л.М.; Цветков В.Я. Геоинформационные системы. – М.: Златоуст; 2000. – 212 с.

3. Кошкарев А. В., Тикунов В. С. Геоинформатика /Под ред. Д. В. Лисицкого.-М.: Картгеоцентр -Геодезиздат, 2000.-213 с.

4.Сборник задач и упражнений по геоинформатике: учеб. пособие для студ. вузов / Тикунов В.С., [ и др.].- М.: «Академия», 2005.- 560 с.

5. А.В. Кошкарев (ИГ РАН). Инфраструктура пространственных данных Российской Федерации и стандарты для Европейской инфраструктура пространственных данных [Текст] / А.В. Кошкарев / Пространственные данные в информационных, кадастровых и геоинформационных системах. –2006. – № 3. – С. 10-11.

6. Географические и земельно-информационные системы. Земельный кадастр. Варламов А. А., Гальченко С.А.Том 6.- М.: КолосС (Учебники и учеб. пособия) - 2005.- 400 с.

7. Периодические издания ГИС- ассоциации:

Пространственные данные в информационных, кадастровых и геоинформационных системах;

Информационный бюллетень ГИС- ассоциации;

Кадастровый вестник;

Управление территориями;

GIS-info/ГИС-инфо.

8. Известия ВУЗОВ:

Геодезия и аэрофотосъемка.

9. Землеустройство, кадастр и мониторинг земель.

10. Информационные электронные ресурсы «Консультант +».

11. Информационные электронные ресурсы «Гарант».

12. Информационные электронные ресурсы глобальной сети Интернет.