Файловый архив студентов. Файловый архив студентов.
1268 вузов, 4651 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Северо-Кавказский федеральный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
8.Основы защиты информации.docx
Скачиваний:
16
Добавлен:
26.09.2019
Размер:
81.33 Кб
Скачать
►Содержание►

8.2 Организационные и правовые методы защиты информации

 

В вычислительных системах и сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных системах и сетях должны приниматься меры по защите вычислительных ресурсов сети от их несанкционированного использования, т.е. должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине в вычислительных системах и сетях должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

Существует множество возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:

-                     чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

-                     маскировка под зарегистрированного пользователя;

-                     использование программных ловушек;

-                     незаконное подключение к аппаратуре и линиям связи;

-                     злоумышленный вывод из строя механизмов защиты;

-                     внедрение и использование компьютерных вирусов и др.

Обеспечение безопасности информации в вычислительных системах и сетях и в автономно работающих компьютеров достигается комплексом организационных, правовых, технических и программных мер.

К организационным мерам защиты относятся:

1.                  Ограничение доступа в помещения, в которых происходит подготовка и обработка информации.

2.                  Допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц.

3.                  Хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах.

4.                  Исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.

5.                  Использование криптографических кодов при передаче по каналам связи ценной информации.

6.                  Уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

Правовые методы защиты программ включают:

1.                  Патентную защиту.

2.                  Закон о производственных секретах.

3.                  Лицензионные соглашения и контракты.

4.                  Закон об авторском праве.

Во многих цивилизованных странах несанкционированное копирование программ в целях продажи или бесплатного распространения рассматривается как государственное преступление, карается штрафом или тюремным заключением. Однако само авторское право не обеспечивает защиту новой идеи, концепции, методологии и технологии разработки программ, поэтому требуются дополнительные меры их защиты.

Патентная защита устанавливает приоритет в разработке и использовании нового подхода или метода, примененного при разработке программ, удостоверяет их оригинальность.

Статус производственного секрета для программы ограничивает круг лиц, знакомых или допущенных к ее эксплуатации, а также определяет меру их ответственности за разглашение секретов. Например, используется парольный доступ к программному продукту или базе данных, вплоть до паролей на отдельные режимы (чтение, запись, корректировку и т.п.). программы, как любой материальный объект большой стоимости, необходимо охранять от кражи и преднамеренных разрушений.

Лицензионные соглашения распространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные секреты. Наиболее часто используются лицензионные соглашения на передачу авторских прав. Лицензия – договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технологии или услуги. Лицензиар увеличивает свои доходы сбором лицензионных платежей, расширяет область распространения программы; лицензиат извлекает доходы за счет их применения. В лицензионном соглашении оговариваются все условия эксплуатации программ, в том числе создание копий.

Закон об авторском праве программного продукта признает автором физическое лицо, в результате творческой деятельности которого они созданы. Автору независимо от его имущественных прав принадлежат личные авторские права: авторство, имя, неприкосновенность (целостность) программ. Программные продукты могут использоваться третьими лицами - пользователями на основании договора с правообладателем.

Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд особенностей, обусловленных следующими обстоятельствами:

                   представлением информации в привычной и неудобочитаемой для человека двоичной форме;

                   использованием носителей информации, записи на которых недоступны для простого визуального просмотра;

                   возможностью многократного копирования информации без оставления каких-либо следов;

                   легкостью изменения любых элементов информации без оставления следов типа подчисток, исправления и т. п.;

                   невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;

                   наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации.

Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:

                   организационно-правовая основа защиты информации;

                   технико-экономические аспекты организационно-правового обеспечения защиты;

                   юридические аспекты организационно-правового обеспечения защиты.

Дадим краткую характеристику каждому классу.

Организационно-правовая основа защиты информации включает:

                   определение подразделений и лиц, ответственных за организацию защиты информации;

                   нормативно-правовые, руководящие и методические материалы (документы) по защите информации;

                   меры ответственности за нарушение правил защиты;

                   порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ, с помощью которых могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. Основными из этих условий являются следующие:

                   фиксация на документе персональных идентификаторов (подписей) лиц, изготовивших документ и (или) несущих ответственность за него;

                   фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;

                   возможность незаметного (без оставления следов) изменения содержания информации даже лицами, имеющими санкции на доступ к ней, т. е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;

                   фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.

Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели:

                   устанавливается обязательность соблюдения всеми лицами всех правил защиты информации;

                   узакониваются меры ответственности за нарушение правил защиты;

                   узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;

                   узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

Таким образом, вся совокупность вопросов, возникающих при решении проблем организационно-правового обеспечения, может быть представлена в виде схемы, приведенной на рисунке 10.1.

 

 

 

 

Рисунок 10.1 – Общее содержание организационно-правового обеспечения защиты информации

Для обеспечения защиты информации необходимо создание законодательной основы. Поэтому в ведущих странах, в том числе и в России, этому вопросу уделяется достаточно большое внимание. В настоящее время на международном уровне сформировалась устойчивая система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, правовое регулирование в сфере которого должно идти по следующим трем направлениям.

1. Защита прав личности на частную жизнь. Основные принципы установления пределов вмешательства в частную жизнь со стороны государства и других субъектов определены основополагающими нормами ООН, а именно Декларацией прав человека. К концу 70-х годов сформулированы два принципа, нашедших впоследствии отражение в национальных законодательствах по информатике ряда стран Запада:

                   установление пределов вмешательства в частную жизнь с использованием компьютерных систем;

                   введение административных механизмов защиты граждан от такого вмешательства.

Примерами документов, относящихся к этому направлению, являются резолюция Европарламента «О защите прав личности в связи с прогрессом информатики» (1979 г.) и Конвенции ЕС «О защите лиц при автоматизированной обработке данных персонального характера» (1989 г.).

2. Защита государственных интересов. Проблема решается с помощью достаточно разработанных национальных законодательств, определяющих национальные приоритеты в этой области. Интеграция стран – членов ЕС потребовала координации усилий в данной области, в результате чего общие принципы засекречивания информации отражены в Конвенции ЕС по защите секретности.

3. Защита предпринимательской и финансовой деятельности. Данный аспект проблемы решается путем создания законодательного механизма, определяющего понятие «коммерческая тайна» и устанавливающего условия для осуществления «добросовестной» конкуренции, квалификации промышленного шпионажа как элемента недобросовестной конкуренции.

К этому же направлению можно отнести создание механизмов защиты авторских прав, в частности прав авторов программной продукции. Последний аспект отражен в директиве ЕС «О защите программ для ЭВМ и баз данных» (1990 г.).

В России законодательное регулирование процессов информатизации начало создаваться в начале 90-х годов. Необходимо было срочно законодательно обеспечить эффективное использование информационного ресурса общества, урегулировать правоотношения на всех стадиях и этапах информатизации, защитить права личности в условиях информатизации, сформировать механизм обеспечения информационной безопасности.

1991 год – начало активной законотворческой деятельности в этом направлении. Законодатели сконцентрировали свое внимание на следующих наиболее острых для России проблемах:

                   проблеме права на информацию;

                   проблеме собственности на некоторые виды информации;

                   проблеме признания информации объектом товарного характера.

На сегодняшний день в «Декларации прав и свобод человека и гражданина», принятой Постановлением Верховного Совета Российской Федерации 22 ноября 1991 года, и в Конституции Российской Федерации, принятой в 1993 году, закреплено общее право граждан на информацию. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности. Перечень сведений, составляющих государственную тайну, устанавливается законом.

Принят базовый закон Российской Федерации «Об информации, информатизации и защите информации», который занимает центральное место во всей системе правового обеспечения безопасности информации. Закон впервые в законодательной практике России:

                   определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направления государственной политики в этой сфере;

                   закрепляет права граждан, организаций, государства на информацию;

                   устанавливает правовой режим информационных ресурсов на основе применения в этой области порядка документирования, права собственности на документы и массивы документов в информационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом, порядка правовой защиты информации;

                   развивает правовой режим признания за документами, полученными из информационной системы, юридической силы, в том числе на основе подтверждения электронной цифровой подписью;

                   определяет информационные ресурсы как элемент состава имущества и объект права собственности;

                   устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно-технической, производственной базы информатизации, формирования рынка информационной продукции, услуг в этой сфере;

                   разграничивает права собственности и права авторства на информационные системы, технологии и средства их обеспечения;

                   устанавливает правила и общие требования ответственности за нарушение норм законодательства в области информатизации и защиты информации в системах ее обработки, гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.

В Законе предусмотрена специальная глава, посвященная защите информации. В этой главе устанавливается, что защите подлежит вся документированная информация, обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается:

                   в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

                   в отношении конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего закона;

                   в отношении персональных данных – отдельным федеральным законом.

Также приняты специальные законы «О государственной тайне», «О правовой охране программ ЭВМ и баз данных», «О правовой охране топологий интегральных микросхем», «О международном информационном обмене». Вопросы правового обеспечения защиты информации нашли отражение и в законе Российской Федерации «О безопасности», принятом в марте 1992 года.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности