- •Учебно-методическое пособие по дисциплине "Компьютерные информационные технологии"
- •I. Проблемы защиты информации
- •1.1 Понятие интеллектуальной собственности и секретность информации
- •1.2. Носители и потенциальные источники утечки информации
- •1.3. Каналы утечки и способы получения информации
- •1) Легальные способы:
- •2) Полулегальные (сомнительные) способы:
- •3) Нелегальные (криминальные) способы:
- •1.4. Побочные технические каналы утечки информации
- •1.5. Угрозы информационным ресурсам корпорации
- •1.6. Оценка последствий реализации угроз информации
- •Категории важности информации
- •1.7. Средства и способы несанкционированного доступа к информационным ресурсам
- •Беззаходовые средства разведки Средства подсматривания
- •Средства подслушивания
- •Заходовые средства разведки
- •Последствия несанкционированного доступа к информации
- •2.1. Модель действий нарушителя
- •Классы прочности защиты
- •2.2. Простейшая модель защиты информационного объекта
- •2.3. Модель одноуровневой многозвенной защиты
- •2.4. Модель многоуровневой однозвенной защиты
- •2.5. Модель многоуровневой многозвенной защиты
- •2.6. Общие принципы построения системы защиты
- •2.7. Этапы построения системы защиты
- •3. Законодательные меры защиты информации
- •3.1. Законодательно-правовые документы по защите информации
- •3.2. Объекты интеллектуальной собственности, охраняемые законодательством
- •3.3. Понятие коммерческой тайны
- •Утверждаю
- •Перечень сведений, составляющих коммерческую тайну корпорации
- •3.4. Ответственность за разглашение коммерческой тайны
- •4. Административные и финансовые меры защиты информации
- •4.1. Политика информационной безопасности корпорации
- •4.2. Служба безопасности
- •4.3. Группа охраны
- •4.4. Пропускной режим
- •4.5. Работа с сотрудниками
- •Обязательство
- •О неразглашении коммерческой тайны корпорации
- •4.6. Работа с документами
- •4.7. Организация работы технических средств
- •4.8. Финансовые меры защиты информации
- •5. Физические и технические средства защиты
- •5.1. Физические средства и способы защиты информации
- •5.2. Технические средства и способы защиты информации
- •6. Защита информации в автоматизированных системах обработки информации
- •6.1. Каналы утечки информации в асои
- •6.2. Основные принципы проектирования защиты в асои
- •6.3. Программные средства защиты
- •6.3.1. Защита ресурсов асои от несанкционированного доступа
- •6.3.2. Резервное копирование и архивация информации
- •6.3.3. Защита от вредоносных программ
- •6.4. Аппаратные средства защиты
- •6.5. Шифрование информации
- •7. Защита локальных сетей и интрасетей
- •7.1. Умышленные угрозы локальным сетям и интрасетям из Internet
- •7.2. Общие принципы обеспечения информационной безопасности в лвс и интрасети
- •7.3. Защита систем управления базами данных
- •7.4. Защита каналов связи
- •Литература
- •Оглавление
- •1. Проблемы защиты информации…………………….3
- •2. Основы теории защиты информации
- •4. Административные и финансовые меры
- •6. Защита информации в автоматизированных
2.7. Этапы построения системы защиты
Сказанное выше позволяет выделить этапы построения системы защиты информации корпорации.
1.Составление перечня сведений, являющихся коммерческой тайной корпорации.
2. Разделение сведений на группы в зависимости от степени важности и времени ценности информации для корпорации.
3. Определение модели действий потенциального нарушителя системы защиты.
4. Установление потоков информации в пределах объекта защиты, пространственно-временных характеристик потоков, всех носителей информации (сотрудники, документы, изделия, процессы).
5. Анализ возможных каналов утечки информации.
6. Разработка моделей защиты по группам важности и времени старения информации.
7. Выбор средств и методов защиты информации (законодательные, административные, физические и технические, аппаратные и программные) по всем возможным каналам её утечки.
8. Количественная или качественная оценка прочности защиты возможных каналов утечки информации.
Для поддержания системы защиты в постоянной готовности к отражению её "взлома" нужно систематически проводить оценку ожидаемой ее прочности и при необходимости совершенствовать систему защиты.
Зарубежный опыт защиты коммерческой информации показывает, что эффективной может быть только комплексная система защиты. Комплексная система защиты должна учитывать все потенциальные источники утечки информации: сотрудников, документы, изделия и процессы.
В систему комплексной защиты информации входят социальные и формальные меры защиты. Социальные меры защиты требуют целенаправленной деятельности людей на основе государственных, ведомственных и корпоративных законов, положений, нормативных актов, уставов, инструкций и др. К социальным мерам защиты относятся законодательные, административные и финансовые меры.
Формальные меры защиты выполняют защитные функции по определенным правилам без непосредственного участия людей. Формальные меры защиты включают физические, технические, программные и аппаратные способы.
3. Законодательные меры защиты информации
3.1. Законодательно-правовые документы по защите информации
Инфраструктура современного государства теснейшим образом связана с информационным обеспечением государственных, политических, общественных и хозяйственных структур, а также деятельности и быта граждан. В информационном пространстве государства различают субъекты и объекты информационных отношений. Субъекты могут создавать, обрабатывать, накапливать и передавать информацию другим субъектам. Объектами информационных отношений могут быть материальные носители информации, средства кодирования, передачи, хранения, обработки, отображения, регистрации и размещения данных различного характера (символьных, графических, звуковых, видео и др.). Отношения между субъектами определяются правом доступа определенных субъектов к информационным ресурсам объекта. Если право доступа у субъекта отсутствует, то действия такого субъекта по отношению к объекту квалифицируются как несанкционированные.
Правовая защита информационных ресурсов субъектов и объектов информационных отношений в Республике Беларусь основывается на документах, принимаемых на различных уровнях управления.
1. Международный уровень: Конвенция Всемирной организации интеллектуальной собственности (ВОИС), 1967 г.
2. Уровень Национального собрания Республики Беларусь:
-
Уголовный кодекс Республики Беларусь;
-
Закон "Об информатизации";
-
Закон "О защите информации";
-
Закон "О предприятиях";
-
Закон "О государственной тайне";
-
Закон "О страховании";
-
Закон "О правовой охране программ для ЭВМ и баз данных".
3. Уровень Президента и Правительства Республики Беларусь:
-
Положение о государственной системе защиты информации;
-
Постановление о создании государственных органов защиты информации;
-
Положение о государственных органах защиты информации;
-
Положение о порядке разработки и эксплуатации шифротехники;
-
Положение о формах защиты прав граждан в области информатизации.
4. Уровень министерств и ведомств:
-
Положение об организации работ по защите информации;
-
Положение о службе безопасности на предприятиях;
-
Положение о сертификации средств вычислительной техники, систем и средств связи по требованиям безопасности;
-
Положение об органах сертификации и защиты информации,
а также некоторые другие документы.
Следует сказать, что законодательно-правовая база защиты коммерческой информации не полностью удовлетворяет требованиям социально-экономических процессов, которые сейчас происходят в Республике Беларусь, и требует постоянного совершенствования.