Информация как объект защиты.
Защите подлежит И, неправомерные действия в отношении которой м. причинить вред ее обладателю, пользователю или иному лицу.
Требования по защите И устанавливаются з/д (не только национальным-PSI. DSS) или собственником (владельцем) информационных систем.
Защите подлежит:
- И, распространение / предоставление которой ограничено
- И, обрабатываемая в гос. Информационных системах.
Выделяются следующие виды защищаемой информации:
1) открытая информация – охраняемая информация, не содержащая сведений, отнесенных законодательством к информации ограниченного доступа;
2) информация ограниченного доступа – охраняемая инфо, доступ к которой ограничен законом – государственная, банковская тайна.
Охраняемыми свойствами открытой информации являются: ее сохранность, целостность и доступность. Охраняемыми свойствами ограниченной информации являются: ее сохранность, целостность, конфиденциальность.
Сохранность информации – свойство, обеспечивающее целостность информации в течение ее жизненного цикла.
Целостность информации – свойство информации сохранять свое информационное содержание и однозначность интерпретации в условиях случайной и (или) преднамеренных воздействий.
Доступность информации – свойство информации быть доступной для использования уполномоченными субъектами в любое время.
Конфиденциальность информации – свойство информации быть защищенной от раскрытия лицами, не имеющими соответствующих полномочий.
|
|
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защита информации предполагает определение тех угроз, от которых информацию предполагается защищать (утечка, несанкционированное, непреднамеренное воздействия).
Для общедоступной И (угрозы):
- уничтожение
- модификация
- блокирование доступа к И.
- Для И ограниченного доступа + защита от несанкционированного доступа.
Законодательный уровень защиты информации.
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Следует различать на законодательном уровне две группы мер:
1) меры, направленные на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям информационной безопасности
2) направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.. Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим. Правовые акты общего назначения, затрагивающие вопросы информационной безопасности. Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров…В ГК фигурируют такие понятия, как банковская,
|
|
коммерческая и служебная тайна. УК - Несанкционированный доступ к компьютерной информации; Модификация компьютерной информации; Неправомерное завладение компьютерной информацией; Разработка, использование либо распространение вредоносных программ и др. Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Указе «об утверждении перечня сведений, составляющих гос тайну РБ»
и Закон «О государственных секретах» Закон "Об информатизации» (устанавливает Цели защиты Права и обязанности субъектов по защите информационных ресурсов Предупреждение правонарушений в сфере информатизации Ответственность за правонарушения в сфере информатизации и др.) Закон «Об электронном документе» и др…
|
|
Административный уровень защиты информации.
Относятся действия общего характера, предпринимаемые руководителем организации. Главная цель этих мер – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя выполнение. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Под политикой безопасности (ПБ) следует понимать – совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и связанных с ней ресурсов. С практической точки зрения ПБ целесообразно рассматривать на трех уровнях. К верхнему можно отнести решения затрагивающие организацию в целом (исходят от руководства и носят общий характер). К ним относят:
- решение сформировать программу обеспечения информационной безопасности, назначение ответственных за нее.
- формулировка целей, которые преследует организация в области информационной безопасности.
|
|
- обеспечение базы для соблюдения законов и правил.
- формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом. Политика верхнего уровня должна четко очертить сферу своего влияния. Должны быть определены обязанности должностных лиц по выработке политики безопасности и ее проведению. К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов инф.безопасности (пр: как совместить доступа к информации с защитой от внешних угроз). Политика среднего уровня должна для каждого аспекта освещать следующие темы:
1) описа6ние аспекта 2) область применения 3) позиция организации по данному вопросу 4)роли и обязанности. Нижнего уровняотносится к конкретным информационным сервисам. Должна быть определена наиболее подробно. Включает в себя: 1) цели 2) правила их достижения. Решаются например такие вопросы: -кто имеет право доступа к объектам, поддерживаемым сервисом? - при каких условиях можно читать и модифицировать данные? - как организован удаленный доступ к сервису? и др.
Дата добавления: 2018-05-12; просмотров: 394; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!