«Задания по дисциплине «Основы информационного права Российской Федерации»»

Уважаемые студенты! 

Данная работа ОТСУТСТВУЕТ в банке готовых, т.е. уже выполненных работ. Я, Марина Самойлова, МОГУ ВЫПОЛНИТЬ эту работу по вашему заказу.

Срок исполнения заказа от 1-го дня.

Для заказа и получения работы напишите мне письмо на studentshopadm@yandex.ru

Вступи в группу https://vk.com/pravostudentshop

«Решаю задачи по праву на studentshop.ru»

Решение задач по юриспруденции [праву] от 50 р.

Опыт решения задач по юриспруденции 20 лет!

С уважением, Марина Самойлова, studentshop.ru

 

 

 

Определение понятий «информационная безопасность» и «защита информации».

Информационная безопасность:

1. Состояние защищенности интересов субъектов информационных отношений.

2. Состояние защищенности интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз.

Защита информации:

1. Практическая реализация комплексной программы информационной безопасности.

2. Процесс обеспечения информационной безопасности.

3. Жестко регламентированный и динамический технологический процесс, обеспечивающий информационную безопасность.

Основные нормативные руководящие документы, касающиеся государственной тайны.

1. Конституция Российской Федерации:

Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих гостайну, определяется федеральным законом «О государственной тайне» (ст. 29).

2. Кодекс Российской Федерации об административных правонарушениях

Ст. 13.12 определяет ответственность за нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации, составляющей гостайну. Также данной статьей устанавливается наказание за использование несертифицированных ИС, баз и банков данных, средств защиты информации, составляющей гостайну, если они подлежат обязательной сертификации.

Ст. 13.13 устанавливает ответственность за занятие видами деятельности в области защиты информации, составляющей гостайну без лицензии.

3. Уголовный кодекс Российской Федерации

Ст. 275, 276 устанавливает ответственность за выдачу гостайны в рамках госизмены. Ст. 275 предусматривает освобождение от уголовной ответственности, если лицо, выдавшее гостайну иностранному государству, добровольно и своевременно сообщило о своем преступлении органам власти или способствовало предотвращению ущерба.

Ст. 283 устанавливает ответственность за разглашение гостайны, лицом, которому она была доверена или стала известна по работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены. Также определяется мера наказания за то же деяние, повлекшее по неосторожности тяжкие последствия.

Ст. 284 устанавливает ответственность за нарушение лицом, имеющим допуск к гостайне, правил обращения с содержащими гостайну документами или с предметами, сведения о которых составляют гостайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий.

4. Патентный закон Российской Федерации

Ст. 30.2 определяет, что, если при рассмотрении в федеральном органе исполнительной власти по интеллектуальной собственности заявки на изобретение будет установлено, что содержащиеся в ней сведения составляют гос. тайну, заявка на изобретение засекречивается и считается заявкой на выдачу патента на секретное изобретение.

5. Федеральный Закон «Об архивном деле в Российской Федерации»

Ст. 25 указывает на то, что ограничивается доступ к архивным документам, независимо от их форм собственности, содержащим государственную и иную тайну, а также к подлинникам особо ценных документов, в т.ч. уникальных документов, и документам Архивного фонда РФ, признанным находящимися в неудовлетворительном физическом состоянии.

6. Закон о государственной тайне

Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием и защитой в интересах безопасности РФ.

В законе понятие государственная тайна определяется как защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

Система защиты гостайны – совокупность органов защиты гостайны, используемых ими средств, методов и мероприятий по защите сведений, составляющих гостайну, и их носителей.

Допуск к гостайне – процедура оформления права граждан на доступ к сведениям, составляющим гостайну, а предприятий, учреждений и организаций – на проведение работ с использованием таких сведений.

Доступ к сведениям, составляющим гос. тайну – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими гостайну.

Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Средства защиты информации - технические, криптографические, программные и другие средства для защиты сведений, составляющих гостайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Нормативно-справочные документы и нормативно-правовые акты в области защиты информации.

1. Конституция Российской Федерации:

Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения (ст.23).

2. Кодекс Российской Федерации об административных правонарушениях

Ст. 13.11 указывает на меры наказания при нарушении порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Ст. 13.12 указывает на меры наказания при нарушении условий лицензий на осуществление деятельности в области защиты информации, в т.ч. гостайны.

Ст. 13.13 указывает на меры наказания за занятие видами деятельности в области защиты информации, в т.ч. и составляющей гостайну, без лицензии.

Ст. 13.14 указывает на меры наказания за разглашение информации с ограниченным доступом лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

3. Уголовный кодекс Российской Федерации

Ст. 137 указывает на меры наказания за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, либо распространение этих сведений в публичном выступлении, СМИ. Также устанавливается ответственность за те же деяния, совершенные лицом с использованием своего служебного положения.

Ст. 138 устанавливает ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, а также за те же деяния, совершенные с использованием служебного положения или специальных технических средств, предназначенных для негласного получения информации. В статье 138 устанавливается ответственность за незаконное производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации.

Ст. 183 устанавливает ответственность за собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа, угроз или иным незаконным способом, а также за незаконные разглашение или  использование сведений, составляющих коммерческую, налоговую, банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по работе. Также определяется ответственность за деяния подобного рода, причинившие крупный ущерб, совершенные из корыстной заинтересованности или повлекшие тяжкие последствия.

4. Гражданский кодекс Российской Федерации

Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (ст.139).

6. Патентный закон Российской Федерации

Ст. 30.2 определяет: если при рассмотрении в федеральном органе исполнительной власти по интеллектуальной собственности заявки на изобретение будет установлено, что содержащиеся в ней сведения составляют гостайну, заявка на изобретение засекречивается и считается заявкой на выдачу патента на секретное изобретение. Засекречивание заявки, поданной иностранными гражданами или иностранными юридическими лицами, не допускается.

Ст. 30.3 устанавливает, что сведения о секретных, содержащий гостайну изобретениях не публикуются в Государственном реестре изобретений РФ.

7. Федеральный Закон «Об архивном деле в Российской Федерации»

Ст. 25

8. Закон о государственной тайне

см. основные нормативные руководящие документы, касающиеся государственной тайны и нормативно-справочные документы и нормативно правовые акты в области защиты информации.

9. Закон о коммерческой тайне

Регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности, определяет сведения, которые не могут составлять коммерческой тайну.

Коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать расходов, сохранить положение на рынке или получить иную коммерческую выгоду.

Информация, составляющая коммерческую тайну – научно-техническая, технологическая, производственная, финансово-экономическая и иная информация (в т.ч. секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.

11. Федеральный Закон об информации, информатизации и защите информации 

12. Закон о международном информационном обмене

Целью данного закона является создание условий для участия РФ в международном информационном обмене в рамках единого мирового информационного пространства, защита интересов РФ, ее субъектов и муниципальных образований при международном информационном обмене, защита интересов, прав и свобод физических и юридических лиц при международном информационном обмене.

Объекты международного информационного обмена (МИО): документированная информация, информационные ресурсы, продукты и услуги, средства МИО.

Субъекты МИО: РФ, ее субъекты, органы государственной власти и местного самоуправления, физические и юридические лица РФ и иностранных государств, лица без гражданства.

13. Закон о правовой охране программ для ЭВМ и баз данных

Закон дает определения следующим понятиям:

Программа для ЭВМ – объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата. Под программой для ЭВМ подразумеваются также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения.

База данных (БД) – объективная форма представления и организации совокупности данных (напр., статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.

Адаптация программы для ЭВМ или БД – внесение изменений в целях обеспечения функционирования программы для ЭВМ или БД на конкретных технических средствах или под управлением конкретных программ.

Модификация (переработка) программы для ЭВМ или БД – любые их изменения, не являющиеся адаптацией.

Декомпилирование программы для ЭВМ – технический прием, включающий преобразование объектного кода в исходный текст в целях изучения структуры и кодирования программы для ЭВМ.

Воспроизведение программы для ЭВМ или БД – изготовление одного или более экземпляров программы для ЭВМ или БД в любой материальной форме, а также их запись в память ЭВМ.

Распространение программы для ЭВМ или БД – предоставление доступа к воспроизведенной в любой материальной форме программе для ЭВМ или БД, в т.ч. сетевыми и иными способами, путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей.

Выпуск в свет (опубликование) программы для ЭВМ или БД – предоставление экземпляров программы для ЭВМ или БД с согласия автора неопределенному кругу лиц (в т.ч. путем записи в память ЭВМ и выпуска печатного текста), при условии, что количество таких экземпляров должно удовлетворять потребности этого круга лиц, принимая во внимание характер указанных произведений.

Использование программы для ЭВМ или БД – выпуск в свет, воспроизведение, распространение и иные действия по их введению в хозяйственный оборот (в т.ч. в модифицированной форме).

Правообладатель – автор, его наследник, а также любое физическое или юридическое лицо, которое обладает исключительным правом на программу для ЭВМ или БД в силу закона или договора.

14. Закон о Средствах массовой информации (СМИ)

15. Закон о рекламе

16. Закон о товарных знаках, знаках обслуживания и наименованиях мест происхождения товаров

17. Закон об Электронно-цифровой подписи (ЭЦП)

18. Закон о банках и банковской деятельности

Банк обязывается хранить тайну об операциях по счету и вкладу и другую информацию, относящуюся к клиентам, независимо от того, имеет эта информация действующую или потенциальную коммерческую ценность или нет.

19. Закон об основах муниципальной службы в РФ

20. Федеральный закон о связи

21. ГОСТ–Р–50922–96 «Защита информации. Основные термины и определения».

22. Указ Президента РФ «О мерах по обеспечению Информационной Безопасности Российской Федерации в сфере Международного информационного обмена»

Федеральная служба охраны РФ должна обеспечивать поддержание и развитие сегмента сети Интернет для федеральных органов гос. власти и субъектов РФ. Запрещено включение Информационных сетей (ИС), сетей и Персональных компьютеров (ПК), в которых обрабатывается информация, содержащая гостайну в сеть Интернет.

Вопросы авторских и смежных прав

Данные вопросы регулируются в законе об авторских и смежных правах. Закон регулирует отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства (авторское право), фонограмм, исполнений, постановок, передач организаций эфирного или кабельного вещания (смежные права).

Под автором понимается физическое лицо, творческим трудом которого создано произведение.

Авторское право распространяется на произведения науки, литературы и искусства, являющиеся результатом творческой деятельности, независимо от назначения и достоинства произведения, а также от способа его выражения. Авторское право распространяется на обнародованные и на необнародованные произведения, существующие в письменной, устной форме, форме звуко- или видеозаписи, изображений, объемно-пространственной (скульптура, макет) и в других формах. Передача прав на материальный объект не влечет передачи авторских прав на произведение, выраженное в этом объекте.

Объектами авторского права являются:

- литературные произведения (включая программы для ЭВМ);

- драматические и музыкально-драматические произведения, сценарные произведения;

- хореографические произведения и пантомимы;

- музыкальные произведения с текстом или без текста;

- аудиовизуальные произведения (кино- и телепроизведения);

- произведения живописи, скульптуры, графики, дизайна, графические рассказы, комиксы и другие произведения изобразительного искусства;

- произведения декоративно-прикладного и сценографического искусства;

- произведения архитектуры, градостроительства и садово-паркового искусства;

- фотографические произведения;

- географические, геологические и другие карты, планы, эскизы и пластические произведения, относящиеся к географии, топографии и к другим наукам.

Охрана программ для ЭВМ распространяется на все виды программ для ЭВМ (в т.ч. на ОС), которые могут быть выражены на любом языке и в любой форме, включая исходный текст и объектный код.

К объектам авторского права также относятся: производные произведения (переводы, обработки, аннотации, рефераты, резюме, обзоры и т.п.); сборники (энциклопедии, антологии, БД).

Не являются объектами авторского права:

- официальные документы (законы, судебные решения и т.п.), их официальные переводы;

- гос. символы и знаки (флаги, гербы, ордена, денежные знаки);

- произведения народного творчества;

- сообщения о событиях и фактах, имеющие информационный характер.

Авторские права делятся на 2 группы: личные неимущественные и имущественные. Личные неимущественные права неразрывно связаны с личностью автора и не могут быть переданы. К ним относят:

1) Право авторства – право признаваться автором произведения.

2) Право на имя – право использовать произведение под своим именем, псевдонимом или анонимно.

3) Право на защиту репутации автора – право на защиту произведения от искажения или иного посягательства, способного принести ущерб чести и достоинству автора.

4) Право на обнародование – обеспечение доступа третьих лиц к произведению.

К имущественным правам относятся:

1) Право на воспроизведение (запись с одного носителя на другой, копирование).

2) Право на распространение экземпляров произведений любым способом (продажа, сдача в прокат и др.).

3) Право на публичный показ, исполнение и передачу в эфир произведений.

4) Право на перевод и переработку.

5) Право на доведение до общего сведения, в т.ч. в сети Интернет.

Закон о защите авторских прав предусматривает общий срок охраны авторских прав и ряд специальных. По общему правилу авторские права охраняются в течение жизни автора и 70 лет после его смерти. Личные неимущественные права охраняются бессрочно. Специальные сроки охраны авторских прав:

- при соавторстве срок охраны составляет 70 лет после смерти последнего соавтора;

- при опубликовании произведения после смерти автора оно охраняется 70 лет после опубликования;

- срок охраны программ для ЭВМ и БД составляет 50 лет после смерти автора.

По окончании срока охраны произведение переходит в разряд общественного достояния.

Имущественные права могут передаваться только по авторскому договору. В нем указываются:

1) Виды и объем передаваемых имущественных прав. Все права, не переданные по авторскому договору, сохраняются за автором.

2) Условия о сроке и территории распространения авторских прав. В случае отсутствия срока в договоре он считается заключенным на 5 лет. Если не указана территория, договор действует по всей РФ.

3) Размер и порядок выплаты авторского вознаграждения.

4) Другие условия, которые определяют стороны договора.

Авторский договор должен быть заключен в письменной форме. Существует несколько видов авторских договоров: авторский договор заказа (автору дается задание на создание произведения), исключительный договор (передаются все имущественные права), неисключительный договор (передается часть имущественных прав), краткосрочные (до года), среднесрочные и долгосрочные (свыше 5 лет) договоры.

За нарушение авторских прав устанавливается гражданско-правовая, административная и уголовная ответственность (гражданско-правовая – в случае нарушения исключительных прав, административная и уголовная –  за плагиат).

Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Место информационной безопасности экономических систем в национальной безопасности страны.

Задачами в сфере обеспечения информационной безопасности РФ являются:

1) Разработка основных направлений государственной политики в области обеспечения информационной безопасности РФ, а также мероприятий и механизмов, связанных с реализацией этой политики.

2) Развитие и совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности РФ, а также системы противодействия этим угрозам.

3) Разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности РФ, а также сертификации этих систем и средств.

4) Совершенствование нормативной правовой базы в области информационной безопасности РФ.

5) Установление ответственности должностных, юридических лиц и граждан за несоблюдение требований информационной безопасности.

6) Координация деятельности органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности РФ.

7) Разработка методов повышения эффективности участия государства в формировании информационной политики государственных средств массовой информации.

8) Обеспечение технологической независимости РФ в области информатизации, определяющих ее безопасность, а также в области создания специализированной военной вычислительной техники.

9) Разработка современных методов и средств защиты информации, прежде всего для систем управления войсками и оружием, экологически опасными и экономически важными производствами.

10) Развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны.

11) Взаимодействие с международными и зарубежными организациями при решении вопросов обеспечения безопасности информации, передаваемой с помощью международных систем связи.

12) Обеспечение условий для развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем.

13) Создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

Особенности обеспечения информационной безопасности РФ в сфере экономики. Согласно доктрине, обеспечение информационной безопасности РФ в сфере экономики играет ключевую роль в обеспечении национальной безопасности РФ.

Воздействию угроз информационной безопасности в сфере экономики наиболее подвержены:

          - система государственной статистики;

          - кредитно - финансовая система;

          - информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;

          - системы бухгалтерского учета предприятий, учреждений и организаций;

          - системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, предприятий, организаций.

Недостаточный контроль деятельности отечественных и зарубежных структур, занимающихся созданием и защитой систем сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации создает угрозу безопасности России в экономической сфере. Бесконтрольное привлечение иностранных фирм к созданию подобных систем создает благоприятные условия для несанкционированного доступа к конфиденциальной экономической информации со стороны иностранных спецслужб.

Широкое использование импортных средств информатизации создает угрозу возникновения технологической зависимости России от иностранных государств. Серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением в компьютерные системы и сети банков и иных кредитных организаций.

Недостаточность нормативной правовой базы, определяющей ответственность хозяйствующих субъектов за сокрытие сведений об их коммерческой деятельности, о потребительских свойствах производимых ими товаров и услуг, о результатах их хозяйственной деятельности, об инвестициях и тому подобном, препятствует нормальному функционированию хозяйствующих субъектов. Экономический ущерб хозяйствующим субъектам может быть нанесен вследствие разглашения коммерческой тайны. В системах сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации наиболее опасны противоправное копирование информации и ее искажение вследствие преднамеренных или случайных нарушений технологии работы с информацией, несанкционированного доступа к ней.

Основными мерами по обеспечению информационной безопасности РФ в сфере экономики являются:

          - госконтроль за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;

          - коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации;

          - разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи экономической информации;

          - разработка и внедрение национальных систем электронных платежей, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;

          - совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;

          - совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.

Три аспекта информационной безопасности: доступность, целостность, конфиденциальность. Три вида возможных нарушений информационной системы.

Доступность – возможность получения информации за приемлемое время лицами, процессами или системами, имеющими на это право.

Считается, что доступность информации является важнейшим элементом информационной безопасности: информационные системы (ИС) создаются для получения информационных услуг, а если предоставить услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений.

Целостность – актуальность и непротиворечивость информации, защищенность от разрушения и несанкционированного изменения.

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций). Средства контроля динамической целостности применяются при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность – защищенность от несанкционированного доступа к информации.

Аспект конфиденциальность считается наиболее проработанным в РФ

Существует 3 вида возможных нарушений ИС: нарушение целостности, доступности и конфиденциальности информации.

Нарушения доступности информации могут быть связаны со следующими факторами: отказы пользователей, внутренние отказы, отказ поддерживающей инфраструктуры. К отказам пользователей относятся: нежелание работать в силу несоответствия запросов пользователей с фактическими характеристиками системы и по др. причинам, невозможность работать в силу отсутствия соответствующей подготовки или отсутствия технической поддержки. Основными источниками внутренних отказов являются: случайное или умышленное отступление от правил эксплуатации, ошибки при (пере) конфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных, разрушение или повреждение аппаратуры. Отказы поддерживающей инфраструктуры предполагают случайное или умышленное нарушение работы систем связи, электропитания, тепло- и водоснабжения; разрушение или повреждение помещений и т.п.

Нарушения целостности информации предполагают нарушение статической и динамической целостности. Статическая целостность может быть нарушена путем ввода неверных данных или изменения данных. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочивание, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Конфиденциальность данных может быть нарушена путем перехвата данных (передаваемых в разговоре, в письме, по сети), атак (в т.ч. подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), методы морально-психологического воздействия (напр., маскарад – выполнение действий под видом лица, обладающего полномочиями, для доступа к данным). Также, конфиденциальность информации может быть нарушена в результате злоупотребления полномочиями (напр., системный администратор способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д.).

Понятие угрозы. Классификация угроз.

Угроза ИБ – единичное или комплексное, реальное или потенциальное, активное или пассивное проявление возможностей источников угрозы создавать неблагоприятные события, оказывающие дестабилизирующее воздействие на защищаемую информацию (информационный ресурс).

Угроза ИБ – потенциальная возможность нарушения ИБ.

Источники угрозы:

1. Люди: злоумышленно или непреднамеренно.

2. Случайные факторы (окружающая среда: природные, антропогенные факторы).

Атака – 1. Попытка реализации угрозы. 2. Попытка нарушения ИБ.

Тот, кто предпринимает попытку реализации угрозы, называется злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Окно опасности – промежуток времени от момента возникновения угрозы до момента ее ликвидации. Пока существует окно опасности, возможны успешные атаки на ИС.

Классификация угроз.

1. По источнику воздействия:

- внешние;

- внутренние.

Внешние угрозы в свою очередь подразделяются на случайные (со стороны природной среды) и целенаправленные (со стороны противников). Внутренние угрозы также могут быть случайными и целенаправленными (персонал). Случайные внутренние угрозы подразделяются на ошибки персонала, аппаратные отказы и сбои, программные отказы.

2. По результату воздействия:

- нарушение целостности;

- нарушение доступности;

- нарушение конфиденциальности.

3. По условию начала осуществления воздействия:

- атака по запросу от атакуемого объекта;

- атака по наступлению ожидаемого события;

- безусловная атака.

4. По величине принесенного ущерба:

- предельный, после которого фирма может стать банкротом;

- значительный, но не приводящий к банкротству;

- незначительный, который фирма за какое-то время может компенсировать.

5. По характеру несанкционированного доступа:

- непосредственный (подразделяется по уровням: внешней среды, уровень абонентов сети, уровень общих сетевых средств (локальная машина);

- опосредованный: съем электромагнитных излучений, кража (печатные и магнитные материальные носители), внутренне разрушение программных средств (объекты воздействия: внешние и внутренние каналы связи, удаленные терминалы, отдельные АРМы, системные и прикладные программные файлы и БД).

Классификация потенциальных нарушителей информационной безопасности.

Существуют следующие возможные типы нарушителей в системе:

1. «Неопытный пользователь» - сотрудник, зарегистрированный как пользователь системы, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам Корпоративных Информационных систем (КИС) с превышением своих полномочий, ввода некорректных данных. Его действия могут совершаться по ошибке, некомпетентности или халатности без злого умысла, при этом обычно используются только штатные (доступные сотруднику) аппаратные и программные средства.

2. «Любитель» - сотрудник, зарегистрированный как пользователь системы, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы. То есть данный тип нарушителя выполняет несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств. Он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.

3. «Мошенник» - сотрудник, зарегистрированный как пользователь системы, который может предпринимать попытки выполнения незаконных вторжений в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).

4. «Внешний нарушитель (злоумышленник)» - постороннее для организации лицо, действующее целенаправленно из корыстных интересов, мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети КИС. К категории внешних нарушителей могут относиться уволенные сотрудники, клиенты, поставщики, члены преступных организаций.

5. «Внутренний злоумышленник» - сотрудник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с другими лицами. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне – из сетей общего пользования. К категории внутренних злоумышленников могут относится зарегистрированные пользователи КИС (сотрудники); сотрудники других организаций, допущенные к работе с КИС; технический персонал, обслуживающий здания; сотрудники службы безопасности.

Пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий, т.к. имеют доступ к ресурсам и хорошие знания технологии обработки информации и защитных мер в организации. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.

Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников организации всеми доступными силами и средствами.

Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в КИС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками организации и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации с целью доступа к защищаемой информации в КИС.

Составление портрета нарушителя информационной безопасности (описать технологию, какие пункты должны быть описаны в портрете нарушителя).

Построение модели злоумышленника предполагает выполнение следующих действий:

1. Определение типа злоумышленника (конкурент, сотрудник компании, клиент и т.д.).

2. Определение положения злоумышленника по отношению к объектам защиты (внутренний, внешний).

3. Определение уровня знаний злоумышленника об объектах защиты и окружении (высокий, средний, низкий).

4. Определение уровня возможностей по доступу к объектам защиты (максимальные, средние, минимальные).

5. Определение времени совершения нарушения (постоянно, в определенные временные интервалы).

6. Определение наиболее вероятного местоположения злоумышленника во время реализации атаки.

Присвоив перечисленным параметрам модели злоумышленника качественные значения, можно определить потенциал злоумышленника, т.е. интегральную характеристику возможностей злоумышленника по реализации угроз.

Способы нарушений информационной безопасности и меры противодействия им (то есть каким образом угрозы могут реализоваться).

Под нарушением информационной безопасности понимается любой вид компрометации каких-либо аспектов безопасности систем и/или сетей, к их числу относятся:

ü    потеря конфиденциальности информации;

ü    нарушение целостности информации;

ü    нарушение доступности информационных услуг;

ü    неправомочное использование услуг, систем или информации;

ü    повреждение систем.

Международные стандарты информационного права.

Существует 2 вида стандартов и спецификаций:

- оценочные стандарты для классификации ИС и средств защиты по требованиям безопасности;

- технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Оценочные стандарты играют роль архитектурных спецификаций. Технические спецификации определяют, как строить ИС предписанной архитектуры.

Доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа». Следует отметить, что «Оранжевая книга» рассматривает вопросы целостности и конфиденциальности, вопросы доступности не затрагиваются.

Степень доверия оценивается по двум основным критериям:

1.    Политика безопасности – набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Чем выше степень доверия к системе, тем строже и многообразнее должна быть политика безопасности. Это активный аспект защиты, включающий анализ возможных угроз и выбор мер противодействия.

2.    Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации ИС. Уровень гарантированности показывает, насколько корректны механизмы реализации политики безопасности. Это пассивный аспект защиты.

Монитор обращений должен обладать тремя качествами:

1. Изолированность (возможность отслеживания работы монитора).

2. Полнота (должен вызываться при каждом обращении, не должно быть способов обойти его)

3. Верифицируемость (должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным  в полноте тестирования).

Произвольное управление доступом – это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность состоит в том, что лицо (обычно владелец объекта) может предоставлять (или отбирать) другим субъектам права доступа к объекту.

Безопасность повторного использования объектов – дополнение к средствам управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Должна гарантироваться для областей оперативной памяти (буферов с образами экрана, расшифрованными паролями и т.п.), дисковых блоков и магнитных носителей в целом.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации. Метки состоят из двух частей - уровня секретности и списка категорий. Назначение списка категорий - описать предметную область, к которой относятся данные.

Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект получает полный доступ к объекту, только если их метки совпадают. Субъект получает доступ только на чтение, если его метка имеет больший уровень привилегий, чем метка объекта. Субъект может записывать информацию в объект, если его метка безопасности меньше метки объекта. Описанный способ управления доступом называется принудительным, т.к. он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа.

Выделяют следующие сервисы безопасности и исполняемые ими роли:

1) Аутентификация: обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и периодически во время сеанса. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).

2) Управление доступом: защита от несанкционированного использования ресурсов, доступных по сети.

3) Конфиденциальность данных: защита от несанкционированного получения информации.

4) Целостность данных: подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры – с установлением соединения или без, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.

5) Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника.

«Общие критерии» содержат два основных вида требований безопасности:

- функциональные – активный аспект защиты.

Сгруппированы на основе выполняемой роли или обслуживаемой цели безопасности. Всего 11 функциональных классов (некоторые: идентификация и аутентификация; защита данных пользователя; управление безопасностью – атрибутами и параметрами безопасности; аудит безопасности; приватность – защита пользователя от раскрытия и несанкционированного использования его идентификационных данных; криптографическая поддержка).

- требования доверия – пассивный аспект.

Введено 10 классов требований доверия (некоторые: разработка, поддержка жизненных циклов (ЖЦ), тестирование, оценка уязвимостей, поставка и эксплуатация, управление конфигурацией, руководства – требования к документации и т.д.). Также в общих критериях (ОК) определяются 7 оценочных уровней доверия.

Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (напр., ОС в правительственных организациях).

Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.

Недостатки ОК. Отсутствие объектного подхода (функциональные требования не сгруппированы в осмысленные наборы (объектные интерфейсы), к которым могло бы применяться наследование). Отсутствуют архитектурные требования.

Также в стандарте определяются требования, которым нужно следовать для обеспечения безопасности информации.

Виды защиты информации.

1.               Правовая защита информации (нормативно-правовые акты и т.д.).

2.    Организационная защита информации (документы, персонал, режим работы и т.д.).

3.    Инженерно-техническая защита информации (от «жучков», утечки по каналам связи).

4.    Программная.

5.    Аппаратная.

6.    Криптографическая.

7.    Комплексная.

А. Правовая защита. К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования. Также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят, в основном, упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

Б. Организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно – правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

·  организацию охраны, режима, работу с кадрами, с документами;

·  использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К организационным мероприятиям можно отнести:

·  Организацию режима и охраны. Их цель – исключение возможности тайного проникновения на территорию и в помещение посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

·  Организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

·  Организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение.

·  Организацию использования технических средств сбора, обработки накопления и хранения конфиденциальной информации.

·  Организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер ее защиты.

·  Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения документов и технических носителей.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.

В. Инженерно-техническая защита – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации

Г. Программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки, хранения, накопления и передачи, сбора данных.

Д. Аппаратные средства

Сюда входят приборы, устройства, приспособления и другие технические решения.

Основная задача аппаратных средств – обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности.

Е. Криптографические средства – это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Ж. Комплексные средства

Совокупная реализация программных и аппаратных средств и криптографических методов защиты информации.

Организационная защита информации (ОРГАНИЗАЦИЯ работы с информацией – люди, бумаги, документопотоки).

Организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно – правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

·  организацию охраны, режима, работу с кадрами, с документами;

·  использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности

К организационным мероприятиям можно отнести:

·  Организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещение посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.

·  Организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.

·  Организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение.

·  Организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации.

·  Организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер ее защиты.

·  Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией порядком учета, хранения документов и технических носителей.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.

Организационные средства защиты ПЭВМ и информационных сетей применяются:

·  При проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.

·  При подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.

·  При хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.).

·  При соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и  информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов).

·  При внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.).

·  При подготовке и контроле работы пользователей.