Защита информации в автоматизированных ИС

1.

Защита информации
в автоматизированных ИС

2.

Защита информации в ИОУ
Существуют такие информационные ресурсы,
наибольшим вредом для которых будет не утечка
информации, а их утрата (уничтожение).
Обычно это та информация, восстановить
которую невозможно или очень сложно, например
обширные банки данных, архивы предприятия
и т. п.
Информация, ценность которой зависит от
своевременности представления пользователям,
нуждается в защите от блокирования.
Удовлетворение перечисленных требований к
информационным ресурсам позволяет говорить о
соблюдении информационной безопасности.
2

3.

Информационная безопасность
- такое состояние информационных ресурсов, при котором
они защищены от любых негативных воздействий,
способных привести к нарушению полноты, целостности,
доступности этих ресурсов или вызвать утечку или утрату
содержащейся в них информации.
Задачи информационной безопасности:
1.удовлетворение информационных потребностей
субъектов
2.защита информации.
3

4.

Защита информации в ИОУ
Удовлетворение информационных потребностей предоставление пользователям необходимой им
информации.
Защита информации отвечает за полноту,
достоверность, своевременность предоставленной
информации, должна гарантировать сохранность
информации и неизвестность ее третьим лицам
(конкурентам, злоумышленникам).
Специалисты выделяют следующие направления
обеспечения защиты информации:
правовая;
организационная;
инженерно-техническая;
программно-аппаратная (в том числе
криптографическая).
4

5.

Организационная защита информации
подразумевает создание в организации комплекса
административных мер, позволяющих разрешить или
запретить доступ сотрудников к определенной информа
ции и средствам ее обработки, выработать правила
работы с защищаемой информацией, определить систему
наказаний за несоблюдение таких правил и т.п.
Инженерно-техническая защита информации
означает обеспечение защиты от технической разведки,
установку в организации технических средств охраны
(охранной сигнализации), а также принятие мер по
обеспечению защиты информации от утечки по
техническим каналам (акустический, визуальный)
Программно-аппаратная защита включает в себя
комплекс мер по защите информации, обрабатываемой на
ЭВМ, в том числе и в вычислительных сетях.
5

6.

Федеральный закон от 27 июля 2006 г. N 149-ФЗ
Об информации, информационных технологиях и
о защите информации
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых,
организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа,
уничтожения, модифицирования, блокирования, копирования,
предоставления, распространения, а также от иных неправомерных
действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного
доступа,
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты
информации осуществляется путем установления требований о
защите информации, а также ответственности за нарушение
законодательства Российской Федерации об информации,
информационных технологиях и о защите информации.
6

7.

Федеральный закон от 27 июля 2006 г. N 149-ФЗ
Об информации, информационных технологиях и
о защите информации
Ст.16 п.4. Обладатель информации, оператор информационной
системы в случаях, установленных законодательством РФ, обязаны
обеспечить:
1) предотвращение несанкционированного доступа к информации и
(или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного
доступа к информации;
3) предупреждение возможности неблагоприятных последствий
нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки
информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие
несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности
информации.
7

8.

Федеральный закон от 27 июля 2006 г. N 149-ФЗ
Об информации, информационных технологиях и
о защите информации
Статья 17. Ответственность за правонарушения в сфере
информации, информационных технологий и защиты
информации
1. Нарушение требований настоящего Федерального закона
влечет за собой дисциплинарную, гражданско-правовую,
административную или уголовную ответственность в
соответствии с законодательством Российской Федерации.
2. Лица, права и законные интересы которых были нарушены в
связи с разглашением информации ограниченного доступа или
иным неправомерным использованием такой информации,
вправе обратиться в установленном порядке за судебной
защитой своих прав, в том числе с исками о возмещении
убытков, компенсации морального вреда, защите чести,
достоинства и деловой репутации.
8

9.

Конфиденциальная информация
включает в себя то множество тайн, которое д.ю.н.
В.Н.Лопатин предлагает свести к пяти основным видам
коммерческая тайна;
банковская тайна;
тайна частной жизни;
профессиональная тайна;
служебная тайна.
Поскольку каждая тайна выступает в виде прямых
ограничений при реализации информационных прав и
свобод человека и гражданина, то их правовое
регулирование в соответствии с конституцией РФ
возможно только через федеральные конституционные и
федеральные законы.
9

10.

Профессиональная тайна
– охраноспособная конфиденциальная информация, не
являющаяся государственной тайной и доверенная или
ставшая известной лицу (держателю) исключительно в
силу исполнения им своих профессиональных
обязанностей, не связанных с государственной или
муниципальной службой, распространение которой может
нанести ущерб правам и законным интересам другого лица
(доверителя), доверившего эти сведения.
В соответствии с этими критериями можно выделить
следующие основные объекты профессиональной тайны,
закрепленные в действующем законодательстве: тайна
связи, страхования, завещания; нотариальная,
адвокатская, аудиторская, врачебная тайна.
10

11.

Информация может считаться служебной
тайной
• если она отвечает следующим требованиям:
отнесена федеральным законом к служебной
информации о деятельности государственных
органов, доступ к которой ограничен по закону или
в силу служебной необходимости (собственно
служебная тайна);
является охраноспособной конфиденциальной
информацией (“чужой тайной”) другого лица
(коммерческая тайна, банковская тайна, тайна
частной жизни, профессиональная тайна);
получена представителем государственного органа
и органа местного самоуправления только в силу
исполнения обязанностей по службе в случаях и
порядке, установленных федеральным законом.
11

12.

Служебная тайна
– охраноспособная
конфиденциальная информация, не
являющаяся государственной тайной, ставшая
известной в органах государственной власти и органах
местного самоуправления на законных основаниях и в
силу исполнения их представителями служебных
обязанностей, а также служебная информация о
деятельности государственных органов, доступ к
которой ограничен федеральным законом.
Виды:
военная тайна;
тайна следствия;
судебная тайна.
12

13.

Правовая охрана в отношении собственной
служебной тайны
должна начинаться с момента отнесения конкретных
сведений к служебной тайне в соответствии с перечнем
сведений, определенных федеральным законом и
действовать до тех пор, пока в этом есть служебная
необходимость, если иное не установлено законом.
УПК РФ устанавливает режим правовой охраны прав для
таких видов собственно служебной тайны, как тайна
предварительного расследования, тайна совещания
судей, тайна совещания присяжных заседателей.
13

14.

Программно-аппаратная защита
Построение системы защиты информации в
автоматизированных информационных системах должно
быть комплексным и всесторонним.
Процесс создания системы защиты информации в
автоматизированных системах (АС) подразумевает
прохождение следующих этапов:
выявление угроз защищаемой информации;
определение политики безопасности;
создание механизмов поддержки политики безопасности;
оценка защищенности системы.
14

15.

Программно-аппаратная защита
Угрозы защищаемой информации и их составные части
Под угрозой защищаемой информации понимают
некоторую ситуацию (или потенциально существующую
возможность ее осуществления), которая может привести к
нарушению установленного статуса информации.
Понятие угрозы является комплексным и включает в себя
несколько составляющих:
источники угроз, виды угроз и способы ее
предотвращения.
В качестве источника угроз защищаемой информации
могут выступать люди, способы обработки, передачи и
хранения информации, другие технические средства и
системы, не связанные непосредственно с информации,
стихийные бедствия и природные явления.
15

16.

Программно-аппаратная защита
Информация, обрабатываемая с помощью средств
вычислительной техники, может подвергаться следующим
видам угроз:
уничтожение информации и (или) ее носителя;
несанкционированное получение и (или)
распространение конфиденциальной информации;
модификация информации, т. е. внесение в нее
изменений;
создание ложных сообщений;
блокирование доступа к информации или ресурсам
системы, в том числе отказ в обслуживании;
несанкционированное или ошибочное использование
информационных ресурсов системы;
отказ от получения или отправки информации.
16

17.

Программно-аппаратная защита
Уничтожение информации (или) ее носителя может
нанести значительный ущерб собственнику (владельцу)
данной информации, так как у него не будет
достаточных сведения для принятия необходимых
решений.
Кроме того, если и существует возможность
восстановления утраченной информации, но это
потребует значительных затрат.
Несанкционированное получение злоумышленником
конфиденциальной информации также может привести к
значительному ущербу.
17

18.

Программно-аппаратная защита
Модификация информации означает внесение в
информацию каких-либо изменений в интересах
злоумышленника.
Это представляет значительную опасность для
собственника (владельца) информации, так как на
основе измененных данных он может принять
неправильное решение, что нанесет ему ущерб и (или)
принесет выгоду злоумышленнику.
Если же пользователю станет известно о возможных
внесенных искажениях он должен будет приложить
дополнительные усилия по их выявлению, устранению и
восстановлению истинных сведений.
Это требует дополнительных затрат различных ресурсов
(временных, денежных, кадровых).
18

19.

Программно-аппаратная защита
Блокирование доступа к информации или ресурсам
системы может иметь негативные последствия в случае,
когда некоторая информация обладает реальной
ценностью только на протяжении короткого отрезка
времени.
В этом случае блокирование нарушает требование своев
ременности получения информации.
Также блокирование доступа к информации может привести
к тому, что субъект не будет обладать всей полнотой
сведений, необходимых для принятия решения.
Одним из способов блокирования информации может быть
отказ в обслуживании, когда система вследствие сбоев в
работе или действий злоумышленника не отвечает на
запросы санкционированного пользователя.
19

20.

Программно-аппаратная защита
Несанкционированное или ошибочное использование
ресурсов системы, с одной стороны, может служить
промежуточным звеном для уничтожения, модификации
или распространения информации. С другой стороны, она
имеет самостоятельное значение, так как, даже не касаясь
пользовательской или системной информации, может
нанести ущерб самой системе.
Отказ от получения или отправки информации
заключается в отрицании пользователем факта посылки
или приема какого-либо сообщения.
Например, при осуществлении банковской
деятельности подобные действия позволяют одной из
сторон расторгать так называемым «техническим»
путем заключенные финансовые соглашения, т. е,
формально не отказываясь от них.
20