Организационно-правовое обеспечение информационной безопасности.
Вопросы защиты информационных ресурсов самым тесным образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования отношений в процесс с информатизации. Необходимость организационно-правового обеспечения защиты информации вытекает из факта признания за информацией статуса товара, продукта общественного производства, установления в законодательном порядке права собственности на информацию. Такая постановка вопроса приобретает особый смысл и характер в условиях демократизации общества, формирования рыночной экономики, включения нашего государства в мировое экономическое сообщество.
Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд принципиальных специфических особенностей, обусловленных следующими обстоятельствами:
· представлением информации в непривычной и неудобочитаемой для человека двоичной форме;
· использованием носителей информации, записи на которых недоступны для простого визуального просмотри
· возможностью многократного копирования информации без оставления каких-либо следов;
· легкостью изменения любых элементов информации без оставления следов типа подчисток-, исправления и т.п.;
· невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;
· наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации. Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:
· организационно-правовая основа защиты информации в АС;
· технико-математические аспекты организационно-правового обеспечения;
· юридические аспекты организационно-правового обеспечения защиты.
Из практических соображений ясно, что организационно-правовая основа защиты информации должна включать:
· определение подразделений и лиц, ответственных за организацию защиты информации;
· нормативно-правовые, руководящие и методические материалы (документы) по защите информации;
· меры ответственности за нарушение правил защиты;
· порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.
Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ. Основными из этих условий являются следующие:
· фиксация на документе персональных идентификаторов ("подписей") лиц, изготовивших документ и (или) несущих ответственность за него;
· фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;
· невозможность незаметного (без оставления следов) изменения содержания информации даже липами, имеющими санкции на доступ к ней,
· т.е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;
· фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.
Под юридическими аспектами организационно-правового обеспечения защиты информации в АС понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели;
· устанавливается обязательность соблюдения всеми лицами, имеющими отношение к АС всех правил защиты информации;
· узакониваются меры ответственности за нарушение правил защиты;
· узакониваются (приобретаю! юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;
· узакониваются процессуальные процедуры разрешения ситуаций. складывающихся в процесс: функционирования систем защиты.
Эволюция подходов к обеспечению информационной безопасности. Основные понятия и определения.
Информационная безопасность представляет собой самостоятельную часть безопасности, роль и значение которой с каждым годом неуклонно возрастает. Ее особая роль объясняется глобальными процессами, которые характерны для социально-экономического развития цивилизации. Передовые, развитые в экономическом и технологическом отношении страны вступили в стадию постиндустриального общества, в котором основные производительные силы наряду с переработкой вещества и энергии заняты информационными процессами во всех сферах деятельности и жизни людей.
В ряду крупных аспектов безопасности можно выделить:
1. экологическую безопасность;
2. демографическую безопасность;
3. физическую безопасность;
4. экономическую безопасность;
5. социальную безопасность;
6. этнокультурную безопасность;
7. информационную безопасность;
8. военную безопасность;
9. технологическую безопасность.
Комплексная система защиты информации - совокупность сил, средств, методов и мероприятий, используемых для обеспечения на заданном уровне защиты информации на этом объекте.
С помощью информационного критерия развития можно оценить изменение информационного содержания материальных систем в ходе эволюционной самоорганизации либо самодезорганизации. Причем на главной прогрессивной линии эволюции происходит непрерывное накопление информации в системах, и тем самым, этот критерий выступает в качестве вектора прогрессивного развития материальных систем. Информационный критерий эволюции выражает достаточно очевидную феноменологическую векторно-генетическую связь роста информационного содержания эволюционирующих систем.
В зависимости от того, кто выступает субъектом или объектом безопасности – отдельный человек, социальная группа, общество в целом, государство или сообщество государств выделяют следующие основные уровни безопасности:
1. личная или индивидуальная безопасность;
2. социетальная (общественная) безопасность или безопасность общества;
3. национальная безопасность или безопасность государства;
4. международная или коллективная безопасность;
5. всемирная или глобальная безопасность.
Серверы безопасности( брандмауэры,прокси-серверы)
Обеспечение информационной безопасности организации является на сегодняшний день одной из приоритетнейших задач, стоящих перед любым бизнесом. Безопасность при работе сотрудников в сети Интернет и защита от вредоносных программ является неотъемлемой частью любой информационной системы. То, на сколько хорошо защищена ваша организация напрямую зависит от надежности сервера, безопасности и качества настроек Firewall-системы.
Рассмотрим 2 сервера безопасности: брандмауэры и прокси-серверы
Брандмауэр
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см рис.1). Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить.
Брандмауэры обеспечивают несколько типов защиты:
· Они могут блокировать нежелательный трафик
· Они могут направлять входной трафик только к надежным внутренним системам
· Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом.
· Они могут протоколировать трафик в и из внутренней сети
· Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета
· Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.
Все брандмауэры можно разделить на три типа:
· пакетные фильтры (packet filter)
· сервера прикладного уровня (application gateways)
· сервера уровня соединения (circuit gateways)
Все типы могут одновременно встретиться в одном брандмауэре.
Пакетные фильтры
Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|