Правовое
обеспечение безопасности информации
– это совокупность законодательных
актов, нормативно-правовых документов,
положений, инструкций, руководств, требования
которых обязательны в системе
защиты информации. В нашей стране
правовые основы обеспечения безопасности
компьютерных систем составляют: Конституция
РФ, Законы РФ, Кодексы (в том числе
Уголовный Кодекс), указы и другие
нормативные акты. Так, например, Уголовный
Кодекс содержит главу 28, которая называется
«Преступления в сфере компьютерной
безопасности» и содержит описание
состава компьютерных преступлений,
подлежащих уголовному преследованию
и полагающиеся наказания.
Организационно-административное
обеспечение безопасности информации
представляет собой регламентацию
производственной деятельности и взаимоотношений
исполнителей на нормативно-правовой
основе таким образом, чтобы разглашение,
утечка и несанкционированный доступ
к информации становился невозможным
или существенно затруднялся
за счет проведения организационных
мероприятий. К мерам этого класса
можно отнести: подбор и обучение
персонала, определение должностных
инструкций работников, организацию
пропускного режима, охрану помещений,
организацию защиты информации с
проведением контроля работы персонала
с информацией, определение порядка
хранения, резервирования, уничтожения
конфиденциальной информации и т.п.
Инженерно-технические
меры представляют собой совокупность
специальных органов, технических
средств и мероприятий, функционирующих
совместно для выполнения определенной
задачи по защите информации. К инженерным
средствам относят экранирование
помещений, организация сигнализации,
охрана помещений с ПК.
Технические
средства защиты включают в себя аппаратные,
программные, криптографические средства
защиты, которые затрудняют возможность
атаки, помогают обнаружить факт ее возникновения,
избавиться от последствий атаки.
Технические
средства подсистем безопасности современных
распределенных информационных систем
выполняют следующие основные функции:
- аутентификация
партнеров по взаимодействию, позволяющая
убедиться в подлинности партнера при
установлении соединения;
- аутентификация
источника информации, позволяющая убедиться
в подлинности источника сообщения;
- управление
доступом, обеспечивающее защиту от несанкционированного
использования ресурсов;
- конфиденциальность
данных, которая обеспечивает защиту от
несанкционированного получения информации;
- целостность
данных, позволяющая обнаружить, а в некоторых
случаях и предотвратить изменение информации
при ее хранении и передаче;
- принадлежность,
которая обеспечивает доказательство
принадлежности информации определенному
лицу.
Для
реализации указанных функций используются
следующие механизмы:
- шифрование,
преобразующее информацию в форму, недоступную
для понимания неавторизованными пользователями
электронная цифровая подпись, переносящая
свойства реальной подписи на электронные
документы
- механизмы
управления доступом, которые управляют
процессом доступа к ресурсам пользователей
на основе такой информации как базы данных
управления доступом, пароли, метки безопасности,
время доступа, маршрут доступа, длительность
доступа;
- механизмы
контроля целостности, контролирующие
целостность как отдельного сообщения,
так и потока сообщений и использующие
для этого контрольные суммы, специальные
метки, порядковые номера сообщений, криптографические
методы;
- механизмы
аутентификации, которые на основании
предъявляемых пользователем паролей,
аутентифицирующих устройств или его
биометрических параметров принимают
решение о том, является ли пользователь
тем, за кого себя выдает
- механизмы
дополнения трафика, добавляющие в поток
сообщений дополнительную информацию,
«маскирующую» от злоумышленника полезную
информацию;
- механизмы
нотаризации, которые служат для заверения
подлинности источника информации.
Литература
- А. А. Садердинов, В. А.
Трайнев, А. А. Федулов
Информационная безопасность предприятия Дашков и Ко,
2006 г.
- Искандер Конеев, Андрей
Беляев
Информационная безопасность предприятия
БХВ-Петербург, 2003 г.
- Северин
В.А. Правовое
обеспечение информационной безопасности
предприятия: Учебно-практическое пособие
Букинистическое издание (2000)