Организационная защита информации

Размещено на http://www.allbest.ru/

Задание 1. Организационно-правовые меры защиты информации

правовой защита информация

Организационная защита -- это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

* организацию охраны, режима, работу с кадрами, с документами;

* использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

К основным организационным мероприятиям можно отнести Видов С.В. Совершенствование средств обеспечения режима в исправительных учреждениях при помощи современных информационных технологий // Ведомости уголовно-исполнительной системы. 2014. № 8 (147). С. 10-13.:

* организацию режима и охраны. Их цель -- исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

* организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерам] ответственности за нарушение правил защиты ин формации и др.;

* организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

* организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

* организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

Для защиты конфиденциальной информации разрабатываются в организации должны быть разработаны следующие нормативно-правовые документы Организация охраны и совершенствование оборудования объектов УИС инженерно-техническими средствами охраны и надзора: сб. материалов положительного опыта. М.: НИИ ФСИН России, 2015.:

* Перечень сведений, составляющих конфиденциальную информацию организации;

* Договорное обязательство о неразглашении КИ

* Инструкция по защите конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации).

В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации.

Под сведениями (и их носителями) понимаются Масленников Е.Е. Обеспечение правопорядка и безопасности в учреждениях уголовно-исполнительной системы Российской Федерации // Уголовно-исполнительная система в современном обществе и перспективы ее развития (посвящается 135-летию уголовно-исполнительной системы и 80-летию Академии ФСИН России): сб. тез. выступлений участников Междунар. науч.-практ. конф. (Рязань, ноябрь 2014 г.): в 2 т. Рязань: Академия ФСИН России, 2014. Т.2. С. 114-116.:

* Данные, полученные в результате обработки информации с помощью технических средств (оргтехники);

* Информация как часть данных, несущая в себе полезные сведения и используемая сотрудниками организации для работы в служебных целях;

* Документы (носители), образующие в результате мыслительной деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, но необходимые для нормального функционирования организации.

Необходимость организационно-правового обеспечения защиты информации вытекает из факта признания за информацией статуса товара, продукта общественного производства, установления в законодательном порядке права собственности на информацию.

Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы, правила. Применительно к защите информации, оно имеет ряд специфических особенностей:

Представлением информации в непривычной и неудобочитаемой для человека двоичной форме.

Использование носителей информации, записи на которых недоступны для простого визуального просмотра.

Возможность многократного копирования информации без оставления каких-либо следов.

Легкостью изменения любых элементов информации без оставления следов типа подчисток, исправления и т.п.

Невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей.

Наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние защищенность информации.

Комплекс вопросов, решаемых организационно-правовым обеспечением можно сгруппировать в три класса Зотагина Н.А. О некоторых актуальных вопросах деятельности сотрудников уголовно-исполнительной системы по обеспечению безопасности исправительных учреждений // NovaInfo.Ru. 2015. Т. 1. № 38. С. 225-229.:

Организационно-правовая основа защиты информации в автоматизированных системах.

Технико-математические аспекты организационно-правового обеспечения.

Юридические аспекты организационно-правового обеспечения защиты.

Организационно-правовая основа защиты информации должна включать:

Определение подразделений и лиц, ответственных за организацию защиты информации;

Нормативно-правовые, руководящие и методические материалы (документы) по защите информации;

Меры ответственности за нарушение правил защиты

Порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ, с помощью которых в автоматизированных системах могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией.

Под юридическими аспектами организационно-правового обеспечения защиты информации в автоматизированных системах понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели Хабаров А.В. Некоторые проблемы организации деятельности инженерно-технических подразделений по обеспечению безопасности в местах лишения свободы и пути их решения // Вестник Кузбасского института. 2016. № 5 (8). С. 7-14.:

Устанавливается обязательность соблюдения всеми лицами, имеющими отношение к автоматизированным системам всех правил защиты информации.

Узакониваются меры ответственности за нарушение правил защиты.

Узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации.

Узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

Действительно эффективное обеспечение защиты информации в автоматизированных системах возможно только на основе комплексного использования всех известных методов и подходов к решению данной проблемы. Концепция такой комплексной защиты должна удовлетворять следующей совокупности требований.

Должны быть разработаны и доведены до уровня регулярного использования все необходимые механизмы гарантированного обеспечения требуемого уровня защищенности информации.

Должны существовать механизмы практической реализации требуемого уровня защищенности информации.

Необходимо располагать средствами рациональной реализации всех необходимых мероприятий по защите информации на базе достигнутого уровня развития науки и техники.

Должны быть разработаны способы оптимальной организации и обеспечения проведения всех мероприятий по защите в процессе обработки информации.

К технологиям организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации компьютерной системы для обеспечения защиты информации.

Основные свойства технологии организационной защиты Масленников Е.Е. К вопросу об обеспечении безопасности персонала уголовно-исполнительной системы // Пенитенциарное право: юридическая теория и правоприменительная практика. 2015. № 2 (4). С. 31-33.:

обеспечение полного или частичного перекрытия значительной части каналов утечки информации;

объединение всех используемых в компьютерной системе средств в целостный механизм защиты информации.

Технологии организационной защиты информации включают в себя:

ограничение физического доступа к объектам компьютерной системы и реализация режимных мер;

ограничение возможности перехвата ПЭМИН;

разграничение доступа к информационным ресурсам и процессам компьютерной системы;

резервное копирование наиболее важных с точки зрения утраты массивов документов;

профилактику заражения компьютерными вирусами.

Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла компьютерной системы Хабаров А.В. Соблюдение прав осужденных и персонала уголовно-исполнительной системы в условиях применения технических средств обеспечения безопасности // Человек: преступление и наказание. 2017. № 3 (74). С. 59-62.:

на этапе создания компьютерной системы: при разработке ее общего проекта и проектов отдельных структурных элементов _ анализ возможных угроз и методов их нейтрализации; при строительстве и переоборудовании помещений _ приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения _ использование сертифицированных программных и инструментальных средств; при монтаже и наладке оборудования _ контроль за работой технического персонала; при испытаниях и приемке в эксплуатацию _ включение в состав аттестационных комиссий сертифицированных специалистов;

в процессе эксплуатации компьютерной системы _ организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам компьютерной системы, организация ведения протоколов работы компьютерной системы, контроль выполнения требований служебных инструкций и т.п.;

мероприятия общего характера _ подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п.

Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей.

Можно выделить четыре уровня правового обеспечения информационной безопасности. Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:

международные конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;

Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 _ за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 _ за нарушение правил эксплуатации ЭВМ, систем и сетей);

Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);

Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 _ степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 _ органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 _ порядок сертификации средств защиты информации, относящейся к государственной тайне);

Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права; ст. 18 _ защиту прав на программы для ЭВМ и базы данных) Специальная техника и информационная безопасность: учеб. / под ред. В.И. Кирина. М., 2015. 209 с..

Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ.

Третий уровень правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. Например:

ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» и др.;

руководящие документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и др.

Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в компьютерной системе конкретной организации. К таким нормативным документам относятся:

приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

трудовые и гражданско-правовые договоры, в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.

Задание 2

При регистрации в компьютерной системе каждому пользователю выда?тся пароль, состоящий из 6 символов и содержащий только символы из 7-буквенного набора Н, О, Р, С, Т, У, X. В базе данных для хранения сведений о каждом пользователе отведено одинаковое целое число байт, при этом для хранения сведений о 100 пользователях используется 1400 байт. Для каждого пользователя хранятся пароль и дополнительные сведения. Для хранения паролей используют посимвольное кодирование, все символы кодируются одинаковым и минимально возможным количеством бит.

Сколько бит отведено для хранения дополнительных сведений о каждом пользователе?

Ответ:

Согласно условию, в пароле могут быть использованы 7 символов. Известно, что с помощью N бит можно закодировать 2^N различных вариантов. Поскольку 2² < 7 < 2³, то для записи каждого из 7 символов необходимо 3 бита.

Для хранения всех 6 символов номера нужно 3·6 = 18 бит, а т. к. для записи используется целое число байт, то берём ближайшее не меньшее значение, кратное восьми: это число 24 = 8·3 бит (3 байт).

Тогда 100 паролей занимают 3·100 = 300 байт. Сведения занимают 100·10=1000 байт. Итого 1300 байт.

Задание 3

Зашифровать сообщение «Информационная безопасность» методом Цезаря (ключ-количество букв Вашей фамилии).

Ответ:

Шифр Цезаря один из наиболее древнейших известных шифров. Схема шифрования очень проста -- используется сдвиг буквы алфавита на фиксированное число позиций. Используемое преобразование обычно обозначают как ROTN, где N -- сдвиг, ROT -- сокращение от слова ROTATE, в данном случае «циклический сдвиг».

Алфавит действительно зацикливается, то есть буквы в конце алфавита преобразуются в буквы начала алфавита. Например, обозначение ROT2 обозначает сдвиг на 2 позиции, то есть, «а» превращается в «в», «б» в «г», и так далее, и в конце «ю» превращается в «а» а «я» -- в «б». Число разных преобразований конечно и зависит от длины алфавита. Для русского языка возможно 32 разных преобразования (преобразования ROT0 и ROT33 сохраняют исходный текст, а дальше начинаются уже повторения). В связи с этим шифр является крайне слабым и исходный текст можно восстановить просто проверив все возможные преобразования.

Зашифруем с помощью шифра Цезарь сообщение «Информационная безопасность».

Ответ: оуъфцтёьофууёе жкнфхёчуфчшв

Библиографический список

1. О Концепции развития уголовно-исполнительной системы Российской Федерации до 2020 года: распоряжение Правительства Рос. Федерации от 14.10.2010 № 1772-р (в ред. от 23.09.2015) // Собр. законодательства Рос. Федерации. 2010. № 43. Ст. 5544.

2. Приказ Минюста России от 17.06.2013 № 94 О внесении изменений в приказ Министерства юстиции Российской Федерации от 4 сентября 2006 г. № 279 «Об утверждении Наставления по оборудованию инженерно-техническими средствами охраны и надзора объектов уголовно-исполнительной системы».

3. Видов С.В. Совершенствование средств обеспечения режима в исправительных учреждениях при помощи современных информационных технологий // Ведомости уголовно-исполнительной системы. 2014. № 8 (147). С. 10-13.

4. Зотагина Н.А. О некоторых актуальных вопросах деятельности сотрудников уголовно-исполнительной системы по обеспечению безопасности исправительных учреждений // NovaInfo.Ru. 2015. Т. 1. № 38. С. 225-229.

5. Масленников Е.Е. К вопросу об обеспечении безопасности персонала уголовно-исполнительной системы // Пенитенциарное право: юридическая теория и правоприменительная практика. 2015. № 2 (4). С. 31-33.

6. Масленников Е.Е. Обеспечение правопорядка и безопасности в учреждениях уголовно-исполнительной системы Российской Федерации // Уголовно-исполнительная система в современном обществе и перспективы ее развития (посвящается 135-летию уголовно-исполнительной системы и 80-летию Академии ФСИН России): сб. тез. выступлений участников Междунар. науч.-практ. конф. (Рязань, ноябрь 2014 г.): в 2 т. Рязань: Академия ФСИН России, 2014. Т. 2. С. 114-116.

7. Организация охраны и совершенствование оборудования объектов УИС инженерно-техническими средствами охраны и надзора: сб. материалов положительного опыта. М.: НИИ ФСИН России, 2015.

8. Специальная техника и информационная безопасность: учеб. / под ред. В.И. Кирина. М., 2015. 209 с.

9. Хабаров А.В. Соблюдение прав осужденных и персонала уголовно-исполнительной системы в условиях применения технических средств обеспечения безопасности // Человек: преступление и наказание. 2017. № 3 (74). С. 59-62.

10. Хабаров А.В. Некоторые проблемы организации деятельности инженерно-технических подразделений по обеспечению безопасности в местах лишения свободы и пути их решения // Вестник Кузбасского института. 2016. № 5 (8). С. 7-14.

Размещено на Allbest.ru