тема 4 для студентов 1 курса

Тема 4. Защита информации в юридической деятельности

3. Принципы и средства системы защиты информации

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ИС.

Создание базовой системы защиты информации в ИС  основывается на следующих принципах;

1.    Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающий оптимальное сочетание программно-аппаратных средств и организационных мер защиты.

2.    Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е.  предоставление  пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автономной обработки доступной им конфиденциальной информации.

3.    Полнота контроля и регистрация попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и  протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИС без ее предварительной регистрации.

4.    Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей или обслуживающего персонала.

5.    Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

6.    Экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации ИС без системы защиты информации.

При реализации перечисленных принципов в практической деятельности используются следующие средства обеспечения безопасности информации.

Технические средства реализуются в виде  электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу (устройства для сканирования отпечатков пальцев, сетчатки глаза и т.п.).

Физические средства реализуются в виде автономных устройств и систем (замки, решетки, электромеханическое оборудование  охранной  сигнализации).

Программные средства представляют ПО, специально предназначенное для выполнения функций защиты информации.

Организационные средства защиты представляю собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Эти мероприятия охватывают все структурные  элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование ИС, монтаж и наладка оборудования, испытания, эксплуатация).

Законодательные средства определяются законодательными актами страны, которыми  регламентируются правила  пользования, обработки и передачи информации  ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека.

Все рассмотренные средства защиты разделены на формальные, которые выполняют защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека, и  неформальные, которые определяются целенаправленной деятельностью человека либо регламентируют эту деятельность.

4. Основные направления и виды защиты информации

Виды защиты в информационных системах классифицируются по направлениям защиты. К основным направлениям защиты относятся:

- защита информации от несанкционированного доступа;

- защита информации в системах связи;

- защита юридической значимости электронных документов;

- защита конфиденциальной информации от утечки по кана­лам побочных электромагнитных излучений и наводок;

- защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ;

-  защита от несанкционированного копирования и распростра­нения программ и ценной компьютерной информации.

С точки зрения защиты информации несанкционированный доступ может иметь следую­щие последствия: утечка обрабатываемой конфиденциальной ин­формации, а также ее искажение или разрушение в результате умышленного нарушения работоспособности ИТ.

Видами защиты информации от несанкцио­нированного доступа являются

1)    разграничение полномочий и доступа к информации;

2)    регистрация, при которой фиксируются все осуществленные или неосуществлен­ные попытки доступа к данным или программам.

Система регистрации и учета осуществляет:

- регистрацию входа (выхода) субъектов доступа в систему (из системы) либо регистрацию загрузки и инициализации операцион­ной системы и ее программного останова;

- регистрацию и учет выдачи печатных (графических) докумен­тов на твердую копию;

- регистрацию запуска (завершения) программ и процессов (за­даний, задач), предназначенных для обработки защищаемых фай­лов;

- регистрацию попыток доступа программных средств к защищаемым файлам;

-  учет всех защищаемых носителей информации.

К видам защиты информации в системах связи относятся применение криптографии и специальных связных протоколов.

К видам защиты юридической значимости электронных документов относится применение «цифровой подписи», которая является одним из криптографических методов проверки подлинности ин­формационных объектов.

Для защиты от побочных электромагнит­ных излучений и наводок применяется экранирование по­мещений, предназначенных для размещения средств вычислитель­ной техники, а также технические меры, позволяющие снизить ин­тенсивность информативных излучений ПЭВМ и средств  связи.

Видами защиты информации от компьютерных вирусов и других опас­ных воздействий по каналам распространения программ являются:

- «иммуностойкие» программные средства, за­щищенные от возможности несанкционированной модифика­ции (разграничение доступа, методы самоконтроля и самовос­становления);

- специальные программы-анализаторы, осущест­вляющие постоян­ный контроль возникновения отклонений в работе прикладных программ, периодическую проверку нали­чия других возможных следов вирусной активности, а также входной контроль новых программ перед их использованием.

Защита от несанкционированного копирования и распростране­ния программ и ценной компьютерной информации осуществляется с помощью специальных программ­ных средств, подвергающих защищаемые программы и базы дан­ных предварительной обработке (вставка парольной защиты, про­верки по обращению к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабо­чей ПЭВМ по ее уникальным характеристикам и т.д.), которая приводит исполняемый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» машинах.

Контроль целостности программного обеспечения проводится с помощью внешних средств (программ контроля целостности) и с помощью внутренних средств (встроенных в саму программу). Внешние средства осуществляют контроль при старте системы, а также при каждом запуске программы на выполнение. Внутренние средства контролируют вы­полнение программ при каждом запуске на выполнение и состоят в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами.

Противодействие несанкционированному изменению прикладных и специальных программ можно обеспечить разными способами, в частности методом контроля целостности базового программного обеспечения спе­циальными программами.

При защите коммерческой информации поль­зуются всей совокупностью  существующих средств и систем защиты данных. Однако при их выборе следует исходить из сравнительной оценки важности защищаемой информации и ущерба, который может нанести ее утрата.

Из перечисленных средств защиты наиболее надежными и эффективными являются системы и средства, построенные на базе криптографических методов. 

 

 

Тема 3. для студентов 1 курса

Тема 3. Государственная политика в информационной сфере

         

          Государственная политика в информационной сфере. Понятие, свойства и функции политики. Основные цели, задачи и направления реализации государственной политики в информационной сфере.

          Система органов управления в информационной сфере. Понятие государственного управления в широком и узком смыслах, его содержание и структура органов. Полномочия Президента РФ, Парламента РФ, высших органов судебной власти РФ, Совета безопасности РФ, Прокуратуры РФ, Уполномоченного по правам человека РФ в информационной сфере. Полномочия Правительства РФ и основных федеральных органов исполнительной власти в информационной сфере.

Тема 2. Информационные процессы в юридической деятельности

 

Информационно-значимые функции в процессе правового воздействия на общественные отношения. Информационные процессы обработки информации в юридической деятельности: сбор, производств, распространение, преобразование, поиск, получение, передача и потребление информации.

Законодательное закрепление основных информационных процессов. Обобщенная структура процесса обращения информации в информационной системе с юридической точки зрения.

Государственная программа информатизации России. Закон РФ «Об информации, информационных технологиях и о защите информации». Национальные и региональные программы информатизации. Типовые проекты для основных сфер и объектов информатизации. Инфраструктура информатизации и создание единого информационного пространства России.