Novikov organisatoriskt och juridiskt stöd för informationssäkerhet. Dataskydd med kryptografiska metoder
Frågorna om skydd av informationsresurser är nära kopplade inte bara till lösningen av vetenskapliga och tekniska problem, utan också med frågor om laglig reglering av relationer i processen med informatisering. Behovet av organisatoriskt och juridiskt stöd för att skydda information uppstår genom det faktum att informationen erkänner statusen för en produkt, en produkt från social produktion och fastställer lagen om ägandet till information.
En sådan formulering av problemet får särskild betydelse och karaktär i villkoren för ett demokratiserat samhälle, bildandet av en marknadsekonomi och att vår stat inkluderas i världsekonomiska samhället.
Juridiskt stöd är ett flerdimensionellt koncept, inklusive lagar, beslut, förordningar och regler. När det gäller skyddet av information som bearbetas i ett automatiserat system har det dessutom ett antal grundläggande specifika funktioner på grund av följande omständigheter:
· Presentation av information i en ovanlig och oläslig binär form för människor;
· Med lagringsmedier, poster som inte är tillgängliga för enkel visuell visning
· Möjligheten att upprepade gånger kopiera information utan att lämna några spår;
· Enkel att ändra information om information utan att lämna spår som raderingar, korrigeringar osv.
· Omöjligheten av traditionell fästning av dokument med traditionella signaturer med alla reglerande aspekter av dessa signaturer;
· Förekomsten av ett stort antal icke-traditionella destabiliserande faktorer som påverkar informationssäkerheten.
Baserat på ovanstående omständigheter kan komplexet av frågor som löses med juridiskt stöd grupperas i tre klasser:
· Den organisatoriska och rättsliga grunden för skydd av information i AU;
· Tekniska och matematiska aspekter av juridiskt stöd;
· Rättsliga aspekter av rättsligt skydd.
Av praktiska överväganden är det tydligt att den rättsliga ramen för skydd av information bör inkludera:
· Fastställande av enheter och personer som är ansvariga för organisationen av informationsskydd;
· Reglerande, vägledning och metodologiskt material (dokument) för att skydda information;
· Åtgärder för ansvar för brott mot skyddsreglerna;
· Förfarandet för att lösa tvister och konflikter i frågor om informationssäkerhet.
under tekniska och matematiska aspekter organisatoriskt och juridiskt stöd förstås som en kombination av tekniska medel, matematiska metoder, modeller, algoritmer och program. De viktigaste av dessa villkor är följande:
· Fastställande av dokumentets personliga identifierare ("signaturer") för de personer som producerade dokumentet och (eller) är ansvariga för det;
· Fästning (om nödvändigt) på dokumentet med personliga identifierare (signaturer) av personer som har läst innehållet i relevant information;
· Omöjligt att omöjliga (utan att lämna spår) förändringar i informationsinnehållet även genom lindar som har sanktioner för att få åtkomst till den
· I.e. fastställande av fakta om alla (både auktoriserade och obehöriga) förändringar i information;
· Fixa fakta om någon (både obehörig och auktoriserad) kopiering av skyddad information.
under juridiska aspekter organisatoriskt och juridiskt stöd för skydd av information i AU förstås som en uppsättning lagar och andra lagstiftningsregler med vilka följande mål uppnås;
· Fastställer skyldigheten att följa alla personer med anknytning till AU alla regler för informationsskydd;
· Legaliserat ansvar för brott mot skyddsreglerna;
· Legalisera (få! Juridisk kraft) tekniska och matematiska lösningar på frågor om organisatoriskt och juridiskt stöd för skydd av information;
· Legaliserade förfaranden för att lösa situationer. dyker upp i processen: skyddssystemens funktion.
Utvecklingen av metoder för att säkerställa informationssäkerhet. Grundläggande begrepp och definitioner.
Informationssäkerhet Det är en oberoende del av säkerheten, vars roll och vikt ständigt ökar varje år. Dess speciella roll förklaras av globala processer som är karakteristiska för den socioekonomiska utvecklingen av civilisationen. De avancerade ekonomiskt och tekniskt avancerade länderna gick in i ett postindustriellt samhälle där de viktigaste produktionskrafterna, tillsammans med bearbetning av materia och energi, deltar i informationsprocesser inom alla områden av mänsklig aktivitet och liv.
Bland de viktigaste aspekterna av säkerhet kan identifieras:
1. miljösäkerhet;
2. demografisk säkerhet;
3. fysisk säkerhet;
4. ekonomisk säkerhet;
5. social trygghet;
6. etnokulturell säkerhet;
7. informationssäkerhet;
8. militär säkerhet;
9. teknisk säkerhet.
Integrerat säkerhetssystem Information - en kombination av krafter, medel, metoder och åtgärder som används för att på en viss nivå skydda informationen vid denna anläggning.
Med hjälp av kriteriet för informationsutveckling kan man utvärdera förändringen i informationsinnehållet i materiella system under utvecklingen av självorganisation eller självdisorganisering. Dessutom finns det på den huvudsakliga progressiva utvecklingslinjen en kontinuerlig ansamling av information i system, och därför fungerar detta kriterium som en vektor för den progressiva utvecklingen av materialsystem. Informationskriteriet för evolution uttrycker ett ganska uppenbart fenomenologiskt vektor-genetiskt samband mellan tillväxten av informationsinnehållet i utvecklande system.
Beroende på vem som agerar som ämne eller objekt för säkerhet - skiljer en individ, en social grupp, samhället som helhet staten eller gemenskapen av stater följande grundläggande säkerhetsnivåer:
1. personlig eller individuell säkerhet;
2. samhällelig (allmän) säkerhet eller allmän säkerhet.
3. nationell säkerhet eller statlig säkerhet.
4. internationell eller kollektiv säkerhet;
5. global eller global säkerhet.
Säkerhetsservrar (brandväggar, ombud)
Att säkerställa informationssäkerheten i organisationen är idag en av de högsta prioriteringarna för alla företag. Säkerhet under anställdas arbete på Internet och skydd mot skadlig programvara är en integrerad del av alla informationssystem. Hur väl skyddad din organisation är beror på serverns pålitlighet, säkerheten och kvaliteten på brandväggssysteminställningarna.
Tänk på två säkerhetsservrar: brandväggar och proxyer
brandvägg
En brandvägg är ett system eller en kombination av system som låter dig dela upp ett nätverk i två eller flera delar och implementera en uppsättning regler som bestämmer villkoren för paket att passera från en del till en annan (se fig. 1). Som regel dras denna gräns mellan företagets lokala nätverk och INTERNET, även om den också kan dras i företagets lokala nätverk. På detta sätt passerar brandväggen all trafik genom sig själv. För varje paket som passerar beslutar brandväggen att hoppa över eller släppa det.
Brandväggar ger flera typer av skydd:
· De kan blockera oönskad trafik
· De kan bara rikta inkommande trafik till pålitliga interna system.
· De kan dölja sårbara system som inte kan skyddas mot attacker från Internet på något annat sätt.
· De kan logga trafik till och från det interna nätverket.
· De kan dölja information, till exempel systemnamn, nätverkstopologi, typer av nätverksenheter och interna användaridentifierare från Internet
· De kan ge starkare autentisering än standardapplikationer.
Alla brandväggar kan delas in i tre typer:
Paketfilter
· Applikationsportar
· Anslutningsnivå-servrar (kretsportar)
Alla typer kan hittas samtidigt i en brandvägg.
Batchfilter
Packetfilterväggar avgör om de ska hoppa över ett paket eller släppa det genom att titta på IP-adresserna, flaggorna eller TCP-portnumren i rubriken på detta paket. IP-adressen och portnumret är respektive nätverks- och transportlagerinformation, men paketfilter använder också applikationslagerinformation, eftersom alla standardtjänster i TCP / IP är kopplade till ett specifikt portnummer.
ORGANISATIONSRÄTTSLIGT SKYDD AV INFORMATIONSskydd
Frågorna om skydd av informationsresurser är nära kopplade inte bara till lösningen av vetenskapliga och tekniska problem, utan också med frågor om laglig reglering av relationer i processen med informatisering. Behovet av organisatoriskt och juridiskt stöd för att skydda information uppstår genom det faktum att informationen erkänner statusen för en produkt, en produkt från social produktion och fastställer lagen om ägandet till information.
En sådan formulering av problemet får särskild betydelse och karaktär i villkoren för ett demokratiserat samhälle, bildandet av en marknadsekonomi och att vår stat inkluderas i världsekonomiska samhället. Om utvecklingen av produktionsbasen för att skapa datavetenskapliga verktyg till viss del kan lösas med marknadsstrukturer och relationer, är utveckling och implementering av en lagstiftningsbas för datorisering omöjlig utan en aktiv statlig informationspolitik som syftar till att bygga en organisatorisk och juridisk mekanism för att hantera informationsprocesser enligt ett enhetligt koncept. »Kopplad till den vetenskapliga och tekniska basen för informatisering.
Juridiskt stöd är ett flerdimensionellt koncept, inklusive lagar, beslut, förordningar och regler. I förhållande till skyddet av information som bearbetas i ett automatiserat system har den ett antal grundläggande specifika funktioner på grund av följande omständigheter:
Presentation av information i en ovanlig och oläslig binär form för människor;
Använda lagringsmedier där poster inte är tillgängliga för enkel visuell visning
Möjligheten att upprepade gånger kopiera information utan att lämna några spår;
Lätt att ändra information om element utan att lämna spår som raderingar, korrigeringar osv.;
Omöjligheten att traditionellt fästa dokument med traditionella signaturer med alla reglerande aspekter av dessa signaturer;
Förekomsten av ett stort antal icke-traditionella destabiliserande faktorer som påverkar informationssäkerheten.
Baserat på ovanstående omständigheter kan ett komplex av problem som löses med juridiskt och organisatoriskt stöd grupperas i tre klasser:
Organisatorisk och rättslig grund för informationssäkerhet i AU;
Tekniska och matematiska aspekter av juridiskt stöd;
Rättsliga aspekter av rättsligt skydd.
Av praktiska överväganden är det uppenbart att den rättsliga ramen för skydd av information bör omfatta:
Identifiering av enheter och personer som är ansvariga för att organisera informationsskydd;
Reglerande, reglerande och vägledande material (dokument) om informationsskydd;
Ansvar för brott mot skyddsreglerna;
Förfarandet för att lösa tvister och konflikter i informationssäkerhetsfrågor.
Tekniska och matematiska aspekter av juridiskt stöd förstås som en kombination av tekniska medel, matematiska metoder, modeller, algoritmer och program med vilka alla villkor som är nödvändiga för den lagliga differentieringen av rättigheter och ansvar med avseende på reglerna för hantering av skyddad information kan uppfyllas av ett AS. De viktigaste av dessa villkor är följande:
Fastställande av dokumentets personliga identifierare ("signaturer") av de personer som har producerat dokumentet och (eller) är ansvariga för det;
Fästning (om nödvändigt) på dokumentet med personliga identifierare (signaturer) för personer som har läst innehållet i relevant information;
Omöjligt att omöjligt (utan att lämna spår) förändringar i informationsinnehållet även genom lindar som har sanktioner för att få åtkomst till den
dvs fastställande av fakta om alla (både auktoriserade och obehöriga) förändringar i information;
Fixa faktumet för någon (både obehörig och auktoriserad) kopiering av skyddad information.
De rättsliga aspekterna av organisatoriskt och juridiskt stöd för informationsskydd i AU förstås som helheten av lagar och andra lagstiftningsregler genom vilka följande mål uppnås;
Skyldigheten att följa alla personer som är kopplade till NPP i alla regler för informationsskydd fastställs;
Ansvaret för brott mot skyddsreglerna legaliseras;
Tekniska (matematiska) lösningar på frågor om organisatoriskt och juridiskt stöd för informationsskydd legaliseras (jag får! Juridisk kraft);
Förfaranden för att lösa situationer legaliseras. dyker upp i processen: skyddssystemens funktion.
Således kan hela uppsättningen problem som uppstår för att lösa problemen med organisatoriskt och juridiskt stöd representeras i form av ett schema som visas i fig 1.
^ Juridiskt stöd för informationssäkerhet
Rättslig grund
Tekniska och matematiska aspekter
Rättsliga aspekter
Enheter och personer
ansvarig
för skydd
Fixning av dokumenttexter
Legalisering av reglerna för informationsskydd
Reglerande, vägledning och metodiska material
Fixa fakta om bekanta med information
Legalisering av ansvar för brott
Ansvar för brott
Fixa fakta om förändring av information
Legalisering av tekniska och matematiska lösningar
Tvistlösningsförfarande
Fixa fakta som kopierar information
Legalisering av processuella förfaranden
^ Analys av utländsk och inhemsk erfarenhet av lagligt stöd för informationsskydd
I ledande främmande länder har betydande erfarenheter samlats för att lösa de problem som diskuteras här. Samtidigt är mångfalden i de utvecklade och tillämpade åtgärderna, som inte är begränsade till enbart reglerande och rättsliga handlingar, även om deras betydelse är rådande. Ur denna synvinkel kan vi skilja på följande aspekter av att lösa frågorna om juridiskt stöd för informationsskydd:
Att informera befolkningens massor och är intresserade [specialister på kärnan i problemet med informationssäkerhet, behovet och sätten att lösa det;
Utveckling av enhetlighet i definitionen och tolkningen av grundläggande begrepp relaterade till skyddsproblemet;
Utveckling av tekniska och matematiska grunder som är nödvändiga för att ta itu med frågorna om organisatoriskt och juridiskt stöd för skydd av information;
Utveckling och antagande av standarder inom informationssäkerhet; - Upprättande av lagstiftningsram som är nödvändig för att säkerställa skyddet av information.
Låt oss betrakta mer detaljerat kärnan i de valda aspekterna.
^ Informera om skyddsproblemets art, behovet och sätten att lösa det. I utländsk press (särskilt i USA) har informationssäkerhetsfrågor i informationsdatasystem och nätverk täckts under lång tid, intensivt och i stor skala. Räcker det med att säga att de första publikationerna om de frågor som behandlades dök upp för ungefär * sang sedan de blev historia redan? deras totala antal mäts för närvarande i tusentals. Specialiserade konferenser och seminarier hålls varje år där olika teoretiska och praktiska frågor om informationsskydd diskuteras. Utbildningsprogrammen för alla specialister inom datateknik och dess användning kommer säkert att innehålla avsnitt relaterade till informationsskydd -
Det bör noteras att utländska publikationer har spelat en viktig roll för att informera inhemska experter om problemets natur och sätten att lösa det, särskilt med tanke på att allt vårt arbete för att skydda information tills nyligen stängdes. Bland de utländska verken från senare tid framträder monografin "Skydd av datorer och nätverk. 90-talets strategi". Med andra ord är detta inte bara en annan publikation utan en programvarulövande utveckling.
Bekanta med denna bok ger tillräckligt med grund för ett antal viktiga slutsatser, nämligen: för det första anser utländska experter problemet med informationssäkerhet i datasystem och nätverk vara bland de mest angelägna problemen med utveckling och effektiv användning av datorteknologi, och för det andra inkluderar utländska experter ett problem skydd mot antalet komplexa och flerdimensionella problem; För det tredje är utländska experter inte nöjda med det nuvarande läget för lösningen på det problem som beaktas, och de viktigaste arbetsområdena för 90-talet erkänns som arbetet i en systemorganiseringsplan.
Om vi \u200b\u200bpratar om inhemska publikationer inom informationsskyddet, började de med en serie artiklar i tidskriften "Foreign Radio Electronics" för 1975-1976 gt. Artiklarna var av en översynskaraktär (enligt utländsk press), kombinerades tematiskt och gav en allmän uppfattning om helheten av informationsskyddsproblem och strategier för deras lösning. De orsakade en stor resonans bland specialister och spelade rollen som en detonator och inledde en betydande ökning av intresset för problemet, dess forskning och utveckling. Monografiska publikationer och specialtidsskrifter dök upp.
^ Utveckling av enhetlighet i terminologi i skyddsfrågor.
När man löser alla nya problem, säkerställer den terminologiska enheten, dvs. bildandet av en eventuellt mer fullständig lista med termer som är nödvändiga för att visa alla huvudaspekter av problemet, deras definition och tolkning för att säkerställa en entydig förståelse av vart och ett av termerna. Åtminstone det faktum att detta arbete i vårt land ännu inte har slutförts fram till denna dag tyder på komplexiteten och besvärligheten i detta problem. Det är nödvändigt att uppmärksamma läsarna på en ordlista över termer som utarbetats och publicerades i USA redan 1987. I en ordbok med 428 sidor. innehåller cirka 3 000 termer. En tveklöst fördel med ordboken är att de viktigaste termerna inte bara definieras utan snarare noggrant tolkas och illustreras med diagram och figurer.
Närvaron av en ordlista skapar förutsättningarna för en målinriktad utveckling av allt arbete för att skydda information, därför är skapandet och bred spridningen av en sådan ordbok i Ryssland en av de viktigaste organisatoriska förutsättningarna för implementering av ett trådbundet informationshanteringssystem.
^ Utveckling av tekniska och matematiska grunder som är nödvändiga för att ta itu med frågor om organisatoriskt och juridiskt stöd för skydd av information. Som följer av fig. 1 är den centrala uppgiften att skapa en teknisk och matematisk bas utvecklingen av effektiva och tillförlitliga metoder för att fixa i datorminnet en sådan analog av en mänsklig signatur, som å ena sidan kunde relativt enkelt implementeras med moderna datortekniska medel, och å andra sidan - skulle uppfylla alla grundläggande funktioner för handskrivna målningar. Hittills har nästan alla experter insett att det mest uppmuntrande sättet att lösa detta problem är att använda speciella metoder för kryptografisk informationskonvertering, som oftast kallas system för digital signatur.
Analysera utvecklingen av dessa verk utomlands är det lämpligt att notera att i ledande länder (och särskilt i USA) arbetar inom området kryptografi avsedd för universellt bruk (dvs inte för speciella ändamål) och för att tillfredsställa det allmänna intresset har genomförts under lång tid och är mycket intensivt. För att bekräfta vad som har sagts citerar vi åtminstone det faktum att bibliografiken som bifogas tidskriftsartiklar om detta nummer ofta innehåller upp till 150 namn på helt öppna källor. Ryska läsare kan göra en ganska objektiv uppfattning om arten och utvecklingsnivån för att översätta till ryska den tematiska frågan om verk från Institutet för elektriska och elektroniska ingenjörer.
Det ovannämnda antyder tydligt vikten och nödvändigheten av en omfattande utveckling av arbetet med att skapa tekniska och matematiska grunder för organisatoriskt stöd för informationsskydd, och idag, särskilt för kommersiella tillämpningar.
^ Utveckling och antagande av standarder inom informationsskyddet. Både utomlands och i vårt land ägnas mer uppmärksamhet åt denna fråga.Det är allmänt känt, till exempel, den amerikanska nationella standarden för kryptografisk stängning av DES-information. Och här är inte bara själva krypteringsalgoritmen godkänd som standard, utan också medel för dess implementering och användningsmetoder. Ett antal olika organisationer i USA och Europa är involverade i standardiseringsfrågor inom dataskyddet, och en särskild underkommitté TC / 8C20 från International Organization for Standardization har skapats för att beakta de utvecklade standarderna.
I vårt land började statliga lagstiftningsdokument om skydd av information som bearbetas av datateknik och kommunikation skapas redan på 60-talet, men de fick en nationell karaktär med bildandet av USSR State Technical Commission 1973.
Hittills har vägledningens dokument från Statens tekniska kommission för skydd mot obehörig åtkomst av datorutrustning och automatiserade system, standarden för kryptografisk konverteringsalgoritm, standarden för digital signatur och hashfunktion, beskrivet i det fjärde kapitlet, utvecklats och implementerats.
^ Inrättande av den lagstiftning som krävs för att säkerställa skyddet av information. Det absoluta behovet av att skapa en lagstiftningsram är uppenbar, därför i de ledande västländerna, och nu i Ryssland, ägnas en hel del uppmärksamhet åt denna fråga.
Problemet med lagstiftningsreglering av började diskuteras för första gången utomlands på 60-talet och i synnerhet i USA i samband med förslaget att skapa en rikstäckande databank. För närvarande på internationell nivå har ett stabilt system för synpunkter på information som den mest värdefulla livsmedelsresursen för samhället utformats, vilken lagstiftning som bör gå i följande tre riktningar.
^ SKYDD AV PRIVACY RÄTTIGHETER FÖR PRIVAT LIVNING Denna aspekt är inte ny för världssamhället. De grundläggande principerna för att fastställa gränser för inblandning i privatlivet av staten och andra enheter definieras av de grundläggande FN-standarderna, nämligen deklarationen om mänskliga rättigheter. Mot slutet av 70-talet formulerades två principer, som senare återkom i de nationella informatiklagarna i ett antal västerländska länder:
Upprättande av gränser för integritetsstörning med hjälp av datorsystem;
Införandet av administrativa mekanismer skyddar medborgarna från sådan störning.
Exempel på dokument relaterade till detta område är Europaparlamentets resolution "Om skyddet av individuella rättigheter i samband med datavetenskapsprogrammet" (1979) och EU-konventionen "Om skydd av personer med automatiserad behandling av personuppgifter" (1 980).
^ SKYDD AV STATSINTRESSER. Problemet löses med hjälp av tillräckligt utvecklad nationell lagstiftning som definierar nationella prioriteringar på detta område. Integrationen av EU: s medlemsländer krävde samordning på detta område, varför de allmänna principerna för sekretessbelagd information återspeglas i EU: s konvention för skydd av sekretess.
^ SKYDD AV FÖRETAG OCH FINANSIELLA AKTIVITETER. Denna aspekt av problemet löses genom att skapa en lagstiftningsmekanism som definierar begreppet "handelshemlighet" och sätter villkoren för genomförande av rättvis konkurrens, kvalificering av industriell spionage som en del av illojal konkurrens.
Skapandet av mekanismer för att skydda upphovsrätten, i synnerhet rättigheterna för författare till programvaruprodukter, kan tillskrivas samma riktning. Den senare aspekten återspeglas i EU-direktivet "Om skydd av datorprogram och databaser" (1990).
Det internationellt utvecklade konceptuella ramverket och principerna för informationsskydd återspeglas i de nationella lagarna i ledande västländer. Följande är några exempel på gällande lagstiftning:
Storbritannien - Bill on Data Surveillance (1969). Information Protection Act (1984);
Frankrike - lag om datavetenskap, arkivskåp och friheter (1978);
Tyskland - lag om skydd av personuppgifter från missbruk av databehandling (1977). Information Protection Act (1978);
USA - Secrets of Private Information Act (1974). Computer Misuse Act (1986); Computer Systems Security Act (1987);
Kanada Computer and Information Crime Act (1985).
Den mest utvecklade lagstiftningen på detta område är giltig i USA (över hundra olika lagstiftningsakter). Amerikansk lag omfattar:
Definition och konsolidering av den statliga politiken inom området informatisering,
Tillhandahålla utvecklad produktion, teknik;
Kampen mot monopol och stimulans av prioriterade områden;
Organisering av informationssystem;
Skydd av konsumenternas rättigheter, särskilt medborgarnas rättigheter till information, skydd av information om medborgarna;
Reglering av datorprogramutvecklarnas rättigheter.
I de flesta länder fastställer lagstiftning ansvar för brott mot behandling och användning av personuppgifter; datorbrott betraktas som brott som utgör en särskild fara för medborgarna, samhället och staten och medför betydligt hårdare påföljder än liknande brott som begås utan användning av datorteknologi eftersom brott också betraktas som handlingar som utgör ett hot mot skada, till exempel ett försök att komma in i systemet , introduktion av ett virusprogram, etc.
På tal om den inhemska erfarenheten av juridiskt stöd för informatisering och informationsskydd bör vi notera att denna fråga först ställdes i vårt land på 70-talet i samband med utvecklingen av ACS på olika nivåer. Regleringsramen vid den tiden gick dock inte utöver avdelningsakter, flera regeringsdekret och liknande handlingar på republikansk nivå. Därför kunde lagstiftningsregleringen av informationsprocesserna senast: början av 90-talet inte kallas tillfredsställande. Det var brådskande att skapa en rättslig grund för informatiseringen av Ryssland, lagstiftande säkerställa en effektiv användning av samhällets informationsresurs, reglera rättsliga relationer i alla stadier och stadier av informatiseringen, skydda individuella rättigheter i informatiseringsvillkoren och inrätta en mekanism för att säkerställa informationssäkerhet.
1991 kan markeras som början på aktiv lagstiftningsverksamhet i denna riktning. Samtidigt har lagstiftare med rätta riktat sin uppmärksamhet på följande mest akuta problem för Ryssland:
Problemet med rätten till information;
Problemet med ägande av vissa typer av information;
Problemet med erkännande av information som ett objekt av råvarukaraktär.
Hittills antogs "förklaringen om rättigheter och friheter för män och medborgare" som antogs genom resolutionen från det ryska högsta rådet den 22 november 1991 och den ryska federationens konstitution, som antogs 1993, föreskriver medborgarnas allmänna rätt till information. Begränsningar av denna rätt kan fastställas i lag endast för syftet med
Skydd av personliga, familjära, professionella, kommersiella och statliga hemligheter samt moral. Listan över information som utgör en statshemlighet upprättas genom lag.
Den ryska federationens grundlag "Om information, informatisering och informationsskydd" samt speciallagar "Om statliga hemligheter", "Om rättsligt skydd av datorprogram och databaser", "Om rättsligt skydd av topografier av integrerade kretsar", "Om internationell informationsutbyte" antogs. ". Frågor om juridiskt stöd för skydd av information återspeglas i lagen i Ryska federationen "On Security", som antogs i mars 1992.
I Rysslands statsduma fortsätter avföring att arbeta med lagstiftning på området skydd för extrema sommarstugor. Ett verkligt steg mot att stärka den rättsliga grunden för entreprenörsverksamhet kommer att vara den lagstiftande konsolideringen av institutionen för affärshemligheter i Ryssland. Ett av målen i Rysslands lag ”Om handelshemligheter”, vars första utfrågning redan har ägt rum i statsdumaen, är att skapa de nödvändiga garantierna från staten för att skydda enheter genom att ge dem rätten att hålla värdefull information klassificerad som handelshemligheter för att skydda sin ägare från industriell spionage och skrupelfri konkurrens.
^ De viktigaste strategierna för utveckling av juridiskt stöd Den organisatoriska och rättsliga grunden för skydd av information i AU
Tjänsten för informationsskydd (säkerhet) som skapats speciellt som en del av AU är den centrala länken som implementerar innehållet i den organisatoriska och rättsliga grunden (se fig. 1). Organiseringen av sådana tjänster tillhandahålls både av lagen "om information, informatisering och informationsskydd" och lagen i Ryssland "om säkerhet", där artikel 27 säger:
"... för praktisk implementering av kraven och reglerna för att skydda information, underhålla informationssystem i ett säkert tillstånd, använda speciell programvara och hårdvara och tillhandahålla organisatoriska åtgärder för att skydda informationssystem som behandlar information med begränsad åtkomst i icke-statliga strukturer, kan informationssäkerhetstjänster skapas ... Statliga företag, organisationer och institutioner som behandlar information med begränsad tillgång skapar säkerhetstjänster Information är obligatorisk. "
Baserat på ovanstående uppgifter för informationsskyddstjänsten kan dess huvudfunktioner formuleras:
Bildande av krav för skyddssystemet i processen för att skapa högtalare;
Deltagande i utformningen av ett säkerhetssystem;
Deltagande i testning och godkännande av skyddssystemet och dess beståndsdelar;
Planering, organisering och underhåll av informationssäkerhetssystemet i processen för AU: s funktion;
Distribution mellan användare av nödvändiga säkerhetsdetaljer: lösenord, ytterligare identifierande information, säkerhetsnycklar osv.;
Organisering av generering och installation av tekniska identifieringskoder;
Organisation och införande av servicearrayer av skyddssystemet i AS-minnet;
Övervaka funktionen hos skyddssystemet och dess delar;
Organisering av förebyggande kontroller av skyddssystemets tillförlitlighet;
Utbildning av användare och personal för högtalarna i behandling av skyddad information;
Övervaka efterlevnaden av användare och personal i AU med reglerna för hantering av skyddad information i processen för dess automatiserade behandling;
Vidta åtgärder när du försöker obehörig tillgång till information och vid brott mot skyddssystemets funktionsregler.
Det näst viktigaste problemet med att skapa den rättsliga ramen är förvärvet av ett system med riktlinjer och metodologiska dokument för skydd av information. Ur praktisk synvinkel kunde man vägledas av följande;
Alla dokument som finns i landet som reglerar reglerna för hantering av information med en restriktiv stämpel i sin helhet gäller också för information som sprids under driften av ett kärnkraftverk;
För att ta hänsyn till de specifika funktionerna i ansamling, lagring och bearbetning av data i AS, utvecklas och godkänns särskilda riktlinjer och metodmaterial som måste vara juridiskt bindande.
För att tolka och specificera bestämmelserna och kraven för dessa material i förhållande till specifika förhållanden i varje kärnkraftverk, måste de utvecklas och godkännas på det föreskrivna sättet
Instruktioner till användare, nätoperatörer, tjänsteförskjutningar för databankadministrationen, säkerhetstjänst samt teknisk dokumentation av säkerhetssystemet.
Vid beslut om ansvar för brott mot skyddsreglerna bör det först fastställas om det ledde till läckage av skyddade uppgifter. I detta fall är gärningsmännen ansvariga enligt gällande lagar. För överträdelser av skyddsregler som inte medförde en dataläcka, föreskrivs åtgärder för administrativt ansvar i arbetsrätten.
Lösning av tvister och konflikter i samband med distribution och användning av information om skyddssystemet (lösenord, nycklar etc.) bör ligga inom informationsskyddstjänstens behörighet, och situationer relaterade till tolkning av skyddsdokument bör vara myndigheternas ansvar personer som godkände relevanta handlingar.
^ Tekniska och matematiska aspekter. Studier visar att alla problem förknippade med att lösa problemen under övervägande av att fixa olika fakta om interaktion med den skyddade informationen (både auktoriserad och obehörig) kan delas in i två grupper - allmän och specifik. Samtidigt förstås vanliga sådana problem, vars lösning kan utföras med allmänna medel för åtkomstkontroll. Specifika problem inkluderar fixering av signaturen på ett dokument som skickats till AU i elektronisk form. Denna signatur kallas elektronisk eller digital.
Fördjupade studier av detta problem både i vårt land och utomlands visar att det mest lovande sättet att implementera elektroniska (digitala) signaturer är att använda kryptografiska metoder för datakonvertering. Omfattningen av den digitala signaturen är extremt stor - från finansiella och bankrättsliga papperslösa transaktioner till övervakning av genomförandet av internationella fördrag och upphovsrättsskydd.
Av speciell vikt är signaturproblemet vid överföring av meddelanden via telekommunikationsnät. Följande skadliga åtgärder är potentiellt möjliga: fel när den sändande abonnenten vägrar det överförda meddelandet efter en förfluten tid; förfalskning, när abonnentmottagaren förfalskar meddelandet; ändra när den mottagande abonnenten gör ändringar i meddelandet; maskering när den sändande abonnenten maskeras som en annan abonnent. Under dessa villkor säkerställs skyddet för var och en av de parter som är inblandade i utbytet genom användning av speciella protokoll. För att verifiera meddelandet måste protokollet innehålla följande obligatoriska bestämmelser:
Avsändaren gör sin digitala signatur i det överförda meddelandet, vilket är ytterligare information som beror på informationen som överförs, namnet på meddelandemottagaren och viss egeninformation som endast avsändaren har;
Mottagaren ska kunna se till att signaturen som mottagits som en del av meddelandet är avsändarens korrekta signatur;
Att få avsändarens korrekta signatur är endast möjligt när du använder sekretessbelagd information som avsändaren har;
För att utesluta möjligheten att återanvända föråldrade meddelanden bör signaturen vara tidsberoende.
^ Rättsliga aspekter. Juridiskt stöd för informationsskydd täcker relationer som uppstår vid bildning och användning av informationsresurser baserade på skapande, insamling, bearbetning, ackumulering, lagring, hämtning, distribution och tillhandahållande av dokumenterad information till konsumenten, i skapandet och användningen av informationsteknologier och deras skyddsmedel, samtidigt som de skyddar ämnets rättigheter involverad i informationsprocesser och informatisering. Grunden för att konstruera begreppet rättsligt stöd är uppdelningen av alla informationsresurser i kategorierna av öppen och begränsad tillgång, och informationen om begränsad tillgång enligt villkoren i dess rättsliga system är i sin tur uppdelad i klassificerad som statshemlig och konfidentiell.
I det rättsliga säkerhetssystemet för informationssäkerhet är näsa-till-näsa-platsen ockuperat av lagstiftning om lagstiftning, som inkluderar normer för ansvar för brott inom området för informatisering och kompletterar logiskt uppsättningen organisatoriska, rättsliga och tekniska åtgärder och sätt att skydda information och dess behandlingssystem. Det bör inte bara och inte så mycket riktas mot straff för kriminella intrång i informationssystem och boskapens informationssystem för att förebygga dem.
Med tanke på en integrerad strategi för bildandet av lagstiftning om problem med information och informatisering i Ryssland i april 1992 godkändes "Program för förberedelse av lagstiftnings- och lagstiftningsstöd för arbete inom informatiseringsområdet". I enlighet med detta program var det planerat att utveckla den grundläggande lagen i Ryssland "om information, informatisering och skydd av information", samt speciallagar "om statliga hemligheter", "om kommersiella hemligheter", "om ansvar för missbruk av information", etc. .
Grundlagen "Information, informatisering och informationsskydd" har en central plats i hela systemet för juridiskt stöd för informationssäkerhet. Lag för första gången i lagstiftningspraxis.
Definierar statens ansvar inom området för bildning av informationsresurser och informatisering, de viktigaste riktningarna för statens politik på detta område;
Säkrar medborgarnas, organisationernas, statens rätt till information;
Inrättar den rättsliga ordningen för informationsresurser baserat på tillämpningen av dokumentationsförfarandet på detta område, ägande av dokument och dokumentuppsättningar till informationssystem, dela information baserad på tillgång till öppet och med begränsat skydd för åtkomstinformation;
Utvecklar ett rättsligt erkännandesystem för dokument mottagna från ett automatiserat informationssystem, juridisk kraft, inklusive på grundval av bekräftelse genom elektronisk digital signatur;
Definierar informationsresurser som ett element i fastighetens sammansättning och ett ägandeobjekt;
Det fastställer de grundläggande rättigheterna och skyldigheterna för staten, organisationer, medborgare i processen att skapa informationssystem, skapa och utveckla vetenskapliga och tekniska. produktionsbasen för informatisering, bildandet av en marknad för informationsprodukter, tjänster inom detta område;
Det avgränsar äganderätt och författarrätt till informationssystem, teknik och deras stöd;
Den fastställer regler och allmänna krav på ansvar för brott mot lagstiftning inom informatiserings- och informationsskydd i systemen för dess behandling, garantier för personer i utövandet av rätten till information, säkerhetsgarantier inom informatiseringsområdet.
Lagen föreskriver ett särskilt kapitel om skydd av information. I detta kapitel fastställs att all dokumenterad information är skyddad, vars hantering kan skada sin ägare, ägare, användare eller annan person. Skyddsläget är inställt:
i förhållande till information klassificerad som statshemlighet av auktoriserade organ på grundval av lagen i Ryska federationen "Om statshemlighet";
beträffande konfidentiell dokumenterad information av ägaren av informationsresurser eller en auktoriserad person på grundval av denna lag;
avseende personuppgifter, genom en separat federal lag.
På officiell nivå bildades det statliga informationssäkerhetssystemet i Ryssland 1973 som en del av USSR: s statliga kommission för att motverka utländsk teknisk underrättelse. Sedan 1992 har problemen med informationssäkerhet under de nya ekonomiska och rättsliga förhållandena lämnat kretsen av försvarsämnen och har därmed lett till att det skapas ett nationellt nivå av ett mer avancerat informationssäkerhetssystem. Inrättandet av ett sådant system krävde för det första utvecklingen av det nödvändiga regelverket: Rysslands nationella säkerhetsbegrepp, Rysslands doktrin om informationssäkerhet och ett antal andra dokument.
^ Rysslands nationella säkerhetsstrategi
Genom presidentdekret nr 537 av den 12 maj 2009 godkändes Rysslands nationella säkerhetsstrategi (strategi) fram till 2020.
I detta avseende erkänns det ryska federationsbegreppet, som godkändes i december 1997 och ändrades i januari 2000, som ogiltigt.
Den nationella säkerhetsstrategin är ett system med synpunkter på att säkerställa säkerhet för individer, samhälle och staten mot ryska federationen mot externa och interna hot inom ekonomiska, politiska, sociala, internationella, spirituella, informations-, militära, försvarsindustriella, miljöområden samt inom vetenskapsområdet och utbildning.
Rysslands nationella intressen på informationsområdet består i att iaktta medborgarnas konstitutionella karaktär och friheter när det gäller att få information och använda den, i utvecklingen av modern telekommunikationsteknik, för att skydda statliga informationsresurser från obehörig åtkomst.
Den inhemska ekonomins tillstånd, bristen på organisationen av statsmakten och det civila samhället, den socio-politiska polarisationen av samhället och kriminaliseringen av PR, tillväxten av organiserad brottslighet och ökande terrorism, förvärringen av interetniskt och komplikationen av internationella förbindelser skapar ett brett spektrum av interna och externa hot mot vårt lands nationella säkerhet.
Hot mot Rysslands nationella säkerhet på informationsområdet manifesteras i ett antal länder att vilja dominera det globala utrymmet, att avstå från den externa och interna informationsmarknaden. i utvecklingen av flera stater av begreppet informationskrig, som möjliggör skapandet av medel för farligt inflytande på informationsområdena i andra länder i världen; i strid med informations- och telekommunikationssystemens normala funktion, samt informationsresursernas säkerhet genom att få obehörig åtkomst till dem.
Under implementeringen av denna strategi förhindras hot mot informationssäkerhet genom att förbättra säkerheten för funktionssättet för informations- och telekommunikationssystem för kritisk infrastruktur och högriskanläggningar i Ryssland, genom att öka säkerhetsnivån för företags och individuella informationssystem, skapa ett enhetligt informationssystem och telekommunikationsstöd för behoven hos det nationella stödsystemet säkerhet.
De viktigaste uppgifterna för att säkerställa Rysslands informationssäkerhet är:
Förverkligande av de konstitutionella rättigheterna och friheterna för medborgare i Ryska federationen inom informationsaktivitet;
Förbättring och skydd av den inhemska informationsinfrastrukturen, Rysslands integration i det globala informationsutrymmet;
Motverkar hotet
Federal lag av den 27 juli 2006 N 152-FZ (med ändringar den 5 april 2013) om personuppgifter
personuppgifter - all information som direkt eller indirekt hänför sig till en specifik eller bestämbar fysisk person (med förbehåll för personuppgifter);
Operatören av personuppgifter (i enlighet med lagen om personuppgifter) är ett statligt organ, kommunalt organ, juridisk eller fysisk person som organiserar och (eller) utför behandlingen av personuppgifter samt definierar målen och innehållet i behandlingen av personuppgifter.
Personuppgiftsinformationssystem - ett informationssystem som är en kombination av personuppgifter som finns i en databas, såväl som informationsteknologier och tekniska medel som möjliggör behandling av sådana personuppgifter med hjälp av automatiseringsverktyg eller utan att använda sådana verktyg;
Artikel 19. Åtgärder för att säkerställa säkerheten för personuppgifter under deras behandling
Vid bearbetning av personuppgifter är operatören skyldig att vidta nödvändiga juridiska, organisatoriska och tekniska åtgärder eller att se till att de antas för att skydda personuppgifter från olaglig eller oavsiktlig tillgång till dem, förstörelse, ändring, blockering, kopiering, tillhandahållande, distribution av personuppgifter samt från andra olagliga handlingar när det gäller personuppgifter.
Att säkerställa säkerheten för personuppgifter uppnås, särskilt:
1) definitionen av hot mot säkerheten för personuppgifter under deras behandling i informationssystem för personuppgifter;
2) tillämpning av organisatoriska och tekniska åtgärder för att säkerställa säkerheten för personuppgifter under deras behandling i informationssystem för personuppgifter som är nödvändiga för att uppfylla kraven för skydd av personuppgifter, vars genomförande säkerställer de nivåer för personuppgiftssäkerhet som fastställts av Ryska federationens regering;
3) genom att använda förfarandena för att bedöma överensstämmelse med informationsskyddsanläggningar som har passerat på det fastställda sättet;
4) utvärdering av effektiviteten hos åtgärder som vidtagits för att säkerställa säkerheten för personuppgifter innan idriftsättningen av personupplysningssystemet;
5) ta hänsyn till maskinbärare av personuppgifter;
6) upptäckten av obehörig tillgång till personuppgifter och antagande av åtgärder;
7) återställande av personuppgifter modifierade eller förstörda på grund av obehörig åtkomst till dem;
8) fastställande av regler för tillgång till personuppgifter som behandlas i personupplysningssystemet, samt registrering och registrering av alla åtgärder som utförs med personuppgifter iet;
9) kontroll över åtgärder som vidtas för att säkerställa säkerheten för personuppgifter och säkerhetsnivån för informationssystem för personuppgifter.
För denna artikel
hot mot säkerheten för personuppgifter förstås som en kombination av villkor och faktorer som skapar risken för obehörig, inklusive oavsiktlig, tillgång till personuppgifter, vilket kan leda till förstörelse, ändring, blockering, kopiering, tillhandahållande, distribution av personuppgifter, såväl som andra olagliga handlingar i fall av deras behandling i informationssystemet för personuppgifter.
Säkerhetsnivån för personuppgifter förstås som en komplex indikator som karakteriserar kraven, vars uppfyllande säkerställer neutralisering av vissa hot mot säkerheten för personuppgifter när de behandlas i personuppgifter informationssystem.
Paket med dokument för skydd av personuppgifter
Förordning om skydd av personuppgifter;
Förordning om informationsskyddsenhet;
Order om utnämning av personer som ansvarar för behandlingen av PD;
Informationssäkerhetskoncept;
Politik för informationssäkerhet;
Lista över skyddade personuppgifter;
Order om internrevision;
Rapportera om resultaten av den interna revisionen;
Handlingen att klassificera ett informationssystem för personuppgifter;
Förordning om avgränsning av tillgångsrättigheter till behandlade personuppgifter;
Modell för hot mot säkerheten för personuppgifter;
Handlingsplan för skydd av PD;
Förfarandet för säkerhetskopiering av hårdvara och programvara, databaser och informationssäkerhetsverktyg;
Internrevisionsplan;
Journal för redovisning för säkerhetskontrollåtgärder PD;
Register över ansökningar av PD-ämnen om utövandet av deras lagliga rättigheter;
Instruktioner för administratören av personupplysningssystemet;
Användarmanual för informationssystemet för personuppgifter;
Instruktioner för säkerhetsadministratören för informationssystemet för personuppgifter;
Användarinstruktioner för att säkerställa säkerheten för PD-behandling i nödsituationer;
En lista över redovisning för informationsskydd, operativ och teknisk dokumentation för dem;
Typiska referensvillkor för utveckling av ett system för att säkerställa säkerheten för information om ett objekt av datorteknologi;
Utkast till design för att skapa ett system för att säkerställa säkerheten för information om ett objekt av datorteknologi;
Förordning om elektronisk dagbok för överklaganden från användare av informationssystem för personuppgifter (utkast till beställning);
Steg av arbete. Således bör organisationen av skyddet av personuppgifter genomföras i flera steg:
Inventering av informationsresurser.
Begränsa anställdas tillgång till personuppgifter.
Dokumentärreglering av arbete med personuppgifter.
Bildande av en modell av hot mot säkerheten för personuppgifter.
Klassificering av personuppgifter informationssystem (ISPD) för utbildningsinstitutioner.
Sammanställning och överföring till det behöriga organet av ett meddelande om behandling av personuppgifter.
Ta med personuppgiftsskyddssystemet i enlighet med kraven från tillsynsmyndigheterna.
Skapande av ISPDn-informationssäkerhetsundersystem och dess certifiering (certifiering) för ISPDn-klasser K1, K2.
Organisation av drift och säkerhetskontroll ISPDn.
1. Inventering av informationsresurser
En inventering av informationsresurser är identifiering av närvaro och behandling av personuppgifter i alla informationssystem som drivs i organisationen och traditionella datalager.
I detta skede bör den: godkänna bestämmelsen om skydd av personuppgifter, formulera ett koncept och fastställa en informationssäkerhetspolicy och upprätta en lista över personuppgifter som ska skyddas.
2. Begränsning av anställdas tillgång till personuppgifter
Endast anställda som behöver det för att utföra officiella (arbetskrafts) uppgifter ska ha tillgång till behandlingen av personuppgifter.
I detta skede bör det: i den mån det är nödvändigt begränsa både elektronisk och fysisk tillgång till personuppgifter
3. Dokumentär reglering av arbete med personuppgifter
Enligt artikel 86 i Rysslands arbetslagstiftning måste anställda och deras företrädare bekanta sig med arbetsgivarens handlingar som fastställer förfarandet för behandling av personuppgifter för anställda samt deras rättigheter och skyldigheter på detta område.
Personuppgiften löser självständigt frågan om att överföra den till någon och dokumentera hans avsikt med dokument.
I detta skede bör du: samla in samtycke till behandling av personuppgifter, utfärda en order att utse personer som är ansvariga för behandling av personuppgifter och en föreskrift om differentiering av åtkomsträttigheter till behandlade personuppgifter, utarbeta instruktioner för ISPD-administratören, ISPD-användaren och ISPD-säkerhetsadministratören.
4. Bildandet av en modell för hot mot säkerheten för personuppgifter
En privat modell av hot mot säkerheten för personuppgifter lagrade i informationssystemet bildas på grundval av följande dokument godkända av Federal Service for Technical and Export Control (FSTEC):
Den grundläggande modellen för hot mot säkerheten för personuppgifter under deras behandling i ISPDn;
Metod för att bestämma de faktiska hoten mot säkerheten för personuppgifter under deras behandling i ISPDn;
I detta skede bör en modell för hot mot säkerheten för personuppgifter som behandlas och lagras i utbildningsinstitutionen utformas.
5. ISPD-klassificering se fråga nr 18
6. Med att lämna och skicka aviseringar till det behöriga organet
En anmälan om behandling av personuppgifter utfärdas på operatörens brevhuvud och skickas till den territoriella myndigheten för Roskomnadzor vid ministeriet för telekom och masskommunikation i Ryssland på papper eller i form av ett elektroniskt dokument undertecknat av en auktoriserad person. uppgifterna behandlas, den rättsliga grunden för behandlingen, dagen för dess början, terminen (villkoret) för dess upphörande, etc.
7. Ta med systemet i enlighet med kraven från tillsynsmyndigheterna
I det här skedet bör du: skapa en lista över redovisning för sätten att skydda information, operationell och teknisk dokumentation för dem; bestämmelser om informationsskyddsenheten; riktlinjer för att organisera skyddet av information vid behandling av personuppgifter; användarinstruktioner för att säkerställa säkerheten vid bearbetning av PD i händelse av en nödsituation, samt godkännande av en handlingsplan för skydd av PD.
8. Certifiering (certifiering) ISPDn
För att säkerställa ISPDns säkerhet krävs det åtgärder för organisation och teknisk support för skyddet av behandlade personuppgifter. Som en bedömning av ISPDn 1- och 2-klassen överensstämmer med kraven för säkerhet för PD används obligatorisk certifiering (certifiering).
Följande objekt för informatisering är obligatoriska certifiering:
Automatiserade system med olika nivåer och syften.
Kommunikation, mottagning, bearbetning och dataöverföringssystem.
Display- och reproduktionssystem.
Lokaler för konfidentiella förhandlingar.
9. Organisation av drift av ISPDn och säkerhetskontroll
Åtgärder för att säkerställa säkerheten för personuppgifter under deras behandling i informationssystem inkluderar:
övervaka efterlevnaden av villkoren för användning av informationsskyddsverktyg som föreskrivs i drifts- och teknisk dokumentation;
förfaranden och slutsatser om fakta om bristande efterlevnad av lagringsvillkoren för personuppgiftsbärare, användningen av informationsskydd, vilket kan leda till brott mot sekretessen för personuppgifter.
Ansvar för brott mot federal lag nr 152 om personuppgifter
Administrativt ansvar: böter eller böter med konfiskation av ocertifierade säkerhetsverktyg och krypteringsverktyg. Administrativ kod, art. 13.11, 13.12, 13.14
Disciplinnansvar: uppsägning av den kränkande anställda. Rysslands arbetskod, art. 81 och 90
Straffrättsligt ansvar: från kriminalvård och berövande av rätten att ockupera vissa positioner för att gripa. Strafflagen, Art. 137, 140, 272
Organisatoriskt och juridiskt stöd för informationssäkerhet, Polyakova T.A., Streltsov A.A., 2016.
Informationssäkerhet i informationssamhället. Säkerställa informationssäkerhet.
Begreppet ”informationssäkerhet” har blivit utbrett både i internationella och nationella politiska dokument och lagbestämmelser.
För första gången framkom begreppet ”informationssäkerhet” i nationell lagstiftning och politiska dokument i art. 2 i Rysslands lag, daterad 05.03.1992 nr 2446-1 "On Security", där "informationssäkerhet" lyfts fram som en av komponenterna i Rysslands säkerhet. Samtidigt introducerades begreppet ”Rysslands nationella säkerhet”, vilket förstås som ”säkerheten för dess multinationella människor som suveränitetsbärare och den enda maktkällan i Ryssland”. För första gången i Ryssland definierades det 1997 i Rysslands nationella säkerhetsbegrepp. I den nya utgåvan av den federala lagen daterad 28 december 2010 nr 390-ФЗ "On Security" används termerna "säkerhet" och "nationell säkerhet" som synonymer.
I förslaget till Rysslands federations informationssäkerhet (1997) täckte Rysslands nationella intressen på informationsområdet tre huvudaspekter:
- iakttagande av medborgarnas konstitutionella rättigheter och friheter.
- Utveckling av modern telekommunikationsteknik.
- skydd av statliga informationsresurser från obehörig åtkomst.
Separat belyses nationella intressen i den andliga sfären, som inkluderade bevarande och förstärkning av de moraliska värdena i samhället, traditionerna för patriotism och humanism och landets kulturella och vetenskapliga potential. Dessa tolkningar av begreppet ”nationell säkerhet” och innehållet i nationella intressen på informationsområdet utvecklades i doktrinen om informationssäkerhet. I detta dokument avslöjades begreppet "informationssäkerhet i Ryssland" som "skyddsstat för nationella intressen på informationsområdet, bestämt av helheten av individens, samhällets och statens balanserade intressen".
Innehållsförteckning
Team av författare
förord
Godkända förkortningar
Kapitel 1. Säkra informationssäkerhet i globaliseringen av informationsutrymmet
1,1. Informationssäkerhet i informationssamhället
1,2. Modern informationskonfrontation och säkerställa informationssäkerhet
Självstudieuppgifter
Kapitel 2. Teoretiska och metodologiska frågor om organisatoriskt och juridiskt stöd för informationssäkerhet
2,1. Informationssäkerhet i Rysslands nationella säkerhetssystem
2,2. grundläggande principer för informationssäkerhet
2,3. Rättslig reglering av informationssäkerhet i systemet med rysk information lag
2,4. Juridiska medel för att säkerställa säkerheten för Rysslands informationsinfrastruktur
2,5. Juridiska medel för informationssäkerhet
2,6. Organisationsstöd för informationssäkerhet i Ryssland
Frågor och uppgifter för självkontroll
Självstudieuppgifter
Kapitel 3. Organisatoriska och juridiska problem med internationell informationssäkerhet
3,1. Internationella rättsakter inom informationssäkerhet
3,2. Utländsk erfarenhet av juridiskt stöd för informationssäkerhet
3,3. Främjande av ryska initiativ inom internationell informationssäkerhet
Frågor och uppgifter för självkontroll
Självstudieuppgifter
Kapitel 4. Rättsliga system för att säkerställa säkerheten för begränsad information
4,1. Begränsning av tillgången till information för att skydda individens, samhällets och statens intressen
4,2. Rättsliga hemligheter i systemet med organisatorisk och rättslig säkerhet för information om begränsad tillgång
4,3. Rättsligt system för skydd av statshemligheter
4,4. Rättsligt system för affärshemligheter
4,5. Rättsligt system för att säkerställa säkerheten för personuppgifter
4,6. Aktuella frågor om den officiella hemliga regimen
Frågor och uppgifter för självkontroll
Självstudieuppgifter
Kapitel 5. Faktiska problem med juridiskt och organisatoriskt stöd för informationssäkerhet
5,1. Motverka extremistiska aktiviteter på informationsområdet
5,2. Skydda barn från information som är skadlig för deras hälsa och utveckling
5,3. Rättsliga frågor för att säkerställa informationssäkerhet på Internet
Frågor och uppgifter för självkontroll
Självstudieuppgifter
Kapitel 6. Funktioner i den rättsliga ramen för skydd av informationssystem
6,1. Funktioner i organisatoriskt och juridiskt stöd för processerna för att skapa automatiserade system i en säker exekvering
6,2. Funktioner i organisatoriskt och juridiskt stöd för skydd av informationssystem inom rättsliga förfaranden
6,3. Övningen med att utveckla och implementera informationssäkerhetspolicyer för företags informationssystem
Frågor och uppgifter för självkontroll
Självstudieuppgifter
Kapitel 7. Rättsligt ansvar för brott inom informationsområdet
7,1. Konceptet och typer av juridiskt ansvar inom informationssäkerhet. Ämnen och föremål för rättsliga relationer inom informationssäkerhet
7,2. Brott i informationsområdet är ett hot mot informationssäkerheten i bildandet av informationssamhället och globaliseringen
7,3. Problem med straffrättsligt ansvar för informationsbrott
7,4. Problem med internationellt samarbete och utländsk erfarenhet av att bekämpa brottslighet på informationsområdet
Frågor och uppgifter för självkontroll
Självstudieuppgifter
Rekommenderad läsning.
Gratis nedladdning av e-boken i ett bekvämt format, titta och läsa:
Ladda ner bok Organisatoriskt och juridiskt stöd för informationssäkerhet, Polyakova T.A., Streltsov A.A., 2016 - fileskachat.com, snabb och gratis nedladdning.
Ladda ner pdf
Nedan kan du köpa denna bok till det bästa rabatterade priset med leverans över hela Ryssland.Köp den här boken
Ladda ner - pdf - Yandex.Disk.
RUSSISKA FEDERATIONEN
STATS UTBILDNINGSINSTITUTION
HÖGER PROFESSIONELL UTBILDNING
“Jag bekräftar”
Visarektor för akademiska frågor
_______________/
"___" _______________ 2011
Organisatoriskt och juridiskt stöd för informationssäkerhet
Utbildningsmetodiskt komplex.
Arbetsprogram för heltidsstudenter
specialitet 090301.65 "Datorsäkerhet",
utbildningsprofil "Säkerhet för automatiserade system"
"" ____________ 2011
Betraktas vid ett möte i avdelningen för informationssäkerhet 04/20/2011., Protokoll
Uppfyller kraven för innehåll, struktur och design.
Volym __ s.
Head. Institutionen __________________________________________ //
"" ____________ 2011
Betraktas vid ett möte i CMD från Institute of Mathematics, Natural Sciences and Information Technology 05/15/2011. Protokoll
Motsvarar den federala statens utbildningsstandard för högre yrkesutbildning och läroplanen för utbildningsprogrammet.
"Godkänd":
Ordförande för CMC _____________________________________ / /
"" ___________ 2011
"Godkänd":
Head. metodisk avdelning för UMU _________________________ //
"_____" _______________ 2011
RUSSISKA FEDERATIONEN
UTBILDNING OCH VETENS VETENSKAP
Statlig utbildningsinstitution
UNIVERSITET I TYUMEN
Institutet för matematik, naturvetenskap och informationsteknologi
Institutionen för informationssäkerhet
LYSOV A. S.
Organisatoriskt och juridiskt stöd för informationssäkerhet
Utbildningsmetodiskt komplex.
Arbetsprogram för heltidsstudenter,
specialutbildningsprofil: "Säkerhet för automatiserade system"
Tyumen State University
. Organisatoriskt och juridiskt stöd för informationssäkerhet.
Utbildningskomplex. Arbetsprogram för heltidsstudenter 090301.65 "Datorsäkerhet",utbildningsprofil "Säkerhet för automatiserade system". Tyumen, 2011, 13 sid.
Arbetsprogrammet har upprättats i enlighet med kraven i den federala statliga utbildningsstandarden för högre yrkesutbildning, med hänsyn till rekommendationerna och programmet för högre yrkesutbildning i utbildningens riktning och profil.
Godkänd av rektor för akademiska frågor, Tyumen State University
Chefredaktör:, Chef. Institutionen för informationssäkerhet, doktor för tekniska vetenskaper, prof.
© GOU VPO Tyumen State University, 2011
1. Förklarande anmärkning
1.1. Mål och mål för disciplinen
Disciplinen "Grundläggande för informationssäkerhet" implementerar kraven i den federala statens utbildningsstandard för högre yrkesutbildning i riktning mot förberedelser 090301.65 "Datorsäkerhet".
syfte att studera disciplinen "Organisatoriskt och juridiskt stöd för informationssäkerhet" är att bekanta eleverna med grunderna för informationssäkerhet. Vi studerar informationshot, neutralisering av dem, organisering av åtgärder för att skydda informationsresurser, lagstiftningsdokument för informationsaktiviteter, kryptografi och andra problem relaterade till datornätverkens säkerhet.
Målen för disciplinen är:
· En redogörelse för de viktigaste bestämmelserna i Läran om informationssäkerhet i Ryssland.
· Ge kunskap om grunderna i ett integrerat informationssäkerhetssystem;
· Ge kunskap om grunderna för juridiskt stöd för skydd av information.
· Utformning av grunden för ytterligare oberoende studier av frågor om att säkerställa dator- och informationssäkerhet
Således är disciplinen "Grundläggande för informationssäkerhet" en integrerad del av utbildningen inom utbildning 090301 "Datorsäkerhet". Tillsammans med andra discipliner inom cykeln för professionella discipliner är studien av denna disciplin utformad för att bilda en specialist, och särskilt för att utveckla sådana kvalitetTill exempel:
· Rigor i dom,
· Kreativt tänkande,
· Organisation och prestanda,
· Disciplin,
· Självständighet och ansvar.
1,2. Plats för disciplin i strukturen för OOP:
Disciplinen hör till matematik- och naturvetenskapens cykel.
discipliner.
Den kunskap som erhållits i studien av disciplinen "Grundläggande för informationssäkerhet" används för att studera discipliner
Revisions för informationssäkerhet,
1,3. Krav på resultaten för att behärska disciplinen:
Processen att studera disciplinen syftar till att bilda följande kompetenser:
Allmänna kulturella kompetenser (OK):
- förmågan att agera i enlighet med Ryska federationens konstitution, att fullgöra sin medborgerliga och yrkesmässiga skyldighet, styrd av principerna om laglighet och patriotism (OK-1);
- förmågan att analysera socialt betydelsefulla fenomen och processer, inklusive sådana av politisk och ekonomisk karaktär, filosofiska och filosofiska problem, tillämpa de grundläggande principerna och metoderna för humanitära, sociala och ekonomiska vetenskaper för att lösa sociala och professionella problem (OK-3);
- förmågan att förstå drivkrafterna och mönstren för den historiska processen, individens roll i historien, den politiska organisationen av samhället, förmågan att respektera och omsorgsfullt behandla det historiska arvet och tolerera sociala och kulturella skillnader (OK-4);
Professionell kompetens (PC):
- förmågan att använda de grundläggande metoderna för att skydda produktionspersonal och befolkningen mot möjliga konsekvenser av olyckor, katastrofer, naturkatastrofer (PK-6);
Som ett resultat av att studera disciplinen måste studenten:
Att veta:
· Källor till hot mot informationssäkerhet;
· Metoder för att bedöma informationens sårbarhet;
· Metoder för att skapa, organisera och säkerställa att integrerade informationsskyddssystem fungerar.
· Metoder för att förhindra avslöjande av konfidentiell information;
· Typer och tecken på datorbrott
Kunna:
· Leta efter nödvändiga lagar och rättsliga normer i systemet med befintlig lagstiftning, inklusive användning av juridiska informationssystem;
· Tillämpa den nuvarande lagstiftningen inom informationssäkerhet;
· Utveckla förslag till förordningar, instruktioner och andra organisatoriska och administrativa dokument som styr arbetet för att skydda information.
2. Strukturen och komplexiteten i disciplinen.
Tabell 1
Typ av yrke | termin |
Total arbetskraftsinsats | |
Klassrumsaktiviteter | |
Praktiska övningar | |
Oberoende arbete | |
Typ av slutkontroll |
3. Temaplan.
Tabell 2
tema | semesterveckor | Typer av akademiskt arbete och självständigt arbete per timme. | Totalt antal timmar om ämnet | Varav i interaktiv form | Totala poäng |
||||
föredrag | Praktiska övningar | Oberoende arbete |
|||||||
Modul 1 |
|||||||||
Informationshot. | |||||||||
bara | |||||||||
Modul 2 |
|||||||||
bara | 1 4 | ||||||||
Modul 3 |
|||||||||
bara | 1 4 | ||||||||
Totalt (timmar, poäng) per termin: | |||||||||
Varav i interaktiv form | |||||||||
Tabell 3
Typer och former av värderingsverktyg under den nuvarande kontrollperioden
Muntlig undersökning | Skriftligt arbete | Informationssystem och teknik | Andra former av kontroll | Totala poäng |
||||
intervjun | verkstadssvar | Hemtest | Uppskattat arbete på en dator | |||||
Modul 1 |
||||||||
bara | ||||||||
Modul 2 |
||||||||
bara | ||||||||
Modul 3 |
||||||||
bara | ||||||||
totalt |
Tabell 4
Studenter självplanering
Moduler och teman | Typer av CDS | Semestervecka | Volymen av timmar | Antal poäng |
||
obligatoriskt | ytterligare |
|||||
Modul 1 | ||||||
Informationshot. | Inspektion av material vid föreläsningar. Förberedelse för rapporten | |||||
Datorvirus. | Inspektion av materialet vid föreläsningar. förberedelse för ett svar på kollokviet. | Arbeta med pedagogisk litteratur | ||||
Total modulo 1: | ||||||
Modul 2 | ||||||
Laglig reglering av informationssäkerhet | Inspektion av material vid föreläsningar, förberedelse för rapporten | Arbeta med pedagogisk litteratur | ||||
Organisatoriska åtgärder för att säkerställa informationssäkerhet för datasystem | Inspektion av materialet vid föreläsningar, förberedelse för ett svar på kollokviet, förberedelse för rapporten | |||||
Total modulo 2: | ||||||
Modul 3 | ||||||
Dataskydd med kryptografiska metoder | Arbeta med pedagogisk litteratur, läxor | |||||
Informationssäkerhetspolicy | Inspektion av materialet vid föreläsningar. Att göra läxor, förbereda för svaret på seminariet och för en intervju. | Arbeta med pedagogisk litteratur, utföra designarbete på en dator | ||||
Typiska fjärranfall med sårbarheter i nätverksprotokoll. | Inspektion av materialet vid föreläsningar. Utförande av kontrollarbete, förberedelse för ett svar på kollokviet. | Arbeta med pedagogisk litteratur, förbereda en rapport. | ||||
Total modulo 3: | ||||||
TOTAL: | ||||||
4. Avsnitt av disciplinen och tvärvetenskapliga relationer med de tillhandahållna (efterföljande) disciplinerna
Ämnen med den disciplin som krävs för att studera säkrade (efterföljande) discipliner
Namnet på de medföljande (efterföljande) disciplinerna | |||||||||||
Hantering av informationssäkerhet | |||||||||||
Revisions för informationssäkerhet | |||||||||||
Skydda konfidentiell information | |||||||||||
Skydd av personuppgifter i ISPD |
5. Innehållet i avsnitten i disciplinen
Tema 1.
Informationshot. Begreppet information hot. Begreppet information. Informationskrig. De grundläggande definitionerna av information, dess värden, informationshot studeras. Informationshot mot informationssäkerhetssäkerhet. Frågorna om att bygga en informationsstruktur i Ryssland, olika problem som uppstår i samband med denna process, Rysslands deltagande i internationellt informationsutbyte beaktas. Typer av motståndare. Hackare. Det socio-psykologiska porträttet av överträdaren av informationssäkerhet, dess förmåga och handlingsmetoder studeras. Typer av möjliga överträdelser av informationssystemet. Allmän klassificering av informationshot. IP-brott studeras, IP-hotklassificering införs, möjliga ämnen och objekt för IP-åtkomst, hot implementerade på nivån för ett lokalt (isolerat) datorsystem övervägs. Orsaker till sårbarheter i datornätverket.
Ämne 2. Datorvirus. Vi studerar skadlig programvara, historien om deras utveckling, ansvar för skapandet och distributionen, typer, principer för virusinsatser, avmaskningstecken.
Ämne 3. Laglig reglering av informationsskydd (analys av artiklar i strafflagen, andra lagar). Informationssäkerhetsstandarder Föreskrivande dokument som reglerar informationsverksamhet i Ryssland och världen. Standards för informationssäkerhet
Ämne 4. Organisatoriska åtgärder för att säkerställa informationssäkerheten för datasystem. Roll för säkerhetsadministratörens uppgift och skyldigheter, fastställande av metoder för riskhantering, strukturering av kontrollåtgärder, certifieringsförfarande för att följa IS-standarder
Ämne 5. Dataskydd med kryptografiska metoder. Krypteringsmetoder och algoritmer, chifferkrav, de vanligaste teckensnitten
Ämne 6. Informationssäkerhetspolicy. Informationssäkerhetsmodeller i CA: s säkerhetspolicy och dess huvudkomponenter, informationssäkerhetsmodeller i datasystem, teknik för att skydda och avgränsa tillgången till information.
Ämne 7. Typiska fjärranfall med sårbarheter i nätverksprotokoll. Klassificering av fjärrattacker. Attacker på ARP-protokoll, ICMP-protokoll, DNS-protokoll, TCP-protokoll, typer av attacker.
6. Seminarier.
Tema 1. Dataskydd med kryptografiska metoder.
l Krypteringsmetoder och algoritmer.
l Skriva de vanligaste teckensnitten.
Tema 2. Informationssäkerhetspolitik.
l Informationssäkerhetsmodeller i COP
l Säkerhetspolitik och dess huvudkomponenter,
l Modeller för informationssäkerhet i datasystem,
l Teknologier för att skydda och begränsa tillgång till information.
l Orsaker, typer, läckage kanaler och förvrängning av information
Ämne 3. Typiska fjärranfall med sårbarheter i nätverksprotokoll.
· Fjärranfall på ARP-protokoll
· Fjärranfall på ICMP-protokollet
· Fjärranfall på DNS \u200b\u200b- protokoll,
· Fjärranfall på TCP-protokoll.
7. Utbildning - metodiskt stöd för självständigt arbete för studenter. Utvärderingsverktyg för övervakning av prestanda, mellanliggande certifiering baserat på resultaten för att behärska disciplinen (modul).
Kontroll av förberedelsekvaliteten under semestern innebär följande typer av mellanliggande kontroll:
a) genomföra muntliga teoretiska undersökningar (kollokvier), en i varje utbildningsmodul;
b) utarbetande av en rapport av en student.
c) genomföra testarbete på den teoretiska kursen
Nuvarande och mellanliggande kontroll av utveckling och assimilering av disciplinmaterial utförs som en del av ett klassificeringssystem (100 poäng).
Exempelrapporter ämnen:
1. Laglig reglering av informationssäkerhet.
2. Definition av informationssäkerhetspolicy (Definition av de vägledande dokument och standarder som används. Definition av metoder för riskhantering).
3. Fastställande av gränserna för IS-förvaltningen (beskrivning av den befintliga strukturen i kärnkraftverket. Placering av CBT-anläggningar och stödjande infrastruktur)
4. COP: s säkerhetsadministratörs roll, uppgifter och ansvar.
5. Dataskydd med kryptografiska metoder. Krypteringsmetoder.
6. Dataskydd med kryptografiska metoder. Krypteringsalgoritmer.
7. Krav på chiffer. Jämförelse av DES och GOST
8. Typiska fjärranfall med sårbarheter i nätverksprotokoll. Klassificering av fjärrattacker.
9. Modeller för informationssäkerhet i COP.
Frågor för tentamen
1. Begreppet information hot.
2. Informationskrig.
3. Informationshot mot Rysslands säkerhet. Läran om Rysslands informationssäkerhet.
4. Typer av motståndare. Hackare.
5. Datorvirus. Historien. Definitionen av strafflagen.
6. Typer, principer för virusverkan, skyltning av tecken.
7. Typer av möjliga överträdelser av informationssystemet. Allmän klassificering av informationshot.
8. Hot mot datasäkerhetsresurser. Hot implementerade på den lokala datorsystemnivån. Den mänskliga faktorn.
9. Hot mot datorinformation implementerad på hårdvarunivå.
10. Fjärranfall på datorsystem. Orsaker till sårbarheter i datornätverket.
11. Laglig reglering av informationssäkerhet.
12. COP: s säkerhetsadministratörs roll, uppgifter och ansvar.
13. Dataskydd med kryptografiska metoder. Krypteringsmetoder.
14. Dataskydd med kryptografiska metoder. Krypteringsalgoritmer.
15. Krav på chiffer. Jämförelse av DES och GOST
16. Typiska fjärranfall med sårbarheter i nätverksprotokoll. Klassificering av fjärrattacker.
17. Säkerhetspolitik och dess komponenter.
18. Modeller för informationssäkerhet i COP.
19. Teknologi för skydd och åtkomstkontroll.
20. Informationssäkerhetsstandarder.
21. FETT
8. Utbildningsteknologi
En kombination av traditionella typer av utbildningsaktiviteter tillhandahålls, såsom att anteckna föreläsningar och kontrollera assimilering av teoretiskt material i form av svar på seminariet, förbereda temarapporter, kollokvier, genomföra klassrumsrevisionsarbete och interaktiv teknik som intervjuer, utföra och diskutera rapporter och beräkningsarbete.
Beredning och skydd av rapporter från studenter om ämnen som inte ingår i föreläsningsplanen gör det möjligt att utöka de vetenskapliga horisonterna för studenter, öka färdigheterna i att arbeta med utbildning och vetenskaplig inhemsk och utländsk litteratur, utveckla språkkunskaper, öka matematisk utbildning, stärka tvärvetenskaplig kommunikation, öka programmeringsfärdigheter och utveckla färdigheter organisera och fritt presentera för publiken material om ett visst ämne.
9. Litteratur
9,1. Grundläggande litteratur
1. Rastorguev informationssäkerhet: lärobok. bidrag för studenter. universitet, utbildning. av special "Datorsäkerhet", "Integrerat stöd för informationssäkerhet för automatiserade system" och "Informationssäkerhet för telekommunikationssystem". - M .: Academy, 2s
2. Grunderna för informationssäkerhet: lärobok. bidrag för studenter. universitet / komp. . - M .: Hot line - Telecom, 2s
3. Datornätverk. Principer, teknik, protokoll.-SPb: Peter, 200-tal.
4. Yarochkin safety.- M .: Academic project, 2003.-639 s.
5. Galatenko informationssäkerhet: Föreläsningskurs .- M .: Internet - University of Information Technology, 2003. - 239 s.
9,2. Ytterligare läsning
6. et al. Informationssäkerhetsteknik. - M .: Examen, 200-tal.
7., Introduktion till skydd av information i automatiserade system: Lärobok .- M .: Hot line - Telecom, p. 9,3. Programvara och internetresurser.
Universitetets elektroniska bibliotekssystem för pedagogisk litteratur.
Grund för vetenskaplig och teknisk information VINITI RAS
Tillgång till öppna citatdatabaser, inklusive forskare. *****
10. Tekniska medel och material och teknisk utrustning.
För att organisera självständigt arbete för studenter krävs en datorklass med utrustning för presentationer av föreläsningsmaterial.