28. Обеспечение информационной безопасности
Первоначально вопросы информационной безопасности были критичными для государственных организаций, имеющих дело с секретной информацией или отвечающих за обеспечение режима секретности. Однако информатизация общества привела к тому, что обеспечение информационной безопасности стало элементом деятельности любой организации, действующей в условиях конкуренции.
Под информационной безопасность следует понимать свойство процесса информатизации общества, которое характеризует состояние защищенности личности, общества и государства от возможных негативных последствий информатизации. В отличие от РФ, в законодательстве РБ данное понятие не было закреплено, но сейчас закреплено (ППНБ № 139 «Инстр об организ внутр контроля в банках и НКФО»)
Информационная безопасность - многоуровневый комплекс организационных мер, аппаратно-программных и технических средств, обеспечивающих защиту от случайных и преднамеренных угроз, в результате реализации которых возможно нарушение свойств доступности, целостности, подлинности или конфиденциальности обрабатываемой, хранящейся или передаваемой информации;.
В 1983 МО США издало книгу в оранжевой обложке Trusted Computer Systems Evaluation Criteria (Критерии оценки надежных компьютерных систем). Книга из-за цвета обложки получила название "Оранжевая книга". Это было первое издание в мире, посвященное критериям оценки информационной безопасности. В дальнейшем, аналогичные издания появились и в иных развитых странах.
В настоящее время сложилось 2 основных подхода к решению проблемы обеспечения информационной безопасности:
- редукционистский (фрагментарный) + системный (комплексный).
Редукционистский подход ориентируется на противодействие строго определенным угрозам информационной безопасности при определенных условиях. Избирательность данного подхода относительно конкретной угрозы обусловливает локальность его действия. Видоизменение угрозы влечет потерю эффективности защиты. Характерной чертой данного подхода является отсутствие единой защищенной среды обработки информации.
Системный подход ориентируется на создание защищенной среды обработки, хранения и передачи информации. Он объединяет разнородные методы и средства противодействия угрозам информационной безопасности.
Следует учитывать, что построение абсолютно безопасной системы невозможно. Реальностью является только надежная система - система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.
При выборе средств и методов защиты необходимо учесть, что:
1. Не существует универсальных решений. Следует адаптировать виды и возможности средств в зависимости от угроз, размеров ущерба и расходов.
2. Обеспечение безопасности информационных систем не может быть одноразовым актом, это непрерывный процесс.
3. Безопасность может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств на всех этапах информационного процесса.
Наибольший эффект достигается объединением всех средств и методов в СИБ.
Известны следующие методы обеспечения безопасности информации: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение. Данные методы реализуются системой средств, которая включает: физические, аппаратные, программно-технические, организационные, правовые, морально-этические.
Препятствие - метод физического преграждения пути к защищаемой информации, аппаратуре, носителям информации.
Управление доступом - метод защиты информации, осуществляемый путем регулирования использования всех ресурсов системы (баз данных, программных и аппаратных средств).
Маскировка - метод защиты информации на носителях и в каналах телекоммуникаций путем криптографического закрытия.
Регламентация - метод ЗИ, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму.
Принуждение - сводится к том, что пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой ответственности.
Побуждение - метод ЗИ, который побуждает пользователя и персонал системы не нарушать установленных правил за счет соблюдения сложившихся моральных и этических норм.
Например, на Западе можно застраховать информацию, но такой шаг принесет пользу только в случае полной или частичной утраты информации, потому что потенциальные убытки от таких нарушений как раскрытие, разглашение или повреждение информации могут быть значительно больше, чем страховая компания способна возместить, а последствия могут проявляться еще длительное время. В России же страхование информации почти не практикуется в связи с отсутствием законов, регламентирующих такой вид деятельности, а также в связи с некоторыми качественными характеристиками информации, такими как: способность быть скопированной и размноженной, а соответственно и восстановленной.
- Предмет правовой информатики
- Объекты и задачи правовой информатики
- Методы правовой информатики
- Системный подход к объектам правовой информатики
- Понятие и виды правовой информации
- Нормативная правовая информация
- Ненормативная правовая информация
- Понятие и структура информационного процесса (информационные процессы в правовой системе)
- Информационные системы в юридической деятельности
- Правовые ресурсы сети Интернет
- 4) Официальные сайты моУиСу
- 5) Иные актуальные правовые ресурсы
- 6) Электронные библиотеки
- 7) Библиографические ресурсы
- Концепция Электронного правительства
- (Основные направления пи в рб) Проблемы правовой информатизации в Республике Беларусь
- 14. Национальный правовой Интернет-портал (pravo.By)
- 15. Информационные поисковые системы по законодательству рб
- 16. Понятие и режим электронного документа.
- 17. Понятие и сущность эцп.
- 18. Дайджест сообщения. Электронная печать. Хэш-функция
- 19.Организационно обеспечение эцп
- 20. Правовое обесепечение эцп
- 21. Автоматизация подготовки юридических документов
- 22. Ис в нормотворчестве
- 23. Ис в правоприменительной д-ти
- 24. Ис в правоохранительной д-ти
- 25. Ис в судебно-экспертной д-ти
- 26. Ит в юр образовании
- 27. Информационная безопасность в Республике Беларусь
- 28. Обеспечение информационной безопасности
- 29. Программы с потенциально опасными последствиями
- 30. Информация как объект защиты.
- 31. Законодательный уровень защиты информации
- 32. Административный уровень защиты информации
- 33. Программно-технический уровень защиты информации
- 34. Правонарушения в информационной сфере
- 35. Правовые основы борьбы с компьютерными преступлениями
- 36. Предмет преступного посягательства по делам о комп прест-х
- Раздел 12 ук – Прест-я п/в информационной безопасности – 7 составов
- 37. Особенности образования следов при совершении компьютерных преступлений
- 38. Криминалистический анализ личности нарушителя, совершающего компьютерные преступления
- 39. Способы подготовки, совершения и сокрытия компьютерных преступлений
- 40. Омп по делам о компьютерных преступлениях
- 41. Осмотр средств вычислительной техники
- 42. Осмотр электронного носителя информации
- 43. Осмотр компьютерного документа
- 44. Обыск и выемка по делам о компьютерных преступлениях
- 45. Изъятие средств вычислительной техники, электронных носителей инфы и коп инфы
- 46. Судебная компьютерно-техническая экспертиза.
- 47. Виды сктэ:
- 48 Основными задачами сктэ являются:
- 49. О сктэ
- 50. Связь сктэ с другими родами и классами судебных экспертиз