logo search
лекции ПЗИ 2010

Правовое обеспечение защиты информации в автоматизированных системах

Это совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых обязательны в системе защиты информации.

Правовое обеспечение включает следующие нормы:

Для корпоративных сетей с большим количеством пользователей составляется документ, регламентирующий работу в сети – «Политика безопасности». Этот документ учитывает услуги, предоставляемые Internet и требования информационной безопасности и основан на стандарте ISO/IEC 17799 "Безопасность информационных систем".

«Политика безопасности» обеспечивает выполнение следующих правил безопасности информации:

В общем случае система защиты информации в компьютерной сети реализуется в три этапа:

При этом обеспечивается выполнение трех основных функций системы: доступность, целостность и конфиденциальность.

Требования к безопасности компьютерных сетей в РФ разработаны Гостехкомиссией РФ (в настоящее время ФСТЭК). Эти требования оформлены в виде Руководящих документов (РД ГТК) и обязательны для государственных предприятий или для коммерческих предприятий допущенных к сведениям составляющих государственную тайну. В остальных случаях они носят рекомендательный характер.

К таким документам относится, например, РД ГТК «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» от 30.03.92.

Требования к безопасности АС устанавливаются в соответствии с классом защищенности. Установлено 9 классов защищенности в трех группах: 3Б, 3А, 2Б, 2А, 1Д, 1Г, 1В, 1Б, 1А.

Показатели защищенности средств вычислительной техники от НСД даны в РД ГТК «Средства ВТ. Защита от НСД. Показатели защищенности от НСД к информации» от 30.03.92. В данном РД определяется 7 классов защищенности СВТ от НСД к информации.

Кроме этого, действуют следующие РД ГТК:

Эффективная борьба с КП в РФ ведется с 1997г. после принятия УК РФ, в котором помещена глава 28 «Преступления в сфере компьютерной безопасности». Составы компьютерных преступлений даны в следующих статьях:

Согласно ст. 273 УК РФ под компьютерным вирусом (КВ) понимается вредоносная программа для ЭВМ. В отношении вредоносных программ, внедрение которых повлекло тяжкие последствия, предусмотрены такие наказания как штраф до 500 минимальных размеров оплаты труда и лишения свободы до 7 лет.

Эффективным средством снижения компьютерной преступности служит использование электронной цифровой подписи (ЭЦП). В РФ принят Закон «Об электронной цифровой подписи» №1 от 10.01.2002г.

ЭЦП – реквизит документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

В случаях, установленных законом электронная цифровая подпись признается равнозначной собственноручной подписи лица на бумажном носителе, заверенном печатью.