Основные угрозы информации в сети и проблемы защиты информации

Основная функция МЭ - централизация управления доступом. Если удаленные пользователи могут  получить доступ к внутренним сетям в обход МЭ, его эффективность близка к нулю. МЭ обычно используются для защиты сегментов локальной сети организации.

Межсетевые экраны обеспечивают несколько типов защиты:

• блокирование нежелательного трафика;
• перенаправление входного трафика только к надежным внутренним системам;
• сокрытие уязвимых систем, которые нельзя обезопасить от атак из глобальной сети другим способом;
• протоколирование трафика в и из внутренней сети;
• сокрытие информации (имен систем, топологии сети, типов сетевых устройств и внутренних идентификаторов пользователей, от внешней сети;
• обеспечение более надежной аутентификации, чем та, которую представляют стандартные приложения.

Как и для любого средства защиты, нужны определенные компромиссы  между удобством работы и безопасностью. Прозрачность - это видимость МЭ как внутренним пользователям, так и внешним, осуществляющим взаимодействие через МЭ, который прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно МЭ конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу), и, с другой стороны, МЭ конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. ЭЦП

Электронно цифровая подпись  (ЭЦП) — информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию.

По своему существу электронная  подпись представляет собой реквизит электронного документа, позволяющий  установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. Правовые вопросы защиты информации

 

 

В Концепции национальной безопасности Российской Федерации  определены важнейшие задачи в информационной сфере, в том числе и в правовой области:

• установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;
• разработка нормативной правовой базы и координация деятельности федеральных органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности при ведущей роли Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Законодательство России в области информатизации начало формироваться с 1991 года. Основополагающим понятием в области правового  обеспечения является информация.

Закон РФ “Об информации, информатизации и защите информации”  определяет понятие информация как  “сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления”.

При решении организационно-правовых вопросов обеспечения информационной безопасности исходят из того, что информация подпадает под нормы вещного права, что дает возможность применять к информации нормы Уголовного и Гражданского права в полном объеме.

Впервые в правовой практике России информация как объект права была определена в ст. 128, ч. 1, принятого в ноябре 1994 г. ГК РФ, где говориться: “К объектам гражданских прав относятся …информация; результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность)…”.

Этим же Законом определено, что информационные ресурсы, т. е. отдельные  документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений  физических, юридических лиц и  государства, подлежат обязательному  учету и защите как материальное имущество собственника (ст.4.1,ст.6.1.).

В существующей практике можно выделить следующие основные аспекты решения проблемы защиты информации:

• анализ правового обеспечения;
• реализация организационно-правовых мероприятий защиты;
• реализация технических мероприятий по защите информации.

 

К организационно-правовым мероприятиям по защите конфиденциальной информации относятся мероприятия  по разработке и принятию определенных документов предприятий и организаций, регламентирующих степень и порядок допуска собственных сотрудников, а также сторонних лиц и организаций к конкретным информационным ресурсам.

Организационно-правовая защита информации реализуется путем  установления на предприятии режима конфиденциальности. Можно выделить три формы конфиденциальных отношений:

1. Между сотрудником предприятия и самим предприятием как юридическим лицом. Реализуется на практике путем составления соответствующего трудового договора или контракта, заключаемого с сотрудником предприятия.
2. Складывающиеся между конкретным сотрудником и другими сотрудниками этого предприятия. Эти отношения развиваются как по вертикали, так и по горизонтали. Указанные отношения называются конфиденциальными отношениями по служебным функциям. Юридически эти отношения закрепляются многообразными административно-правовыми решениями, например приказами о выполнении определенных работ, и регламентируются “Должностными инструкциями”.
3. Складывающиеся в рамках хоздоговорных работ и базирующиеся на договоре между партнерами. Юридически конфиденциальные отношения закрепляется в виде четко сформулированных требований и обязательств, которые выдвигают договаривающиеся стороны, и фиксируют в договоре.

Основными проблемы правового  обеспечения информационной безопасности являются:

Защита прав на получение информации - предполагает обеспечение условий, препятствующих преднамеренному сокрытию или искажению информации при отсутствии для этого законных оснований. В соответствии со ст.29 Конституции РФ, “Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом”.

Предотвращение разглашения  государственной тайны и нарушений  прав граждан и организаций на сохранность конфиденциальности и  секретности информации

Принятый в 1993г. закон  “О государственной тайне” регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности РФ. Данный Закон определяет понятие “государственная тайна” как “защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации”.

Ст.23 Конституции РФ провозглашает права граждан на “неприкосновенность частной жизни, личную и семейную тайну”.

Российским законодательством  используется понятие “коммерческая  тайна”, определение которого приведено  в ст.139, п.1 Гражданского кодекса (ГК) РФ: “Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности” (ГК).

Обеспечение защищенности от внешних и внутренних угроз  в сфере формирования, распространения  и использования информационных ресурсов

Данное направление  предполагает реализацию мер защиты носителей информационных ресурсов (документов, программного обеспечения, данных в компьютерных системах и сетях, речевой информации и т.д.) от покушений на них как со стороны собственного персонала, так и со стороны посторонних лиц.

Все многообразие нормативных  актов, затрагивающих вопросы обеспечения информационной безопасности, рассмотрим по группам регламентируемых ими вопросов.

1. Права собственности,  владения и распоряжения информацией.

Для обеспечения четкой правовой базы применения к информации норм вещного права в Законе “Об информации…” (ст. 5,ч.1) вводится понятие “документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать”. Разрешение различных конфликтов в области информационных отношений на базе действующего законодательства возможно только для документированной информации.

2. Степень открытости  информации (необходимость или возможность  ее отнесения к категории ограниченного  доступа); правовой режим защиты  информации, неправомерное обращение с которой может нанести ущерб собственнику этой информации.

 

 

 

 

 

 

 

Литература

 

1. Исаев А.Б. Современные  технические методы и средства  защиты информации: Учеб. пособие. - М.: РУДН, 2008. - 253 с.: ил.

2. [Электронный ресурс]. - Режим доступа: http://www.zashita-informacii.ru

3. Родичев Ю.А. Компьютерные  сети: архитектура, технологии, защита : учеб. Пособие для вузов. - Самара : изд-во «Универс-групп», 2006. - 468с.

4. Ясенев В.Н. Информационная  безопасность в экономических  системах: Учебное пособие - Н.  Новгород: Изд-во ННГУ, 2006 - 253 с. 

5. Безбогов А.А. Методы  и средства компьютерной информации: учебное пособие / А.А.Безбогов, А.В.Яковлев, В.Н. Шамкин. - Тамбов : Изд-во Тамб. Гос. Техн. Ун-та, 2006.-196 с.

6. Мельников В.П. Информационная  безопасность и защита информации. 5-е изд., стер. - М.: Академия, 2011.- 336 с.

7. Хорев П. Б. Методы и средства защиты информации в компьютерных системах. - М.: Академия, 2006. - 430 с.

8. Программно-аппаратная защита информации: учеб. Пособие /С.К. Варлатая, М.В. Шаханова. - Владивосток: Изд-во ДВГТУ, 2007.