Положение о методах и способах защиты информации

Использование различных  методов уплотнения текстов кроме  своего основного назначения – уменьшения информационной избыточности – обеспечивает определенную криптографическую обработку  информации. Однако наибольшего эффекта можно достичь при совместном использовании как методов шифрования, так и методов кодирования информации.

Надежность защиты информации может быть оценена временем, которое  требуется на расшифрование (разгадывание) информации и определение ключей.

Если информация зашифрована  с помощью простой подстановки, то расшифровать ее можно было бы, определив  частоты появления каждой буквы  в шифрованном тексте и сравнив  их с частотами букв русского алфавита. Таким образом определяется подстановочный алфавит и расшифровывается текст.

«Органы государственной  власти и организации, ответственные  за формирование и использование  информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие  информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации».⁴

«За правонарушения при  работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.

Для рассмотрения конфликтных  ситуаций и защиты прав участников в сфере формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения могут создаваться временные и постоянные третейские суды.

Третейский суд рассматривает  конфликты и споры сторон в порядке, установленном законодательством о третейских судах.».⁵

«Руководители, другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях».⁶

 

 

 

5. Положение о методах и способах защиты информации.

Выдержки.

Приказ от 5 февраля 2010 г. п 58 об утверждении положения о методах и способах защиты информации в информационных системах персональных данных

I. Общие положения 

Положение касается систем обработки персональных данных (ПД) и лиц организующих и осуществляющих обработку ПД (операторы и уполномоченные лица). Под данную категорию попадают все программные продукты компании «Кинт». Государственная тайна и вопросы применения криптографических методов и способов защиты информации в данном положении не затрагиваются.

Защита информации (в  том числе ПД) подразделяется на 2 типа — защита от несанкционированного доступа и защита от утечки. Меры по защите речевой информации и защите технических средств (персональных данных, документов) от физического доступа в компетенцию разработчика не входят.

Оператором (уполномоченным лицом) должен быть определен ответственный (сотрудник, подразделение, привлекаемая организация) по защите информации, в том числе ПД.

Выбор и реализация методов  и способов защиты информации в информационной системе осуществляются в зависимости  от класса информационной системы. Перечень мер приведен в приложении.

II. Методы и способы  защиты информации от несанкционированного  доступа. 

Перечислены все способы  и методы защиты информации от несанкционированного доступа при работе в изолированной  среде и при подключении к  каналам связи.

Определена необходимость  антивирусной защиты.

Определены дополнительные меры по защите при обработке государственных  информационных ресурсов.

Определена необходимость  использования защищенных каналов  связи при передаче персональных данных.

Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.

Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость такого контроля в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

III. Методы и способы  защиты информации от утечки  по техническим каналам 

Определена необходимость  защиты речевой информации и информации, представленной в виде информативных  электрических сигналов и физических полей в определенных случаях.

Определены методы и способы защиты информации для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса .

Определено, что в информационных системах 2 класса для обработки  информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов.

Определены общие требования к помещениям, в которых размещаются  устройства вывода информации.

В приложении определены минимально необходимые методы и  средства защиты от несанкционированного доступа для систем в зависимости от класса.

 

 

Заключение

Обеспечение информационной безопасности – дело не только очень  дорогостоящее (затраты на покупку  и установку технических и  программных средств защиты могут  составлять более половины стоимости компьютерной техники), но и очень сложное: при создании системы безопасности информации трудно определить возможные угрозы и уровень необходимой защиты, требуемый для поддержания информационной системы в рабочем состоянии. С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т. д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного доступа к информации.

С появлением сложных  автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. Этому способствовали:

• увеличение объемов  информации, накапливаемой, хранимой и  обрабатываемой с помощью ЭВМ  и других средств вычислительной техники;

• сосредоточение в единых базах данных информации различного назначения и принадлежности;

• расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней  массивам данных;

• усложнение режимов  функционирования технических средств вычислительной системы: широкое внедрение многопрограммного режима, режима разделения времени и реального времени;

• автоматизация межмашинного обмена информацией, в том числе  и на больших расстояниях;

• увеличение количества технических средств и связей в автоматизированных системах управления и обработки данных;

• появление персональных ЭВМ, расширяющих возможности не только пользователя, но и нарушителя.

Список используемой литературы

1. Федеральный закон Российской Федерации «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ
2. Савельев А. Я. Основы информатики: Учебник для вузов. – М.: Издательство МГТУ им. Н. Э. Баумана, 2001 г.
3. Правовая информатика и управление в сфере предпринимательства. Учебное пособие. – М.: Юристъ, 1998 г.

¹ Федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ (ст.21).

² Там же. (ст. 20).

³ Савельев А. Я. Основы информатики: Учебник для вузов. – М.: Издательство  МГТУ им. Н. Э. Баумана, 2001. С. 216.

⁴ Федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ (ст. 21 п.2).

⁵ Там же (ст. 23 п. 3).

⁶ Там же (ст. 24 п. 3).