Baza organizatorica si legala pentru asigurarea securitatii informatiilor. Obiectivele disciplinei sunt: Module și teme
SPRIJIN ORGANIZAȚIONAL ȘI LEGAL DE PROTECȚIA INFORMAȚIILOR
Probleme de protecție resurse informaționale sunt strâns legate nu numai de rezolvarea problemelor științifice și tehnice, ci și de problemele de reglementare juridică a relațiilor în procesul de informatizare. Nevoia de sprijin organizatoric și juridic pentru protecția informațiilor apare din faptul că informația este recunoscută ca o marfă, un produs al producției sociale și stabilirea legală a dreptului de proprietate asupra informațiilor.
Această formulare a întrebării capătă o semnificație și un caracter deosebit în condițiile democratizării societății, al formării unei economii de piață și al includerii statului nostru în comunitatea economică mondială. Dacă soluția la dezvoltarea bazei de producție pentru crearea instrumentelor informatice poate fi realizată, într-o oarecare măsură, folosind structurile și relațiile de piață, atunci elaborarea și implementarea cadrului legislativ pentru informatizare este imposibilă fără o politică activă de informare de stat care să vizeze la construirea unui mecanism organizatoric şi juridic de gestionare a proceselor informaţionale după un singur plan » legat de baza ştiinţifică şi tehnică a informatizării.
Suportul organizațional și juridic este un concept multidimensional, care include legi, decizii, reglementări și reguli. Mai mult, în ceea ce privește protecția informațiilor prelucrate într-un sistem automatizat, aceasta are o serie de aspecte fundamentale caracteristici specifice, datorită următoarelor circumstanțe:
Prezentarea informațiilor într-o formă binară neobișnuită și imposibil de citit pentru oameni;
Folosind medii de stocare ale căror înregistrări nu sunt accesibile pentru vizionare vizuală simplă
Abilitatea de a copia informații de mai multe ori fără a lăsa urme;
Ușurința de a schimba orice elemente de informație fără a lăsa urme precum ștersături, corectări etc.;
Imposibilitatea sigilării tradiționale a documentelor cu semnături tradiționale cu toate aspectele normative și legale ale acestor semnături;
Disponibilitate un numar mare factori destabilizatori netradiționali care afectează securitatea informațiilor.
Pe baza circumstanțelor de mai sus, complexul de probleme rezolvate prin suport organizațional și juridic poate fi grupat în trei clase:
Baza organizatorică și legală pentru protecția informațiilor în AS;
Aspecte tehnice și matematice ale suportului organizatoric și juridic;
Aspecte juridice ale suportului organizatoric și juridic al protecției.
Din considerente practice, este clar că baza organizatorică și legală pentru protecția informațiilor ar trebui să includă:
Identificarea departamentelor și a persoanelor responsabile cu organizarea securității informațiilor;
Reglementare, orientare și materiale didactice(documente) privind protecția informațiilor;
Sancțiuni pentru încălcarea regulilor de protecție;
Procedura de solutionare a litigiilor si situatii conflictuale pe probleme de securitate a informațiilor.
Aspectele tehnice și matematice ale suportului organizatoric și juridic sunt înțelese ca un set de mijloace tehnice, metode matematice, modele, algoritmi si programe cu ajutorul carora pot fi indeplinite toate conditiile necesare delimitarii legale a drepturilor si responsabilitatilor privind reglementarile de manipulare a informatiilor protejate. Principalele dintre aceste condiții sunt următoarele:
Fixarea pe document a identificatorilor personale („semnături”) ale persoanelor care au produs documentul și (sau) sunt responsabile pentru acesta;
Înregistrarea (dacă este necesar) pe document a identificatorilor (semnăturilor) personale ale persoanelor care s-au familiarizat cu conținutul informațiilor relevante;
Imposibilitatea modificării imperceptibile (fără a lăsa urme) a conținutului informațiilor chiar și de către mincinoși care au sancțiuni pentru a le accesa,
Acestea. înregistrarea faptelor oricăror modificări (atât autorizate, cât și neautorizate) ale informațiilor;
Înregistrarea faptului oricărei copieri (atât neautorizate, cât și autorizate) a informațiilor protejate.
Aspectele juridice ale suportului organizatoric și juridic pentru protecția informațiilor în SA sunt înțelese ca un ansamblu de legi și alte reglementări cu ajutorul cărora se realizează următoarele obiective;
Stabilește obligația pentru toate persoanele legate de SA de a respecta toate regulile de protecție a informațiilor;
Măsurile de răspundere pentru încălcarea normelor de protecție sunt legalizate;
Se legitimează (dobândind forță juridică) soluții tehnice și matematice la problemele de suport organizațional și juridic pentru protecția informațiilor;
Procedurile procedurale de rezolvare a situaţiilor sunt legitimate. apărute în proces: funcţionarea sistemelor de protecţie.
Astfel, întregul set de probleme care apar la rezolvarea problemelor de suport organizatoric și juridic poate fi prezentat sub forma unei diagrame prezentate în Fig. 1.
^ Suport organizatoric și juridic pentru protecția informațiilor
Temei organizatoric si legal
Aspecte tehnice și matematice
Aspecte legale
Divizii și persoane
Responsabil
pentru protectie
Fixarea unei semnături pe un document
Legalizarea regulilor de protecție a informațiilor
Materiale de reglementare, îndrumare și metodologice
Înregistrarea faptelor de familiarizare cu informații
Legitimarea sancțiunilor pentru încălcări
Sancțiuni pentru încălcări
Înregistrarea faptelor de modificări ale informațiilor
Legalizarea solutiilor tehnice si matematice
Procedura de solutionare a litigiilor
Înregistrarea faptelor de copiere a informațiilor
Legalizarea procedurilor procedurale
^ Analiza experienței străine și interne în sprijinul organizațional și juridic pentru protecția informațiilor
Țările străine de vârf au acumulat acum o experiență semnificativă în rezolvarea problemelor discutate aici. Esențială în acest sens este versatilitatea măsurilor dezvoltate și aplicate, care nu se limitează doar la acte normative și juridice, deși semnificația lor este predominantă. Din acest punct de vedere, putem evidenția următoarele aspecte ale rezolvării problemelor de suport organizatoric și juridic pentru protecția informațiilor:
Informarea publicului larg și a specialiștilor interesați despre esența problemei protecției informațiilor, necesitatea și modalitățile de rezolvare a acesteia;
Dezvoltarea uniformității în definirea și interpretarea conceptelor de bază legate de problema protecției;
Dezvoltarea bazelor tehnice și matematice necesare rezolvării problemelor de suport organizațional și juridic pentru securitatea informațiilor;
Elaborarea și aprobarea standardelor în domeniul securității informațiilor; - crearea cadrului legislativ necesar pentru asigurarea protecţiei informaţiilor.
Să luăm în considerare mai detaliat esența aspectelor evidențiate.
^ Informarea despre esența problemei de protecție, necesitatea și modalitățile de rezolvare a acesteia. În presa străină (în special în SUA), probleme de asigurare a securității informației în informație sisteme de calcul iar rețelele au fost acoperite de mult timp, intensiv și pe scară largă. Este suficient să spunem că primele publicații despre problemele luate în considerare au apărut acum aproximativ *0 ani au devenit deja istorie? numărul lor total este în prezent măsurat în mii. În fiecare an se țin conferințe și seminarii de specialitate în cadrul cărora diverse teoretice și întrebări practice protectia informatiilor. Programele de formare pentru toți specialiștii în tehnologia informatică și utilizarea acesteia cuprind cu siguranță secțiuni legate de securitatea informației -
De menționat că publicațiile străine au jucat un rol semnificativ în informarea specialiștilor autohtoni despre esența problemei și modalitățile de rezolvare a acesteia, mai ales având în vedere că până de curând toate lucrările de protecție a informațiilor din țara noastră erau închise. Dintre lucrările străine recente se remarcă monografia „Protecția calculatoarelor și a rețelelor”. Cu alte cuvinte, aceasta nu este doar o altă publicație, ci o dezvoltare software promițătoare.
Cunoașterea acestei cărți oferă motive suficiente pentru o serie de concluzii importanteși anume: în primul rând, experții străini consideră problema securității informațiilor în sistemele și rețelele informatice ca fiind una dintre cele mai problemele actuale dezvoltarea și utilizarea eficientă a tehnologiei informatice, în al doilea rând, experții străini clasifică problema protecției ca o problemă complexă și multidimensională; în al treilea rând, experții străini nu sunt mulțumiți de starea actuală de rezolvare a problemei luate în considerare, iar cele mai importante domenii de lucru pentru anii 90 sunt considerate a fi lucrul la un plan de organizare a sistemului.
Dacă vorbim de publicații autohtone din domeniul securității informațiilor, acestea au început cu o serie de articole în revista „Electronica radio străină” pentru anii 1975-1976. Articolele au fost de tip revizuire (conform datelor presei străine), au fost combinate tematic și au oferit o idee generală a întregii game de probleme de securitate a informațiilor și abordări pentru rezolvarea acestora. Acestea au provocat o mare rezonanță în rândul specialiștilor și au jucat rolul unui detonator, inițiind o creștere semnificativă a interesului pentru problemă, cercetarea și dezvoltarea acesteia. Au apărut publicații monografice și reviste de specialitate.
^ Dezvoltarea uniformității terminologiei privind problemele de protecție.
La rezolvarea vreunuia noua problema Asigurarea unității terminologice este de o importanță capitală, de exemplu. formarea celei mai complete liste de termeni necesari pentru afișarea tuturor aspectelor principale ale problemei, definirea și interpretarea acestora pentru a asigura o înțelegere fără ambiguitate a fiecăruia dintre termeni. Complexitatea și intensitatea muncii acestei probleme este evidențiată de faptul că în țara noastră această lucrare nu a fost încă finalizată în totalitate. Este necesar să atragem atenția cititorilor asupra dicționarului de termeni întocmit și publicat în SUA încă din 1987. Dicționarul conține 428 p. conține aproximativ 3000 de termeni Avantajul incontestabil al dicționarului este că cel mai mult termeni importanți nu doar definit, ci interpretat suficient de detaliat și ilustrat cu diagrame și desene.
Prezența unui dicționar de termeni creează premisele pentru dezvoltarea țintită a tuturor lucrărilor privind securitatea informațiilor, prin urmare crearea și difuzarea pe scară largă a unui astfel de dicționar în Rusia este una dintre principalele premise organizaționale pentru implementarea unui sistem de management al informațiilor sigur.
^ Dezvoltarea bazelor tehnice și matematice necesare rezolvării problemelor de suport organizațional și juridic pentru securitatea informațiilor. După cum reiese din Fig. 1, sarcina centrală a creării unei baze tehnice și matematice este dezvoltarea unor metode eficiente și fiabile pentru înregistrarea în memoria computerului unui astfel de analog al semnăturii unei persoane, care, pe de o parte, ar putea fi implementat relativ ușor. mijloace moderne tehnologia computerizată și, pe de altă parte, ar îndeplini toate funcțiile de bază ale picturii pictate manual. Până acum, aproape toți experții au recunoscut că cea mai promițătoare modalitate de a rezolva această problemă este utilizarea unor metode speciale de transformare criptografică a informațiilor, care sunt cel mai adesea numite sisteme de semnătură digitală.
Analizând evoluția acestor lucrări în străinătate, ar fi oportun să remarcăm că în țările lider, (și mai ales în SUA), se lucrează în domeniul criptografiei, destinate uzului general (adică nu în scopuri speciale) și satisfacerii interesului general, se desfășoară de mult timp și foarte intens. Pentru a confirma cele spuse, să menționăm cel puțin faptul că listele de referințe atașate articolelor de reviste despre această problemă conțin adesea până la 150 de titluri de surse complet deschise. Cititorii ruși își pot forma o idee destul de obiectivă asupra naturii și nivelului evoluțiilor în traducerea în rusă a problemei tematice a lucrărilor Institutului de Inginerie Electrică și Ingineri Radioelectronici.
Din cele de mai sus, rezultă clar importanța și necesitatea dezvoltării depline a lucrărilor privind crearea fundamentelor tehnice și matematice pentru sprijinirea organizațională a securității informațiilor, și astăzi în special pentru sistemele de utilizare comercială.
^ Elaborarea și aprobarea standardelor în domeniul securității informațiilor. Atât în străinătate, cât și în țara noastră, se acordă mai multă atenție acestei probleme. De exemplu, standardul național al SUA pentru închiderea informațiilor criptografice este cunoscut pe scară largă. Mai mult, aici nu numai algoritmul de criptare în sine este aprobat ca standard, ci și mijloacele de implementare și metodele de utilizare ale acestuia. O serie de organizații diferite din Statele Unite și țări europene sunt implicate în probleme de standardizare în domeniul protecției datelor și a fost creat un subcomitet special TC/8C20 al Organizației Internaționale pentru Standardizare pentru a revizui standardele dezvoltate.
În țara noastră, documentele de reglementare de stat privind protecția informațiilor prelucrate prin tehnologia informatică și comunicațiile au început să fie create încă din anii 60, dar au dobândit un caracter național odată cu formarea Comisiei Tehnice de Stat a URSS în 1973.
Până în prezent, au fost elaborate și puse linii directoare ale Comisiei Tehnice de Stat privind protecția împotriva accesului neautorizat al echipamentelor informatice și sistemelor automate, standardul pentru algoritmul de transformare criptografică descris în capitolul al patrulea, standardul pentru semnătura digitală și funcția hash. în efect.
^ Crearea cadrului legislativ necesar pentru asigurarea protecției informațiilor. Necesitatea absolută de a crea un cadru legislativ este evidentă, prin urmare, în principalele țări occidentale, iar acum în Rusia, se acordă o atenție deosebită acestei probleme.
Problema reglementării legislative a proceselor de prelucrare a informațiilor a început să fie discutată pentru prima dată în străinătate în anii 60 și, în special, în SUA în legătură cu propunerea de creare a unei bănci naționale de date. În prezent, la nivel internațional, s-a format un sistem stabil de vederi asupra informației ca resursă cea mai valoroasă pentru susținerea vieții societății, reglementarea juridică în domeniul căreia ar trebui să meargă în următoarele trei direcții.
^ PROTECȚIA DREPTURILOR INDIVIDUALE LA CONFIDENȚIALITATE Acest aspect nu este nou pentru comunitatea mondială. Principiile de bază pentru stabilirea limitelor ingerinței în viața privată a statului și a altor entități sunt determinate de normele fundamentale ale ONU și anume Declarația Drepturilor Omului. Până la sfârșitul anilor '70, au fost formulate două principii, care s-au reflectat ulterior în legislația națională privind informatica într-o serie de țări occidentale:
Stabilirea limitelor privind invazia vieții private prin utilizarea sistemelor informatice;
Introducerea unor mecanisme administrative pentru protejarea cetățenilor de astfel de interferențe.
Exemple de documente legate de acest domeniu sunt Rezoluția Parlamentului European „Cu privire la protecția drepturilor individuale în legătură cu progresul informaticii” (1979) și Convenția UE „Cu privire la protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal” (1980).
^ PROTECȚIA INTERESELOR STATULUI. Problema este rezolvată cu ajutorul unei legislații naționale suficient de dezvoltate, care definește prioritățile naționale în acest domeniu. Integrarea statelor membre UE a necesitat coordonarea eforturilor în acest domeniu, drept urmare principii generale clasificarea informațiilor este reflectată în Convenția UE privind protecția secretului.
^ PROTECȚIA AFACERILOR ȘI ACTIVITĂȚILOR FINANCIARE. Acest aspect al problemei este rezolvat prin crearea unui mecanism legislativ care definește conceptul de „secret comercial” și stabilește condițiile pentru concurența loială și calificarea spionajului industrial ca element al concurenței neloiale.
Acest domeniu include, de asemenea, crearea de mecanisme pentru protejarea dreptului de autor, în special a drepturilor autorilor de produse software. Ultimul aspect este reflectat în Directiva UE privind protecția programelor de calculator și a bazelor de date (1990).
Cadrul conceptual și principiile de protecție a informațiilor dezvoltate la nivel internațional sunt reflectate în legislația națională a țărilor occidentale de vârf. Mai jos sunt câteva exemple din legislația lor existentă:
Marea Britanie - Proiectul de lege privind supravegherea datelor (1969). Legea privind protecția datelor (1984);
Franța - Legea informaticii, a indexurilor cardurilor și a libertăților (1978);
Germania - Legea privind protecția datelor cu caracter personal împotriva abuzului de prelucrare a datelor (1977). Legea privind protecția datelor (1978);
SUA - Legea secretului informație privată(1974). Legea privind abuzul computerului (1986), Legea securității computerelor (1987);
Canada Computer and Information Crimes Act (1985).
Cea mai dezvoltată legislație în acest domeniu este în vigoare în Statele Unite (peste o sută de acte legislative diferite). Legislația SUA acoperă:
Definirea si consolidarea politicii de stat in domeniul informatizarii,
Asigurarea producției și tehnologiilor dezvoltate;
Lupta împotriva monopolismului și stimularea domeniilor prioritare;
Organizare sisteme de informare;
Protecția drepturilor consumatorilor, în special a drepturilor cetățenilor la informare, protecția informațiilor despre cetățeni;
Reglementarea drepturilor dezvoltatorilor de programe de calculator.
În majoritatea țărilor, legislația stabilește răspunderea pentru încălcarea procedurii de prelucrare și utilizare a datelor cu caracter personal; infracțiunile informatice sunt considerate infracțiuni care prezintă un pericol deosebit pentru cetățeni, societate și stat și presupun pedepse mult mai severe decât infracțiunile similare comise fără utilizarea echipamente informatice De asemenea, sunt considerate infracțiuni acțiunile care creează amenințarea de a provoca daune, de exemplu, încercarea de a pătrunde într-un sistem, introducerea unui program de virus etc.
Vorbind despre experiență domestică suport juridic pentru informatizare si protectia informatiilor, trebuie sa retinem ca aceasta problema a fost ridicata pentru prima data in tara noastra in anii '70 in legatura cu dezvoltarea sistemelor de control automatizat la diferite niveluri. Cadrul de reglementare de la acea vreme nu depășea însă actele departamentale, mai multe decrete guvernamentale și acte similare la nivel republican. Prin urmare, reglementarea legislativă a proceselor de informatizare până la începutul anilor 90 nu putea fi numită satisfăcătoare. Era urgent necesar să se creeze o bază legală pentru informatizarea Rusiei, să se asigure din punct de vedere legislativ utilizarea eficientă a resursei informaționale a societății, să se reglementeze raporturile juridice în toate etapele și etapele informatizării, să se protejeze drepturile individuale în condițiile informatizării, pentru a forma un mecanism de asigurare securitatea informatiei.
1991 poate fi marcat ca începutul activităţii legislative active în această direcţie. În același timp, legislatorii și-au concentrat pe bună dreptate atenția asupra următoarelor probleme cele mai presante pentru Rusia:
Problema dreptului la informare;
Problema proprietății asupra anumitor tipuri de informații;
Problema recunoașterii informației ca obiect de marfă.
Astăzi, în „Declarația drepturilor și libertăților omului și cetățeanului”, adoptată prin Rezoluția Consiliului Suprem al Federației Ruse la 22 noiembrie 1991 și în Constituția Federației Ruse, adoptată în 1993,” este consacrat drept comun cetățeni pentru informare. Limitările acestui drept pot fi stabilite prin lege numai în scopul
Protecția secretelor personale, familiale, profesionale, comerciale și de stat, precum și a moralității. Lista informațiilor care constituie secret de stat este stabilită prin lege.
A fost adoptată legea de bază a Federației Ruse „Cu privire la informarea, informatizarea și protecția informațiilor”, precum și legile speciale „Cu privire la secretele de stat”, „Cu privire la protectie legala programe de calculator și baze de date”, „Cu privire la protecția juridică a topologiilor circuite integrate", "Despre internațional schimb de informatii" Problemele de sprijin juridic pentru protecția informațiilor sunt reflectate și în Legea Federației Ruse „Cu privire la securitate”, adoptată în martie 1992.
Duma de Stat a Federației Ruse continuă să lucreze la legislația în domeniul protecției stațiilor de tratare a apei din dacha. Un adevărat pas către întărirea temeiului legal al activității antreprenoriale va fi consolidarea legislativă în Rusia a instituției secretelor comerciale. Unul dintre scopurile Legii Federației Ruse „Cu privire la secretele comerciale”, a cărei primă audiere a avut deja loc în Duma de Stat, este acela de a crea din partea statului garanțiile necesare pentru protecția subiecților prin acordarea au dreptul de a clasifica informatie pretioasa ca secret comercial pentru a-și proteja proprietarul de spionajul industrial și de concurența neloială.
^ Abordări de bază ale dezvoltării suportului organizatoric și juridic Baza organizatorică și juridică pentru protejarea informațiilor în sistemul automatizat
Veriga centrală care implementează conținutul cadrului organizatoric și legal (vezi Fig. 1) este serviciul de protecție (securitate) a informațiilor creat special în cadrul AS. Organizarea unor astfel de servicii este prevăzută atât de Legea „Cu privire la informații, informatizare și protecția informațiilor”, cât și de Legea Federației Ruse „Cu privire la securitate”, unde articolul 27 prevede:
"... Pentru implementare practică cerințe și reguli pentru protecția informațiilor, menținerea sistemelor informaționale în stare protejată, operarea software-ului și hardware-ului special și asigurarea măsurilor organizaționale de protecție a sistemelor informatice care prelucrează informații cu acces limitat serviciile de securitate a informațiilor pot fi create în structuri non-statale... Întreprinderile, organizațiile și instituțiile care prelucrează informații cu acces limitat, care sunt proprietatea statului, creează fără greșeală servicii de securitate a informațiilor.”
Pe baza sarcinilor de mai sus ale serviciului de securitate a informațiilor, principalele sale funcții pot fi formulate:
Formarea cerințelor pentru sistemul de protecție în procesul de creare a unei CNE;
Participarea la proiectarea sistemului de protectie;
Participarea la testarea și acceptarea sistemului de protecție și a elementelor sale constitutive;
Planificarea, organizarea și asigurarea funcționării sistemului de securitate a informațiilor pe perioada funcționării CNE;
Distribuirea detaliilor de securitate necesare între utilizatori: parole, informații suplimentare de identificare, chei de securitate etc.;
Organizarea generării și instalării codurilor de identificare a echipamentelor tehnice;
Organizarea și introducerea în memoria AS a rețelelor de servicii ale sistemului de protecție;
Monitorizarea functionarii sistemului de protectie si a elementelor acestuia;
Organizarea verificărilor preventive ale fiabilității sistemului de protecție;
Instruirea utilizatorilor și personalului sistemului în regulile de prelucrare a informațiilor protejate;
Monitorizarea conformității de către utilizatori și personalul fabricii cu regulile de manipulare a informațiilor protejate în timpul prelucrării automate a acestora;
Luarea de măsuri în caz de tentative de acces neautorizat la informații și încălcări ale regulilor de funcționare a sistemului de securitate.
A doua problemă ca importanță în crearea unui cadru organizatoric și legal este completarea unui sistem de ghiduri și documente metodologice privind protecția informațiilor. Aici, din punct de vedere practic, ne putem ghida după următoarele;
Toate documentele existente în țară care reglementează regulile de manipulare a informațiilor care au ștampila restrictivă se aplică în totalitate informațiilor care circulă în timpul funcționării centralei;
Pentru a ține cont de caracteristicile specifice acumulării, stocării și prelucrării datelor în SA, se elaborează și se aprobă îndrumări și materiale metodologice speciale, care trebuie să aibă forță legală;
Pentru a interpreta și detalia prevederile și cerințele acestor materiale în raport cu condițiile specifice din fiecare CNE, în modul prescris aprobat
Instrucțiuni pentru utilizatori, operatori AS, schimburi de serviciu ale administrației băncii de date, serviciul de securitate, precum și documentația tehnică a sistemului de securitate.
Atunci când se decide cu privire la răspunderea pentru încălcarea regulilor de securitate, este mai întâi necesar să se stabilească dacă aceasta a dus la o scurgere de date protejate. În acest caz, făptuitorii sunt trași la răspundere în conformitate cu legile în vigoare. Pentru încălcarea regulilor de protecție care nu a avut ca rezultat o scurgere de date, se stabilesc sancțiuni administrative conform prevederilor legislației muncii.
Rezolvarea situațiilor controversate și conflictuale legate de distribuirea și utilizarea detaliilor sistemului de securitate (parole, chei etc.) ar trebui să fie de competența serviciului de securitate a informațiilor, iar situațiile legate de interpretarea documentelor de securitate ar trebui să fie de competența autoritățile și persoanele care au aprobat documentele relevante.
^ Aspecte tehnice și matematice. Cercetările efectuate arată că toate problemele asociate cu rezolvarea problemelor de fixare luate în considerare diverse fapte interacțiunile cu informații protejate (atât autorizate, cât și neautorizate) pot fi împărțite în două grupe - generale și specifice. În acest caz, problemele generale sunt înțelese ca astfel de probleme, a căror soluție poate fi realizată prin mijloace comune restricții de acces. Problemele specifice includ fixarea unei semnături sub un document transmis la AC în în format electronic. Această semnătură se numește electronică sau digitală.
Studiile aprofundate ale acestei probleme atât în țara noastră, cât și în străinătate arată că cea mai promițătoare modalitate de implementare a unei semnături electronice (digitale) este utilizarea metodelor criptografice de conversie a datelor. Domeniul de aplicare al unei semnături digitale este extrem de larg - de la efectuarea de tranzacții financiare și bancare fără hârtie până la monitorizarea implementării tratatelor internaționale și protejarea drepturilor de autor.
Problema semnăturii este deosebit de importantă atunci când se transmit mesaje prin rețele de telecomunicații. În acest caz, sunt potențial posibile următoarele acțiuni rău intenționate: refuzul, atunci când abonatul expeditor, după un interval de timp, refuză mesajul transmis; falsificare, atunci când abonatul destinatar falsifică mesajul; modificare atunci când abonatul destinatar face modificări la mesaj; mascare, când abonatul expeditor se deghizează în alt abonat. În aceste condiții, asigurarea protecției fiecăreia dintre părțile participante la schimb se realizează prin menținerea unor protocoale speciale. Pentru a verifica un mesaj, protocolul trebuie să conțină următoarele prevederi obligatorii:
Expeditorul intră mesaj transmis semnătura dvs. digitală, care este informații suplimentare în funcție de datele transmise, numele destinatarului mesajului și unele informatie clasificata, pe care o are numai expeditorul;
Destinatarul trebuie să poată verifica dacă semnătura primită ca parte a mesajului este semnătura corectă a expeditorului;
Obținerea semnăturii corecte a expeditorului este posibilă numai prin utilizarea informațiilor proprietare pe care le deține expeditorul;
Pentru a exclude posibilitatea reutilizare mesaje învechite semnătura trebuie să fie sensibilă la timp.
^ Aspecte juridice. Suportul juridic pentru protecția informațiilor acoperă relațiile care apar în formarea și utilizarea resurselor informaționale bazate pe crearea, colectarea, prelucrarea, acumularea, stocarea, căutarea, distribuirea și furnizarea de informații documentate către consumator, în crearea și utilizarea tehnologiilor informaționale. și mijloace de sprijinire a acestora, în protecția drepturilor subiecților care participă la procesele informaţionale si informatizare. Baza construirii conceptului de suport juridic este împărțirea tuturor resurselor informaționale în categorii de acces deschis și limitat, iar informațiile cu acces limitat, conform condițiilor regimului său juridic, sunt la rândul lor clasificate ca secret de stat și confidențiale. .
În sistemul de suport juridic pentru securitatea informațiilor, un loc proeminent îl ocupă legislația de aplicare a legii, care include norme privind răspunderea pentru încălcări în domeniul tehnologiei informației și completează în mod logic complexul de măsuri organizatorice, juridice și tehnice și mijloace de protecție a informațiilor. și sistemele sale de procesare. Ar trebui să vizeze nu numai și nu atât pedepsirea atacurilor criminale asupra sistemelor informaționale și informaționale, cât și prevenirea acestora.
În scopul unei abordări integrate a formării legislației privind problemele informației și informatizării în Rusia, în aprilie 1992, a fost aprobat „Programul de pregătire a sprijinului legislativ și de reglementare pentru munca în domeniul informatizării”. În conformitate cu acest program, a fost planificată dezvoltarea Legii de bază a Federației Ruse „Cu privire la informații, informatizare și protecția informațiilor”, precum și legi speciale „Cu privire la secretele de stat”, „Cu privire la secretele comerciale”, „Cu privire la răspunderea pentru abuzuri. când se lucrează cu informații”, etc.
Legea fundamentală „Cu privire la informare, informatizare și protecția informațiilor” ocupă un loc central în întregul sistem de suport juridic pentru securitatea informațiilor. Legea este prima în practica legislativă a Rusiei.
Stabilește responsabilitățile statului în domeniul formării resurselor informaționale și al informatizării, principalele direcții ale politicii statului în acest domeniu;
Consolidează drepturile cetățenilor, organizațiilor și statului la informare;
Stabilește regimul juridic al resurselor informaționale pe baza aplicării în acest domeniu a procedurii de documentare, deținere a documentelor și rețelelor de documente pentru sistemele informatice, împărțind informațiile pe bază de acces în deschis și cu acces limitat, procedura de protecția juridică a informațiilor;
Elaborează un regim juridic de recunoaștere a documentelor primite dintr-un sistem informatic automatizat ca având forță juridică, inclusiv pe baza confirmării printr-o semnătură digitală electronică;
Definește resursele informaționale ca element de proprietate și obiect de proprietate;
Stabilește drepturile și responsabilitățile de bază ale statului, organizațiilor, cetățenilor în procesul de realizare a sistemelor informaționale, crearea și dezvoltarea sistemelor științifice și tehnice. baza de productie de informatizare, formarea unei piete de produse si servicii informatice in acest domeniu;
Face distincția între drepturile de proprietate și drepturile de autor asupra sistemelor informaționale, tehnologiilor și mijloacelor de susținere a acestora;
Stabilește reguli și Cerințe generale raspunderea pentru incalcarea legislatiei in domeniul informatizarii si protectiei informatiilor in sistemele de prelucrare a acesteia, garantii ale subiectilor in curs de exercitare a dreptului la informare, garantii de securitate in domeniul informatizarii.
Legea prevede un capitol special dedicat protecției informațiilor. Acest capitol stabilește că toate informațiile documentate, a căror manipulare ar putea cauza daune proprietarului, posesorului, utilizatorului sau altei persoane, sunt supuse protecției. Modul de protecție este setat:
în legătură cu informațiile clasificate drept secret de stat de către organismele autorizate în baza Legii Federației Ruse „Cu privire la secretele de stat”;
în legătură cu informațiile confidențiale documentate de către proprietarul resurselor informaționale sau persoană autorizatăîn baza acestei legi;
în legătură cu datele personale – printr-o lege federală separată.
La nivel oficial, sistemul de protecție a informațiilor de stat din Rusia a fost format în 1973, ca parte a activităților Comisiei de stat URSS pentru contracararea informațiilor tehnice străine. Din 1992, problemele securității informației în noile condiții economice și juridice au depășit sfera subiectelor de apărare și au condus astfel la crearea unui sistem de securitate a informațiilor mai avansat la scară națională. Crearea unui astfel de sistem a necesitat, în primul rând, dezvoltarea cadrului de reglementare necesar: Conceptul de Securitate Națională a Federației Ruse, Doctrina Securității Informaționale a Federației Ruse și o serie de alte documente.
^ Strategia de securitate națională a Federației Ruse
Decretul prezidențial nr. 537 din 12 mai 2009 a aprobat Strategia de securitate națională a Federației Ruse (Strategia) până în 2020.
În acest sens, precedentul Concept de securitate națională a Federației Ruse, aprobat în decembrie 1997 și modificat în ianuarie 2000, a fost declarat nul.
Strategia de securitate națională este un sistem de opinii privind asigurarea în Federația Rusă a securității individului, societății și statului împotriva amenințărilor externe și interne în plan economic, politic, social, internațional, spiritual, informațional, militar, militar-industrial, de mediu. sfere, precum și în domeniul științei și educației.
Interesele naționale ale Rusiei în sfera informațională constau în respectarea drepturilor și libertăților constituționale ale cetățenilor în domeniul obținerii și utilizării informațiilor, în dezvoltarea tehnologiilor moderne de telecomunicații și în protejarea resurselor informaționale ale statului împotriva accesului neautorizat.
Starea economiei interne, imperfecțiunea sistemului de organizare a puterii de stat și a societății civile, polarizarea socio-politică a societății și incriminarea relațiilor publice, creșterea criminalității organizate și creșterea amplorii terorismului, agravarea relaţiilor internaţionale interetnice şi complicate creează o gamă largă de interioare şi amenintari externe securitatea nationala a tarii noastre.
Amenințările la adresa securității naționale a Federației Ruse în sfera informațională se manifestă în dorința mai multor țări de a domina spațiul mondial, de a le îndepărta din exterior și intern. piata informatiilor; în dezvoltarea de către o serie de state a conceptului de războaie informaționale, care prevede crearea unor mijloace de influență periculoasă asupra sfere informaționale alte țări ale lumii; în încălcare functionare normala sisteme de informare și telecomunicații, precum și siguranța resurselor informaționale prin obținerea accesului neautorizat la acestea.
În cursul implementării acestei Strategii, amenințările la adresa securității informațiilor sunt prevenite prin îmbunătățirea securității funcționării sistemelor de informații și telecomunicații ale infrastructurii critice și instalațiilor cu risc ridicat din Federația Rusă, creșterea nivelului de securitate a informațiilor corporative și individuale. sisteme, creând sistem unificat suport informaţional şi de telecomunicaţii pentru nevoile sistemului naţional de securitate.
Cele mai importante sarcini în domeniul asigurării securității informațiilor din Federația Rusă sunt:
Implementarea drepturilor și libertăților constituționale ale cetățenilor Federației Ruse în domeniul activităților de informare;
Îmbunătățirea și protejarea infrastructurii informaționale interne, integrarea Rusiei în spațiul informațional global;
Contracararea amenințării
FEDERAȚIA RUSĂ
INSTITUȚIE DE ÎNVĂȚĂMÂNT DE STAT
ÎNVĂŢĂMÂNT PROFESIONAL SUPERIOR
"APROBAT"
Prorector pentru Afaceri Academice
_______________/
„___” _______________ 2011
Suport organizațional și juridic pentru securitatea informațiilor
Complex de instruire și metodologie.
Program de lucru pentru studenții cu normă întreagă
specialitatea 090301.65 " Securitatea calculatorului»,
profil de formare „Siguranța sistemelor automatizate”
" " ____________ 2011
Examinat în ședința Direcției Securitate Informațională din 20 aprilie 2011, procesul-verbal
Îndeplinește cerințele de conținut, structură și design.
Volumul __ pagini
Cap departament ________________________________________________//
" " ____________ 2011
Considerat în ședința comisiei de învățământ a Institutului de Matematică, Științe ale Naturii și Tehnologii Informaționale din 15 mai 2011, procesul-verbal
Corespunde cu standardul educațional de stat federal pentru învățământul profesional superior și cu curriculumul programului educațional.
"DE ACORD":
Președintele Comitetului Educațional _____________________________________ / /
" "___________ 2011
"DE ACORD":
Cap departamentul metodologic al UMU ______________________________//
„_____” _______________ 2011
FEDERAȚIA RUSĂ
MINISTERUL EDUCAŢIEI ŞI ŞTIINŢEI
Instituție de învățământ de stat
UNIVERSITATEA DE STAT TYUMEN
Institutul de Matematică, Științe ale Naturii și Tehnologii Informaționale
Departamentul de Securitate Informațională
LYSOV A. S.
Suport organizațional și juridic pentru securitatea informațiilor
Complex de instruire și metodologie.
Program de lucru pentru studenți cu normă întreagă,
profil de formare de specialitate: „Securitatea sistemelor automatizate”
Tyumen Universitate de stat
. Suport organizatoric și juridic al securității informațiilor.
Complex de instruire și metodologie. Program de lucru pentru studenții cu normă întreagă ai specialității 090301.65 „Securitate computer”, profil de formare „Securitatea sistemelor automatizate”. Tyumen, 2011, 13 pagini.
Programul de lucru este întocmit în conformitate cu cerințele Standardului Educațional de Stat Federal pentru Învățământul Profesional Superior, ținând cont de recomandările și ProOOP de Învățământ Profesional Superior în direcția și profilul formării.
Aprobat de prorectorul pentru afaceri academice al Universității de Stat din Tyumen
Redactor responsabil: , șef. Catedra de Securitate Informațională, Doctor în Științe Tehnice, Prof.
© Instituția de Învățământ de Stat de Învățământ Profesional Superior Universitatea de Stat din Tyumen, 2011
1. Notă explicativă
1.1. Scopurile si obiectivele disciplinei
Disciplina „Fundamentele securității informațiilor” implementează cerințele standardului de învățământ superior al statului federal învăţământul profesionalîn direcția de pregătire 090301.65 „Securitate Informatică”.
Scop studierea disciplinei „Suport organizațional și juridic al securității informațiilor” este de a familiariza studenții cu elementele de bază ale securității informațiilor. Sunt studiate amenințările informaționale, neutralizarea acestora, problemele de organizare a măsurilor de protecție a resurselor informaționale, documentele de reglementare care reglementează activitățile informaționale, criptografia și alte aspecte legate de asigurarea securității rețelelor de calculatoare.
Obiectivele disciplinei sunt:
· Prezentarea principalelor prevederi ale Doctrinei Securității Informaționale a Federației Ruse.
· Oferiți cunoștințe despre elementele de bază sistem integrat protecția informațiilor;
· Oferiți cunoștințe despre elementele de bază ale suportului organizațional și juridic pentru securitatea informațiilor.
· Formarea bazei pentru continuarea auto-studiu probleme de securitate informatică și informatică
Astfel, disciplina „Fundamentals of Information Security” este integrală parte integrantă pregătire profesională în direcția de pregătire 090301 „Securitate informatică”. Împreună cu alte discipline din ciclul disciplinelor profesionale, studiul acestei discipline are scopul de a forma un specialist și, în special, de a dezvolta în el astfel de calitate, Cum:
· rigoare în judecăți,
· gândire creativă,
· organizare și eficiență,
· disciplina,
· independenţă şi responsabilitate.
1.2. Locul disciplinei în structura POO:
Disciplina aparține ciclului de științe matematice și naturale
disciplinelor.
Cunoștințele dobândite în studiul disciplinei „Fundamentals of Information Security” sunt utilizate în studiul disciplinelor
Auditul securității informațiilor,
1.3. Cerințe pentru rezultatele stăpânirii disciplinei:
Procesul de studiu al disciplinei are ca scop dezvoltarea următoarelor competențe:
Competențe culturale generale (GC):
− capacitatea de a acționa în conformitate cu Constituția Federației Ruse, de a-și îndeplini datoria civică și profesională, ghidată de principiile legalității și patriotismului (OK-1);
− capacitatea de a analiza fenomene și procese semnificative din punct de vedere social, inclusiv cele de natură politică și economică, probleme ideologice și filozofice, de a aplica principiile și metodele de bază ale științelor umaniste, științelor sociale și economice în rezolvarea problemelor sociale și profesionale (OK-3 );
− capacitatea de a înțelege forțele motrice și tiparele procesului istoric, rolul individului în istorie, organizarea politică a societății, capacitatea de a respecta și îngriji moștenirea istorică, de a percepe cu toleranță diferențele sociale și culturale (OK- 4);
Competențe profesionale (PC):
− capacitatea de a folosi metode de bază de protecţie personalul de producție si populatie din consecințe posibile accidente, dezastre, dezastre naturale(PC-6);
Ca urmare a studierii disciplinei, studentul trebuie:
Știi:
· surse de amenințări la adresa securității informațiilor;
· metode de evaluare a vulnerabilității informaționale;
· metode de creare, organizare și asigurare a funcționării sistemelor protecţie cuprinzătoare informație;
· metode de suprimare a dezvăluirii de informații confidențiale;
· tipuri și semne de infracțiuni informatice
A fi capabil să:
· găsirea actelor juridice de reglementare necesare și a normelor legale de informare în sistem legislatia actuala, inclusiv prin sisteme informatice juridice;
· aplicarea cadrului legislativ actual în domeniul securității informațiilor;
· elabora proiecte de regulamente, instrucțiuni și alte documente organizatorice și administrative care reglementează activitatea privind protecția informațiilor.
2. Structura și intensitatea muncii a disciplinei.
Tabelul 1.
Tip de ocupație | Semestru |
Intensitatea totală a muncii | |
Lecții auditive | |
Lecții practice | |
Muncă independentă | |
Tipul controlului final |
3. Plan tematic.
Masa 2.
Subiect | săptămâni ale semestrului | Tipuri de muncă educațională și muncă independentă, pe oră. | Total de ore pe subiect | Dintre acestea în formă interactivă | Puncte totale |
||||
Prelegeri | Muncă independentă |
||||||||
Modulul 1 |
|||||||||
Total | |||||||||
Modulul 2 |
|||||||||
Total | 1 4 | ||||||||
Modulul 3 |
|||||||||
Total | 1 4 | ||||||||
Total (ore, puncte) pentru semestru: | |||||||||
Dintre acestea în formă interactivă | |||||||||
Tabelul 3.
Tipuri și forme de instrumente de evaluare în perioada de control curent
Sondaj oral | Sisteme și tehnologii informaționale | Alte forme de control | Puncte totale |
|||||
interviu | răspuns la seminar | Test acasă | Lucrări de calcul pe calculator | |||||
Modulul 1 |
||||||||
Total | ||||||||
Modulul 2 |
||||||||
Total | ||||||||
Modulul 3 |
||||||||
Total | ||||||||
Total |
Tabelul 4.
Planificare muncă independentă elevi
Module și teme | Tipuri de SRS | Săptămâna semestrului | Volumul orelor | Numărul de puncte |
||
Obligatoriu | adiţional |
|||||
Modulul 1 | ||||||
Amenințări informaționale. | Luarea de note în timpul prelegerilor, pregătirea pentru un raport | |||||
Luarea notițelor materialelor în timpul orelor de curs. pregătirea pentru răspuns la colocviu. | Lucrul cu literatura educațională | |||||
Modul total 1: | ||||||
Modulul 2 | ||||||
Reglementare legală protectia informatiilor | Luarea de notițe în timpul prelegerilor, pregătirea pentru un raport | Lucrul cu literatura educațională | ||||
Măsuri organizatorice pentru asigurarea securității informaționale a sistemelor informatice | Luarea de notițe asupra materialelor din cursurile de curs, pregătirea pentru un răspuns la un colocviu, pregătirea pentru un raport | |||||
Modul total 2: | ||||||
Modulul 3 | ||||||
Protecția datelor prin metode criptografice | Lucrul cu literatura educațională, efectuarea testelor de teme | |||||
Politica de securitate a informațiilor | Luarea notițelor materialelor în timpul orelor de curs. Facerea temelor, pregătirea pentru răspuns la seminar și pentru interviu. | Lucrul cu literatura educațională, efectuarea lucrărilor de calcul pe calculator | ||||
Tipic atacuri de la distanță folosind vulnerabilitățile protocolului de rețea. | Luarea notițelor materialelor în timpul orelor de curs. Finalizarea testului, pregătirea pentru răspunsul la colocviu. | Lucrul cu literatura educațională, pregătirea unui raport. | ||||
Modul total 3: | ||||||
TOTAL: | ||||||
4. Secțiuni ale disciplinei și conexiuni interdisciplinare cu disciplinele prevăzute (ulterioare).
Teme ale disciplinei necesare studierii disciplinelor prevăzute (ulterioare).
Denumirea disciplinelor furnizate (ulterioare). | |||||||||||
Managementul securității informațiilor | |||||||||||
Auditul securității informațiilor | |||||||||||
Protejarea informațiilor confidențiale | |||||||||||
Protecția datelor cu caracter personal în ISPDn |
5. Conținutul secțiunilor disciplinare
Subiectul 1.
Amenințări informaționale. Conceptul de amenințări informaționale. Conceptul de informare. Războaiele informaționale. Sunt studiate definițiile de bază ale informațiilor, valoarea acesteia și amenințările informaționale. Securitatea informațiilor amenință securitatea informațiilor. Sunt luate în considerare problemele de construcție structura informatieiîn Federația Rusă, diverse probleme apărute în legătură cu acest proces, participarea Federației Ruse la schimbul internațional de informații. Tipuri de adversari. Hackerii. Se studiază portretul socio-psihologic al unui violator al securității informațiilor, capacitățile și metodele de acțiune ale acestuia. Tipuri de posibile încălcări ale sistemului informațional. Clasificare generala amenințări informaționale. Se studiază tulburările de funcționare a sistemelor informaționale, se introduce o clasificare a amenințărilor la adresa sistemelor informaționale, se iau în considerare posibilele subiecte și obiecte de acces la sistemele informaționale și se iau în considerare amenințările implementate la nivelul unui sistem informatic local (izolat). Cauzele vulnerabilităților rețelei de calculatoare.
Tema 2. Virușii informatici. Sunt studiate malware, istoria dezvoltării lor, responsabilitatea pentru crearea și distribuirea, tipuri, principii de acțiune a virușilor, semne de demascare.
Tema 3. Reglementarea juridică a protecției informațiilor (analiza articolelor din Codul penal și alte reglementări). Standarde de securitate a informațiilor Documente de reglementare care reglementează activitățile informaționale în Federația Rusă și în lume. Standarde de securitate a informațiilor
Tema 4. Măsuri organizatorice pentru asigurarea securității informaționale a sistemelor informatice. Rolul sarcinilor și responsabilităților administratorului de securitate, definirea abordărilor de management al riscului, structurarea contramăsurilor, procedura de certificare pentru conformitatea cu standardele de securitate a informațiilor
Tema 5. Protecția datelor prin metode criptografice. Metode și algoritmi de criptare, cerințe de criptare, cele mai comune fonturi
Tema 6. Politica de securitate a informațiilor. Modele de protecție a informațiilor în Politica de securitate CS și componentele sale principale, modele de protecție a informațiilor în sisteme informatice, tehnologii de protecție și restricționare a accesului la informații.
Subiectul 7. Atacuri tipice de la distanță folosind vulnerabilitățile protocolului de rețea. Clasificarea atacurilor de la distanță. Atacurile asupra ARP - protocol, ICMP - protocol, DNS - protocol, TCP - protocol, tipuri de atacuri.
6. Cursuri de seminar.
Tema 1. Protecția datelor prin metode criptografice.
l Metode și algoritmi de criptare.
lScrierea celor mai comune fonturi.
Tema 2. Politica de securitate a informațiilor.
l Modele de securitate a informațiilor în CS
l Politica de securitate și componentele sale principale,
l Modele de securitate a informațiilor în sisteme informatice,
l Tehnologii pentru protejarea și restricționarea accesului la informații.
l Motive, tipuri, canale de scurgere și denaturare a informațiilor
Subiectul 3. Atacuri tipice de la distanță folosind vulnerabilitățile protocolului de rețea.
· Atacurile de la distanță asupra protocolului ARP,
· Atacurile de la distanță asupra ICMP – protocol,
· Atacurile de la distanță asupra protocolului DNS,
· Atacuri de la distanță asupra protocolului TCP.
7. Educational - suport metodologic munca independentă a elevilor. Instrumente de evaluare pentru monitorizarea continuă a progresului, certificare interimară pe baza rezultatelor stăpânirii disciplinei (modul).
Verificarea calității pregătirii pe parcursul semestrului presupune următoarele tipuri de control intermediar:
a) realizarea de sondaje teoretice orale (colocvii) câte una în fiecare modul de formare;
b) întocmirea unui raport de către student.
c) efectuarea unei probe pe un curs teoretic
Controlul curent și intermediar al stăpânirii și stăpânirii materialului disciplinar se realizează în cadrul unui sistem de notare (100 de puncte).
Exemple de subiecte ale rapoartelor:
1. Reglementarea legală a protecției informațiilor.
2. Definirea politicii de securitate a informațiilor (Definirea documentelor de guvernare și a standardelor utilizate. Determinarea abordărilor de management al riscului).
3. Determinarea limitelor managementului securității informațiilor (Descrierea structurii existente a AS. Amplasarea echipamentelor informatice și a infrastructurii suport)
4. Rolul, sarcinile și responsabilitățile administratorului de securitate CS.
5. Protecția datelor prin metode criptografice. Metode de criptare.
6. Protecția datelor prin metode criptografice. Algoritmi de criptare.
7. Cerințe pentru cifruri. Comparație între DES și GOST
8. Atacuri tipice de la distanță folosind vulnerabilitățile protocolului de rețea. Clasificarea atacurilor de la distanță.
9. Modele de securitate a informațiilor în CS.
Întrebări pentru examen
1. Conceptul de amenințări informaționale.
2. Războaiele informaționale.
3. Amenințări informaționale la adresa securității Federației Ruse. Doctrina securității informațiilor a Federației Ruse.
4. Tipuri de adversari. Hackerii.
5. Virușii informatici. Poveste. Definiție conform Codului penal al Federației Ruse.
6. Tipuri, principii de acțiune a virusurilor, semne de demascare.
7. Tipuri de posibile încălcări ale sistemului informaţional. Clasificarea generală a amenințărilor informaționale.
8. Amenințări la adresa resurselor de securitate informatică. Amenințări implementate la nivelul sistemului informatic local. Factorul uman.
9. Amenințări la adresa informațiilor computerizate implementate la nivel hardware.
10. Atacuri de la distanță sisteme informatice. Cauzele vulnerabilităților rețelei de calculatoare.
11. Reglementarea legală a protecției informațiilor.
12. Rolul, sarcinile și responsabilitățile administratorului de securitate CS.
13. Protecția datelor prin metode criptografice. Metode de criptare.
14. Protecția datelor prin metode criptografice. Algoritmi de criptare.
15. Cerințe pentru cifruri. Comparația DES și GOST
16. Atacurile tipice de la distanță folosind vulnerabilitățile protocolului de rețea. Clasificarea atacurilor de la distanță.
17. Politica de securitate și componentele acesteia.
18. Modele de securitate a informațiilor în CS.
19. Tehnologii de protecție și control acces.
20. Standarde de securitate a informațiilor.
21. GRASIME
8. Tehnologii educaționale
Combinație furnizată tipuri tradiționale activități educaționale, cum ar fi luarea notițelor prelegerilor și monitorizarea asimilării materialelor teoretice sub formă de răspunsuri la un seminar, pregătirea rapoartelor tematice, colocvii, conducerea la clasă teste, și tehnologii interactive, cum ar fi interviuri, execuție și discuții de rapoarte și lucrări de calcul.
Întocmirea și apărarea de către studenți a rapoartelor pe teme care nu sunt incluse în planul de curs le permite studenților să-și extindă orizonturile științifice, să-și îmbunătățească abilitățile de lucru cu literatura educațională și științifică națională și străină, să dezvolte abilități lingvistice, să îmbunătățească pregătirea matematică, să consolideze conexiunile interdisciplinare, să îmbunătățească abilități de programare, dezvoltarea abilităților de sistematizare și prezentare liberă a materialului pe o anumită temă publicului.
9. Literatură
9.1. Literatura principală
1. Securitatea informațiilor Rastorguev: manual. ajutor pentru elevi universități, educaționale conform specialului „Securitate informatică”, „Presentare cuprinzătoare a securității informațiilor sistemelor automate” și „Securitatea informațiilor sistemelor de telecomunicații”/. - M.: Academia, 2с
2. Fundamentele securității informației: manual. ajutor pentru elevi universități / comp. . - M.: Linia fierbinte- Telecom, 2 secunde
3. , Retele de calculatoare. Principii, tehnologii, protocoale - Sankt Petersburg: Peter, 200 p.
4. Yarochkin security.- M.: Proiect academic, 2003.-639 p.
5. Securitatea informației Galatenko: Un curs de prelegeri - M.: Internet - Universitatea de Tehnologii Informaționale, 2003. - 239 p.
9.2. literatură suplimentară
6. şi altele. Metodologia securităţii informaţiei. – M.: Examen, 200 p.
7. Introducere în securitatea informațiilor sisteme automatizate: Manual.- M.: Hotline - Telecom, p. 9.3. Softwareși resurse de internet.
Sisteme de biblioteci electronice universitare pentru literatura educațională.
Baza de informații științifice și tehnice a VINITI RAS
Acces la bazele de date deschise de citate, inclusiv la academicieni. , *****
10. Mijloace și echipamente tehnice și materiale și tehnice.
Pentru a organiza munca independentă a elevilor este necesar clasa de calculatoare cu echipamente pentru realizarea prezentărilor de materiale de curs.
Legea federală din 27 iulie 2006 N 152-FZ (modificată la 5 aprilie 2013) Cu privire la datele cu caracter personal
date personale - orice informație referitoare la o persoană fizică direct sau indirect identificată sau identificabilă (subiectul datelor cu caracter personal);
Operatorul de date cu caracter personal (conform legii cu privire la datele cu caracter personal) este un organism de stat, organ municipal, persoană juridică sau persoană fizică care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determină scopurile și conținutul prelucrării date personale.
Sistem informatic de date cu caracter personal - un sistem informatic care este un set de date cu caracter personal continute intr-o baza de date, precum si tehnologii informatice si mijloace tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare sau fara utilizarea unor astfel de instrumente;
Articolul 19. Măsuri de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora
La prelucrarea datelor cu caracter personal, operatorul este obligat să ia măsurile legale, organizatorice și tehnice necesare sau să asigure adoptarea acestora pentru a proteja datele cu caracter personal de accesul neautorizat sau accidental la acestea, distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea datelor cu caracter personal, precum și din alte acțiuni ilegale privind datele cu caracter personal.
Se realizează asigurarea securității datelor cu caracter personal, în special:
1) identificarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal;
2) aplicarea măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informatice de date cu caracter personal necesare îndeplinirii cerințelor de protecție a datelor cu caracter personal, a căror implementare asigură nivelurile de securitate a datelor cu caracter personal stabilite de Guvernul Federației Ruse;
3) utilizarea mijloacelor de securitate a informațiilor care au trecut procedura de evaluare a conformității în conformitate cu procedura stabilită;
4) evaluarea eficacității măsurilor luate pentru asigurarea securității datelor cu caracter personal înainte de punerea în funcțiune a sistemului de informare a datelor cu caracter personal;
5) luarea în considerare a suporturilor informatice de stocare a datelor cu caracter personal;
6) detectarea faptelor de acces neautorizat la datele personale și luarea de măsuri;
7) restaurarea datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea;
8) stabilirea regulilor de acces la datele cu caracter personal prelucrate în sistemul informatic al datelor cu caracter personal, precum și asigurarea înregistrării și contabilizării tuturor acțiunilor efectuate cu datele cu caracter personal în sistemul informatic al datelor cu caracter personal;
9) controlul asupra măsurilor luate pentru asigurarea securității datelor cu caracter personal și a nivelului de securitate a sistemelor informatice de date cu caracter personal.
În sensul prezentului articol
amenințările la adresa securității datelor cu caracter personal sunt înțelese ca un set de condiții și factori care creează pericolul accesului neautorizat, inclusiv accidental, la datele cu caracter personal, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea datelor cu caracter personal. , precum și alte acțiuni ilegale în prelucrarea lor a datelor cu caracter personal în sistemul informațional.
Nivelul de securitate al datelor cu caracter personal este înțeles ca un indicator complex care caracterizează cerințele, a cărui implementare asigură neutralizarea anumitor amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.
Pachet de documente privind protecția datelor cu caracter personal
Reglementări privind protecția datelor cu caracter personal;
Reglementări privind unitatea de protecție a informațiilor;
Ordin de numire a persoanelor responsabile cu prelucrarea datelor cu caracter personal;
Conceptul de securitate a informațiilor;
Politica de securitate a informațiilor;
Lista datelor cu caracter personal care fac obiectul protecției;
Ordin de efectuare a unui audit intern;
Raport asupra rezultatelor auditului intern;
Actul de clasificare a sistemului informatic al datelor cu caracter personal;
Reglementări privind delimitarea drepturilor de acces la datele cu caracter personal prelucrate;
Model de amenințare la securitatea datelor cu caracter personal;
Plan de acțiune pentru protecția datelor cu caracter personal;
Procedura de rezervare hardware și software, baze de date și instrumente de securitate a informațiilor;
Planul de audit intern;
Jurnalul activităților de control al securității PD;
Un jurnal de solicitari din partea persoanelor vizate de date cu caracter personal privind indeplinirea drepturilor lor legale;
Instrucțiuni pentru administratorul sistemului informatic de date cu caracter personal;
Instrucțiuni pentru utilizatorul sistemului de informații cu date cu caracter personal;
Instrucțiuni pentru administratorul de securitate al sistemului informatic de date cu caracter personal;
Instrucțiuni pentru utilizator pentru asigurarea securității prelucrării datelor cu caracter personal în cazul unor situații de urgență;
Lista contabilității instrumentelor de securitate a informațiilor utilizate, documentația operațională și tehnică pentru acestea;
Termeni tipici de referință pentru dezvoltarea unui sistem de asigurare a securității informațiilor unei instalații informatice;
Un proiect preliminar pentru crearea unui sistem pentru asigurarea securității informațiilor unei instalații informatice;
Reglementări privind Jurnalul electronic al solicitărilor de la utilizatorii sistemelor informatice de date cu caracter personal (proiect de ordin);
Etapele muncii. Astfel, organizarea protecției datelor cu caracter personal ar trebui realizată în mai multe etape:
Inventarierea resurselor informaționale.
Restricționarea accesului angajaților la datele personale.
Reglementarea documentară a muncii cu date personale.
Formarea unui model de amenințări la adresa securității datelor cu caracter personal.
Clasificarea sistemelor informatice cu date personale (PDIS) ale institutiilor de invatamant.
Întocmirea și transmiterea către organismul împuternicit a unei notificări despre prelucrarea datelor cu caracter personal.
Aducerea sistemului de protecție a datelor cu caracter personal în conformitate cu cerințele de reglementare.
Crearea unui subsistem de securitate a informațiilor ISPD și certificarea (certificarea) a acestuia pentru clasele ISPD K1, K2.
Organizarea operațiunii și controlul securității ISPD.
1. Inventarierea resurselor informaţionale
Inventarierea resurselor informaționale reprezintă identificarea prezenței și prelucrării datelor cu caracter personal în toate sistemele informaționale și depozitele tradiționale de date operate în organizație.
În această etapă, trebuie să: aprobați regulamentul privind protecția datelor cu caracter personal, să formulați un concept și să definiți o politică de securitate a informațiilor și să întocmiți o listă a datelor cu caracter personal care trebuie protejate.
2. Restricționarea accesului angajaților la datele personale
Doar acei angajați care au nevoie de el pentru a-și îndeplini sarcinile oficiale (de serviciu) ar trebui să aibă permisiunea de a prelucra datele cu caracter personal.
În această etapă ar trebui: să limitați, în măsura în care este necesar, accesul atât electronic, cât și fizic la datele personale
3. Reglementarea documentară a muncii cu date personale
Potrivit articolului 86 din Codul Muncii al Federației Ruse, angajații și reprezentanții acestora trebuie să fie familiarizați, fără semnătură, cu acele documente ale angajatorului care stabilesc procedura de prelucrare a datelor cu caracter personal ale angajaților, precum și cu drepturile și obligațiile acestora în acest domeniu.
Subiectul datelor cu caracter personal decide în mod independent problema transferului acestora către altcineva, documentându-și intenția.
În această etapă, trebuie: să colectați consimțământul pentru prelucrarea datelor cu caracter personal, să emiteți un ordin de numire a persoanelor responsabile cu prelucrarea datelor cu caracter personal și reglementări privind delimitarea drepturilor de acces la datele cu caracter personal prelucrate, să întocmiți instrucțiuni pentru administratorul ISPD, utilizatorul ISPD și securitatea ISPD administrator.
4. Formarea unui model de amenințări la adresa securității datelor cu caracter personal
Un model privat de amenințări la adresa securității datelor cu caracter personal stocate în sistemul informațional este format pe baza următoarelor documente aprobate de Serviciul Federal pentru Control Tehnic și Export (FSTEC):
Model de bază de amenințări la adresa securității datelor cu caracter personal atunci când sunt prelucrate în ISPD;
Metodologie de identificare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în ISPD;
În această etapă, este necesară formarea unui model de amenințări la adresa securității datelor cu caracter personal prelucrate și stocate într-o instituție de învățământ.
5. Clasificarea ISPD vezi întrebarea nr. 18
6. Parasirea si trimiterea notificarii catre organismul abilitat
O notificare despre prelucrarea datelor cu caracter personal este întocmită pe antetul operatorului și trimisă organului teritorial Roskomnadzor al Ministerului Comunicațiilor și Comunicațiilor de Masă al Federației Ruse pe hârtie sau sub forma unui document electronic semnat de o persoană autorizată. Formularul indică date despre persoana împuternicită, scopul prelucrării, categorii de date, categorii de subiecți, ale căror date sunt prelucrate, temeiul legal al prelucrării, data începerii acesteia, termenul (condiția) de încetare a acesteia etc. .
7. Aducerea sistemului în conformitate cu cerințele de reglementare
În această etapă, ar trebui: să creați o listă de contabilitate pentru instrumentele de securitate a informațiilor utilizate, documentația operațională și tehnică pentru acestea; reglementări privind unitatea de protecție a informațiilor; recomandări metodologice pentru organizarea securității informațiilor la prelucrarea datelor cu caracter personal; instrucțiuni pentru utilizator pentru asigurarea securității procesării PD în cazul unor situații de urgență, precum și aprobarea unui plan de acțiune pentru protecția PD.
8 . Certificare (certificare) ISPDn
Pentru a asigura securitatea ISPD, este necesar să se ia măsuri pentru organizarea și furnizarea de suport tehnic pentru protecția datelor cu caracter personal prelucrate. Certificarea (atestarea) obligatorie este utilizată pentru a evalua conformitatea ISPD de clasa 1 și 2 cu cerințele de securitate PD.
Următoarele obiecte de informatizare sunt supuse certificării obligatorii:
Sisteme automate de diferite niveluri și scopuri.
Sisteme de comunicații, recepție, procesare și transmitere a datelor.
Sisteme de afișare și reproducere.
Spații destinate negocierilor confidențiale.
9. Organizarea operațiunii ISPD și controlul securității
Măsurile de asigurare a securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale includ:
controlul asupra respectării condițiilor de utilizare a instrumentelor de securitate a informațiilor prevăzute în documentația operațională și tehnică;
investigarea și întocmirea concluziilor asupra faptelor de nerespectare a condițiilor de stocare a suporturilor PD, utilizarea instrumentelor de securitate a informațiilor care pot duce la încălcarea confidențialității PD.
Răspunderea pentru încălcarea Legii federale nr. 152 privind datele personale
Răspundere administrativă: amendă sau amendă cu confiscarea instrumentelor de securitate și criptare necertificate. Cod administrativ, art. 13.11, 13.12, 13.14
Răspunderea disciplinară: concedierea salariatului contravenient. Codul Muncii al Federației Ruse, art. 81 și 90
Răspundere penală: din munca corecțională și privarea de dreptul de a ocupa anumite funcții la arestare. Cod penal, art. 137, 140, 272
Manualul conturează abordări teoretice și metodologice generale ale formării suportului juridic și organizațional pentru securitatea informațională a indivizilor, societății și statului. Sunt acoperite în detaliu principalele instituții de sprijin juridic pentru securitatea informațiilor: regimurile juridice pentru protecția informațiilor, secretele de stat, oficiale și comerciale, datele personale, răspunderea juridică pentru infracțiuni în domeniul securității informațiilor, precum și structura organizatorică. suport pentru securitatea informațiilor. Sunt luate în considerare problemele formării unui regim juridic pentru securitatea informațiilor internaționale. O atenție considerabilă este acordată aspectelor organizaționale ale managementului securității sistemelor informaționale. Sarcina prezentului curs de pregatire dobândirea de către elevi ca cultura generalaîn domeniul suportului juridic și organizatoric pentru securitatea informațiilor, precum și studiul problemelor legate de formarea și implementarea politicilor publice în acest domeniu, precum și dobândirea de către maeștri a unor cunoștințe mai aprofundate în domeniul informației securitate, probleme de securitate internațională a informațiilor.
Pasul 1. Selectați cărțile din catalog și faceți clic pe butonul „Cumpărați”;
Pasul 2. Accesați secțiunea „Coș”;
Pasul 3: Specificați suma necesară, completați datele în blocurile Destinatar și Livrare;
Pasul 4. Faceți clic pe butonul „Continuați cu plata”.
Pe acest moment cumpără cărți tipărite, acces electronic sau cărți cadou pentru bibliotecă pe site-ul EBS este posibil doar cu plata în avans de 100%. După plată, vi se va oferi acces la textul integral al manualului Biblioteca electronica sau începem să vă pregătim o comandă la tipografie.
Atenţie! Vă rugăm să nu vă schimbați metoda de plată pentru comenzi. Dacă ați ales deja o metodă de plată și nu ați reușit să finalizați plata, trebuie să plasați din nou comanda și să plătiți folosind o altă metodă convenabilă.
Puteți plăti pentru comanda dvs. folosind una dintre următoarele metode:
- Metoda fără numerar:
- card bancar: Trebuie să completați toate câmpurile formularului. Unele bănci vă cer să confirmați plata - pentru aceasta, un cod SMS va fi trimis la numărul dvs. de telefon.
- Servicii bancare online: băncile care cooperează cu serviciul de plată vor oferi propriul formular de completat. Vă rugăm să introduceți datele corect în toate câmpurile.
De exemplu, pentru " class="text-primary">Sberbank Online numărul necesar telefon mobilși e-mail. Pentru " class="text-primary">Alfa Bank Veți avea nevoie de o autentificare la serviciul Alfa-Click și de un e-mail. - Portofel online: dacă aveți un portofel Yandex sau un portofel Qiwi, puteți plăti comanda prin intermediul acestora. Pentru a face acest lucru, selectați metoda de plată adecvată și completați câmpurile furnizate, apoi sistemul vă va redirecționa către o pagină pentru a confirma factura.
