Сделай Сам Свою Работу на 5

Организационно-правовое обеспечение информационной безопасности.





Вопросы защиты информационных ресурсов самым тесным образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования отношений в процесс с информатизации. Необходимость организационно-правового обеспечения защиты информации вытекает из факта признания за информацией статуса товара, продукта общественного производства, установления в законодательном порядке права собственности на информацию.
Такая постановка вопроса приобретает особый смысл и характер в условиях демократизации общества, формирования рыночной экономики, включения нашего государства в мировое экономическое сообщество.

Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд принципиальных специфических особенностей, обусловленных следующими обстоятельствами:

· представлением информации в непривычной и неудобочитаемой для человека двоичной форме;

· использованием носителей информации, записи на которых недоступны для простого визуального просмотри



· возможностью многократного копирования информации без оставления каких-либо следов;

· легкостью изменения любых элементов информации без оставления следов типа подчисток-, исправления и т.п.;

· невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;

· наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации.
Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:

· организационно-правовая основа защиты информации в АС;

· технико-математические аспекты организационно-правового обеспечения;

· юридические аспекты организационно-правового обеспечения защиты.


Из практических соображений ясно, что организационно-правовая основа защиты информации должна включать:

· определение подразделений и лиц, ответственных за организацию защиты информации;



· нормативно-правовые, руководящие и методические материалы (документы) по защите информации;

· меры ответственности за нарушение правил защиты;

· порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.


Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ. Основными из этих условий являются следующие:

· фиксация на документе персональных идентификаторов ("подписей") лиц, изготовивших документ и (или) несущих ответственность за него;

· фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;

· невозможность незаметного (без оставления следов) изменения содержания информации даже липами, имеющими санкции на доступ к ней,

· т.е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;

· фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.

Под юридическими аспектами организационно-правового обеспечения защиты информации в АС понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели;

· устанавливается обязательность соблюдения всеми лицами, имеющими отношение к АС всех правил защиты информации;

· узакониваются меры ответственности за нарушение правил защиты;

· узакониваются (приобретаю! юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;



· узакониваются процессуальные процедуры разрешения ситуаций. складывающихся в процесс: функционирования систем защиты.

Эволюция подходов к обеспечению информационной безопасности. Основные понятия и определения.

Информационная безопасность представляет собой самостоятельную часть безопасности, роль и значение которой с каждым годом неуклонно возрастает. Ее особая роль объясняется глобальными процессами, которые характерны для социально-экономического развития цивилизации. Передовые, развитые в экономическом и технологическом отношении страны вступили в стадию постиндустриального общества, в котором основные производительные силы наряду с переработкой вещества и энергии заняты информационными процессами во всех сферах деятельности и жизни людей.

В ряду крупных аспектов безопасности можно выделить:

1. экологическую безопасность;

2. демографическую безопасность;

3. физическую безопасность;

4. экономическую безопасность;

5. социальную безопасность;

6. этнокультурную безопасность;

7. информационную безопасность;

8. военную безопасность;

9. технологическую безопасность.

Комплексная система защиты информации - совокупность сил, средств, методов и меро­приятий, используемых для обеспечения на заданном уровне защиты информации на этом объекте.

С помощью информационного критерия развития можно оценить изменение информационного содержания материальных систем в ходе эволюционной самоорганизации либо самодезорганизации. Причем на главной прогрессивной линии эволюции происходит непрерывное накопление информации в системах, и тем самым, этот критерий выступает в качестве вектора прогрессивного развития материальных систем. Информационный критерий эволюции выражает достаточно очевидную феноменологическую векторно-генетическую связь роста информационного содержания эволюционирующих систем.

В зависимости от того, кто выступает субъектом или объектом безопасности – отдельный человек, социальная группа, общество в целом, государство или сообщество государств выделяют следующие основные уровни безопасности:

1. личная или индивидуальная безопасность;

2. социетальная (общественная) безопасность или безопасность общества;

3. национальная безопасность или безопасность государства;

4. международная или коллективная безопасность;

5. всемирная или глобальная безопасность.

 

Серверы безопасности( брандмауэры,прокси-серверы)

Обеспечение информационной безопасности организации является на сегодняшний день одной из приоритетнейших задач, стоящих перед любым бизнесом. Безопасность при работе сотрудников в сети Интернет и защита от вредоносных программ является неотъемлемой частью любой информационной системы. То, на сколько хорошо защищена ваша организация напрямую зависит от надежности сервера, безопасности и качества настроек Firewall-системы.

Рассмотрим 2 сервера безопасности: брандмауэры и прокси-серверы

Брандмауэр

Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см рис.1). Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить.

Брандмауэры обеспечивают несколько типов защиты:

· Они могут блокировать нежелательный трафик

· Они могут направлять входной трафик только к надежным внутренним системам

· Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом.

· Они могут протоколировать трафик в и из внутренней сети

· Они могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета

· Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.

Все брандмауэры можно разделить на три типа:

· пакетные фильтры (packet filter)

· сервера прикладного уровня (application gateways)

· сервера уровня соединения (circuit gateways)

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

 








Не нашли, что искали? Воспользуйтесь поиском по сайту:



©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.