Сделай Сам Свою Работу на 5

Программно-техническое обеспечение безопасности информационных систем.

Меры и средства программно-технического уровня. В рамках современных ИС должны быть доступны, по крайней мере, следующие ме­ханизмы безопасности:

· применение защищенных виртуальных частных сетей VPN для защиты ин­формации, передаваемой по открытым каналам связи;

Под термином VPN, как правило, понимается сеть, обеспечивающая достаточ­но экономичный, надежный и безопасный способ конфиденциальной связи меж­ду бизнес-партнерами, компаниями и их клиентами, отдельными подразделения­ми предприятия, удаленными сотрудниками и центральным офисом, причем все это реализуется на базе сетей общего пользования.

· применение межсетевых экранов для защиты корпоративной сети от вне­шних угроз при подключении к общедоступным сетям связи;

· управление доступом на уровне пользователей и защита от несанкциониро­ванного доступа к информации;

· гарантированная идентификация пользователей путем применения токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.) и других средств аутентификации;

· защита информации на файловом уровне (путем шифрования файлов и ка­талогов) для обеспечения ее надежного хранения;

· защита от вирусов с использованием специализированных комплексов ан­тивирусной профилактики и защиты;

· технологии обнаружения вторжений и активного ис­следования защищенности информационных ресурсов;

· криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности информации

 

Организационно- экономическое обеспечение безопасности информационных систем.

Администрация организа­ции должна сознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Основой мер защиты админист­ративно-организационного уровня является политика безопасности и комплекс организационных мер.

К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы организационных мер:

· стандартизация способов и средств защиты информации



· сертификация компьютерных систем и сетей и их средств защиты

· лицензирование деятельности в сфере защиты информации

· страхование информационных рисков, связанных с функционированием компьютерных систем и сетей

· контроль за действием персонала в защищенных информационных системах

· организационное обеспечение функционирования систем защиты информации.
Включает в себя:

Метод защиты при помощи программных паролей; обучение персонала; архивирование и дублирование информации: носители информации должны храниться в разных местах, не доступных для посторонних лиц; важная информация должна иметь несколько копий на разных носителях и в шифрованном виде; создание механических, электро-механических устройств и сооружений, предназначенных для создания физических препятствий на путях возможного проникновения нарушителей к компонентам защиты и защищаемой информации.

 

Правовое обеспечение безопасности информационных систем.

Меры законодательного уровняочень важны для обеспечения ИБ. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Боль­шинство людей не совершают противоправных действий потому, что это осуж­дается и/или наказывается обществом, и потому, что так поступать не принято.

Правовые отношения в области безопасности ИС регулируются законом «Об информатизации» от 6 сентября 1995 г. N 3850-XII. Настоящий Закон регулирует правоотношения, возникающие в процессе формирования и использования документированной информации и информационных ресурсов; создания информационных технологий, автоматизированных или автоматических информационных систем и сетей (в дальнейшем - информационные системы и сети); определяет порядок защиты информационного ресурса, а также прав и обязанностей субъектов, принимающих участие в процессах информатизации.

Одним из основных принципов информатизации является защита прав собственности на объекты права собственности в сфере информатизации.

Вопросам информационной безопасности посвящена ГЛАВА V. «Защита информационных ресурсов и прав субъектов информати3ации».

Глава V состоит из 6 статей: 22-27.

Статья 22. Цели защиты

Целями защиты являются:

предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, модификации, копированию, блокированию документированной информации и иных форм незаконного вмешательства в информационные системы; сохранение полноты, точности, целостности документированной информации, возможности управления процессом обработки и пользования в соответствии с условиями, установленными собственником этой информации или уполномоченным им лицом;

обеспечение прав физических и юридических лиц на сохранение конфиденциальности документированной информации о них, накапливаемой в информационных системах;

защита прав субъектов в сфере информатизации;

сохранение секретности, конфиденциальности документированной информации в соответствии с правилами, определенными настоящим Законом и иными законодательными актами.

Статья 23. Права н обязанности субъектов по защите информационных ресурсов

Собственник информационной системы или уполномоченные им лица обязаны обеспечить уровень защиты документированной информации в соответствии с требованиями настоящего Закона и иных актов законодательства.

Информационные ресурсы, имеющие государственное значение, должны обрабатываться только в системах, обеспеченных защитой, необходимый уровень которой подтвержден сертификатом соответствия. Защита другой документированной информации устанавливается в порядке, предусмотренном ее собственником или собственником информационной системы.

Собственник или владелец информационной системы обязаны сообщать собственнику информационных ресурсов обо всех фактах нарушения защиты информации.

Статья 24. Сертификация технических и программных средств по защите информационных ресурсов

Технические и программные средства по защите информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь органом сертификации.

Юридические лица, занимающиеся созданием средств по защите информационных ресурсов, осуществляют свою деятельность в этой сфере на основании разрешения органа, уполномоченного Президентом Республики Беларусь.

Статья 25. Предупреждение правонарушений в сфере информатизации.

Предупреждение действий, влекущих за собой нарушение прав и интересов, субъектов правоотношений в сфере информатизации, установленных настоящим Законом и иным законодательством Республики Беларусь, осуществляется органами государственной власти и управления, юридическими и физическими лицами, принимающими участие в информационном процессе.

Владельцы информационных ресурсов и систем, создатели средств программно-технической и криптографической защиты документированной информации при решении вопросов защиты руководствуются настоящим Законом и нормативными актами специально уполномоченного государственного органа по защите информации.

Статья 26. Ответственность за правонарушения в сфере информатизации.

3а правонарушения в сфере информатизации юридические и физические лица несут ответственность в соответствии с законодательством Республики Беларусь.

Статья 27. Защита прав субъектов правоотношений в сфере информатизации

Защита прав и интересов юридических и физических лиц, государства в сфере информатизации осуществляется судом, хозяйственным судом с учетом специфики правонарушений и причиненного ущерба.

 

 



©2015- 2019 stydopedia.ru Все материалы защищены законодательством РФ.