24758

Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях, а также в сети Интернет

Шпаргалка

Информатика, кибернетика и программирование

Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях а также в сети Интернет. Правовое обеспечение безопасности информационных и телекоммуникационных систем направлено на создание правовых условий для противодействия следующим угрозам в информационной сфере: противоправные сбор и использование информации; нарушения технологии обработки информации; внедрение в аппаратные и программные изделия компонентов реализующих функции не предусмотренные документацией на эти изделия; разработка и...

Русский

2013-08-09

32.84 KB

7 чел.

Билет №24

1. Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях, а также в сети Интернет.

Правовое обеспечение безопасности информационных и телекоммуникационных систем направлено на создание правовых условий для противодействия следующим угрозам в информационной сфере:

  1.  противоправные сбор и использование информации;
  2.  нарушения технологии обработки информации;
  3.  внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
  4.  разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
  5.  уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
  6.  воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
  7.  компрометация ключей и средств криптографической защиты информации;
  8.  утечка информации по техническим каналам;
  9.  внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
  10.  уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
  11.  перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
  12.  использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
  13.  несанкционированный доступ к информации, находящейся в банках и базах данных;
  14.  нарушение законных ограничений на распространение информации.

В УК РФ защите информационных и телекоммуникационных систем посвящена глава 28, статьи 272 – 274.

  1.  Статья 272. Неправомерный доступ к компьютерной информации.
  2.  Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
  3.  Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

В КОАП РФ защите информационных и телекоммуникационных систем посвящена глава 13, статьи 13.1 – 13.24.

  1.  Статья 13.1. Самовольные установка или эксплуатация узла проводного вещания.
  2.  Статья 13.2. Самовольное подключение к сети электрической связи оконечного оборудования.
  3.  Статья 13.3. Самовольные проектирование, строительство, изготовление, приобретение, установка или эксплуатация радиоэлектронных средств и (или) высокочастотных устройств.
  4.  Статья 13.4. Нарушение правил проектирования, строительства, установки, регистрации или эксплуатации радиоэлектронных средств и (или) высокочастотных устройств.
  5.  Статья 13.5. Нарушение правил охраны линий или сооружений связи.
  6.  Статья 13.6. Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи.
  7.  Статья 13.7. Несоблюдение установленных правил и норм, регулирующих порядок проектирования, строительства и эксплуатации сетей и сооружений связи.
  8.  Статья 13.8. Изготовление, реализация или эксплуатация технических средств, не соответствующих стандартам или нормам, регулирующим допустимые уровни индустриальных радиопомех.
  9.  Статья 13.9. Самовольные строительство или эксплуатация сооружений связи.
  10.  Статья 13.10. Изготовление в целях сбыта либо сбыт заведомо поддельных.
  11.  Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
  12.  Статья 13.12. Нарушение правил защиты информации.
  13.  Статья 13.13. Незаконная деятельность в области защиты информации.
  14.  Статья 13.14. Разглашение информации с ограниченным доступом.
  15.  Статья 13.15. Злоупотребление свободой массовой информации
  16.  Статья 13.16. Воспрепятствование распространению продукции средства массовой информации.
  17.  Статья 13.17. Нарушение правил распространения обязательных сообщений.
  18.  Статья 13.18. Воспрепятствование уверенному приему радио- и телепрограмм.
  19.  Статья 13.19. Нарушение порядка представления статистической информации.
  20.  Статья 13.20. Нарушение правил хранения, комплектования, учета или использования архивных документов.
  21.  Статья 13.21. Нарушение порядка изготовления или распространения продукции средства массовой информации.
  22.  Статья 13.22. Нарушение порядка объявления выходных данных.
  23.  Статья 13.23. Нарушение порядка представления обязательного экземпляра документов, письменных уведомлений, уставов и договоров.
  24.  Статья 13.24. Повреждение телефонов-автоматов.

Выработку и реализацию единой государственной политики и нормативно-правовое регулирование в сфере информационных технологий и массовых коммуникаций осуществляет Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь России), в том числе по вопросам развития сети Интернет, системы цифрового вещания и радиовещания, новых технологий в этих областях, обработки персональных данных, оказания государственных услуг в сфере информационных технологий.

Уполномоченным государственным органом, осуществляющим контроль и надзор за соблюдением требований законодательства РФ в сфере средств массовой информации, массовых коммуникаций, связи, информационных технологий, обработки персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

В настоящее время Минкомсвязь России совместно с Роскомнадзором разрабатывают методику контроля качества предоставления Интернет-услуг, прорабатывается вопрос использования свободных лицензий в авторском праве в условиях развития Интернета. Это станет существенным шагом вперед на пути эффективной защиты прав пользователей Интернета.

В числе полномочий Роскомнадзора – выдача лицензий операторам Интернет-связи, регистрация СМИ, а также применение мер профилактического и пресекательного характера, направленных на недопущение нарушений юридическими лицами и гражданами обязательных требований в указанной сфере и (или) ликвидацию последствий таких нарушений.

2. Создание механизмов безопасности в распределенной компьютерной системе.

Распределенной КС называется система, состоящая более чем из одного локального сегмента, представляющего обособленную совокупность субъектов и объектов доступа.

Нетрудно видеть, что центральным в понятии распределенной КС является способ (принцип, механизм и т. д.) обособления совокупности субъектов и объектов доступа в отдельную самостоятельную сущность, т. е. в локальный сегмент.

Выделим три способа (критерия) обособления подмножества субъектов и объектов в локальный сегмент:

• группирование некоторого подмножества субъектов доступа на основе их порождения и управления одним общим субъектом (системным процессом);

• локализация некоторого подмножества субъектов и объектов доступа в рамках некоторой технической компоненты КС;

• присвоение всем субъектам и объектам некоторого уникального идентификатора (адреса) в едином информационном (адресном) пространстве и разделение этого пространства на области, обособляющие локальные сегменты.

Первый способ характерен для выделения в сети компонентов (субъектов и объектов) АС, построенной в идеологии "Клиент-сервер", особенно для ее разновидности с "тонкими" клиентами. В подобных системах большинство процессов клиентов (субъектов доступа) порождаются (управляются, выполняются) главным системным процессом в виде сервера БД или сервера приложений. Соответственно вопросы безопасности в подобных распределенных системах обеспечиваются единым субъектом, функционирующим также на сервере системы. В частности, процессы коллективного доступа к общим данным управляются и регламентируются специальной программной компонентой, именуемой монитором транзакций. Монитор транзакций совместно с МБО обеспечивает все три аспекта безопасности данных – конфиденциальность (через определенную политику разграничения доступа), целостность и доступность (через специальные протоколы совместного выполнения и фиксации транзакций).

Второй способ, наиболее характерный для ЛВС, основывается на привязке субъектов и объектов доступа или их общей с точки зрения безопасности и разграничения доступа информации (например, общей базы учетных записей) к одной или нескольким выделенным вычислительным установкам. Можно также отметить, что на практике подобным образом в большинстве случаев обособляется одна вычислительная установка или сегмент ЛВС.

Третий способ является в некотором смысле виртуальной альтернативой второму способу и применяется в большинстве случаев совместно с ним. В частности, подобным образом создаются виртуальные защищенные сети, физическое расположение отдельных компонент которых не имеет самостоятельного значения.

Рассмотрим некоторую усредненную модель распределенной компьютерной системы организации. Основа такой системы - локальная сеть, состоящая из одного или нескольких сегментов. Локальная сеть служит для связи рабочих станций пользователей, серверов, рабочих мест администраторов, коммуникационного оборудования, сетевых принтеров и другого оборудования. При наличии филиалов (удаленных пользователей) особенно необходимы межсетевые экраны, позволяющие организовать защиту сегмента локальной сети от глобальной сети, которая используется как транспорт для взаимодействия удаленных локальных сегментов (VPN). Кроме того, межсетевые экраны контролируют входную информацию из открытой сети (фильтрация сервисов). Межсетевые экраны дополняются ДМЗ - демилитаризованной зоной, в которой установлены серверы почты и Веб и которые работают как амортизаторы, принимая на себя удар сетевых атак (вирусы и др.). Этот традиционный набор считается защитой локальной сети. Однако в действительности это может не быть защитой, если не реализованы некоторые основные принципы защиты информации.

В системе должна быть единая политика безопасности, которая определяет правила обращения с информацией так, чтобы исключить или снизить угрозы ущерба. Единая политика нужна, чтобы исключить противоречия между правилами обращения с одной и той же информацией в разных подразделениях организации. В самом простом случае, что этой политикой является дискреционная политика, т. е. у каждого информационного объекта системы есть хозяин, который определяет правила доступа субъектов к объектам. Для реализации дискреционной политики безопасности каждый субъект и объект должны быть идентифицированы, а каждый субъект должен подтвердить свой идентификатор (аутентификация). Обычно дискреционную политику безопасности усиливают аудитом, т.е. отслеживанием действий пользователей или субъектов, которые действуют от их имени, в компьютерной системе.

Кроме дискреционной политики безопасности как минимум необходимо организовать защиту целостности информационных ресурсов от модификации или уничтожения. Идентификация и аутентификация, правила разграничения доступа, аудит и защита целостности должны реализовываться механизмами защиты. На каждом рабочем месте и на серверах установлены операционные системы, которые, как правило, обладают набором механизмов защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа, аудит на данном компьютере. Серьезные прикладные системы типа СУБД также обладают локальным набором механизмов защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа и аудит. Основными механизмами защиты целостности являются резервное копирование (backup), электронно-цифровая подпись (ЭЦП) и коды аутентификации.

Однако выполнение политики безопасности на каждом компьютере вовсе не означает, что выполняется единая политика безопасности во всей системе. Например, пользователи по сети могут обращаться на файловый сервер для получения необходимой информации или отправки документов в файле на печать на сетевой принтер. Обращение на сервер предполагает копирование файла из одного компьютера, где файл находится под защитой локальной политики безопасности и средств ее поддержки, в другой компьютер, на котором действует локальная политика безопасности и механизмы ее поддержки. Ясно, что передача файла или информации из этого файла в файл на другой машине не управляется локальной политикой безопасности, т. е. должны быть механизмы реализации политики безопасности системы в целом, с помощью которых может быть разрешен доступ субъекта на одной машине к информации, расположенной на другой машине. В частности, для такого доступа субъект из рабочей станции 1 (РС1), запрашивающий доступ к информации на компьютере РС2, должен быть идентифицирован и аутентифицирован на РС2, т. е. его аутентификационная информация (пароль) на РС1 должна быть передана на РС2. Этот субъект должен быть учтен на РС2 в матрице разграничения доступа, а его действия должны отслеживаться аудитом на РС1 и РС2. Так как в сегменте локальной сети передача является широковещательной, то передача пароля для аутентификации на РС2 может быть подслушана на любой рабочей станции и в следующий раз подслушивающий субъект сможет запрашивать информацию на другой машине от чужого имени.

Чтобы контролировать сеть, необходим мониторинг сети. Он решает две задачи - контроль действий администратора сети и аудит сети.

Для исключения подслушивания вместо концентраторов надо по возможности использовать коммутаторы. Коммутаторы частично решают задачу разграничения доступа в сети. Если успешно защититься от подслушивания и обращения от чужого имени, тогда концентрация на серверах информации для реализации дискреционной политики в сети позволяет поддерживать сетевое разграничение доступа.

Основной задачей системы информационной безопасности является обеспечение постоянной доступности защищаемых ресурсов для легальных пользователей, и полная недоступность для нелегальных, также необходим и постоянный контроль действий легальных пользователей.

Любая политика информационной безопасности должна отвечать следующим требованиям:

- интегрированность (все «кирпичики», из которых она состоит, должны подходить и дополнять друг друга);

 - комплексность (нельзя решать проблему информационной безопасности выборочно, например, установка антивирусной защиты не устранит возможность взлома почтового сервера);

 - достаточность (не стоит чрезмерно усложнять защиту: во-первых, это удорожает ее, во-вторых, такая защита становится сложной в управлении и как следствие имеет низкую эффективность).

Исходя из вышесказанного, можно предложить схему реализации системы защиты распределенной компьютерной сети организации, на которой показаны следующие основные элементы системы (рис. 1).

1. Авторизация и разграничение доступа

2. Шифрование данных

3. Межсетевые экраны с поддержкой VPN

4. Система аудита и защиты от атак (Intrusion Detection System) и антивирусная защита

5. Автоматизация делопроизводства - автоматизированная система делопроизводства и документооборота (АСДД) «Дело» (компания ЭОС).

3. Источники и способы дестабилизирующего воздействия на информацию.

Таблица: виды и способы дестабилизирующего воздействия на защищаемую информацию.


Виды воздействия



Способы дестабилизирующего воздействия


Результат воздействия на информацию


1. Со стороны людей


Непосредственное воздействие на носители защищаемой информации

  1.  физическое разрушение;
  2.  создание аварийных ситуаций для носителей;
  3.  удаление информации с носителей;
  4.  создание искусственных магнитных полей для размагничивания носителей;
  5.  внесение фальсифицированной информации в носители.


Уничтожение, искажение, блокирование


Несанкционированное распространение конфиденциальной информации

  1.  словесная передача (сообщение) информации;
  2.  передача копий(снимков) носителей информации;
  3.  показ носителей информации;
  4.  ввод информации в вычислительные сети;
  5.  опубликование информации в открытой печати;
  6.  использование информации в публичных выступлениях.


разглашение


Вывод из строя технических средств (ТС) при работе с информацией и средств связи

  1.  неправильный монтаж ТС;
  2.  поломка(разрушение) ТС. В т.ч. разрыв (повреждение) кабельных линий связи;
  3.  создание аварийных ситуаций для ТС;
  4.  отключение ТС от сетей питания;
  5.  вывод из строя систем обеспечения функционирования ТС;
  6.  вмонтирование в ЭВМ разрушающих радио и программных закладок.


Уничтожение, искажение, блокирование


Нарушение режима работы ТС и технологии обработки информации

  1.  повреждение отдельных элементов ТС;
  2.  нарушение правил эксплуатации ТС;
  3.  внесение изменений в порядок обработки информации;
  4.  заражение программ обработки информации вредоносными вирусами;
  5.  выдача неправильных программных команд;
  6.  превышение расчетного числа запросов;
  7.  создание помех в радиоэфире с помощью дополнительного звукового или шумового фона;
  8.  передача ложных сигналов;
  9.  подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;
  10.  нарушение, изменение режима работы систем обеспечения функционирования ТС.


Уничтожение, искажение, блокирование


Вывод из строя и нарушение режима работы систем обеспечения функционирования ТС

  1.  неправильный монтаж систем;
  2.  поломка, разрушение систем или их элементов;
  3.  создание аварийных ситуаций для систем;
  4.  отключения систем от источников питания;
  5.  нарушение правил эксплуатации систем.


Уничтожение, искажение, блокирование


2. Со стороны технических средств при работе с информацией и средств связи


Выход ТС из строя

  1.  техническая поломка, авария (без вмешательства людей);
  2.  возгорание, затопление(без вмешательства людей);
  3.  выход из строя систем обеспечения функционирования ТС;
  4.  воздействие природных явлений;
  5.  воздействие измененной структуры окружающего магнитного поля;
  6.  заражение программ обработки носителя информации, в том числе размагничивание магнитного слоя диска(ленты) из-за осыпания магнитного порошка.


Уничтожение, искажение, блокирование

Создание электромагнитных излучений

  1.  запись электромагнитных излучений.


Хищение


3. Со стороны систем обеспечения функционирования ТС при работе с информацией


Выход систем из строя

  1.  техническая поломка, авария( без вмешательства людей);
  2.  возгорание, затопление(без вмешательства людей);
  3.  выход из строя источников питания;
  4.  воздействие природных явлений.


Уничтожение, искажение, блокирование


Сбои в работе систем

  1.  появление технических неисправностей элементов систем;
  2.  воздействие природных явлений;
  3.  нарушение режима работы источников питания.


Уничтожение. Искажение, блокирование


4. Со стороны технологических процессов отдельных промышленных объектов


Изменение структуры окружающей среды

  1.  изменение естественного радиационного фона окружающей среды при функционировании объектов ядерной энергетики;
  2.  изменение естественного химического состава окружающей среды при функционировании объектов химической промышленности;
  3.  изменения локальной структуры магнитного поля из-за деятельности объектов радиоэлектроники и изготовлению некоторых видов вооружения и военной техники.


Хищение


5. Со стороны природных явлений


Землетрясение, наводнение, ураган (смерч), шторм, оползни, лавины, извержения вулканов

  1.  разрушение (поломка), затопление, сожжение носителей информации, ТС работы с информацией, кабельных средств связи, систем обеспечения функционирования ТС;
  2.  нарушение режима работы ТС и систем обеспечения функционирования ТС;
  3.  нарушение технологии обработки.


Потеря, уничтожение, искажение, блокирование, хищение


Гроза, дождь, снег, перепады температуры и влажности воздуха. Магнитные бури


 

А также другие работы, которые могут Вас заинтересовать

28869. Государственно-правовые аспекты учений раннего христианства и средневековья 49.5 KB
  С политикоправовых позиций эти идеи не поддаются однозначной оценке поскольку отрицание государства в римском понимании и связынный с этим правовой нигилизм можно рассматривать как регресс по сравнению с развитой юридической мыслью с другой стороны в учении раннего христианства в первую очередь поддаавались критике те стороны общественной жизни которые требовали серьезного реформирования. В последствии в средневековье проблема взаимоотношения церкви и государства транформируется в основную идеологическую проблему. В последствии в Новое...
28870. Западноевропейская политико-правовая мысль конца 15 - 16 ст 47.5 KB
  Методологические особенности иследования общих проблем государства права и политики в эпоху Возрождения и реформации. Учение о государстве и политическом искусстве Николо Макиавелли. Основные положения учения о государстве Жана Бодена. Государственноправовой аспект богословскополитических доктрин Мартина Лютера и Жана Кальвина.
28871. Развитие учений о государстве и праве в Западной Европе конца 16 - 17 в.в. 69 KB
  Теория естественного права Гуго Гроция.открывает новую эпоху в историческом развитии европейского права. К социальноисторическим факторам оказавшим существенное влияние на формирование новоевропейского понимания проблем государства и права необходимо отнести следующие:  усиление экономического неравенства внутри стран Европы и между этими странами оказавшимися вовлеченными в сферу мирового разделения труда и соответственно связаная с этим необходимость государственноправового вмешательства в решение хозяйственноправовых проблем...
28872. Судебная реформа 1864 года 151 KB
  Основной задачей этой курсовой работы является изучение судебной реформы 1864 года которая считается самой буржуазной и последовательной реформой Х1Х века в России. В ходе реформы судопроизводства в России предполагались изменения в разных его областях: в организации судебной системы например введение суда присяжных в профессиональном статусе судей институт мировых судей пожизненное избрание в процедуре вынесения приговора €œдвухэтапного€ формирования приговора присяжными и судей и т. Исторические предпосылки судебной реформы...
28873. Судебная реформа 1864 года и ее основные итоги 87 KB
  Вместо множества судов существовавших для обслуживания различных сословий учреждались единые для всех сословий общегражданские суды. Основными звеньями общих судебных установлений были окружные суды судебные палаты и Правительствующий сенат. Окружные суды образовывались обычно на территории нескольких уездов с учетом численности населения и объема работы. Замахнувшись на множественность судов создавшихся для обслуживания дворян купцов ремесленников крестьян и других сословий власти не решились полностью...
28874. Основные тенденции мирового развития в XVIIIв. 23.5 KB
  XVIII век вошел в историю как век просвещенного абсолютизма. Политика абсолютизма в ряде европейских стран выражающаяся в уничтожении сверху и в преобразовании наиболее устаревших феодальных институтов. Однако главным в политике просвещенного абсолютизма стало провозглашение принципа одно право для всех что отразилось в создании равного для всех гражданского права. Проведение политики просвещенного абсолютизма в определенной мере явилось отражением идей Просветителей.
28875. «Смутное время» в России. Эволюция государственности в XVII в. 37.5 KB
  Смутное время в России. На какоето время государство оказалось ничьим и это привело к кризису послужившему началом так называемого Смутного Времени. Многие из богатых людей в это время отпускают на волю свою челядь чтобы не кормить ее и это увеличивает толпы бездомных и голодных. В это время в Польше против царя Бориса выступил молодой человек который назвал себя царевичем Дмитрием сыном Ивана Грозного и заявил о своем намерении идти на Москву добывать себе прародительский престол.
28876. Внешняя политика России XVI–XVII веков. 28 KB
  Внешняя политика России XVI–XVII веков. позволили России проводить активную внешнюю политику. предопределило включение в состав России всего Среднего Поволжья с его многонациональным населением. В1556 году русскими войсками была взята Астрахань и к России присоединились нижневолжские земли.
28877. Пётр I Вели́кий 33.5 KB
  Одним из главных достижений Петра стало решение поставленной в XVI веке задачи: расширение территорий России в Прибалтийском регионе после победы в Великой Северной войне что позволило ему принять в 1721 году титул первого императора Российской империи. Военная реформа Петра I и реформы органов управления. Военная реформа была первоочередным преобразовательным делом Петра. Заслугой Петра является создание регулярной российской армии.