24758

Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях, а также в сети Интернет

Шпаргалка

Информатика, кибернетика и программирование

Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях а также в сети Интернет. Правовое обеспечение безопасности информационных и телекоммуникационных систем направлено на создание правовых условий для противодействия следующим угрозам в информационной сфере: противоправные сбор и использование информации; нарушения технологии обработки информации; внедрение в аппаратные и программные изделия компонентов реализующих функции не предусмотренные документацией на эти изделия; разработка и...

Русский

2013-08-09

32.84 KB

7 чел.

Билет №24

1. Правовое регулирование отношений по защите информации в информационных и телекоммуникационных сетях, а также в сети Интернет.

Правовое обеспечение безопасности информационных и телекоммуникационных систем направлено на создание правовых условий для противодействия следующим угрозам в информационной сфере:

  1.  противоправные сбор и использование информации;
  2.  нарушения технологии обработки информации;
  3.  внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
  4.  разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
  5.  уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
  6.  воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
  7.  компрометация ключей и средств криптографической защиты информации;
  8.  утечка информации по техническим каналам;
  9.  внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
  10.  уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
  11.  перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
  12.  использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
  13.  несанкционированный доступ к информации, находящейся в банках и базах данных;
  14.  нарушение законных ограничений на распространение информации.

В УК РФ защите информационных и телекоммуникационных систем посвящена глава 28, статьи 272 – 274.

  1.  Статья 272. Неправомерный доступ к компьютерной информации.
  2.  Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
  3.  Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

В КОАП РФ защите информационных и телекоммуникационных систем посвящена глава 13, статьи 13.1 – 13.24.

  1.  Статья 13.1. Самовольные установка или эксплуатация узла проводного вещания.
  2.  Статья 13.2. Самовольное подключение к сети электрической связи оконечного оборудования.
  3.  Статья 13.3. Самовольные проектирование, строительство, изготовление, приобретение, установка или эксплуатация радиоэлектронных средств и (или) высокочастотных устройств.
  4.  Статья 13.4. Нарушение правил проектирования, строительства, установки, регистрации или эксплуатации радиоэлектронных средств и (или) высокочастотных устройств.
  5.  Статья 13.5. Нарушение правил охраны линий или сооружений связи.
  6.  Статья 13.6. Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи.
  7.  Статья 13.7. Несоблюдение установленных правил и норм, регулирующих порядок проектирования, строительства и эксплуатации сетей и сооружений связи.
  8.  Статья 13.8. Изготовление, реализация или эксплуатация технических средств, не соответствующих стандартам или нормам, регулирующим допустимые уровни индустриальных радиопомех.
  9.  Статья 13.9. Самовольные строительство или эксплуатация сооружений связи.
  10.  Статья 13.10. Изготовление в целях сбыта либо сбыт заведомо поддельных.
  11.  Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
  12.  Статья 13.12. Нарушение правил защиты информации.
  13.  Статья 13.13. Незаконная деятельность в области защиты информации.
  14.  Статья 13.14. Разглашение информации с ограниченным доступом.
  15.  Статья 13.15. Злоупотребление свободой массовой информации
  16.  Статья 13.16. Воспрепятствование распространению продукции средства массовой информации.
  17.  Статья 13.17. Нарушение правил распространения обязательных сообщений.
  18.  Статья 13.18. Воспрепятствование уверенному приему радио- и телепрограмм.
  19.  Статья 13.19. Нарушение порядка представления статистической информации.
  20.  Статья 13.20. Нарушение правил хранения, комплектования, учета или использования архивных документов.
  21.  Статья 13.21. Нарушение порядка изготовления или распространения продукции средства массовой информации.
  22.  Статья 13.22. Нарушение порядка объявления выходных данных.
  23.  Статья 13.23. Нарушение порядка представления обязательного экземпляра документов, письменных уведомлений, уставов и договоров.
  24.  Статья 13.24. Повреждение телефонов-автоматов.

Выработку и реализацию единой государственной политики и нормативно-правовое регулирование в сфере информационных технологий и массовых коммуникаций осуществляет Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязь России), в том числе по вопросам развития сети Интернет, системы цифрового вещания и радиовещания, новых технологий в этих областях, обработки персональных данных, оказания государственных услуг в сфере информационных технологий.

Уполномоченным государственным органом, осуществляющим контроль и надзор за соблюдением требований законодательства РФ в сфере средств массовой информации, массовых коммуникаций, связи, информационных технологий, обработки персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

В настоящее время Минкомсвязь России совместно с Роскомнадзором разрабатывают методику контроля качества предоставления Интернет-услуг, прорабатывается вопрос использования свободных лицензий в авторском праве в условиях развития Интернета. Это станет существенным шагом вперед на пути эффективной защиты прав пользователей Интернета.

В числе полномочий Роскомнадзора – выдача лицензий операторам Интернет-связи, регистрация СМИ, а также применение мер профилактического и пресекательного характера, направленных на недопущение нарушений юридическими лицами и гражданами обязательных требований в указанной сфере и (или) ликвидацию последствий таких нарушений.

2. Создание механизмов безопасности в распределенной компьютерной системе.

Распределенной КС называется система, состоящая более чем из одного локального сегмента, представляющего обособленную совокупность субъектов и объектов доступа.

Нетрудно видеть, что центральным в понятии распределенной КС является способ (принцип, механизм и т. д.) обособления совокупности субъектов и объектов доступа в отдельную самостоятельную сущность, т. е. в локальный сегмент.

Выделим три способа (критерия) обособления подмножества субъектов и объектов в локальный сегмент:

• группирование некоторого подмножества субъектов доступа на основе их порождения и управления одним общим субъектом (системным процессом);

• локализация некоторого подмножества субъектов и объектов доступа в рамках некоторой технической компоненты КС;

• присвоение всем субъектам и объектам некоторого уникального идентификатора (адреса) в едином информационном (адресном) пространстве и разделение этого пространства на области, обособляющие локальные сегменты.

Первый способ характерен для выделения в сети компонентов (субъектов и объектов) АС, построенной в идеологии "Клиент-сервер", особенно для ее разновидности с "тонкими" клиентами. В подобных системах большинство процессов клиентов (субъектов доступа) порождаются (управляются, выполняются) главным системным процессом в виде сервера БД или сервера приложений. Соответственно вопросы безопасности в подобных распределенных системах обеспечиваются единым субъектом, функционирующим также на сервере системы. В частности, процессы коллективного доступа к общим данным управляются и регламентируются специальной программной компонентой, именуемой монитором транзакций. Монитор транзакций совместно с МБО обеспечивает все три аспекта безопасности данных – конфиденциальность (через определенную политику разграничения доступа), целостность и доступность (через специальные протоколы совместного выполнения и фиксации транзакций).

Второй способ, наиболее характерный для ЛВС, основывается на привязке субъектов и объектов доступа или их общей с точки зрения безопасности и разграничения доступа информации (например, общей базы учетных записей) к одной или нескольким выделенным вычислительным установкам. Можно также отметить, что на практике подобным образом в большинстве случаев обособляется одна вычислительная установка или сегмент ЛВС.

Третий способ является в некотором смысле виртуальной альтернативой второму способу и применяется в большинстве случаев совместно с ним. В частности, подобным образом создаются виртуальные защищенные сети, физическое расположение отдельных компонент которых не имеет самостоятельного значения.

Рассмотрим некоторую усредненную модель распределенной компьютерной системы организации. Основа такой системы - локальная сеть, состоящая из одного или нескольких сегментов. Локальная сеть служит для связи рабочих станций пользователей, серверов, рабочих мест администраторов, коммуникационного оборудования, сетевых принтеров и другого оборудования. При наличии филиалов (удаленных пользователей) особенно необходимы межсетевые экраны, позволяющие организовать защиту сегмента локальной сети от глобальной сети, которая используется как транспорт для взаимодействия удаленных локальных сегментов (VPN). Кроме того, межсетевые экраны контролируют входную информацию из открытой сети (фильтрация сервисов). Межсетевые экраны дополняются ДМЗ - демилитаризованной зоной, в которой установлены серверы почты и Веб и которые работают как амортизаторы, принимая на себя удар сетевых атак (вирусы и др.). Этот традиционный набор считается защитой локальной сети. Однако в действительности это может не быть защитой, если не реализованы некоторые основные принципы защиты информации.

В системе должна быть единая политика безопасности, которая определяет правила обращения с информацией так, чтобы исключить или снизить угрозы ущерба. Единая политика нужна, чтобы исключить противоречия между правилами обращения с одной и той же информацией в разных подразделениях организации. В самом простом случае, что этой политикой является дискреционная политика, т. е. у каждого информационного объекта системы есть хозяин, который определяет правила доступа субъектов к объектам. Для реализации дискреционной политики безопасности каждый субъект и объект должны быть идентифицированы, а каждый субъект должен подтвердить свой идентификатор (аутентификация). Обычно дискреционную политику безопасности усиливают аудитом, т.е. отслеживанием действий пользователей или субъектов, которые действуют от их имени, в компьютерной системе.

Кроме дискреционной политики безопасности как минимум необходимо организовать защиту целостности информационных ресурсов от модификации или уничтожения. Идентификация и аутентификация, правила разграничения доступа, аудит и защита целостности должны реализовываться механизмами защиты. На каждом рабочем месте и на серверах установлены операционные системы, которые, как правило, обладают набором механизмов защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа, аудит на данном компьютере. Серьезные прикладные системы типа СУБД также обладают локальным набором механизмов защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа и аудит. Основными механизмами защиты целостности являются резервное копирование (backup), электронно-цифровая подпись (ЭЦП) и коды аутентификации.

Однако выполнение политики безопасности на каждом компьютере вовсе не означает, что выполняется единая политика безопасности во всей системе. Например, пользователи по сети могут обращаться на файловый сервер для получения необходимой информации или отправки документов в файле на печать на сетевой принтер. Обращение на сервер предполагает копирование файла из одного компьютера, где файл находится под защитой локальной политики безопасности и средств ее поддержки, в другой компьютер, на котором действует локальная политика безопасности и механизмы ее поддержки. Ясно, что передача файла или информации из этого файла в файл на другой машине не управляется локальной политикой безопасности, т. е. должны быть механизмы реализации политики безопасности системы в целом, с помощью которых может быть разрешен доступ субъекта на одной машине к информации, расположенной на другой машине. В частности, для такого доступа субъект из рабочей станции 1 (РС1), запрашивающий доступ к информации на компьютере РС2, должен быть идентифицирован и аутентифицирован на РС2, т. е. его аутентификационная информация (пароль) на РС1 должна быть передана на РС2. Этот субъект должен быть учтен на РС2 в матрице разграничения доступа, а его действия должны отслеживаться аудитом на РС1 и РС2. Так как в сегменте локальной сети передача является широковещательной, то передача пароля для аутентификации на РС2 может быть подслушана на любой рабочей станции и в следующий раз подслушивающий субъект сможет запрашивать информацию на другой машине от чужого имени.

Чтобы контролировать сеть, необходим мониторинг сети. Он решает две задачи - контроль действий администратора сети и аудит сети.

Для исключения подслушивания вместо концентраторов надо по возможности использовать коммутаторы. Коммутаторы частично решают задачу разграничения доступа в сети. Если успешно защититься от подслушивания и обращения от чужого имени, тогда концентрация на серверах информации для реализации дискреционной политики в сети позволяет поддерживать сетевое разграничение доступа.

Основной задачей системы информационной безопасности является обеспечение постоянной доступности защищаемых ресурсов для легальных пользователей, и полная недоступность для нелегальных, также необходим и постоянный контроль действий легальных пользователей.

Любая политика информационной безопасности должна отвечать следующим требованиям:

- интегрированность (все «кирпичики», из которых она состоит, должны подходить и дополнять друг друга);

 - комплексность (нельзя решать проблему информационной безопасности выборочно, например, установка антивирусной защиты не устранит возможность взлома почтового сервера);

 - достаточность (не стоит чрезмерно усложнять защиту: во-первых, это удорожает ее, во-вторых, такая защита становится сложной в управлении и как следствие имеет низкую эффективность).

Исходя из вышесказанного, можно предложить схему реализации системы защиты распределенной компьютерной сети организации, на которой показаны следующие основные элементы системы (рис. 1).

1. Авторизация и разграничение доступа

2. Шифрование данных

3. Межсетевые экраны с поддержкой VPN

4. Система аудита и защиты от атак (Intrusion Detection System) и антивирусная защита

5. Автоматизация делопроизводства - автоматизированная система делопроизводства и документооборота (АСДД) «Дело» (компания ЭОС).

3. Источники и способы дестабилизирующего воздействия на информацию.

Таблица: виды и способы дестабилизирующего воздействия на защищаемую информацию.


Виды воздействия



Способы дестабилизирующего воздействия


Результат воздействия на информацию


1. Со стороны людей


Непосредственное воздействие на носители защищаемой информации

  1.  физическое разрушение;
  2.  создание аварийных ситуаций для носителей;
  3.  удаление информации с носителей;
  4.  создание искусственных магнитных полей для размагничивания носителей;
  5.  внесение фальсифицированной информации в носители.


Уничтожение, искажение, блокирование


Несанкционированное распространение конфиденциальной информации

  1.  словесная передача (сообщение) информации;
  2.  передача копий(снимков) носителей информации;
  3.  показ носителей информации;
  4.  ввод информации в вычислительные сети;
  5.  опубликование информации в открытой печати;
  6.  использование информации в публичных выступлениях.


разглашение


Вывод из строя технических средств (ТС) при работе с информацией и средств связи

  1.  неправильный монтаж ТС;
  2.  поломка(разрушение) ТС. В т.ч. разрыв (повреждение) кабельных линий связи;
  3.  создание аварийных ситуаций для ТС;
  4.  отключение ТС от сетей питания;
  5.  вывод из строя систем обеспечения функционирования ТС;
  6.  вмонтирование в ЭВМ разрушающих радио и программных закладок.


Уничтожение, искажение, блокирование


Нарушение режима работы ТС и технологии обработки информации

  1.  повреждение отдельных элементов ТС;
  2.  нарушение правил эксплуатации ТС;
  3.  внесение изменений в порядок обработки информации;
  4.  заражение программ обработки информации вредоносными вирусами;
  5.  выдача неправильных программных команд;
  6.  превышение расчетного числа запросов;
  7.  создание помех в радиоэфире с помощью дополнительного звукового или шумового фона;
  8.  передача ложных сигналов;
  9.  подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;
  10.  нарушение, изменение режима работы систем обеспечения функционирования ТС.


Уничтожение, искажение, блокирование


Вывод из строя и нарушение режима работы систем обеспечения функционирования ТС

  1.  неправильный монтаж систем;
  2.  поломка, разрушение систем или их элементов;
  3.  создание аварийных ситуаций для систем;
  4.  отключения систем от источников питания;
  5.  нарушение правил эксплуатации систем.


Уничтожение, искажение, блокирование


2. Со стороны технических средств при работе с информацией и средств связи


Выход ТС из строя

  1.  техническая поломка, авария (без вмешательства людей);
  2.  возгорание, затопление(без вмешательства людей);
  3.  выход из строя систем обеспечения функционирования ТС;
  4.  воздействие природных явлений;
  5.  воздействие измененной структуры окружающего магнитного поля;
  6.  заражение программ обработки носителя информации, в том числе размагничивание магнитного слоя диска(ленты) из-за осыпания магнитного порошка.


Уничтожение, искажение, блокирование

Создание электромагнитных излучений

  1.  запись электромагнитных излучений.


Хищение


3. Со стороны систем обеспечения функционирования ТС при работе с информацией


Выход систем из строя

  1.  техническая поломка, авария( без вмешательства людей);
  2.  возгорание, затопление(без вмешательства людей);
  3.  выход из строя источников питания;
  4.  воздействие природных явлений.


Уничтожение, искажение, блокирование


Сбои в работе систем

  1.  появление технических неисправностей элементов систем;
  2.  воздействие природных явлений;
  3.  нарушение режима работы источников питания.


Уничтожение. Искажение, блокирование


4. Со стороны технологических процессов отдельных промышленных объектов


Изменение структуры окружающей среды

  1.  изменение естественного радиационного фона окружающей среды при функционировании объектов ядерной энергетики;
  2.  изменение естественного химического состава окружающей среды при функционировании объектов химической промышленности;
  3.  изменения локальной структуры магнитного поля из-за деятельности объектов радиоэлектроники и изготовлению некоторых видов вооружения и военной техники.


Хищение


5. Со стороны природных явлений


Землетрясение, наводнение, ураган (смерч), шторм, оползни, лавины, извержения вулканов

  1.  разрушение (поломка), затопление, сожжение носителей информации, ТС работы с информацией, кабельных средств связи, систем обеспечения функционирования ТС;
  2.  нарушение режима работы ТС и систем обеспечения функционирования ТС;
  3.  нарушение технологии обработки.


Потеря, уничтожение, искажение, блокирование, хищение


Гроза, дождь, снег, перепады температуры и влажности воздуха. Магнитные бури


 

А также другие работы, которые могут Вас заинтересовать

48223. ТЕРМИЧЕСКИЕ МЕТОДЫ ОЧИСТКИ ВОД 81.5 KB
  Установки термического обезвреживания минерализованных сточных вод должны соответствовать следующим основным требованиям: I обеспечивать снижение концентрации вредных веществ в очищаемой воде до значений меньших ПДК; 2 иметь незначительную чувствительность к составу стоков; 3 обеспечивать надежность и экономичность в работе; 4. Концентрирование сточных вод Многокорпусные выпарные установки. На практике используют однокорпусные и многокорпусные выпарные установки включающие аппараты с естественной и принудительной циркуляцией. Наибольшее...
48224. Основні підходи до визначення поняття парламентаризму 56 KB
  : Поняття П = відображає з одно боку місце парламенту в мехзмі поділу влади і в цьому значенні наближене до політичного режиму а з іншого – принципи устрою парламенту. влади: У вузькому розумінні: оргція і функціонування органу законодавчої влади що хться верховенством парламенту наявністю в нього виключних прерогатив і повноважень Журавський В. влади з особливою активною 1998 роллю парламенту. влади з вагомою і значною роллю парламенту передбаченими Кцією можливостями його активного впливу на сусп.
48225. Бізнес план виноробного заводу «INKERMAN International» 135 KB
  Щорічно вина Inkerman виграють тендер Міністерства закордонних справ України, присутні на заходах державного рівня — поставляються до закордонних представництв і посольств України, подаються на всіх офіційних дипломатичних прийомах.
48226. Теорія та методика обраного виду спорту 155 KB
  До таких показників ставляться: час рухової реакції час виконання одиночного руху величина й характер зусиль що розвивають дані про біоелектричну активність м'язів частота скорочень серця частота подиху вентиляція легенів серцевий викид споживання кисню швидкість нагромадження й кількість лактата в крові. При визначенні ступеня специфічності вправ потрібно орієнтуватися не тільки на зовнішню форму рухів але й на характер їхньої координаційної структури особливості функціонування м'язів вегетативні реакції. До вправ загального...
48227. Релігієзнавство. Курс лекцій 486 KB
  Це зумовлено тією роллю яку відіграє релігія в житті сучасного суспільства та окремої людини впливом релігії на політику культуру тощо. Інтерес до закономірностей розвитку релігії її історії інших проблем пов'язаних з взаємовідносинами церкви і держави міжконфесійними стосунками постійно зростає. Таким чином слід наголосити що об'єкт і предмет релігієзнавства співпадають: це – закономірності становлення та розвитку релігії її роль у житті суспільства та індивіда. До структури релігієзнавства насамперед входять такі науки:  Філософія...
48228. ТЕОРЕТИЧНІ ОСНОВИ МЕТРОЛОГІЧНОГО ЗАБЕЗПЕЧЕННЯ ВИТРАТОВИМІРЮВАННЯ 3.65 MB
  ТЕОРЕТИЧНІ ОСНОВИ МЕТРОЛОГІЧНОГО ЗАБЕЗПЕЧЕННЯ ВИТРАТОВИМІРЮВАННЯ КОНСПЕКТ ЛЕКЦІЙ Для студентів спеціальності Метрологія та інформаційновимірювальна техніка Рекомендовано методичною радою університету ІваноФранківськ 2011 ІваноФранківський національний технічний університет нафти і газу С. Лекційне заняття №3 Класифікація засобів відтворення і вимірювання одиниць об’єму та об’ємної витрати газу. Газова промисловість України як окрема галузь паливноенергетичного напряму економіки держави складає сьогодні чи не...
48229. ТЕОРИЯ ОРГАНИЗАЦИИ 542.5 KB
  Фокина ТЕОРИЯ ОРГАНИЗАЦИИ Курс лекций для студентов специальности Менеджмент организации ИЗДАТЕЛЬСТВО САРАТОВСКОГО УНИВЕРСИТЕТА Теория организации: Курс лекций для студ. Менеджмент организации.В курсе лекций рассмотрены основные вопросы теории организации предусмотренные образовательным стандартом а также некоторые новые проблемы и точки роста.
48230. ПРЕДМЕТ І СИСТЕМА ТРУДОВОГО ПРАВА 391 KB
  Будьяка соціальноекономічна формація формувалася зростала й розвивалася на основі праці. Але юридичні науки цікавить не загальне поняття праці а праця як правове явище як міра праці необхідна для творчого зростання людини з урахуванням як особистого так і колективного та суспільного інтересів. Трудове право провідна галузь українського права яка є системою правових норм що регулюють сукупність трудових відносин працівників1 із роботодавцями а також інші відносини що випливають з трудових або тісно пов'язані з ними і...
48231. Конспект лекцій з філософії 753 KB
  Філософія моралі наука про правильні вчинки яка поділялась на монастику тобто етику науку про управління діями окремої людини економіку науку про управління державою. Виходячи із значення яке відіграє філософія як наука в житті та діяльності людини можна виділити поруч із методологічною такі її функції: а світоглядну філософія дозволяє людині осмислити проблеми сенсу людського життя: чому і для чого живе людина Яке її місце та призначення в світі і т. Поняття та типи світогляду Для того щоб зрозуміти значення філософії та її...