Защита информации и лицензирование и сертификация в области информационной безопасности

Министерство  образования и науки РФ

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«АЛТАЙСКИЙ ГОСУДАРСТВЕННЫЙ  УНИВЕРСИТЕТ»

Факультет политических наук

Кафедра политической истории

Защита информации и лицензирование и сертификация в области информационной безопасности

^{(курсовая работа)}

                                                                                   Выполнила студентка

                                                                             3 курса, группы 1494

                                                                      В.А. Омельченко

                                                                                                                                                     ___________________________

^{(подпись)}

                                                                                 Научный руководитель

                                                                 к.и.н., доцент

                                                                    Н.В. Никишина

                                                                                             _____________________

^{(подпись)}

                                                                              Работа защищена

_________________20__г.

Оценка_____________________

Барнаул 2012

Содержание

Введение…………………………………………………………………………3

1. Защита информации: основные понятия, цели, направления..………..8
2. Лицензирование и сертификация в области информационной безопасности………………………………………………………………..…..18

Заключение………………………………………………………….………….25

Список источников и литературы…………………………………………….26 

Введение

Фальсификация документов является одной из важных проблем, с которой столкнулось общество

Как известно, одним из базовых элементов обеспечения эффективности любого управленческого механизма является документационное обеспечение или система документооборота. По мере своего развития предприятия и организации сталкиваются с необходимостью внедрения электронного документооборота, который отличается следующими преимуществами: простота внесения изменений в документ; возможность помещать в документе не только текст, но и мультимедийные данные; возможность использовать заранее заготовленные формы; более высокая скорость передачи информации по большому количеству адресов; экономия бумаги; более высокая компактность архивов; более простой контроль информационных потоков; большая скорость поиска и извлечения информации.

Однако использование  электронного документооборота предприятиями и организациями не освобождает их от необходимости решения вопросов, связанных с защитой информации. Естественно, передаваемые в электронном виде документы имеют различную степень конфиденциальности и могут содержать сведения от полностью открытых до являющихся коммерческой тайной самого предприятия или его партнеров. Угроза конфиденциальности информации сохраняется.

Информационные ресурсы  являются собственностью, находятся  в ведении соответствующих органов  и организаций, подлежат учету и защите. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами. Особое место отводится информационным ресурсам в условиях рыночной экономики, важнейшим фактором которой выступает конкуренция, а также имеет место существование недобросовестной конкуренции. В конкурентной борьбе широко распространены разнообразные действия, направленные на незаконное получение, использование, разглашение информации, составляющей коммерческую, служебную или иную охраняемую законом тайну с целью получения преимуществ при осуществлении предпринимательской деятельности, а равно получения материальной выгоды, самыми различными способами, в том числе с использованием современных технических средств.

Проблемы защиты информации и, соответственно, обеспечение информационной безопасности находятся в перечне актуальных проблем развития науки и техники в России.

В Московском государственном  университете им. М.В. Ломоносова, исходя из положения, что информационно-телекоммуникационные технологии являются одним из наиболее важных факторов, влияющих на формирование общества XXI века, основываясь на выводах мировой научной общественности о том, что глобальная информатизация не только ускоряет развитие цивилизации, но и порождает новые угрозы национальной, региональной и глобальной безопасности, стали предприниматься активные усилия по координации деятельности математиков, физиков, специалистов в области информатики и электроники, психологов, журналистов, юристов, философов, социологов и представителей других наук, занимающихся проблематикой информационной безопасности. С 2003 года здесь начал работу Институт проблем информационной безопасности. Проведение периодических всероссийских конференций Институтом проблем информационной безопасности позволяет выявить тенденции развития средств защиты информации и связанных с ними математических проблем. Результатом обмена мнениями является формулировка актуальных математических задач, связанных с построением криптографических средств защиты, надежного документооборота и защищенного электронного информационного обмена.

Традиционно, начиная  с 1999 года, в Санкт-Петербурге при  участии Правительства Санкт-Петербурга и других учредителей, при поддержке  Совета Безопасности РФ и Полномочного представителя Президента РФ в Северо-Западном федеральном округе проводится Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР)». В работе конференций принимают участие ведущие ученые и специалисты в области информационной безопасности и защиты информации, представители органов государственной власти субъектов Российской Федерации, руководители и представители академических учреждений, ведущих университетов, научно-исследовательских, научно-производственных и промышленных предприятий и общественных организаций.

В своих работах проблемы защиты информации освещают многие авторы  (Березюк Л.П., Парошин А.А., Железняк В.К. и др.)¹.

Особое внимание уделяется вопросам правового регулирования отношений в области информационной информации и защиты информации (Бачило И.Л², Парошин А.А.³)

Академиком Российской академии образования, заслуженным деятелем науки и техники РФ, сопредседателем Научного совета по информатизации Санкт-Петербурга Б.Я. Советовым⁴ создана научная школа в области информатики и автоматизированного управления. Советовым Б.Я. разработаны основы теории надежности информационных систем, исследованы методы повышения эффективности передачи информации в автоматизированных системах управления.  Проблема защиты информации  занимает значительное место в исследованиях Советова Б.Я⁵.

Объектом исследования является информационная безопасность. Предмет исследования – средства защиты информации, правовое обеспечение  информационной безопасности.

Цель данной работы  - разобраться с понятием защиты информации. Задачи работы – выделить цели защиты информации, определить основные направления защиты информации, рассмотреть средства и способы защиты информации в автоматизированных системах, рассмотреть основные нормативно-правовые аспекты защиты информации.

Для того чтобы выполнить  цель и задачи исследования, правильным будет полагаться на  законодательство РФ, в частности, на информационное право, основным предметом правового регулирования которого выступают именно информационные отношения, то есть общественные отношения в информационной сфере, возникающие при осуществлении информационных процессов – процессов производства, сбора, обработки, накопления, хранения, поиска, передачи, распространения и потребления информации.

Основы информационного права закреплены в Конституции РФ⁶. Отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий; обеспечении защиты информации регулирует  Федеральный закон «Об информации, информационных технологиях и защите информации»⁷. Законодательство о создании и применении информационных систем, их сетей, иных информационных технологий и средств их обеспечения представлено блоком федеральных законов информационного законодательства⁸, отдельных норм Гражданского кодекса РФ⁹, Кодекса об административных правонарушениях¹⁰, актов Правительства

Российской Федерации¹¹.  

Глава 1. Защита информации: основные понятия, цели, направления

Для определения защиты информации необходимо, прежде всего, обратить внимание на основополагающие понятия, содержащиеся в Федеральном законе Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», регулирующем отношения, возникающие при обеспечении защиты информации ¹².

Под информацией, применительно  к задаче ее защиты,  понимают сведения о лицах,  предметах,  фактах,  событиях,  явлениях и процессах независимо от формы их представления.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационная система (автоматизированная система) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Доступ к информации - возможность получения информации и ее использования.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Кроме того, ГОСТ «Защита  информации. Основные термины и определения»¹³ дает определение следующим важным терминам:

Собственник информации - это субъект с полномочиями владения, пользования и распоряжения ею. 

Под пользователем информации понимается субъект,  обращающийся к информационной системе за получением необходимой ему информации и пользующийся ею.

Владельцем информации является субъект с полномочиями владения и пользования.

Средство защиты информации – техническое, программное средства, вещество и (или) материал, предназначенный или используемый для защиты информации.

Российское законодательство гарантирует гражданам важнейшее право - право свободно искать, передавать, производить и распространять информацию любым законным способом. Вместе с тем законодателем закреплено право граждан, организаций, учреждений и государства на тайну. В Конституции РФ¹⁴ и законе РФ «Об информации, информационных технологиях и о защите информации»¹⁵ оговаривается возможность ограничения доступа к информации. Доступ к информации может быть ограничен в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Также законодательством РФ устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну. В связи с этим возникает необходимость защиты информации.

В Федеральном законе «Об информации, информационных технологиях и о защите информации», говорится, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступ; а также на реализацию права на доступ к информации¹⁶.

В литературе даются разные определения защиты информации.

1) Защита информации – научно обоснованные технические, аппаратно-программные, программные, криптографические и другие методы и средства, организационные, юридические меры, реализующие ее защищенность. Защищенность – способность информационной системы противостоять утечке информации по техническим каналам, несанкционированному доступу к программам, информации, умышленному или случайному их искажению или разрушению¹⁷.

2) Защитой информации называют деятельность по предотвращению

утечки защищаемой информации,  несанкционированных и непреднамеренных воздействий на защищаемую информацию. К защищаемой относится информация,  являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями,  устанавливаемыми собственником информации.

Под утечкой понимают неконтролируемое распространение защищаемой информации путем ее разглашения,  несанкционированного доступа к ней и получения разведками.  Разглашение —  это доведение защищаемой информации до неконтролируемого количества получателей информации.  Несанкционированный доступ — получение защищаемой информации заинтересованным субъектом с нарушением правил доступа к ней. Несанкционированное воздействие на защищаемую информацию — воздействие с нарушением правил ее изменения.

Под непреднамеренным воздействием на защищаемую информацию понимают воздействие на нее из-за ошибок пользователя,  сбоя технических или программных средств,  природных явлений,  иных нецеленаправленных воздействий¹⁸.

Целью защиты информации является исключение либо существенное затруднение получения информации несанкционированным получателем.

Защита информации должна обеспечивать информационную безопасность - это все аспекты, связанные с определением, достижением и поддержанием таких свойств информации, как:

Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на нее право.

Целостность — избежание несанкционированной модификации информации.

Доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Неотказуемость или апеллируемость — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;

Подотчётность — обеспечение идентификации субъекта доступа и регистрации его действий;

Достоверность — свойство соответствия предусмотренному поведению или результату;

Аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Также должна обеспечиваться  безопасность автоматизированной информационной системы — состояние защищенности автоматизированной системы обработки информации, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.

Под угрозами информационной безопасности принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются: ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности; модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

разрушение (уничтожение) информации как акт вандализма с  целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению её конфиденциальности (разглашение, утечка, несанкционированный доступ), достоверности (фальсификация, подделка, мошенничество), целостности (искажение, ошибки, потери), доступности (нарушение связи, воспрещение получения информации).

Каждая угроза влечет за собой определенный ущерб - моральный  или материальный, а защита и противодействие угрозе призваны снизить ее величину хотя бы частично.

Направления обеспечения  информационной безопасности - это  нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз.

С учетом сложившейся  практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

• правовая защита - это  специальные законы, другие нормативные  акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

• организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого либо ущерба исполнителям. К основным организационным мероприятиям можно отнести:

организацию режима и  охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;

создание отдельных  производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;

контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и подержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

организацию работы с  сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

организацию работы с  документами, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

организацию использования  технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

организацию работы по проведению систематического контроля за работой  персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей;

• инженерно-техническая  защита - это использование различных технических средств, препятствующих нанесению ущерба производственной деятельности.

По функциональному  назначению средства инженерно-технической  защиты классифицируются на следующие  группы:

физические средства, включающие различные средства и  сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств и финансов и информации от противоправных воздействий;

• аппаратные средства - приборы, устройства, приспособления и другие технические  решения, используемые в интересах защиты информации

Основная задача аппаратных средств - обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства, применяемые в производственной деятельности;

• программные средства, охватывающие специальные программы, программные  комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

• криптографические средства - специальные  математические и алгоритмические  средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой в автоматизированных системах с использованием разнообразных методов шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (зашифрованные данные становятся доступными только тем, кто знает, как их расшифровать, и поэтому похищение зашифрованных данных абсолютно бессмысленно для несанкционированных пользователей). Данный метод защиты реализуется в виде программ или пакетов программ.  

Преобразование множества открытых данных на множество зашифрованных данных определяется соответствующим алгоритмом и значением ключа¹⁹. Секретность ключа должна обеспечивать невозможность восстановления исходного текста по шифрованному посторонними лицами.

Модели, способные производить двусторонние криптопреобразования над данными – криптосистемы – бывают симметричные и асимметричные (с открытым ключом).

 В симметричных криптосистемах для зашифрования и для расшифрования используется один и тот же ключ.

В системах с открытым ключом используются два ключа открытый (публичный) и закрытый (секретный), которые математически связаны друг с другом. Информация зашифровывается с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

В настоящее время  на основе асимметричных криптографических алгоритмов строится система электронной цифровой подписи (ЭЦП) и связанный с ней электронный (защищенный) документооборот.

То есть электронная цифровая подпись (ЭЦП) относится к средствам криптографической защиты информации. ЭЦП - последовательность символов, полученная в результате криптографического преобразования исходной информации, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство. Это аналог собственноручной подписи физического лица, полномочного представителя юридического лица, представленный в электронной форме как результат криптографического преобразования электронного сообщения с использованием закрытого (секретного) ключа электронной подписи.

Правовую основу использования  электронной подписи определяет Федеральный Закон «Об электронной цифровой подписи» от 10 января 2002 г. № 1-ФЗ²⁰. Однако данный закон утратит силу 1 июля 2012 г. в связи с изданием Федерального Закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», который в свою очередь вступит в силу со дня его официального опубликования. Ознакомиться же с текстом нового закона можно уже сейчас на сайте КонсультантПлюс²¹.

Кроме выбора подходящей для конкретной информационной системы  криптографической системы, важная проблема - управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями. Как бы ни была сложна и надежна сама криптосистема, она основана на использовании ключей. Порядок распределения и использования ключей между сотрудниками закрепляется  и регламентируется нормативными документами организации, например, Правилами электронного документооборота.

Таким образом, защита информации является неотъемлемой частью деятельности современных организаций, обеспечивающей их нормальное функционирование. Объектом защиты информации является обеспечение безопасности, собственно, информации и информационных (или автоматизированных) систем, применяемых в организации, от неблагоприятных воздействий. Защита информации должна осуществляться комплексно. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.  

Глава 2. Лицензирование и сертификация в области обеспечения информационной безопасности

Действенными инструментами государственного регулирования отношений в области защиты информации в условиях рыночных отношений являются процедуры лицензирования, сертификации.

Лицензирование –  процедура выдачи на определенный срок специальных разрешений на ведение  соответствующих видов деятельности – лицензий. Правовые основы деятельности в области лицензирования определены Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности»²². 

К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, жизни или здоровью граждан, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, обороне и безопасности государства²³.

Суть лицензирования заключается в разрешении юридическим лицам или индивидуальным предпринимателям (лицензиатам) заниматься определенными видами деятельности только при соблюдении обязательных требований и условий. Такие требования устанавливаются соответствующими положениями о лицензировании конкретных видов деятельности.

Осуществляют лицензионную деятельность (первоначальную проверку наличия у лицензиата соответствующих  условий, выдачу лицензий и ведение  соответствующих реестров, последующий  контроль за соблюдением установленных  требований и условий) лицензирующие органы - уполномоченные федеральные органы исполнительной власти и (или) их территориальные органы и органы исполнительной власти субъектов Российской Федерации. Перечень лицензирующих органов утвержден постановлением Правительства Российской Федерации от 21 ноября 2011 г. № 957²⁴.

Лицензия действует  бессрочно, если ограничение срока действия лицензий не предусмотрено федеральными законами. В случае выявления неоднократных или грубых нарушений лицензионных требований и условий лицензирующие органы вправе наложить административное взыскание и приостановить действие лицензии, установив срок устранения лицензиатом нарушений. Если в установленный срок лицензиат не устранил указанные нарушения, лицензирующий орган обязан обратиться в суд с заявлением об аннулировании лицензии.

В области защиты информации лицензированию подлежат следующие виды деятельности²⁵:

1) разработка, производство, распространение криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием криптографических средств;