Лекции - Обеспечение безопасности персональных данных. Лекция №01. Основы информационной безопасности - файл 1 лекция.docx

Лекции - Обеспечение безопасности персональных данных. Лекция №01. Основы информационной безопасности
скачать (302.7 kb.)

Доступные файлы (4):

1 лекция.docx	21kb.	08.11.2011 12:38	скачать
1 лекция.pdf	134kb.	08.11.2011 13:04	скачать
введение.docx	21kb.	08.11.2011 12:38	скачать
введение.pdf	165kb.	08.11.2011 13:03	скачать

содержание

---

Смотрите также:
• Обеспечение безопасности персональных данных. Лекция №06. Классификация ИСПД [ документ ]
• Обеспечение безопасности персональных данных. Лекция №03. Автоматизированная и неавтоматизированная обработка персональных данных [ документ ]
• Обеспечение безопасности персональных данных. Лекция №07. Мероприятия по техническому обеспечению безопасности ПД [ документ ]
• Обеспечение безопасности персональных данных. Лекция №02. Персональные данные. Законодательство в области защиты персональных данных [ документ ]
• Обеспечение безопасности персональных данных. Лекция №05. Порядок организации защиты персональных данных. Организационно-распорядительная документация [ документ ]
• Обеспечение безопасности персональных данных. Лекция №04. Модель угроз ПД. Организационно-распорядительная документация по защите ПД [ документ ]
• Обеспечение безопасности персональных данных. Лекция №08. Профили защиты, порядок их регистрации и сертификации во ФСТЭК России [ документ ]
• Кудрявцева Р.Т. Теория информационной безопасности и методология защиты информации. Лекции [ документ ]
• по информационной безопасности [ лекция ]
• Аудит информационной безопасности [ документ ]
• Теория информационной безопасности и методология защиты информации [ документ ]
• Березюк Л.П. Организационное обеспечение информационной безопасности [ документ ]

1 лекция.docx

1. Лекция: Основы информационной безопасности

В лекции рассмотрены основные понятия информационной безопасности. Ознакомление с ФЗ " Об информации, информационных технологиях и о защите информации".
Содержание

• 
  1.1. Основные понятия информационной безопасности
  
• 
  1.2. ФЗ "Об информации, информационных технологиях и о защите информации"
  

1.1. Основные понятия информационной безопасности

Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такое информационная безопасность. Термин "информационная безопасность" может иметь различный смысл и трактовку в зависимости от контекста. В данном курсе под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [1].

ГОСТ "Защита информации. Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

• 
  Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
  
• 
  Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
  
• 
  Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
  

^ Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [2,3]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

• 
  по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
  
• 
  по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
  
• 
  по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
  
• 
  по расположению источника угроз (внутри/вне рассматриваемой ИС).
  



Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

1. 
   законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
   
2. 
   административный – комплекс мер, предпринимаемых локально руководством организации;
   
3. 
   процедурный уровень – меры безопасности, реализуемые людьми;
   
4. 
   программно-технический уровень – непосредственно средства защиты информации.
   

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность.

^ 1.2. ФЗ "Об информации, информационных технологиях и о защите информации"

В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон регулирует отношения, возникающие при:

• 
  осуществлении права на поиск, получение, передачу, производство и распространение информации;
  
• 
  применении информационных технологий;
  
• 
  обеспечении защиты информации.
  

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

• 
  информация - сведения (сообщения, данные) независимо от формы их представления;
  
• 
  информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
  
• 
  информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
  
• 
  обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
  
• 
  оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
  
• 
  конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [4].
  

В статье 3 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

1. 
   
   
2. 
   свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
   
3. 
   установление ограничений доступа к информации только федеральными законами;
   
4. 
   открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
   
5. 
   равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
   
6. 
   обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
   
7. 
   достоверность информации и своевременность ее предоставления;
   
8. 
   неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
   
9. 
   недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
   

Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:

1. 
   информацию, свободно распространяемую;
   
2. 
   информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
   
3. 
   информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
   
4. 
   информацию, распространение которой в Российской Федерации ограничивается или запрещается.
   

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

1. 
   обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, 
   
2. 
   распространения, а также от иных неправомерных действий в отношении такой информации;
   
3. 
   соблюдение конфиденциальности информации ограниченного доступа;
   
4. 
   реализацию права на доступ к информации.
   

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1. 
   предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
   
2. 
   своевременное обнаружение фактов несанкционированного доступа к информации;
   
3. 
   предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
   
4. 
   недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
   
5. 
   возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
   
6. 
   постоянный контроль за обеспечением уровня защищенности информации.
   

Таким образом, ФЗ ""Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

---

Скачать файл (302.7 kb.)

Поиск по сайту:  

---