Главная страница  История развития электросвязи 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 [ 115 ] 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215

Процесс подписания блока данных использует информацию, которая является информацией частного использования (т.е. уникальной и конфиденциальной). Этот процесс подразумевает либо шифрование блока данных, либо получение криптографического контрольного значения блока данных с использованием частной информации подписавшего пользователя в качестве ключа шифрования частного пользования. Таким образом, после проверки подписи в последующем третьему лицу (например, арбитру) в любое время может быть доказано, что подпись может выполнить только единственный держатель секретной (частной) информации.

Механизмы контроля доступа могут использовать аутентифици-рованную идентификацию объекта или информацию объекта (например, принадлежность к известному множеству объектов) либо возможности этого объекта для установления и применения прав доступа к нему. Если объект делает попытку использовать несанкционированный или санкционированный с неправильным типом доступа ресурсы, то функция контроля доступа будет отвергать эту попытку и может сообщить о ней для инициирования аварийного сигнала и (или) регистрации его как части данных проверки безопасности. Механизмы контроля доступа могут использоваться на любом конце соединения и (или) в любом промежуточном узле.

Механизм заверения обеспечивает гарантию свойств, относящихся к данным, которые передаются между двумя или более пользователями, например их целостность, источник, время и место назначения. Эта гарантия дается третьим лицом (нотариусом), которому доверяют вступающие во взаимодействие пользователи и который располагает необходимой информацией для предоставления требуемой гарантии способом, допускающим возможность ее проверки. Каждый процесс установления соединения может использовать цифровую подпись, шифрование и механизмы целостности в зависимости от требований услуги, получающей заверение. Когда задействуется механизм заверения, сообщения передаются через защищенные соединения и нотариуса.

17.2. Правовые и организационные аспекты информационной безопасности

Правовые аспекты. Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве развитых стран мира. Компьютерные преступления получили такое широкое распространение, что для борьбы с ними введены специальные статьи в уголовный кодекс.

До принятия нового Гражданского кодекса России источниками права на информацию были правовой обычай и договор, а также



отдельные нормы законов, зачастую противоречащих друг другу [3]. С введением в действие нового кодекса впервые в нашем законодательстве информация стала полноправным объектом права (ст. 128 ГК РФ).

Значительным шагом в деле правового обеспечения деятельности по защите информации явилось принятие Федеральным Собранием России закона Об информации, информатизации и защите информации [2]. В нем впервые официально вводится понятие конфиденциальной информации , которая рассматривается как информация, не являющаяся общедоступной. Закон устанавливает общие правовые требования к организации защиты данных в процессе обработки, хранения и циркуляции в технических устройствах и сетях связи контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.

Закон утверждает на государственно-правовом уровне электронную цифровую подпись в качестве средства защиты информации от несанкционированного искажения, подмены (имитозащиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью . При этом юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования . В законе раскрываются требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их использования в информационно-телекоммуникационных системах.

В течение первой половины 1995 г. правительством Российской Федерации во исполнение закона О государственной тайне приняты постановления О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны (№ 333 от 15 апреля 1995 г.) и О сертификации средств защиты информации (№ 608 от 26.06.95 г.).

Указанные постановления формируют механизм получения предприятиями и организациями (независимо от их организационно-правовой формы) лицензии на право осуществления любой деятель-



ности, связанной с информацией, составляющей государственную тайну, а также общий порядок сертификации средств, предназначенных для защиты секретной информации.

Принятый Государственной думой Федеральный закон Об участии в международном информационном обмене от 5 июня 1996 г № 85-ФЗ определяет необходимость сертификации средств и лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией. Закон предоставляет ФАПСИ право участвовать в определении ограничений на вывоз из Российской Федерации и ввоз в нашу страну иностранных информационных продуктов, а также утверждения порядка лицензирования деятельности, сертификации средств и аттестования систем международного обмена при работе с конфиденциальными сведениями.

Перечисленные нормативные акты утвердили полномочия и компетенцию ФАПСИ в сфере лицензирования деятельности в области защиты и сертификации средств защиты информации.

Организационные аспекты [4]. Включают в себя выработку политики информационной безопасности; анализ рисков (т.е. ситуаций, в которых может произойти нарушение нормальной работы информационной системы, а также утрата или рассекречивание данных); планирование обеспечения информационной безопасности; планирование действий в чрезвычайных ситуациях; подбор средств обеспечения информационной безопасности. Перейдем к более подробному рассмотрению перечисленных выше задач.

Политика информационной безопасности определяет:

- какую информацию и от кого (чего) следует защищать;

- кому и какая информация требуется для выполнения служебных обязанностей;

- какая степень защиты требуется для каждого вида информации;

- чем грозит потеря того или иного вида информации;

- как организовать работу по защите информации.

Решения по этим вопросам принимают руководители организации, имеющие право решать, какой риск должен быть исключен, а на какой можно пойти, а также определять объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности.

Для выработки политики информационной безопасности необходимо провести исследования. Сначала осуществляется сбор информации, состоящей из описания структуры организации; перечня и краткой характеристики функций, выполняемых каждым ее подразделением и работником; иерархии должностных лиц; описания функциональных связей между подразделениями и отдельными рабочими местами; перечня информационных объектов, циркулирующих в сис-



1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 [ 115 ] 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215

© 2000 - 2018 ULTRASONEX-AMFODENT.RU.
Копирование материалов разрешено исключительно при условии цититирования.